tomcat Logdateien mit rsyslog an graylog schicken

Wer einen zentralen Logserver wie Graylog betreibt, der möchte natürlich möglichst viele Logdateien damit auswerten. Der Tomcat – Server ist ein besonders schönes Exemplar für grausige Logfiles, nichts desto trotz wollen wir natürlich auch diese Logs auswerten.

Wir greifen lokal die catalina.out mit rsyslog ab und schicken die Daten dann an unseren Graylog – Server.

Weiterlesen

Umgang mit Zertifikaten

einfach mal, weil sich das ja kein Mensch merken kann, ein paar gängige openssl Befehle zum Umgang mit SSL-Zertifikaten…

Ein 10 Jahre gültiges, selbstsigniertes Zertifikat ohne Passwort erstellen:

openssl req -new -newkey rsa:4096 -days 3650 -nodes -x509 -keyout mail.domain.tld.pem -out mail.domain.tld.pem

SSL – Key entschlüsselt speichern

openssl rsa -in www.domain.tld.key -out www.domain.tld.key.dec

CSR und Key in einem Befehl erstellen

openssl req -new -sha256 -nodes -keyout www.domain.tld.key -out www.domain.tld.csr -newkey rsa:4096

Konvertieren eines DER File (.crt .cer .der) zu PEM

openssl x509 -inform der -in certificate.cer -out certificate.pem

Konvertieren einer PKCS#12 Datei (.pfx .p12), die einen privaten Key und ein Zertifikat enthält, zu einer PEM Datei

openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Konvertieren eines PEM Zertifikates und eines privaten Keys zu einer PKCS#12 (.pfx .p12) Datei

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

putty Einstellungen sichern und übernehmen

Der freie Terminal Client putty ist ein großartiges Tool. Es kommt ohne Installation oder irgendwelche .dll’s auf einen Datenträger und lässt sich sofort benutzen. Wo aber sind die Einstellungen und Host-Keys gespeichert, damit man diese beim Rechner – Tausch übernehmen kann?

Putty speichert unter Windows alle Einstellungen in der Windows Registry, unter:

HKEY_CURRENT_USER\Software\SimonTatham\PuTTY

Um alle Einstellungen zu übernehmen muss man also nur das gesamte Verzeichnis aus der Registry exportieren und als .reg Datei speichern. Anschließend kann man diese Datei einfach auf einem anderen Rechner importieren.

Es gibt auch einen Workaround mit .bat/.reg Files, siehe dazu hier mehr. Außerdem gibt es eine gepatchte Version von putty, die die Einstellungen und host-keys im Dateisystem speichert. Genaue Auskünfte gibt die Seite http://jakub.kotrla.net/putty/

SSH Zugriffe mit GeoIP blocken

Die nervigen Brute – Force Attacken auf SSH kennt wohl jeder Admin. Ein sehr wirksames Mittel zum Schutz ist natürlich fail2ban, noch effektiver ist das Deaktivieren der Passwort – Authentifizierung in der sshd_config, aber beide Methoden verhindern nicht die massigen Log-Einträge, die aus den Versuchen resultieren.

Leider bringt SSH von Hause aus keinen Schutzmechanismus mit, der Zugriffe basierend auf den Standort ermöglicht. Mit den Xtable-Addons und ein paar iptables-Regeln lässt sich ein wirksamer Schutz basierend auf den GeoIP – Datenbanken realisieren.

Eine Möglichkeit, das zu implemtieren, zeige ich hier.

Weiterlesen

WordPress – BruteForce mit fail2ban verhindern

fail2ban ist ein in Python geschriebenes Framework zur Vorbeugung gegen Einbrüche. Es analysiert Log-Dateien und führt nach definierten Regeln und Filtern Aktionen aus, in der Regel um verdächtige Login – Versuche mithilfe von Firewall – Regeln zu blockieren. Es eignet sich prima, um Brute-Force Attacken vorzubeugen.

WordPress unterstützt mit einem tollen Plugin die Implementierung von fail2ban.

Weiterlesen