Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 27 2013

21:16

Sichere, verschlüsselte Off-Site-Backups - die Empfängerseite

Vor einem Jahr hatte ich beschrieben, wie ich ein verschlüsseltes Backup auf einen Rechner im Netz mit Duplicity mache. Duplicity erledigt die eigentliche Backup-Aufgabe und die Verschlüsselung mit gpg. Anschließend werden diese Daten per sftp auf das entfernte System geschoben. Was man hierbei beachten kann, möchte ich hier quasi als Follow-Up-Artikel dokumentieren.

Weiterlesen

December 03 2012

17:28

git und https - diesmal das Serverzertifikat (done right)

git und https scheint sich hier zur "neverending story" zu mausern :-) Trotzdem muß ich zu diesem Thema nochmals dringend etwas loswerden.
Situation: Server ist eingerichtet, benutzt aber entweder ein selbstsigniertes Zertifikat oder von einer CA, die nicht "allgemein verbreitet" ist (Firmen-CA, CAcert, etc.). Folge: Git meldet

error: SSL certificate problem: self signed certificate in certificate chain while accessing https://...
fatal: HTTP request failed

Klar, woher soll git auch das Zertifikat kennen... wirft man die Meldung in Google, landet man bei Empfehlungen wie dieser hier auf stackoverflow: Per Umgebungsvariable "GIT_SSL_NO_VERIFY=true" oder git-Konfiguration "git config --global http.sslVerify false" am besten gleich global die Überprüfung abschalten, dann gibt's keine nervigen Fehlermeldungen mehr... JESUS H. CHRIST, DON'T DO THAT!

Weiterlesen

November 28 2012

16:17

Arme-Leute-Rechteverwaltung mit SSL-Client-Zertifikaten

Für ein Projekt administriere ich einen Server, auf dem verschiedene Webanwendungen laufen. Sicherheitspolicy ist, daß ein Zugriff darauf nur über https und Client-Zertifikaten möglich sein darf - so weit, so einfach.
Eine der Anwendungen ist gitlab, eine github-ähnliche Weboberfläche für git-Repositories. Erfreulicherweise begeisterten sich immer mehr Leute, die nicht direkt zum Projekt gehörten, für git... und dann folgte der Klassiker: Es soll nun Leute geben, die ausschließlich auf gitlab, aber auf keine der anderen Anwendungen zugreifen können. Also mußte zusätzlich zur Authentisierung noch eine Authorisierung her... aber wie? Die Rechtekontrolle sollte auf Basis von URL (bzw. URL-Teil) sowie den Client-Zertifikaten erfolgen und außerdem "abwärtskompatibel" zu den bereits ausgegebenen Zertifikaten sein.
Wer ebenfalls in eine solche Situation kommt - folgende Möglichkeiten sind mir hierzu eingefallen:

Weiterlesen

June 27 2012

04:51

It's all about disaster recovery

Fotografen gehören (unter anderem) zu den Leuten, denen Festplatten nie groß genug sein können - dank der ständig steigenden Megapixel-Zahlen ist es ein leichtes, rasch mehr als eine Festplatte mit Bildern zu füllen. Mit dem Erscheinen des Drobo ging ein Traum in Erfüllung: Ein RAID-artiges Gerät, das neben erhöhter Ausfallsicherheit (Redundanz wie bei einem RAID 5) in der Lage war, "mitzuwachsen". Man konnte die Kapazität des Geräts einfach dadurch erhöhen, indem man eine der Festplatten durch eine größere austauschte. Zugegebenermaßen war auch ich vom Drobo fasziniert, spätestens mit Erscheinen der NAS-Variante wäre das ein tolles Gimmick für den Haushalt gewesen; aber bezüglich der Ablage von Daten bin ich übervorsichtig - was, wenn mal etwas schief geht?

Weiterlesen

May 31 2012

21:57

GPT und grub für Noobs

Dies ist die Geschichte einer Nachtschicht (ja, der Noob aus dem Titel bin ich). Übeltäter war ein recht frisch installierter Sabayon-Rechner, der plötzlich nicht mehr booten wollte. Der Rechner kam noch bis zu den vier Buchstaben GRUB, dann rührte sich nichts mehr. Nach einer Kernel Panic beim Versuch, den Rechner mit Hilfe eines von einer CD gestarteten GRUBs (grml ftw!) zu booten, war schon am Fluchen über vermeintlich defekte Hardware. Letztendlich war (m)ein Fsckup bei der Installation von GRUB2 auf der mit GPT organisierten Platten das Problem.

Weiterlesen

January 09 2012

08:56

Verschlüsselte Remote-Dateisysteme

Zum Jahresanfang ein klein wenig Admin-Fu... gelegentlich kommt man in die Verlegenheit, auf einem entfernten Rechner Daten ablegen zu wollen, die vom jeweiligen Admin nicht lesbar sein sollen (beispielsweise weil man diesem nicht hinreichend vertraut). Anstoß für meine Überlegungen war die Notwendigkeit, ein Backup übers Netz zu machen, wobei die Daten auf dem entfernten Rechner nicht lesbar (sprich: verschlüsselt abgelegt) sein sollten.
Da es sich hierbei nur um ein "Reservebackup" handeln sollte, hätte eigentlich eine einfache Kopie der Dateien (ohne eine Backup-History) genügt - daher ging mein erster Gedanke in Richtung eines verschlüsselten Dateisystems. Gleich vorneweg: Der Gedanke stellte sich als Irrweg heraus - weshalb erkläre ich im Abschnitt über die nun eingesetzte Alternative, nämlich duplicity. Trotzdem möchte ich die benötigten Schritte zur Einrichtung hier kurz dokumentieren.

Weiterlesen

November 03 2011

08:59

Apache-Authentisierung: PAM und htpasswd gemischt

Folgende (sicher nicht untypische) Aufgabenstellung purzelte bei mir die Tage über den Schreibtisch: Auf dem Team-Webserver soll webdav eingerichtet werden, um mit Projektpartnern Dateien austauschen zu können. Die Teammitglieder (welche alle auch einen Shellaccount haben) sollen vollständigen Zugriff haben und sich auch mit ihrem normalen Username und Passwort anmelden können. Die Projektpartner sollen nur auf einzelne Verzeichnisse zugreifen können; natürlich haben sie auch keinen Unix-Account.
Ich habe das ganze mit Hilfe von mod-auth-external und pwauth zusammenkonfiguriert.

Weiterlesen

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl