Skip to content

Ubuntu - IPv6 auf einem Apache, MySQL Server ausschalten

Kurztipp zum Wochenende, zum Thema Ipv6 und Apache/MySQL. 

ipv6_apache2

IPv6 auf einem Apache Server ausschalten

Um IPv6 auf einem Apache2 Server abzuschalten genügt ein einfacher Eintrag in der ports.conf. 

Hier muss das vorhandene Listen 80 angepasst werden.

nano /etc/apache2/ports.conf

Listen 0.0.0.0:80

sudo service apache2 restart

Ipv6 bei einem MySQL Server deaktivieren

Beim MySQL Server verhält es sich ähnlich, wie beim Apache. Es genügt in der Hauptkonfiguration die Listenadresse zu setzen.

nano /etc/mysql/my.con

bind-address            = 0.0.0.0

sudo service mysql restart

apache

Das könnte dich auch interessieren

Ubuntu - IPv6 auf einem Tomcat Server ausschalten

 

Ubuntu - IPv6 auf einem Tomcat Server ausschalten

Heute ein Mini Tipp zum kleinen Freitag.

Ipv6 auf einen Tomcat Server abschalten

Um einem Tomcat Server beizubringen, dass er nur auf einer IPv4 Adresse lauscht, muss unter Ubuntu (14.04) nur ein Startparameter gesetzt werden. Danach kann mit "netstat -tlpn" geprüft werden, wo der Tomcat lauscht. Ich gehe in diesem Beispiel davon aus, dass der Server über apt-get installiert wurde.

nano /etc/default/tomcat7

oder

nano /etc/default/tomcat6

Nun die vorhanden Zeile

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC"

um einen Zusatz ergänzen

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC  -Djava.net.preferIPv4Stack=true"

tomcat

Das könnte dich auch interessieren

Lösung Java 8 Fehler - Certificate has been revoked - Zertifikat wurde entzogen

Im April läuft die Unterstützung für Java 7 aus, somit wird es langsam aber sicher Zeit auf Java 8 umzusteigen. Die neue Version 8 bringt bessere Sicherheitsmechanismen mit, welche bei Anwendungen, die auf HTTPS und somit auf Zertifikate setzen zu Fehlern führen können. Einer davon ist die Zurückweisung des Zertifikats:

 java.security.cert.CertificateRevokedException: Certificate has been revoked, reason: SUPERSEDED, revocation date: XXXXX CET 2014, authority: CN=TC TrustCenter Class 2 CA II, OU=TC TrustCenter Class 2 CA, O=TC TrustCenter GmbH, C=DE, extension OIDs: [2.5.XX.21]

at com.sun.deploy.security.RevocationChecker.checkApprovedCRLs(Unknown Source)

at com.sun.deploy.security.RevocationChecker.checkCRLs(Unknown Source)

at com.sun.deploy.security.RevocationChecker.check(Unknown Source)

at com.sun.deploy.security.TrustDecider.checkRevocationStatus(Unknown Source)

at com.sun.deploy.security.TrustDecider.getValidationState(Unknown Source)

at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)

at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)

at com.sun.javaws.security.AppPolicy.grantUnrestrictedAccess(Unknown Source)

........

Java8-AnwendungzurSicherheitblockiert

Erklärung 

CRL 

Dabei handelt es sich um eine Zertifikatsperrliste (Certificate Revoke List -->CRL), diese wird von einer Zertifizierungsstelle geführt und enthält die Seriennummer ungültiger Zertifikate. Diese sind mit einem Zeitstempel versehen und einer Signatur geschützt. Voraussetzung für eine Prüfung durch diesen Sicherheitsmechanismus ist eine aktive Internetverbindung.

In diesem Beispiel trat dieser Fehler auf.

OCSP

Ein weiterer Schutz der unter Java 8 aktiv ist nennt sich Online Certificate Status Protocol. Dabei handelt es sich um ein Netzwerkprotokoll, das ebenfalls bei einem CA Dienst (OCSP-Responder) nach der Gültigkeit eines Zertifikats fragt. 

Sicherheitsprüfungen für Zertifikate in Java 8 ausschalten

Bei selbst signierten oder anderweitig verwendeten Zertifikaten können diese Prüfungen ausgeschaltet, bzw. eingeschränkt werden. Denn bei einer Test- oder Intranetanwendung ist es nicht immer sinnvoll die Gültigkeit bei einer CA zu überprüfen.

Darum lassen sich in den Java Einstellungen ("Systemsteuerung/Java/Erweitert") CPL und OCSP deaktivieren.

java8-sicherheit

Bei dieser Einstellung wird die Prüfung nicht komplett deaktiviert, sondern auf Zertifikate des Anbieters, also des Softwareherstellers beschränkt. Das heißt, bei selbst signierten Zertifikaten dürfte nun kein Fehler seitens Java angezeigt werden, wenn die gewünschte URL auf der Whitelist ist oder dem eigenen Zertifikat vertraut wird.

Natürlich lassen sich CRL und OCSP auch komplett deaktivieren. Die Einstellungen sind dann wie folgt.

java8-sicherheit-zertifikate

P.S. Im selben Menü könnt im gleichen Zug weiter unten die Protokolle SSL 3.0 und TLS 1.0 deaktivieren.

Firefox, Chrome & Co schnell und ohne Werbung - kein Problem via Host Datei

Wie landläufig bekannt sein dürfte, lässt sich Werbung und Co gut und günstig durch das Plugin AdBlock und dessen Derivate blockieren. Leider ist ebenso bekannt, dass dieses zu einem starken Performanceverlust führt, denn das Addon hat sich über die Jahre von einer flotten Biene zu einem lahmen Käfer entwickelt.

Werbung via Host Datei deaktivieren

Die schnellste und einfachste Methode oder Alternative Werbung zu blockieren ist es, die Host Datei eines Rechners zu bearbeiten.

Diese liegt bei Windows Installationen unter "C:\Windows\System32\drivers\etc\hosts" und bei Linux unter "etc/hosts".

Dort werden Einträge von bekannten Werbenetzwerken oder Trackern hinterlegt, welche auf den lokalen Rechner zeigen und somit nicht mehr erreichbar sind.

z.B.

host

Ein recht vollständige Liste solcher Adressen lässt sich unter someonewhocares.org/hosts finden. Diese Hostdatei kann komplett eingebunden werden oder eben Teile davon. Einfach mit dem Notepad++ editieren und Einträge einfügen.

Danach sollte eurer Browser wieder schneller sein und 90% der Werbung nicht angezeigt werden. Addons wie Ad-block, Ghostery oder Disconnect sind somit nicht zwingend nötig.

Für den Profi 

Der Fachmann hinterlegt so eine Liste auf dem Router und blockiert solche Werbeadressen für das gesamte Netzwerk.

Host Verwaltung 

Für eine fachgerechte Verwaltung unter Windows Systemen bietet sich das Tool Hostsman an. Damit lässt sich die Hostdatei aktivieren bzw. deaktivieren oder auf Duplikate überprüfen.

hostsman

Dan Pollocks Host Datei gibt es in einer 127.0.0.1 oder einer 0.0.0.0 Variante. Zusätzlich steht auch eine IPv6 Version zur Verfügung. 

Poodle - SSL 3.0 auf Windows Server deaktivieren

Die letzten Tage hatte ich einen Artikel auf dem Blog, der sich mit dem Abschalten des SSL 3.0 Protokolls auf Apache, Nginx oder Postfix Servern beschäftigte.

Was bei diesen linuxbasierten Servern natürlich komplett fehlte, waren Windows Systeme.

Auch auf einem IIS Server lässt sich SSLv3 recht einfach abschalten.

SSL3 auf Windows Servern deaktivieren

SSL3deaktivieren

Wie von anderen Problemen von Windows Systemen bekannt lassen sich diese meist über die Registry "regedit.exe" lösen. So ist das auch mit der aktuellen Poodle Lücke.

Es genügt zwei Werte in den Sicherheitseinstellungen der Registry zu setzen und schon, einen Neustart vorausgesetzt, ist SSL 3.0 nicht mehr aktiv.

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000001

Der Einfachheit halber, habe ich euch die zu ändernden Werte in eine ausführbare Registry Datei gepackt.

Diese könnt ihr herunterladen, entpacken und ausführen und müsst nicht in den Untiefen der Registry suchen.

Window_Server_SSL_3.0_deaktivieren