Wir haben das gute Wetter heute mal genutzt um mit Alexa die Gegend unsicher zu machen. Daher hier die ersten Bilder von Alexa auf ihrem neuen Laufrad…
Posts by
LUG Balista Hamburg e.V. beim CLT 2011
Fast schon rein Ritual. Aber auch dieses Jahr geht es wieder zu den Chemnitzer-Linux-Tagen. Mit 2 Autos und 14 Personen geht es am Freitag den 18.03.2011 ab nach Chemnitz.
Dieses Jahr Neu: LUG Balista Hamburg e.V. hat diesmal einen eigenen Stand und stellt sich, den Software-Freedom-Day(SFD) und eigene Projekte vor.
Wer also mich oder andere Leute von LUG Balista Hamburg e.V. treffen will kann uns dort ja treffen.
Hier auch noch der Link zu unserem Stand:
http://chemnitzer.linux-tage.de/2011/live/642
Kleiner Helfer: log2mail
Heute möchte ich euch einen kleinen Helfer Vorstellen: log2mail. Dieses kleine Programm könnt ihr so Konfigurieren, dass es in Log-Dateien nach bestimmten Zeichen oder Zeichenketten sucht und euch eine E-Mail zukommen lässt.
Ein kleines Beispiel: Ihr wollt per E-Mail Bescheid bekommen wenn sich Benutzer XY am System anmeldet.
Zur Installation macht ihr unter Debian einfach folgendes:
aptitude install log2mail
Das Mail-Template bearbeitet ihr dann unter: /etc/log2mail/mail.
In der Datei /etc/log2mail/config/default habt ihr dann die Standardkonfiguration. Hier könnt ihr dann definieren wer eine E-Mail bekommen soll, welche Log-Datei kontrolliert wird und wieviel Einträge aus der Datei ihr per E-Mail bekommt.
Hier ein Beispiel dazu:
defaults sendtime = 20 resendtime = 50 maxlines = 7 template = /etc/log2mail/mail fromaddr = log2mail sendmail = /usr/lib/sendmail -oi -t file = /var/log/auth.log maxlines = 2 pattern = "session opened for user XY" mailto = user@domain.tld
Bei Fragen und Anmerkungen wie immer einfach melden!
Ankündigung für Backports
Da Backports seit kurzem wieder freigegeben ist habe ich mich entschlossen einige meiner Pakete auch für Debian Backports bereit zu stellen. Dies wird vor allem das Zendframework betreffen. Wie sieht es denn mit meinen anderen Paketen aus? Was meint ihr?
Blick aus dem Büro
Heute gibt es mal den Blick aus dem Büro in Richtung Osten. Zu sehen ist neben dem üblichen Hamburg Grau in Grau die Industrielandschaft der City-Süd.
Eigenes SSL Zertifikat in 3 Schritten
Um ein selbstsigniertes SSL Zertifikat zu erzeugen einfach folgende 3 Schritte machen:
openssl req -new -newkey rsa:4096 > server.crt openssl rsa -in privkey.pem -out server.key openssl x509 -in server.crt -out server.cert -req -signkey server.key -days 365
Danach habt ihr ein Zertifikat mit einer Stärke von 4096Bit und einer Laufzeit von 365 Tagen.
Das Zertifikat befindet sich dann in der Datei server.cert. Der Request dazu ist in der server.crt enthalten. Falls ihr also das Zertifikat von einer CA signieren lassen wollt müsst ihr der CA den Request zukommen lassen.
Firewallregeln mit Ferm
Wer wie ich nicht gerne direkt iptables Regeln selber schreiben möchte sollte sich mal ferm angucken. Unter Debian lässt sich das Paket ganz einfach installieren mit:
aptitude install ferm
Und schon ist ferm installiert. Um ferm global zu aktivieren oder zu deaktivieren kann man den Schalter ENABLED in der Datei /etc/default/ferm auf YES oder NO setzen.
In meiner folgenden Konfiguration habe ich sowohl Regeln für IPv4 als auch IPv6. Eingehende Verbindungen über IPv4 oder IPv6 werden eingeschränkt. Bei den IPv4 Verbindungen habe ich auch ein Source- und Destination-Limit eingebaut.
Die Konfiguration befindet sich selber in der Datei /etc/ferm/ferm.conf. Und hier endlich eine Beispielkonfiguration:
table filter {
chain INPUT {
policy DROP;
# connection tracking
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
# allow local packages
interface lo ACCEPT;
# respond to ping
proto icmp icmp-type echo-request ACCEPT;
# allow IPsec
#proto udp dport 500 ACCEPT;
#proto (esp ah) ACCEPT;
# allow SSH connections on port 63333
proto tcp dport 63333 {
# source limit
mod connlimit connlimit-above 10 REJECT;
# destination limit
mod connlimit connlimit-above 20 connlimit-mask 0 REJECT;
ACCEPT;
}
# http
proto tcp dport (80 443) {
# source limit
mod connlimit connlimit-above 50 REJECT;
# destination limit
mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;
ACCEPT;
}
# ftp
proto tcp dport ftp {
# source limit
mod connlimit connlimit-above 5 REJECT;
# destination limit
mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;
ACCEPT;
}
# smtp
proto tcp dport (25 465) {
# source limit
mod connlimit connlimit-above 20 REJECT;
# destination limit
mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;
ACCEPT;
}
# pop3
proto tcp dport (110 995) {
# source limit
mod connlimit connlimit-above 20 REJECT;
# destination limit
mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;
ACCEPT;
}
# imap
proto tcp dport (143 993) {
# source limit
mod connlimit connlimit-above 20 REJECT;
# destination limit
mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;
ACCEPT;
}
# sieve
proto tcp dport 2000 {
# source limit
mod connlimit connlimit-above 5 REJECT;
# destination limit
mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;
ACCEPT;
}
}
chain OUTPUT {
policy ACCEPT;
# connection tracking
#mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}
chain FORWARD {
policy DROP;
# connection tracking
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}
}
# IPv6:
domain ip6 table filter {
chain INPUT {
policy DROP;
# connection tracking
#mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
# allow local connections
interface lo ACCEPT;
# allow ICMP (for neighbor solicitation, like ARP for IPv4)
proto ipv6-icmp ACCEPT;
# allow SSH connections on port 63333
proto tcp dport 63333 ACCEPT;
# http
proto tcp dport (80 443) ACCEPT;
# ftp
proto tcp dport ftp ACCEPT;
# smtp
proto tcp dport (25 465) ACCEPT;
# pop3
proto tcp dport (110 995) ACCEPT;
# imap
proto tcp dport (143 993) ACCEPT;
# sieve
proto tcp dport 2000 ACCEPT;
}
# outgoing connections are not limited
chain OUTPUT policy ACCEPT;
# this is not a router
chain FORWARD policy DROP;
}
Bei Fragen oder Anmerkungen meldet euch doch einfach.
Voll Durchstarten mit IPv6 in 2011
Nachdem wir jetzt schon eine ganze Weile mit unserem internen Netzwerk IPv6 fahren soll es jetzt auch den Servern im Rechenzentrum an den Kragen gehen. Demnächst soll die Zuschaltung der IPv6 Adressen erfolgen. Danach kann ich dann anfangen die IPv6 Adressen an die Server zu verteilen und die AAAA-Records im DNS anzulegen.
Intern laufen wir über den Tunnelbroker Sixxs. Dies wird sich wohl auch kurzfristig leider nicht ändern. Eigentlich schade. Liebe Provider, viele Leute warten darauf!
Ich halte euch über aktuelle Entwicklungen auf dem laufenden!
svn add missing
Da ich es mir auch öfters nochmal raus suchen muss. Hier als Notiz für mich und den Rest der Welt.
Wenn man einen Bulk add in Subversion machen möchte sollte man der Shell einfach folgendes nutzen:
svn st | grep ^? | awk '{print $2}' | xargs svn add
Auf den 2. Blick
2. Wochen nach dem Umzug sieht es jetzt so aus. Etwas aufgeräumter und Poster hängen auch an der Wand. Wirkt somit schon etwas heimischer. Aber die Einrichtungsphase ist noch nicht abgeschlossen. Es soll noch ein neuer Schreibtisch folgen und ein schöner Kalender für die Wand.
