blog.telpl.de

Heutzutage muss jeder Mailserver mit einigen Attachments in Emails umgehen können. Oft ist der Flaschenhals der Virenscanner um die Attachments zu prüfen. Eine normale Amavis Installation, auf einem Dual-Core, kann mit ca 10 parallelen Instanzen laufen um eine optimale Performance zu erreichen. Durch die Nutzung einer RAM-Disk kann die Instanzenzahl auf ca 25 Stück erhöht werden.

Continue reading »

Ein DNS-Server muss stark abgesichert werden. Dafür sollte dieser mindestens in einer Chroot-Umgebung laufen und durch aktuelle Sicherheitspatches “gehärtet” werden. Die Anleitung beschreibt wie eine Chroot-Umgebung eingerichtet und Bind dementsprechend konfiguriert wird.

Continue reading »

Mittels mod_defensible kann der Apache2 Webserver auf sogenannte IP-Blacklists zugreifen. Ist die Client-IP auf der Blacklist gelistet, bekommt er einen “403 Forbidden” Response zurück.

Continue reading »

Der Webserver von squirrelmail.org fiel am 16. Juni Angriffen zum Opfer. Alle Accounts wurden als Sicherheitsmaßnahme gesperrt und die Passwörter geändert. Die Plugins sind angeblich nicht verändert worden, dies wird momentan noch genauer untersucht.

Continue reading »

Es gibt Regeln die nur zu bestimmten Zeiten aktiv sein sollen. Dies kann umständlich per Cronjob gelöst werden oder auch ganz einfach direkt mit IPTables. Das Zeit-Modul ist in neueren Debian und Ubuntu Paketen enthalten. Benutzt man eine ältere Distribution, muss man eventuell den Kernel patchen.

Continue reading »

Otpw ermöglicht die Nutzung und Generierung von Passwortlisten. Dieses System ist ähnlich der TAN-Liste beim Onlinebanking. Die Integration erfolgt als PAM Modul und es kann somit für SSH und vielen anderen Logins benutzt werden.

Continue reading »

Mit Knockd kann man Ports nach erfolgreichem Klopfzeichen öffnen und automatisch schliessen. Knockd fügt hierfür neue Iptables-Regeln ein. Es ist auch möglich per Knockd einzelne Dienste zu starten / stoppen. Knockd arbeitet sehr ressourcenschonen, nicht zuletzt weil das Binary nur wenige Bytes gross ist.

Continue reading »

Kürzlich entdeckte ich über 100 404 Anfragen innerhalb von 2 Minuten in meinem Webserver Logfile. Diese stammen vermutlich von einem Morfeus Scanner. Dieser sucht nach sämtlichen gängigen URLs von zum Beispiel phpmyadmin,horde und anderen Webanwendungen. Damit in Zukunft diese Attacken verhindert werden, installierte ich Fail2Ban und konfigurierte einen “Apache 404 Block”, der ab einer bestimmten Anzahl von 404 Anfragen eines bestimmten Hosts eine Iptables Blockregel einfügt. Dies ist mit Vorsicht zu geniessen, da eventuell auch friedvolle User ausgesperrt werden können.

Continue reading »

Mit Bonding ist es möglich mehrere Netzwerkkarten “zusammenzufassen”. Dadurch wird, je nach Modus, zum Beispiel eine redundante Netzwerkverbindung aufgebaut. Bonding ist ein absolutes Muß wenn man mehr als eine Netzwerkkarte zur Verfügung hat.

Continue reading »

Linux Server sollten regelmäßig auf installierte Rootkits geprüft werden. Chkrootkit prüft zuverlässig und erkennt über 50 verschiedene Rootkits, erkennt geänderte Lastlog-Dateien und findet Kits die auf Kernel-Module basieren.

Continue reading »