Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

December 03 2012

17:28

git und https - diesmal das Serverzertifikat (done right)

git und https scheint sich hier zur "neverending story" zu mausern :-) Trotzdem muß ich zu diesem Thema nochmals dringend etwas loswerden.
Situation: Server ist eingerichtet, benutzt aber entweder ein selbstsigniertes Zertifikat oder von einer CA, die nicht "allgemein verbreitet" ist (Firmen-CA, CAcert, etc.). Folge: Git meldet

error: SSL certificate problem: self signed certificate in certificate chain while accessing https://...
fatal: HTTP request failed

Klar, woher soll git auch das Zertifikat kennen... wirft man die Meldung in Google, landet man bei Empfehlungen wie dieser hier auf stackoverflow: Per Umgebungsvariable "GIT_SSL_NO_VERIFY=true" oder git-Konfiguration "git config --global http.sslVerify false" am besten gleich global die Überprüfung abschalten, dann gibt's keine nervigen Fehlermeldungen mehr... JESUS H. CHRIST, DON'T DO THAT!

Weiterlesen

November 28 2012

16:17

Arme-Leute-Rechteverwaltung mit SSL-Client-Zertifikaten

Für ein Projekt administriere ich einen Server, auf dem verschiedene Webanwendungen laufen. Sicherheitspolicy ist, daß ein Zugriff darauf nur über https und Client-Zertifikaten möglich sein darf - so weit, so einfach.
Eine der Anwendungen ist gitlab, eine github-ähnliche Weboberfläche für git-Repositories. Erfreulicherweise begeisterten sich immer mehr Leute, die nicht direkt zum Projekt gehörten, für git... und dann folgte der Klassiker: Es soll nun Leute geben, die ausschließlich auf gitlab, aber auf keine der anderen Anwendungen zugreifen können. Also mußte zusätzlich zur Authentisierung noch eine Authorisierung her... aber wie? Die Rechtekontrolle sollte auf Basis von URL (bzw. URL-Teil) sowie den Client-Zertifikaten erfolgen und außerdem "abwärtskompatibel" zu den bereits ausgegebenen Zertifikaten sein.
Wer ebenfalls in eine solche Situation kommt - folgende Möglichkeiten sind mir hierzu eingefallen:

Weiterlesen

November 03 2011

08:59

Apache-Authentisierung: PAM und htpasswd gemischt

Folgende (sicher nicht untypische) Aufgabenstellung purzelte bei mir die Tage über den Schreibtisch: Auf dem Team-Webserver soll webdav eingerichtet werden, um mit Projektpartnern Dateien austauschen zu können. Die Teammitglieder (welche alle auch einen Shellaccount haben) sollen vollständigen Zugriff haben und sich auch mit ihrem normalen Username und Passwort anmelden können. Die Projektpartner sollen nur auf einzelne Verzeichnisse zugreifen können; natürlich haben sie auch keinen Unix-Account.
Ich habe das ganze mit Hilfe von mod-auth-external und pwauth zusammenkonfiguriert.

Weiterlesen

May 26 2011

21:08

February 20 2011

19:55

Zeitbasiertes Zwei-Faktor-Login mit Gentoo

Viele Leute kennen die Zwei-Faktor-Authentisierung (etwa wissen und etwas besitzen) von den RSA-Tokens: Auf diesen Geräten erscheint in regelmäßigen Abständen eine neue Zahlenfolge, welche man bei der Anmeldung zusammen mit seinem Benutzername und seinem Kennwort eingeben muß. Ein gestohlenes Kennwort alleine genügt also für einen Angreifer nicht mehr, er muß auch im Besitz des RSA-Tokens sein, um stets eine frische gültige Nummer greifbar zu haben. Der Vorteil gegenüber einem SSH-Key ist: Wenn man in die Verlegenheit gerät, sich dringend von einem nicht vertrauenswürdigen Rechner aus einloggen zu müssen, so kann ein Angreifer darauf maximal für diese Sitzung als Trittbrettfahrer "mitschwimmen"; ein erneutes Einloggen ist nicht möglich (beim Verwenden eines SSH-Keys könnte er diesen kopieren und das Passwort abhören).
Mit freudiger Überraschung habe ich gelesen, daß Google für einige seiner Dienste ebenfalls eine Zwei-Faktor-Authentisierung optional anbietet - und daß der Quelltext hierfür verfügbar ist. Dabei behilft sich Google der Tatsache, daß viele Leute ein Smartphone besitzen; eine App hierauf dient als Ersatz für das spezialisierte RSA-Token.
Im folgenden möchte ich zeigen, wie man unter Gentoo das Google Authenticator PAM-Modul für Remote-Zugriffe (beispielsweise via ssh) einrichtet.

Weiterlesen

October 27 2010

14:58

git-Server mit https und Client-Zertifikaten

Für ein neues (geschäftliches) Projekt fiel die Wahl für das Versionskontrollsystem auf git. Unglücklicherweise sind die einzigen Protokolle, was sämtliche Firmenfirewalls (halbwegs) unbeschadet passieren, http und https. Als weitere Sicherungsmaßnahme soll die Authentisierung über Client-Zertifiakte erfolgen.
Benötigt habe ich auf Serverseite apache2, die Module für webdav und ssl, sowie natürlich git. Alles zusammen sicher kein Hexenwerk, aber bis man die einzelnen Informationen zusammengesammelt hat dauert es ein wenig... damit's beim nächsten Mal schneller geht, notiere ich das hier als Kochrezept :-)

Weiterlesen

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl