SSL Zertifikat auslesen

Wer mit fetchmail seine Mails von einem Mailprovider abholt, wird hoffentlich die SSL Verschlüsselung eingerichtet haben. ;)

Um SSL in in der /etc/fetchmailrc zu aktivieren, müssen die folgenden beide Zeilen eingefügt werden.

ssl
sslfingerprint "22:A5:45:AF:C3:EB:12:A3:55:3E:F4:C5:19:56:D3:AB"

Aber von Zeit zur Zeit ändert sich das Zertifikat und somit auch der Fingerprint.
Das ist aber nicht weiter schlimm, da man diesen Fingerprint auslesen kann:

Da ich meine E-Mail Postfächer bei Strato habe, habe ich im Beispiel Strato genommen.

openssl s_client -connect imap.strato.de:993 | openssl x509 -md5 -fingerprint

Es funktioniert mit jedem anderem Mailprovider. Wichtig ist nur die Angabe zum -connect und den Port. In meinem Beispiel ist das

imap.strato.de:993

Als Ausgabe bekommt ihr sowas wie dies:

MD5 Fingerprint=D4:EA:E3:3F:FD:50:E5:EE:99:93:A1:06:DA:8C:68:FD
-----BEGIN CERTIFICATE-----
MIIHPTCCBiWgAwIBAgIJAMN5EJRgQuMzMA0GCSqGSIb3DQEBCwUAMIHZMQswCQYD
VQQGEwJERTElMCMGA1UEChMcVC1TeXN0ZW1zIEludGVybmF0aW9uYWwgR21iSDEf
MB0GA1UECxMWVC1TeXN0ZW1zIFRydXN0IENlbnRlcjEcMBoGA1UECBMTTm9yZHJo
ZWluIFdlc3RmYWxlbjEOMAwGA1UEERMFNTcyNTAxEDAOBgNVBAcTB05ldHBoZW4x
IDAeBgNVBAkTF1VudGVyZSBJbmR1c3RyaWVzdHIuIDIwMSAwHgYDVQQDExdUZWxl
U2VjIFNlcnZlclBhc3MgREUtMjAeFw0xNTA0MTQwOTU1MTBaFw0xNjA0MTkyMzU5
.
.
.
ADAqBgNVHREEIzAhgg5pbWFwLnN0cmF0by5kZYIPaW1hcC5zdHJhdG8uY29tMA0G
CSqGSIb3DQEBCwUAA4IBAQBBKpzhj+Vv+KywhXNS1xfrwYAsbl58HvzIDPS8P4Ac
osIDG+khz0k6Ixbg8RaF2ORpUjWJgWfU1+WtEVhCnkE3JTgJBrxk2jHzk8DPr/ee
3t9HCRf4rfl04R+vvDUhig1Mo8wIfVnWzBvs40JcL8UnClS83Z/+eqeZQIYrOZCq
SKQj4idSUcefPwpOR2GVop7e+KBuSwGRRe2LFsWZ1oUkDbcpprnQ+i2wbQP8X45l
rk70LHUxCzua6LbVTc11DYkip3wHiOtd1eGwiNQd3gSkWEKJ7iXqoNlHRT48Fcqx
nmVt871A1a+0FjDCpR3/l9I7yxCuvl/tjJqgDEWdHhNy
-----END CERTIFICATE-----

Wichtig ist für euch nur die erste Zeile. Die Angabe mit dem Fingerprint:

MD5 Fingerprint=D4:EA:E3:3F:FD:50:E5:EE:99:93:A1:06:DA:8C:68:FD

Diese Zeichenfolge tragt ihr dann in eurer /etc/fetchmailrc ein:

ssl
sslfingerprint "D4:EA:E3:3F:FD:50:E5:EE:99:93:A1:06:DA:8C:68:FD"

Dann nur noch fetchmail neu starten und die Mails werden wieder abgeholt.

Seid gegrüßt
Alf

Flattr this!

SSL Poodle Attack (Apache)

Hallo Leute,

da ich heute gerade das SSL Zertifakt für unseren Blog aktualisiert habe (auf SHAv2) habe ich beim SSL Check gemerkt, das dieser Server noch angreifbar für die “Poodle Attacke” war.

Um das Problem zu löse und den Server sichere zu machen braucht man eigentlich nicht viel umstellen, in meinem Fall verwende ich Apache und zeige euch wie ihr euren Server schützt.

Bearbeitet folgende Datei:

vim /etc/apache2/mods-available/ssl.conf

hier sucht ihr euch folgende Zeile raus

SSLProtocol all -SSLv2

diese Zeile änder ihr auf:

SSLProtocol All -SSLv2 -SSLv3

Datei speichern und Apache mit

service apache2 restart

neu starten und schon sollte euer Server von der Poodle Attacke sicher sein.

Zum testen eurer SSL Zertifikate, gerade beim ersten einrichten kann ich euch nur diese 2 Online Checks empfehlen:

peace
LEWIS

Flattr this!

Fail2ban – Logfile Scanner

Hallo Leute,

eine der Hauptaufgaben beim verwalten eines Servers ist für dessen Sicherheit zu sorgen. Es gibt viele Tools und Hilfsmitteln mit denen man es sich etwas einfacher machen kann. Heute stelle ich euch deshalb “fail2ban” vor.

“fail2ban” hilft euch beim absichern eueres Servers, in dem es eure Logfiles überprüft und bei Gefahr oder verdächtigen Aktivitäten die IP für eine gewisse Zeit sperrt. Zum Beispiel wird eine IP temporär gesperrt, wenn von dieser IP mehrfals versucht wird sich via SSH auf den Server anzumelden (ohne Erfolg).

Die Installation ist wie üblich sehr einfach:

apt-get install fail2ban

als nächsten muss die Konfiguration nur noch an eure Wünsche angepasst werden. Nach der Installation ist die Überwachung nur für ssh aktiviert.

vim /etc/fail2ban/jail.conf

einige Optionen die ihr euch genauer anschauen solltet sind:

bantime = 600 (Zeit in Sekunden wie lange eine IP gesperrt wird)
destemail = root@localhost (Mail Adresse)

Etwas weiter unten in dem File findet ihr folgenden Abschnitt:

# 
# JAILS 
#

hier könnt ihr einstellen, welche Dienste überwacht werden sollen. Wollt ihr zum Beispiel auch “apache2” überwachen muss folgender Wert geändert werden:

[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

für weitere Informationen gibt es ein sehr ausführliches Wiki: Fail2ban Wiki

peace
LEWIS

Flattr this!