Entries tagged as webmin
courier android bug debian dictionary attack dovecot fail fail2ban https imap k9-mail lenny linux mail mailserver pop3 postfix python sieve ssl startssl thunderbird webserver zertifikat amavis email sa-learn spam spamassassin train apache icinga iftop ipv6 mysql nagios nrpe perl ssh 6Bone adb bash browser convert desire DNS eclipse fonera fuse glue google hansenet he hetzner icedove iceowl korganizer lightning linksys logo Name Server network ntp openwrt piwik privacy extension radvd root seo serendipity server sixxs synchronisieren tasks telekom tftpd tunnelbroker ubuntu unrevoked vbox windows xp Zertifizierung mosquitto mqtt smarthome anonym ca certificat commandline klipper leak pgp tor whistelblower xca xml zeit cloud encryption firefox kalender mindmap owncloud php squeeze dns ftp name server typo3 umlaute facebook
IPv6 - manches geht, manches nicht
Wednesday, February 8. 2012
Bei webmin war ich der festen Ansicht, dass IPv6 nicht geht und nie gehen wird. Ich hatte mal so eine Bemerkung auf der Projektseite gelesen, und da es in perl ist (perl considered harmful)... Stimmt aber gar nicht (mehr):
aktuelle Versionen von webmin lassen sich mit einem mausklick Ipv6-enablen, alles, was sie dazu brauchen, ist, ein package:
apt-get install libio-socket-inet6-perl
Anschliessend nach Webmin/Webmin Configuration/Ports and Adresses/ und dort Accept IPv6 connections? mit Yes, fertig!
Der richtig dicke Vorteil von IPv6 ist ja, dass nun endlich die IPs nicht mehr knapp sind und man ganz ohne portumleitung und derlei Grauslichkeiten Clients und Server wieder end to end zusammenbekommt, auch wenn zwischen ihnen ein oder mehrere dsl mit dynamischen IP(v4) sind. Beispiel VPN oder Monitoring.
Erm, ja, ausser man hat auf openVpn gesetzt. Oder man versucht, zu nagios/icinga auf zu überwachenden Maschinen einen nrpe-server zu installieren. Der nrpe-Server horcht aber nur auf IPv4 und aus ist. Jetzt prokel ich in einem inoffiziellen Fork
Ein freundlicher Blogger verweist mich auf den icinga - nrpe, den hatte ich zuvor wohl übersehen. Einen Erfolg kann ich aber auch damit bislang nicht vermelden, mehrere Anläufe, buchstabengetreu oder mitdenkend den Angaben des Link zu folgen kompilierten fehlerfrei, blieben dann aber doch im ersten Test stecken:
Ein freundlicher Blogger verweist mich auf den icinga - nrpe, den hatte ich zuvor wohl übersehen. Einen Erfolg kann ich aber auch damit bislang nicht vermelden, mehrere Anläufe, buchstabengetreu oder mitdenkend den Angaben des Link zu folgen kompilierten fehlerfrei, blieben dann aber doch im ersten Test stecken:
/usr/local/icinga/libexec/check_nrpe -H 127.0.0.1 -n
CHECK_NRPE: Error receiving data from daemon.
hmm. Sachdienliche Hinweise richten sie bitte an die Kommentarfunktion weiter unten...
hmm. Sachdienliche Hinweise richten sie bitte an die Kommentarfunktion weiter unten...
Mysql ist auch nicht ganz auf IPv6 eingerichtet, jedenfalls 5.1.49 aus debian/squeeze.
netstat -tulpn|grep mysql
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 19179/mysqld
und auf ::1 lauscht er eben nicht. Eine erhellende Diskussion zum Thema fand ich, und darin einen Link zu mysql 5.5 für squeeze, erprobt habe ich dies aber nicht.
iftop gibt eine gute Übersicht über den Verkehr im Netzwerk, aber in debian squeeze nur für IPv4. Squeeze kommt mit iftop 0.17-16, IPv6 support gibt es erst ab 0.17-17 - leider ist auch in squeeze-backports nichts dabei.
Zertifikate für apache, courier, webmin, postfix, dovecot, nrpe einbinden
Wednesday, February 9. 2011
In einem früheren Eintrag hatte ich startssl als Quelle für kostenlose Zertifikate für Server angesprochen, die kostenlosen Class 1 - Zertifikate gelten immer für eine Subdomain und die Domain selbst. Also zB. www.domain.tld und domain.tld. Hier mein Waschzettel, um das Zertifikat für den Webserver der Domain, Courier (pop3s, imaps) und für die Serververwaltungen Webmin und ISPConfig2 einzubinden.
# Verzeichnis für die eigenen Certs anlegen
mkdir -p /etc/ssl/certs/startssl/
chmod 700 /etc/ssl/certs/startssl/
# den eigenen key und das von startssl signierte zertifikat hier speichern
# darauf achten bzw. kontrollieren, dass jede dieser Dateien mit einem \n endet
domain.tld.key
domain.tld.crt
chmod 600 domain.tld.key
# die certs von startssl herunterladen
wget https://www.startssl.com/certs/ca.pem
wget https://www.startssl.com/certs/sub.class1.server.ca.pem
# umbenennen ordnet
mv ca.pem startssl.ca.crt
mv sub.class1.server.ca.pem startssl.sub.class1.server.ca.crt
# die ganze Kette zusammenkopieren
cat startssl.sub.class1.server.ca.crt startssl.ca.crt >startssl.chain.class1.server.crt
cat domain.tld.{key,crt} startssl.chain.class1.server.crt >domain.tld.pem
chmod 600 domain.tld.pem
# fuer imap-ssl und pop-ssl eintragen
# in den beiden .cnf den Pfad zum domain.tld.pem einzutragen funktioniert nicht,
# courier erwartet das Zertifikat in oder unter /etc/courier
# was dagegen klappt ist ein symlink von dem Zertifikat nach imapd.pem bzw pop3d.pem
mv /etc/courier/imapd.pem /etc/courier/imapd.pem.bkp
mv /etc/courier/pop3d.pem /etc/courier/pop3d.pem.bkp
ln -s /etc/ssl/certs/startssl/domain.tld.pem /etc/courier/imapd.pem
ln -s /etc/ssl/certs/startssl/domain.tld.pem /etc/courier/pop3d.pem
# neu starten
/etc/init.d/courier-imap-ssl stop
/etc/init.d/courier-imap-ssl start
/etc/init.d/courier-pop-ssl stop
/etc/init.d/courier-pop-ssl start
# fuer webmin eintragen
nano /etc/webmin/miniserv.conf
# dort den eintrag keyfile auskommentieren und stattdessen eintragen:
keyfile=/etc/ssl/certs/startssl/domain.tld.pem
# und neu starten
/etc/init.d/webmin restart
# für ispConfig auf domain.tld:81 einbinden
nano /root/ispconfig/httpd/conf/httpd.conf
# dort auskommentieren
##SSLCertificateFile /root/ispconfig/httpd/conf/ssl.crt/server.crt
##SSLCertificateKeyFile /root/ispconfig/httpd/conf/ssl.key/server.key
ggf. auch #SSLCertificateChainFile und #SSLCACertificateFile
# und stattdessen eintragen:
SSLCertificateFile /etc/ssl/certs/startssl/domain.tld.net.crt
SSLCertificateKeyFile /etc/ssl/private/domain.tld.net.key
SSLCertificateChainFile /etc/ssl/certs/startssl/startssl.chain.class1.server.crt
# neu starten /etc/init.d/ispconfig_server restart # für den Apache des betreffenden vhosts in dessen conf gleichermassen eintragen SSLEngine on SSLCertificateFile /etc/ssl/certs/startssl/domain.tld.net.crt SSLCertificateKeyFile /etc/ssl/private/domain.tld.net.key SSLCertificateChainFile /etc/ssl/certs/startssl/startssl.sub.class1.server.ca.crt # neu starten /etc/init.d/apache2 restart # für postfix mkdir -p /etc/postfix/ssl/startssl_cert ln -s /etc/ssl/certs/startssl/domain.tld.crt /etc/postfix/ssl/startssl_cert/domain.tld.crt ln -s /etc/ssl/certs/startssl/domain.tld.key /etc/postfix/ssl/startssl_cert/domain.tld.key # 1 Zeile! ln -s /etc/ssl/certs/startssl/startssl.chain.class1.server.crt /etc/postfix/ssl/startssl_cert/startssl.chain.class1.server.crt # postfix' main.cf editieren und darin einfügen bzw. anpassen: nano /etc/postfix/main.cf #TLS Support ## smtpd smtpd_tls_auth_only = no smtpd_use_tls = yes # eigener Key smtpd_tls_key_file = /etc/postfix/ssl/startssl_cert/domain.tld.key # eigenes Certificate smtpd_tls_cert_file = /etc/postfix/ssl/startssl_cert/domain.tld.crt # public der Certificate Authority smtpd_tls_CAfile = /etc/postfix/ssl/startssl_cert/startssl.chain.class1.server.crt smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom ##smtp smtp_use_tls = yes smtp_tls_note_starttls_offer = yes update: # fuer dovecot (2.x): nano /etc/dovecot/local.conf ssl_cert = </etc/ssl/certs/startssl/domain.tld.crt ssl_key = </etc/ssl/certs/startssl/domain.tld.key ssl_ca = </etc/ssl/certs/startssl/startssl.chain.class1.server.crt #fuer nrpe, bei mir icinga-nrpe-server nano /etc/icinga-nrpe/nrpe.cfg cert_file=/etc/ssl/certs/startssl/domain.tld.crt cacert_file=/etc/ssl/certs/startssl/startssl.chain.class1.server.crt privatekey_file=/etc/ssl/certs/startssl/domain.tld.key
Alternative Anleitung mit Beispielen für nginx, Lighttpd, Postfix, Dovecot, eJabberd, vsftpd
