Verwirrende Fehlermeldung

Beim betreten meines Blogs mit einem neu aufgesetzten Rechners bekam ich folgende verwirrende Fehlermeldung:
Invalid OCSP signing certificate in OCSP response.
(Error code: sec_error_ocsp_invalid_signing_cert)

Dies lag nicht etwa daran das die OCSP Abfrage nicht hätte funktionieren können, sondern das das Root CA nicht für den Browser installiert war. Leider gibt das die Fehlermeldung nicht wieder welches CA da fehlt oder das eine Fehler auch ohne OCSP auftreten würde.
Invalid OCSP signing certificate in OCSP response.

Veröffentlicht am: 26.04.2014 von: CHR | publiziert in: Linux, public, Security

heartbleed OpenSSL bug mit iptables droppen

Auf meinen KVM Hosts habe ich mittels iptables den heartbleed bug gedropt. So bleibt genügend zeit die openssl zu updaten und die Dienste neuzustarten bzw. alle Kunden zu informieren dies zu tuhen.

#HEARTBLEED
iptables -t filter -A FORWARD -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBLEED"
iptables -t filter -A FORWARD -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

Äquivalent muss man dies auch für SMTP, IMAP und co. machen.

Im syslog hat man nun die Möglichkeit alle Bods zu identifizieren die, die heartbleed Lücke derzeit aktiv ausnutzen.
Quelle: fulldisclosure

Veröffentlicht am: 11.04.2014 von: CHR | Tags: | publiziert in: Linux, public, Security

multi dd auf zwei platten

Für eine Backup einer 4TB Platte auf zwei weitere 4TB Platten haben ich mir dd mit tee zusammen gebastelt.

time dd if=/dev/sda bs=1M | pv | tee >(dd of=/dev/sdb bs=1M) | dd of=/dev/sdc bs=1M

Trotz dessen, dass die 3 Platten an einem UBS 3.0 angeschlossen waren, schafft das dd 140MB/s.
Theoretisch kann man das >(dd of=/dev/sdb bs=1M) noch für weitere Platten wiederholen, abschließend muss aber eine Pipe stehen.

Veröffentlicht am: 01.04.2014 von: CHR | Tags: | publiziert in: Linux, public

migrate MySQL database in shell

Heute habe ich die Datenbank meines Blogs umgezogen. Um die Datenbank schnell über die Konsole zu kopieren haben ich folgendes gemacht. Zuerst habe ich ein dump von der wp Tabelle gemacht und dies mittels gzip komprimiert. Auf dem neuen Server habe ich dann die DB wieder ausgepackt ins Dateisystem geschrieben.

ssh root@oldserver "mysqldump -hlocalhost -uwp -pPASSWORD wp | gzip" | zcat > wp.sql

Anschließend habe ich die wp.sql im mysql Client auf der Konsole importiert.
mysql -h localhost -u root -p
Enter password: ...

mysql> use wp
Database changed
mysql> source wp.sql
Query OK, 0 rows affected (0.00 sec)
...
mysql>
mysql> quit
Bye

Veröffentlicht am: 25.03.2014 von: CHR | Tags: | publiziert in: Linux, public

ubuntu disabled cacert.org

Beim einrichten eines Servers unter 14.04 ist mir folgendes aufgefallen:
SSLCACertificateFile: file ‚/usr/share/ca-certificates/cacert.org/cacert.org.crt‘ does not exist or is empty

Darauf hin schaute ich mir die changelog vom ca-certificates an und war überrascht das cacert.org nicht mehr vertraut wird:
zless /usr/share/doc/ca-certificates/changelog.gz
ca-certificates (20130906ubuntu2) trusty; urgency=medium

* No longer ship cacert.org certificates. (LP: #1258286)

-- Marc Deslauriers Wed, 19 Feb 2014 15:57:25 -0500

Daraufhin schaute ich mir den Bugreport genauer an:
Ubuntu ist eine der wenigen Distributionen die CAcert als vertrauenswürdiges Zertifikat anerkennen. Viele Distributionen erwägen [1], CAcert zu entfernen. Mozilla schloss die im Jahr 2003 eröffnete RFE [2] für CAcert im Jahr 2008.

Auf der Debian Mailingliste [3] wurden einige Bedenken bezüglich der Codequalität von CAcert ausgedrückt. Deswegen wurde die Prüfung angehalten.

In der Vergangenheit hat Ubuntu bereits CAcert deaktiviert [4], dies ist nun wieder der Fall. Es ist besser dies wieder zu tun.

Ubuntu is one of the few distributions shipping CAcert as a trusted certificate. Many distributions are considering[1] whether to remove CAcert, and Mozilla closed the RFE[2] for CAcert in 2008, which was opened in 2003.

Concerns were expressed about CAcert’s code quality[3], and their audit appears to be stalled.

In the past, it appears that Ubuntu disabled[4] CAcert, but this is no longer the case. It may be wise to do so again.

[1]: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#50
[2]: https://bugzilla.mozilla.org/show_bug.cgi?id=215243
[3]: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#45
[4]: http://wiki.cacert.org/InclusionStatus?highlight=Ubuntu

Quelle: https://bugs.launchpad.net/ubuntu/+source/ca-certificates/+bug/1258286

Abhilfe schafft folgendes, dennoch müssen dann die Fingersprints selbst überprüft werden.
wget -O cacert.org.crt http://www.cacert.org/certs/root.crt
wget -O - http://www.cacert.org/certs/class3.crt >> cacert.org.crt

[UPDATE]
Mittlerweile sind auch die andere releases betroffen wie Ubuntu 12.04:
zless /usr/share/doc/ca-certificates/changelog.gz
ca-certificates (20130906ubuntu0.12.04.1) precise-security; urgency=medium

* Update ca-certificates database to 20130906 (LP: #1257265):
- backport changes from the Ubuntu 14.04 20130906ubuntu1 package
- No longer ship cacert.org certificates (LP: #1258286)
- No longer ship obsolete debconf.org certificates
- mozilla/certdata2pem.py: Work around openssl issue by shipping both
versions of the same signed roots. Previously, the script would
simply overwrite the first one found in the certdata.txt with the
later one since they both have the same CKA_LABEL, resulting in
identical filenames. (LP: #1014640, LP: #1031333)

-- Marc Deslauriers Thu, 06 Feb 2014 17:39:43 -0500

Veröffentlicht am: 20.03.2014 von: CHR | Tags: , | publiziert in: public, Security, Ubuntu

« Ältere einträge
Neuere einträge »