Skip to content

Ubuntu - IPv6 auf einem Tomcat Server ausschalten

Heute ein Mini Tipp zum kleinen Freitag.

Ipv6 auf einen Tomcat Server abschalten

Um einem Tomcat Server beizubringen, dass er nur auf einer IPv4 Adresse lauscht, muss unter Ubuntu (14.04) nur ein Startparameter gesetzt werden. Danach kann mit "netstat -tlpn" geprüft werden, wo der Tomcat lauscht. Ich gehe in diesem Beispiel davon aus, dass der Server über apt-get installiert wurde.

nano /etc/default/tomcat7

oder

nano /etc/default/tomcat6

Nun die vorhanden Zeile

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC"

um einen Zusatz ergänzen

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC  -Djava.net.preferIPv4Stack=true"

tomcat

Das könnte dich auch interessieren

Anleitung - Poodle SSL 3.0 Lücke in Apache, Nginx oder Postfix deaktivieren

Seit ein paar Tagen ist der Pudel los. Zumindest bei einigen. Gemeint ist die neue, von Google entdeckte SSLv3 Lücke. Diese erlaubt bei bestimmter Konstellationen einen Angriff auf die verwendeten Systeme. Um so einen Angriff zu verhindern haben Browserhersteller bereits vorgebeugt und wollen SSLv3  aus dem eigenen Browser verbannen (siehe Mozilla).

Ich möchte euch kurz zeigen, wie die Deaktivierung von SSLv3 unter Apache und Nginx funktioniert. Zunächst sollte aber getestet werden, ob der Server SSLv3 überhaupt freigeschaltet hat.

Apache oder Nginx auf SSLv3 Lücke testen

Es genügt ein einfacher Konsolenbefehl, um abzuprüfen, wie es mit dem Server steht

openssl s_client -connect REMOTE_SERVER:443 -ssl3

Sollte die Verbindung via SSLv3 aktiviert sein, erhaltet ihr bei einen erfolgreichen Handshake ein paar Werte zurück. Hier bei einem Apache Server

SSL handshake has read 1260 bytes and written 322 bytes

New, .../SSLv3, Cipher is DHE-RSA-AES256-SHA

Ist SSLv3 bereits deaktiviert, werden Fehlermeldungen ausgegeben

CONNECTED(00000003)

139957739407008:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40

139957739407008:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:

no peer certificate available

No client certificate CA names sent

SSL handshake has read 7 bytes and written 0 bytes

New (NONE), Cipher is (NONE)

Secure Renegotiation IS NOT supported

apache

Apache Server - SSLv3 abschalten

Im Prinzip hatte ich es schon einmal beim Thema Hardening Apache Server erwähnt, wie bestimmte Protokolle festgelegt werden können. Es genügt folgende Zeile in der "default-ssl.conf" bzw. "ssl.conf" zu hinterlegen, um SSLv3 zu unterdrücken.

sudo nano /etc/apache2/mods-available/ssl.conf

SSLProtocol All -SSLv2 -SSLv3

Alternativ können auch einfach alle Protokolle außer TLS deaktiviert werden. Dazu werden mit Minus alle blockiert und mit Plus die gewünschten Protokolle hinzugefügt.

SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

Alternativ dazu können mit dem Befehl "SSLCipherSuite" die gewünschten Chiffren angegeben, bzw. eine Priorisierung festlegt werden. Ich hatte dies im besagten Hardening Artikel bereits beschrieben. Weiter Details findet ihr hier.

Danach wie nach jeder Änderung der Konfiguration

sudo service apache2 restart 

nginx

Nginx Server - SSLv3 deaktvieren

Für den inzwischen auf Platz 1. gelisteten Webserver (der 10 000 größten Webseiten) gilt ein ähnliches Vorgehen, wie beim Kollegen Apache. Auch hier hatte ich bereits einen Artikel verfasst.

In der Config muss lediglich SSL 3.0 entfernt werden.

sudo nano /etc/nginx/nginx.conf

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

sudo service nginx restart 

Gleiches gilt für die hinterlegten Ciphersuites. Hier kann beim Apache Webserver nachgeschaut werden. 

SSLv3 lässt sich nicht deaktivieren, was tun?

Auf manchen Servern ist es nicht möglich SSLv3 zu deaktivieren, welche Gründe es auch immer haben mag. Hier bleibt die Möglichkeit auf OpenSSL 1.0.1j, 1.0.0o bzw. 0.9.8zc zu aktualisieren. Denn in den aktuellen Versionen ist TLS_FALLBACK_SCSV aktiv, was Schutz vor Poodle bietet. Ob OpenSSL nach einem Update akutell ist , lässt sich dies mit SSL LABS prüfen.

Sollte auch ein Update auf neuere Versionen nicht möglich sein, ist es möglich schädliche ChipherSuites zu verbieten.

Folgende Cipher Suites sollen NICHT enthalten sein, wenn ein Poodle Angriff verhindert werden soll.

IDEA-CBC-SHA, EXP-DES-CBC-SHA, DES-CBC-SHA, DES-CBC3-SHA, EXP-DH-DSS-DES-CBC-SHA, DH-DSS-DES-CBC-SHA, DH-DSS-DES-CBC3-SHA, EXP-DH-RSA-DES-CBC-SHA, DH-RSA-DES-CBC-SHA, DH-RSA-DES-CBC3-SHA, EXP-DHE-DSS-DES-CBC-SHA, DHE-DSS-CBC-SHA, DHE-DSS-DES-CBC3-SHA, EXP-DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC3-SHA, EXP-ADH-DES-CBC-SHA, ADH-DES-CBC-SHA, ADH-DES-CBC3-SHA, EXP-RC2-CBC-MD5, IDEA-CBC-SHA, EXP-DES-CBC-SHA, DES-CBC-SHA, DES-CBC3-SHA, EXP-DHE-DSS-DES-CBC-SHA, DHE-DSS-CBC-SHA, DHE-DSS-DES-CBC3-SHA, EXP-DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC3-SHA, ADH-DES-CBC-SHA, ADH-DES-CBC3-SHA, AES128-SHA, AES256-SHA, DH-DSS-AES128-SHA, DH-DSS-AES256-SHA, DH-RSA-AES128-SHA, DH-RSA-AES256-SHA, DHE-DSS-AES128-SHA, DHE-DSS-AES256-SHA, DHE-RSA-AES128-SHA, DHE-RSA-AES256-SHA, ADH-AES128-SHA, ADH-AES256-SHA

postfix

Postfix - SSL 3.0 ausschalten

Auch auf dem bekannten Mailserver Postfix lässt sich SSL 3.0 unterbinden, hier genügt ein einfach Eingriff  "/etc/postfix/main.cf"

sudo nano /etc/postfix/main.cf 

smtpd_tls_security_level = encrypt

smtpd_tls_mandatory_ciphers = high

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

smtpd_tls_protocols = !SSLv2 !SSLv3


smtp_tls_protocols = !SSLv2, !SSLv3

smtp_tls_security_level = encrypt

smtp_tls_mandatory_ciphers = high

smtp_tls_mandatory_protocols = !SSLv2 !SSLv3

sudo service postfix restart


Letzendlich gilt es, die eigenen Server immer im Auge zu haben und auf aktuelle Sicherheitslücken zu scannen.

Linux - Der Shutdown Befehl

Zum Montag ein wenig Linux Grundwissen, quasi leichte Kost zum Wochenanfang.

Heute will ich euch die wichtigsten Befehle zum optimalen Herunterfahren, Neustarten oder zeitgesteuerten Abschalten von Ubuntu Systemen zeigen.

Der Shutdown Befehl

Das System sofort und dauerhaft anhalten

sudo shutdown -h now

Das System herunterfahren und die Abschaltung erzwingen (100%)

sudo shutdown -P now

Das System neu starten

sudo shutdown -r now

Alternativ geht auch 

sudo reboot

Neustarten des Systems und eine Nachricht 10min vor dem Neustart einblenden

shutdown -r +10 "Server wird bald neu gestartet, bitte abmelden"

Das System in zwei Stunden herunterfahren

sudo shutdown -h 120

Das System zu einer bestimmten Uhrzeit herunterfahren

sudo shutdown -h 23:00

Den Shutdowntimer vorzeitig beenden

sudo shutdown -c

Einen Remote Server neustarten

ssh root@server.de /sbin/shutdown -r now

Die letzten Neustarts des Systems anzeigen

last shutdown

oder

last reboot 

Nun sollte eigentlich Nichts mehr schief gehen

Skype 6.x - Werbung im Chatfenster deaktivieren

Der Microsoft Messenger Skype wird immer noch von sehr vielen Anwendern weltweit geschätzt und verwendet. Auch der NSA Skandal konnte diese Beliebtheit nicht schmälern. Mit der heutigen Meldung einen Echtzeit Translaters (Link) einführen zu wollen, kommt Microsoft sicherlich dem perfekten globalen Messenger einen Schritt näher. 

Auch wenn die Echtzeit Übersetzung noch Zukunftsmusik ist, die eingeblendete Werbung ist es sicherlich nicht. Seit den letzten Updates ist diese sogar in den Chatfenstern zu finden.

Mit einem kleinen Trick können diese unnötigen Werbebanner ausgeblendet, bzw. blockiert werden. 

skype_werbung

Skype Werbung im Chatfenster deaktivieren

Der Trick führt zu den "Internetoptionen" des Internet Explorers.

Hier muss im Reiter "Sicherheit" ein Eintrag bei den "Eingeschränkten Sites" hinterlegt werden.

skype_werbung_abschalten

Im neuen Fenster einfach folgende Adresse hinterlegen: "https://apps.skype.com".

skype_werbung_ausblenden

Nach einen Neustart werden nun keine Werbebanner mehr eingeblendet.

Eine weitere Einstellung kann unter den "Optionen" von Skype selbst vorgenommen werden. Hier lassen sich "Tipps und Tricks" bzw. "Aktionsangebote" deaktivieren.

skype_werbung_entfernen.

Wi-Fi Matic - Android App schaltet WLAN automatisch ab

Die meisten Smartphone Anwender haben auf ihrem Gerät wohl WLAN dauerhaft aktiviert oder deaktiviert. Logischerweise, denn alles dazwischen ist mit Arbeit verbunden, ...daran zu denken Wifi in der Öffentlichkeit auszuschalten oder eben in der Wohnung wieder zu aktivieren.

Wi-Fi Matic übernimmt diesen Job für euch. Die Wlan App merkt sich euren momentan Standort (das geschieht Mittels der gerade eingebuchten Zelle, somit ist keine GPS notwendig) und erlaubt das automatische Aktivieren oder Deaktivieren vorher ausgewählter Verbindungen.

Bei Bedarf geht ist dies auch mit einer gewissen zeitlichen Verzögerung möglich.

Wi-Fi-Matic

 Die Anwendungen bietet auf den ersten Blick eigentlich nur Vorteile:

  • Kein GPS nötig
  • Akkuleistung wird verlängert
  • Erhöhte Sicherheit
  • OpenSource

Download Wi-Fi-Matic für Android (ab 2.2)