ITrig

Ein neues Zertifikat für eine Elastix Maschine ist hin und wieder fällig. Bekanntlich handelt es sich dabei um ein CentOS System mit Apache, welches somit recht einfach mit einem neuen Zertifikat versehen werden kann. Praktisch geht das sogar mit einem Oneliner.

openssl req -x509 -nodes -sha256 -days 1825 -newkey rsa:4096 -keyout /etc/pki/tls/private/localhost.key -out /etc/pki/tls/certs/localhost.crt
-subj "/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/ CN=localhost.localdomain/emailAddress=root@localhost.localdomain"

Damit erzeugt ihr ein neues Zertifikat, welches auch gleich richtig eingebunden wird, aber Vorsicht, die vorhandenen Zertifikate werden mit diesem Befehl überschrieben.

Solltet ihr andere Dateinamen verwenden, dann muss der Pfad in der Konfiguration zusätzlich angepasst werden

sudo nano /etc/httpd/conf.d/ssl.conf

 SSLCertificateFile /ich/bin/der/pfad/neues_cert.crt

sudo service httpd restart 

In den damaligen Artikel über Poodle und SSLv3 Abschaltung bzw. Servehärtung ist der Tomcat total untergegangen. Das will ich mal schnell nachholen.

Tomcat 7/8 härten - unsicheres SSL abschalten

Im Prinzip muss nicht viel gemacht werden, es sollten lediglich die richtigen Parameter in der server.xml hinterlegt werden. Zusätzlich darf natürlich gerne eine aktuelle und sichere Java Version verwendet werden.

Wichtig 

• Aktuelle Java Version einsetzen
• Aktuelle Tomcat Version einsetzen
• Aktuelle DB Connectoren einsetzen

HTTPS Servereinstellungen

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" maxThreads="150" maxHttpHeaderSize="8192" minSpareThreads="25" scheme="https" secure="true" keystoreFile="\PfadzumKeystore\keystore" keystorePass="Password" clientAuth="false" sslProtocol="TLSv1.2" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"

ciphers="

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,

 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,

 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,

 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,

 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,

 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,

 TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,

 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,

 TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,

 TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,

 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,

 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA"

/>

Die Erklärung für die einzelnen Attribute dieser Konfiguration könnt ihr hier finden.

Wer sich nun fragt, wo hier Perfect Forward Secrecy konfiguriert ist, der findet diese in allen Cipher Suites mit "ECDHE_ECDSA und ECDHE_RSA" wieder. Da diese präferiert werden ist ein Diffie-Hellman Schlüsselaustauschverfahren gewährleistet. ECDH_ECDSA und ECDH_RSA unterstützen übrigens kein PFS.

Weiterführende Links

• 9 praktische Keytool Befehle
• Tomcat selbst signiertes Zertifikat erstellen
• Tomcat in 15min installieren
• LAMP Server mit SSL installieren
• Härten eines Apache Servers
• SSLv3 in Apache, Nginx oder Postfix deaktivieren 

GIMP als Photoshop Alternative hatte ich auf ITrig ja schon öfters und das Programm sollte weitgehend bekannt sein. Einen anderen Ansatz verfolgt Krita.

Krita

Bei Krita handelt es sich im Ursprung um ein Zeichenprogramm, welches für Zeichnen am PC oder Grafiktablets optimiert wurde. Allerdings bietet die Software ebenfalls viele Bildbearbeitungsfunktionen wie Filter, Überblendungen oder Compositing und stellt somit durchaus eine Alternative zu gängiger Bilbearbeitungs-Software dar.

Die Bedienung unterscheidet sich durchaus von den Kollegen GIMP oder Photoshop, dennoch scheint die Software ihren Reiz zu entfalten, denn die Abteilung für Kunst und Bildtechnologie (ATI) der Universität Paris 8 hat sich gerade erst für Krita entschieden (siehe Artikel).

Alle Filter, Features und Co, können auf der Krita Webseite abgerufen werden.

Krita unter Ubuntu (14.04) installieren

Die Installation von Krita mit Krita Sketch ist denkbar einfach und schnell vollzogen. Aktuell ist die Version 2.8.5.

 

sudo add-apt-repository ppa:kubuntu-ppa/backports

sudo apt-get update

sudo apt-get install krita

sudo apt-get install kritasketch

sudo apt-get install kdelibs-bin

kbuildsycoca4

Krita unter Windows installieren

Die aktuelle Version 2.8.3 unter Windows ist in 64bit und 32bit verfügbar. Sogar eine Version für Windows XP steht zur Verfügung.

[Update]

Inwzwischen ist Version 2.9 veröffentlicht worden. Das neue Krita bringt neue Funktionen mit, welche über Kickstarter finanziert wurden. Changelog Krita 2.9

Das Thema Browser Fingerprinting wurde hier ja schon ausführlich behandelt. Nachdem ich die Tage das Addon Canvas Blocker vorgestellt habe, möchte ich nun den Random Agent Spoofer nachreichen.

Random Agent Spoofer

Jeder Browser sendet Informationen an Webseiten die besucht werden, die FF Erweiterung ermöglicht es diese Informationen zu verschleiern. Der Agent versucht nicht das senden von Browser Informationen zu verhindern, sondern sendet per Zufallsprinzip gefälschte Informationen.

Der Anwender kann aus einem Pool von Windows, Mac, Linux oder Androidbrowsern wählen, welche der besuchten Webseite dann vorgegaukelt werden. Praktischerweise lässt sich dies per Zufallsgenerator automatisieren. So wird nach einer bestimmten Zeitspanne die Browseridentität von selbst gewechselt.

Zusätzlich gibt es verschiedene Möglichkeiten den gesendeten Header zu manipulieren, die lokale Zeit zu ändern oder die Bildschirmauflösung zu spoofen.

Auch klassische Privatsphären Einstellungen wie Geolokalisierung, DNS oder Link Prefetching lassen sich abschalten.

Canvas Element blockieren

Eine sehr interessante Funktion ist die Unterbindung der Canvas Unterstützung. Das heißt dieses Addon bietet ähnliche Funktionalität wie der vorgestellte CanvasBlocker. Nur erscheint hier keine Warnung auf Seiten die das Canvas Element abfragen.

Interessierte sollten sich das Add-on direkt von Github installieren, da die Version auf der Projektseite aktueller ist, als im FIrefox Marketplace.

Im September letzten Jahres hatte ich bereits ein Cheatsheet zum kommenden Systemd für Debian Systeme gezeigt. Nun hat sich die Community die Mühe gemacht ein Wiki Seite zu den verschiedenen Systemen aufzusetzen.

Systemd und Upstart im Vergleich

Das Wiki zeigt nicht nur Beispiele, wie beide Kommandos verwendet werden, sondern ebenfalls die Gemeinsamkeiten in Bezug auf Schlüsselwörter beziehungsweise Jobs.

So wird aus "setgid" nun "group", wobei beispielsweise "nice" unverändert bleibt. Hier ein Auszug aus der Aufzählung.

Upstart stanza	systemd unit file directive	systemd unit file section
apparmor load	AppArmorProfile
apparmor switch	-
chdir	WorkingDirectory	Service
chroot	RootDirectory
console output	StandardOutput=tty,StandardError=tty
console owner	StandardOutput=tty,StandardError=tty
console none	StandardOutput=null,StandardError=null
description	Description	Unit
env	Environment, EnvironmentFile	Service
exec	ExecStart	Service
expect fork	Type=forking	Unit
expect stop	Type=notify	Unit
instance	Use "%I" and "%i" in ExecStart, etcto specify an instance
kill signal	KillSignal
....

Auch wenn in dieser Tabelle der Eindruck entsteht, dass es kaum Unterschiede gibt, stimmt dies nicht ganz. Denn Upstart blockiert beispielsweise eine Ausführung bei falscher Syntax, Systemd startet durchaus einen Dienst auch mit falschen Anweisungen, hier sollte mit "systemd-analyze verify" im Vorfeld auf Korrektheit getestet werden.

Praktischerweise sind für diese Vorgänge viele Beispiel gelistet. Auch auf mögliche Probleme wird eingegangen. 

Befehle für Systemd und Upstart 

 Auszug

Operation	Upstart Command	Systemd equivalent
Start service	start $job	systemctl start $unit
Stop service	stop $job	systemctl stop $unit
Restart service	restart $job	systemctl restart $unit
See status of services	initctl list	systemctl status
Check configuration is valid	init-checkconf /tmp/foo.conf	systemd-analyze verify <unit_file>
Show job environment	initctl list-env	systemctl show-environment
Set job environment variable	initctl set-env foo=bar	systemctl set-environment foo=bar
Remove job environment variable	initctl unset-env foo	systemctl unset-environment foo
View job log	cat /var/log/upstart/$job.log	sudo journalctl -u $unit
...	..

Die Wiki Seite ist für alle Ubuntu oder Debian Nutzer, für die Systemd quasi Neuland darstellt, sicherlich sehr hilfreich.