Da noch immer viele Mitarbeiter von zuhause im Home-Office arbeiten, stellt sich die Frage, wie der Zugriff auf die Infrastruktur im Unternehmen noch sicherer werden kann. In unserem letzten Blog Beitrag wurde aufgezeigt, wie man den Zugriff von Extern mit einer
Automatisierung der Netzwerksicherheit mit Ansible
Ein zweistufiges Firewall-Setup mit Linux, BSD und Ansible Sobald Dienste im Internet zur Verfügung gestellt werden sollen, empfiehlt sich der Aufbau eines zweistufigen Firewall-Setups. Mögliche Realisierungen finden sich z.B. unter https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik). Zum Beispiel soll ein SMTP- oder DNS-Server mit dem
Testen von Ansible Rollen mittels Molecule
Icinga Ampel
Icinga Ampel – Wir bei axxeo haben schon seit geraumer Zeit Icinga im Einsatz. Da Icinga seit längerem eine API anbietet und wir gerne eine Icinga USB Tisch-Ampel zum Anzeigen verschiedener Statusinformationen verwenden wollten, haben wir ein Ampel-Script erstellt. Dieses
Ansible und Icinga
Ansible und Icinga: Automatische Konfiguration von Hosts und Services Die Installation und Konfiguration von Systemen erfolgt bei uns und den meisten unserer Kunden per Ansible, teilweise auch per Puppet. Wer einmal Werkzeuge wie Ansible oder Puppet verwendet hat, möchte sie
Icinga Director-API
Einspielen von CheckCommands über die Director-API Generell funktioniert das Einspielen von Konfiguration über den Director ja schon ganz ordentlich. Manchmal stoßen wir dabei jedoch auch an Grenzen, die oft dem aktuellen Entwicklungsstand des Projekts oder den unendlichen Möglichkeiten von
Yubikey für Debian
Linux-Login mit Yubikey und eigenem Authentifizierungsserver Yubico bietet einen freien Authentifizierungsdienst an, der allerdings eine Internet-Verbindung voraussetzt. Mit einem eigenen Authentifizierungsserver sind wir davon unabhängig. Debian 8 bringt alle benötigten Pakete mit: apt-get install libpam-yubico yubiserver Yubikeys verfügen über
Icinga Update-Probleme 2.5.*
Aktuelle Update-Probleme mit icinga 2.5.*, ido-mysql und ARM Aufgrund einiger Rückfragen bezüglich des jüngsten Updates von icinga auf Version 2.5.3-1 möchten wir auf einige mögliche Probleme beim Einspielen des Updates hinweisen. Wir wissen von folgenden Problemen: das “ido-mysql”-Feature funktioniert nicht
Die Icinga API
Wir haben in den letzten Monaten viele Komponenten von icinga intensiver benutzt und sind besonders von der API begeistert. Damit ist es unter anderem einfach möglich, einen hochverfügbaren Cluster aus mehreren icinga-Servern zu betreiben, dessen Konfiguration zur Laufzeit geändert werden
Remote-Monitoring mit Icinga
Monitoring von Hosts hinter einer Firewall mit Hilfe von icinga und TLS Wer seine Systeme mithilfe eines Monitoring-Servers überwacht, kennt das Problem: Möchte man Dienste hinter NAT bzw. hinter einer Firewall überwachen, ist ein einfacher Check nicht mehr ausreichend. Diese
Software-Updates unter Linux
Patches für Sicherheitslücken stehen unter Debian GNU/Linux schnell und unkompliziert zur Verfügung Software benötigt schnelle und korrekte Updates, um Fehler und Sicherheitslücken zu beheben. Gerade die von uns verwendete Linux-Distribution Debian (http://www.debian.org) besticht durch schnelle und qualitativ hochwertige Updates,
Mehrere Internetverbindungen
Mehrere Default-Gateways unter Linux konfigurieren Um zwei oder mehrere Standard-Gateways unter Linux zu nutzen, um z.B. eine redundante Internetanbindung zu realisieren, müssen die Standard-Netzwerkeinstellungen geändert werden. Mit dem Programm iproute2 ist es möglich, zusätzliche Routingtabellen zu konfigurieren. Ausgangskonfiguration bei
Icinga: livestatus über TCP
Konfiguration und Beispiel für remote-Zugriff auf icinga-Instanzen Wir haben einige Systeme mit icinga aufgesetzt und eine einfache Möglichkeit verwendet, remote auf Daten eines icinga-Systems zuzugreifen. Mit icinga und Livestatus können z.B. remote Checkergebnisse ausgelesen oder auch Kommandos abgesetzt werden.
Informationen zum bash-Sicherheitsproblem (ShellShock)
Don’t Panic! Da wir immer wieder auf das Sicherheitsproblem der bash angesprochen werden, hier ein paar Zeilen zur Erläuterung. Wir haben auf den Systemen unserer Kunden das entsprechende Debian-Sicherheitsupdate eingespielt, sofern eine entsprechende Vereinbarung (Sicherheits- und Service-Updates, SuSU) bestand.
Exim mit TLS
Sicherer Mailversand mit TLS Damit nicht jeder den eigenen Mailverkehr verfolgen kann, ist es ratsam TLS zu aktivieren. Dafür muss als Erstes ein SSL-Zertifikat erstellt werden, sofern dies nicht bereits geschehen ist. Dazu benötigt man zum Beispiel OpenSSL https://www.openssl.org/. Unter
OpenSSL
This generates a 4096-bit SSL-Certificate-Request for the domain ssl.axxeo.de. openssl req -new -nodes -keyout ssl.axxeo.de-2013.key -out ssl.axxeo.de-2013.csr newkey rsa:4096 Generating a 4096 bit RSA private key ……………………………. ……………………………………………………….++ ….. ……………………………………………………………… ….++ writing new private key to ‘ssl.axxeo.de-2013.key’ —– You are
Die Konsole
Ich habe gestern auf dem Weg nach Hause und heute Morgen im Zug ein wenig mit Konsole rumgespielt und ich dachte mir ich kann das Ergebnis ruhig in unseren Blog schreiben. Profil Erstellen Der Grundgedanke war: Ich habe eine Anzahl
Creating apt repository
Ich setze vorraus, dass der Leser einen Webserver einrichten, konfigurieren sowie einen GPG schlüssel erstellen und nutzen kann. Vorarbeit GPG Schlüssel Wir brauchen einen armored gpg key den wir später verbreiten. gpg –armor –export sluh@axxeo.de –output /home/sluh/sluh@axxeo.de.gpg.key Installing reprepro apt-get