Diesmal mal wieder ein Artikel etwas außerhalb der Microsoft Welt. Es gibt einen Ausflug in Monitoring und die Überwachung von Webservern unter Linux. Einige kennen das, nichts ist schlechter, als wenn die Webseite die man besuchen möchte nicht erreichbar ist. Dies ist bei mir 2 mal in 2 Tagen passiert ist. Der Webserver hats sic aufgehangen und ich habe den Fehler nicht finden können. Also musste was getan werden.
SSL
Windows WinRM über HTTPs
Windows Remote Management ist in den heutigen Zeiten nicht mehr Weg zudenken. Aber warum machen wir es unverschlüsselt? Normalerweise erfolgt die Authentifizierung über Kerberos. Das ist für die meisten Sicher genug. Kerberos hat aber auch Einschränkungen, zum Beispiel wenn lokale Konten benutzt werden sollen.
Im Standard erfolgt die Kommunikation per HTTP über den TCP Port 5985. Warum nicht HTTPS? Der möglich ist das, der Port TCP 5986 ist dafür vorgesehen. Leider fehlt der nicht nur in den Firewall-Regel Vorlagen, sondern hat auch ein paar Hürden, die noch im weg stehen. Um diese Hürden kümmern wir uns heuten.
Jetzt mit „Let’s encrypt“ SSL Verschlüsselung
Wo zu der Urlaub nicht alles gut ist. Ich habe mich heute mal um die Implementierung von „Let’s encrypt“ mit Plesk gekümmert. Um zu schauen ob das auch alles gut klappt, teste ich das jetzt mal hier. Also vielen Dank das Sie an diesem Test teilnehmen. 🙂
Absichern von mod_ssl auf Linux Servern mit Plesk
Spätestens seit Heartbleed sollte man sich mal etwas um seine SSL Installation auf dem Server kümmern. Neben fehenden Updates sollte man bei einem virtuellen Server auch mal die Einstellungen von mod_ssl prüfen. So werden bei einem virtuellen Root Server bei HostEurope zum Beispiel alle möglichen Versionen und Cipher-Suiten unterstützt, auch die als unsicher gelten müssen. Kuketz IT-Security hat im Zusammenhang mit der NSA Spähaffäre einen interessanten Blogartikel geschrieben, hier wird genau erklärt wie mod_ssl genau zu konfigurieren ist.
SSTP unter Windows Server 2012
Das Secure Socket Tunneling Protocol (SSTP) nutzt einen SSL Verschlüsselten Tunnel um eine VPN-Verbindung aufzubauen. Genutzt wird wie für HTTPS der Port 443 (TCP). So kann die Verbindung auch über die meisten Firewalls hinweg aufgebaut werden, ein guter Vorteil wenn man viel unterwegs ist. Da PPTP nicht mehr ganz sicher ist, kann SSTP eine gute Alternative für eine sichere Verbindung
Automatische Konfiguration für Thunderbird
In Mozilla’s Thunderbird ist sehr gut darin eine Verbindung zum Mailserver herzustellen, meistens. Wenn es mal nicht optimal funktioniert dann hilft diese Anleitung.
Warum oder was sollte nicht funktionieren?
- Ihr Webhoster bietet SSL Verschlüsselung an, aber das Zertifikat lautet auf Servername.betreiber.tld und sie möchten die Fehlermeldung nicht mehr?
- Ihr Mailserver hat keinen Hosteintrag in ihrer Domain für imap,smtp,pop3,pop,mail? (Zum Beispiel einen Exchangeserver: owa. / webmail.)
- Der Server nutzt keine Standardports?