Skip to content

Elastix - Neues Zertifikat erstellen und einbinden

Ein neues Zertifikat für eine Elastix Maschine ist hin und wieder fällig. Bekanntlich handelt es sich dabei um ein CentOS System mit Apache, welches somit recht einfach mit einem neuen Zertifikat versehen werden kann. Praktisch geht das sogar mit einem Oneliner.

openssl req -x509 -nodes -sha256 -days 1825 -newkey rsa:4096 -keyout /etc/pki/tls/private/localhost.key -out /etc/pki/tls/certs/localhost.crt
-subj "
/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/ CN=localhost.localdomain/emailAddress=root@localhost.localdomain"

Damit erzeugt ihr ein neues Zertifikat, welches auch gleich richtig eingebunden wird, aber Vorsicht, die vorhandenen Zertifikate werden mit diesem Befehl überschrieben.

Elastix

Solltet ihr andere Dateinamen verwenden, dann muss der Pfad in der Konfiguration zusätzlich angepasst werden

sudo nano /etc/httpd/conf.d/ssl.conf

 SSLCertificateFile /ich/bin/der/pfad/neues_cert.crt

sudo service httpd restart 

Tomcat 7/8 absichern - SSLv2 und SSLv3 deaktivieren - PFS aktivieren

In den damaligen Artikel über Poodle und SSLv3 Abschaltung bzw. Servehärtung ist der Tomcat total untergegangen. Das will ich mal schnell nachholen.

tomcat

Tomcat 7/8 härten - unsicheres SSL abschalten

Im Prinzip muss nicht viel gemacht werden, es sollten lediglich die richtigen Parameter in der server.xml hinterlegt werden. Zusätzlich darf natürlich gerne eine aktuelle und sichere Java Version verwendet werden.

Wichtig 

  • Aktuelle Java Version einsetzen
  • Aktuelle Tomcat Version einsetzen
  • Aktuelle DB Connectoren einsetzen

HTTPS Servereinstellungen

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" maxThreads="150" maxHttpHeaderSize="8192" minSpareThreads="25" scheme="https" secure="true" keystoreFile="\PfadzumKeystore\keystore" keystorePass="Password" clientAuth="false" sslProtocol="TLSv1.2" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"

ciphers="

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,
 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,
 TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,
 TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,
 TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,
 TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,
 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,
 TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA"
 
/>

Die Erklärung für die einzelnen Attribute dieser Konfiguration könnt ihr hier finden.

Wer sich nun fragt, wo hier Perfect Forward Secrecy konfiguriert ist, der findet diese in allen Cipher Suites mit "ECDHE_ECDSA und ECDHE_RSA" wieder. Da diese präferiert werden ist ein Diffie-Hellman Schlüsselaustauschverfahren gewährleistet. ECDH_ECDSA und ECDH_RSA unterstützen übrigens kein PFS.

Weiterführende Links

Bildbearbeitung und Zeichnen ohne Photoshop - So installierst du Krita auf Ubuntu oder Windows

GIMP als Photoshop Alternative hatte ich auf ITrig ja schon öfters und das Programm sollte weitgehend bekannt sein. Einen anderen Ansatz verfolgt Krita.

Krita

Bei Krita handelt es sich im Ursprung um ein Zeichenprogramm, welches für Zeichnen am PC oder Grafiktablets optimiert wurde. Allerdings bietet die Software ebenfalls viele Bildbearbeitungsfunktionen wie Filter, Überblendungen oder Compositing und stellt somit durchaus eine Alternative zu gängiger Bilbearbeitungs-Software dar.

krita

Die Bedienung unterscheidet sich durchaus von den Kollegen GIMP oder Photoshop, dennoch scheint die Software ihren Reiz zu entfalten, denn die Abteilung für Kunst und Bildtechnologie (ATI) der Universität Paris 8 hat sich gerade erst für Krita entschieden (siehe Artikel).

Alle Filter, Features und Co, können auf der Krita Webseite abgerufen werden.

Krita unter Ubuntu (14.04) installieren

Die Installation von Krita mit Krita Sketch ist denkbar einfach und schnell vollzogen. Aktuell ist die Version 2.8.5.

 

sudo add-apt-repository ppa:kubuntu-ppa/backports

sudo apt-get update

sudo apt-get install krita

sudo apt-get install kritasketch

sudo apt-get install kdelibs-bin

kbuildsycoca4

Krita unter Windows installieren

Die aktuelle Version 2.8.3 unter Windows ist in 64bit und 32bit verfügbar. Sogar eine Version für Windows XP steht zur Verfügung.

krita windows download

[Update]

Inwzwischen ist Version 2.9 veröffentlicht worden. Das neue Krita bringt neue Funktionen mit, welche über Kickstarter finanziert wurden. Changelog Krita 2.9

Random Agent Spoofer - Firefox Fingerabdruck verschleiern, Privatsphäre erhalten

Das Thema Browser Fingerprinting wurde hier ja schon ausführlich behandelt. Nachdem ich die Tage das Addon Canvas Blocker vorgestellt habe, möchte ich nun den Random Agent Spoofer nachreichen.

Random Agent Spoofer

Jeder Browser sendet Informationen an Webseiten die besucht werden, die FF Erweiterung ermöglicht es diese Informationen zu verschleiern. Der Agent versucht nicht das senden von Browser Informationen zu verhindern, sondern sendet per Zufallsprinzip gefälschte Informationen.

random-spoofer

Der Anwender kann aus einem Pool von Windows, Mac, Linux oder Androidbrowsern wählen, welche der besuchten Webseite dann vorgegaukelt werden. Praktischerweise lässt sich dies per Zufallsgenerator automatisieren. So wird nach einer bestimmten Zeitspanne die Browseridentität von selbst gewechselt.

Zusätzlich gibt es verschiedene Möglichkeiten den gesendeten Header zu manipulieren, die lokale Zeit zu ändern oder die Bildschirmauflösung zu spoofen.

Auch klassische Privatsphären Einstellungen wie Geolokalisierung, DNS oder Link Prefetching lassen sich abschalten.

agent-spoofer

Canvas Element blockieren

Eine sehr interessante Funktion ist die Unterbindung der Canvas Unterstützung. Das heißt dieses Addon bietet ähnliche Funktionalität wie der vorgestellte CanvasBlocker. Nur erscheint hier keine Warnung auf Seiten die das Canvas Element abfragen.

Interessierte sollten sich das Add-on direkt von Github installieren, da die Version auf der Projektseite aktueller ist, als im FIrefox Marketplace.

Download Random Agent Spoofer

Ubuntu 15.04 unterstützt beide Systeme - Systemd und Upstart im Vergleich

Im September letzten Jahres hatte ich bereits ein Cheatsheet zum kommenden Systemd für Debian Systeme gezeigt. Nun hat sich die Community die Mühe gemacht ein Wiki Seite zu den verschiedenen Systemen aufzusetzen.

Systemd und Upstart im Vergleich

Das Wiki zeigt nicht nur Beispiele, wie beide Kommandos verwendet werden, sondern ebenfalls die Gemeinsamkeiten in Bezug auf Schlüsselwörter beziehungsweise Jobs.

So wird aus "setgid" nun "group", wobei beispielsweise "nice" unverändert bleibt. Hier ein Auszug aus der Aufzählung.


Upstart stanza

systemd unit file directive

systemd unit file section

apparmor load

AppArmorProfile

apparmor switch

-


chdir

WorkingDirectory

Service

chroot

RootDirectory

console output

StandardOutput=tty,StandardError=tty


console owner

StandardOutput=tty,StandardError=tty

console none

StandardOutput=null,StandardError=null

description

Description

Unit

env

Environment, EnvironmentFile

Service

exec

ExecStart

Service

expect fork

Type=forking

Unit


expect stop

Type=notify

Unit

instance

Use "%I" and "%i" in ExecStart, etcto specify an instance

kill signal

KillSignal

....



Auch wenn in dieser Tabelle der Eindruck entsteht, dass es kaum Unterschiede gibt, stimmt dies nicht ganz. Denn Upstart blockiert beispielsweise eine Ausführung bei falscher Syntax, Systemd startet durchaus einen Dienst auch mit falschen Anweisungen, hier sollte mit "systemd-analyze verify" im Vorfeld auf Korrektheit getestet werden.

Praktischerweise sind für diese Vorgänge viele Beispiel gelistet. Auch auf mögliche Probleme wird eingegangen. 

Befehle für Systemd und Upstart 

 Auszug

Operation

Upstart Command

Systemd equivalent

Start service

start $job

systemctl start $unit

Stop service

stop $job

systemctl stop $unit

Restart service

restart $job

systemctl restart $unit

See status of services

initctl list

systemctl status

Check configuration is valid

init-checkconf /tmp/foo.conf

systemd-analyze verify <unit_file>

Show job environment

initctl list-env

systemctl show-environment

Set job environment variable

initctl set-env foo=bar

systemctl set-environment foo=bar

Remove job environment variable

initctl unset-env foo

systemctl unset-environment foo

View job log

cat /var/log/upstart/$job.log

sudo journalctl -u $unit

 ...

..

Die Wiki Seite ist für alle Ubuntu oder Debian Nutzer, für die Systemd quasi Neuland darstellt, sicherlich sehr hilfreich.