Archiv der Kategorie: IT-Sicherheit

Mit der eigenen Root CA SSL Zertifikate ausstellen

Trotz kostenloser SSL Zertifikate mittels Let’s Encrypt, ist es manchmal hilfreich für interne Projekte SSL Zertifikate selbst auszustellen.

Das folgende Tutorial beschreibt die Erstellung aller nötigen Schlüssel und Zertifikate um selbst Zertifikate zu erstellen bzw. zu signieren. Diese werden von gängigen Browsern zwar nicht als vertrauenswürdig eingestuft, jedoch reicht es das Root Zertifikat einmal zu den vertrauenswürdigen Zertifikaten des Systems hinzuzufügen, damit der Browser allen damit signierten Zertifikaten zu vertraut.

Weiterlesen

Apache Konfiguration mit SSL Zertifikat von Let’s Encrypt unter Debian

Seit 4. Dezember ist es mit Let’s Encrypt möglich, anerkannte SSL Zertifikate kostenlos zu beantragen und zu nutzen. Das geht mit dem von Let’s Encrypt zur Verfügung gestellten Tool fast komplett automatisch. Dieses Tutorial beschreibt die manuelle Methode ohne Einsatz des Tools zur automatischen Apache Konfiguration.

Weiterlesen

iptables Firewall-Script für Debian

Die Grundlagen einer Firewall mit netfilter und iptables wurden bereits in einem früheren Beitrag behandelt. Die darin gezeigte Methode nutzt das Tool iptables-restore um die Regeln an netfilter zu übertragen.

In der hier gezeigten Methode wird netfilter über das unten genannte Script vollständig zurückgesetzt und anschließend konfiguriert. Es ist damit etwas transparenter.

Weiterlesen

Zwei-Faktor-Authentifizierung per SSH mit dem YubiKey unter Debian

Yubikey an USB Port mit Schlüsselbund

Der YubiKey ist ein flacher USB-Stick, für eine sichere Anmeldung bei Netzwerken und Diensten. Damit lässt sich sich beispielsweise Sicherheit eines Computers oder einer Website deutlich verbessern, da man einen weiteren Faktor zur Authentifizierung hinzufügt (Zwei-Faktor-Authentifizierung). Da der YubiKey vorgibt eine Tastatur zu sein, spart man sich dazu das lästige Abtippen des Einmalpassworts, was bei üblichen OTP-Keys der Fall ist. Besonders sinnvoll ist eine solche zweifache Authentifizierung beispielsweise bei der Anmeldung per SSH, sofern man nicht bereits ein recht sicheres Verfahren, wie den automatischen SSH Login mit einem Schlüsselpaar verwendet.

Dieses Tutorial beschreibt die Installation der YubiKey Bibliothek und die Konfiguration eines Debian Systems zur Zwei-Faktor-Authentifizierung per SSH mit dem YubiKey. Vorraussetzung für dieses Tutorial ist ein YubiKey, welcher bei einem der YubiKey Reseller für ca. 30 Euro erworben werden kann.

Wichtig: Sollte man bei der Konfiguration einen Fehler machen, ist es wahrscheinlich, dass man sich selbst aussperrt. Deshalb bitte stets ein Terminal offen lassen um eventuelle Fehler im Nachhinein korrigieren zu können.

Weiterlesen

LUKS Header einer verschlüsselten Partition sichern und wiederherstellen

Sollte einmal der Header einer verschlüsselten Partition beschädigt werden, wird es mit der Datenrettung schwierig. Aus diesem Grund sollte der Header einer verschlüsselten Partition immer gesichert werden. Das geht mit folgendem Befehl:

cryptsetup luksHeaderBackup /dev/sdXXX --header-backup-file sdXXX.backup

Weiterlesen

iptables Firewall für Plex anpassen

Plex Mediaserver Firewall

Damit Plex, bei aktivierter iptables Firewall, mit der Außenwelt kommunizieren kann, sind fünf zusätzliche Regeln erforderlich, welche die nötigen Ports freizugeben. Sofern es bereits ein Regelwerk gibt (z.B. /etc/iptables.firewall.rules), müssen die folgenden rot markierten Regeln nur noch hinzugefügt werden.

Schritt 1: Regelwerk anpassen

nano /etc/iptables.firewall.rules

Weiterlesen

Firewall mit iptables unter Debian einrichten

iptables Firewall

Linux bringt mit netfilter bereits eine Firewall im Kernel mit, welche mit iptables konfiguriert werden kann. Das folgende Tutorial beschreibt die Einrichtung einer Firewall mit Basis-Regeln, die das System grundlegend absichern.

Funktionsweise von iptables bzw. des Kernel Paketfilters

Die Paketprüfung und die mit iptables zu erstellenden Filterregeln sind dreistufig aufgebaut. Es gibt:

  • Tables/Tabellen (filter, nat, mangle, raw)
    filter ist dabei die Standardtabelle und auch die einzige die für eine herkömmliche Firewall notwendig ist. Hier werden alle Filterregeln hinterlegt.
  • Chains/Ketten (INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING)
    Interessant für eine Firewall sind hier lediglich INPUT und OUTPUT. FORWARD, PREROUTING und POSTROUTING wird auf alle Pakete angewendet, die geroutet werden.
  • Rules/die eigentliche Filterregeln

Trifft eine in einer Table/Tabelle und Chain/Kette definierte Regel auf ein Paket zu, wird die in der Regel hinterlegte Aktion (z.B. -j ACCEPT) ausgeführt. Wenn keine Regel zutrifft, wird die in der Tabelle hinterlegte, allgemein gültige Policy (standardmäßig ACCEPT, lässt sich aber ändern) angewendet.

So viel zur Theorie, nun zur Praxis.

Schritt 1: Regelwerk erstellen und importieren

nano /etc/iptables.firewall.rules

Weiterlesen

SSH Authentifizierung mit einem Schlüsselpaar

Mann mit Schlüssel vor Tür

Der SSH Login mit einem Schlüsselpaar ist nicht nur deutlich sicherer als die „klassische“ Methode (Benutzername und Passwort), sondern auch komfortabler. Die Einrichtung dauert nur wenige Minuten und spart aber bei häufigen Logins viel Zeit.

Schritt 1: Schlüsselpaar generieren

Zuerst muss auf dem eigenen Rechner ein Schlüsselpaar geniert werden. Unter Linux und Mac OS X erstellt man ein Schlüsselpaar mit folgendem Befehl:

ssh-keygen

Ist das Schlüsselpaar erstellt, wird dieses im Ordner .ssh, welcher im Benutzerverzeichnis liegt, abgespeichert (z.B. /home/benutzername/.ssh).

Wichtig: Der private Schlüssel (Private Key) ist, wie der Name schon sagt, nicht für die Öffentlichkeit bestimmt und darf nicht in die falschen Hände geraten!

Weiterlesen

Partition verschlüsseln mit dm-crypt und LUKS unter Debian

Das folgende Tutorial beschreibt die Einrichtung einer verschlüsselten Partition unter Debian mit dm-crypt und LUKS.

Schritt 1: System auf den neuesten Stand bringen

apt-get update && apt-get upgrade --show-upgraded

Schritt 2: Installation von cryptsetup und pv

Zunächst muss cryptsetup installiert werden. Um den Verschlüsselungsprozess überwachen zu können wird zusätzlich pv (pipe-viewer), benötigt.

apt-get install cryptsetup pv

Weiterlesen