Security (engl.: Sicherheit) bezeichnet in der Informationstechnik Verfahren, die eine gewollte oder ungewollte Manipulation ermöglichen oder erschweren – je nach Blickwinkel, Zielsetzung und Ansicht. Dabei werden kryptografische Verfahren, Sicherheitslücken, Programmierfehler oder Konfigurationsmerkmale betrachtet, um ein System sicher zu machen.
Jeder, der eine WordPress-Instanz mit einem Plugin wie LoginSecuritySolution betreibt, kennt sicher die Erinnerungsmails zu Brute-Force-Angriffen. Mit einer einfachen .htaccess-Modifikation lassen sich die Login-Namen ausreichend vor den Angreifern verstecken. Die hier genannten Vorschläge haben zwar etwas von Augenwischerei, weil sie weder die Symptome bekämpfen noch vollständig sind; derzeit decken sie aber um die 98% der Angriffe ab. Dabei bedarf es nur eines minimalen Eingriffs in die Blog-Konfiguration via .htaccess.
Mein erster Blogeintrag (damals unter der Domain mampfit.wordpress.com) war das Thema Mahara und die Session-Hashes unter openSuse 11.1. Damals ärgerte ich mich sehr darüber, dass ein geänderter Standard in openSuses php.ini -Datei dazu führte, dass Mahara nicht funktionierte. Heute sehe ich das (teilweise) anders.
Du denkst, du weißt alles über Linux? Mitnichten! Hier sind ein paar Fakten, die auch selbsternannte Poweruser vielleicht nicht kennen. Ein Abriss der wichtigsten Punkte von whylinuxisbetter.net und weitere Ideen.
Wer einen PGP-Key mit GnuPG oder ähnlichen Tools nutzt, möchte erreichen, dass andere Personen den eigenen Key leicht erhalten und prüfen können. Neben der üblichen Prüfung von Signaturen und Fingerprints bietet das Domain Name System (DNS) eine einfache Möglichkeit, zumindest eine kleine Prüfung vorzunehmen.
Welcher Schlüssel ist der richtige? Verschlüsselung – Carola Langer / pixelio.de
Das funktioniert zwar nur mit einer eigenen Domain – aber den DNS-Einträgen vertraut man beim Senden einer E-Mail nunmal auch. Sie stehen unter der Kontrolle des Empfängers. Stimmt ein speziell formartierter Eintrag nun also mit dem Schlüssel des Empfängers überein, so gewinnt man ein wenig Sicherheit.
SuperGenPass ist eine Website, die ein freies Bookmarklet anbietet. Dieses erzeugt beim Aufruf auf einer Website zusammen mit einem Masterpasswort ein Kennwort, welches seitenspezifisch ist. Damit soll die Sicherheit des Benutzers erhöht werden. Aber kann das funktionieren? Ein SuperGenPasswort-Review.
Derzeit ist der Heartbleed-Bug ja in aller Munde. Es geht darum, dass eine OpenSSL-Sitzung ihren Key preisgeben könnte. Damit wären rückwärtig alle mitgeschnittenen Datenpakete abhörbar. Heise bezeichnet ihn sogar als SSL-GAU.
Heartbleed Website
Der Raspberry Pi ist ein sehr beliebter Mini-Server. Auch auf diesem laufen viele Dienste, die OpenSSL nutzen (u.a. für https) und daher vom Herzbluten (engl.: Heartbleed) betroffen sein könnten. Das Aktualisieren geht zum Glück ganz einfach – wie auch unter Debian.
Günstige Webhoster gehören verboten. Punkt. Neulich habe ich erst wieder eine Erfahrung gemacht, bei der ich glatt rückwärts vom Stuhl gefallen bin. Hintergrund: Veraltete Software, kritische Konfiguration, fehlende Flexibilität.
Selbst bei Webhosting mit SSH-Zugriff (engl.: ssh access) sieht die Sache meinen Erfahrungen nach nicht immer besser aus. Oftmals erhält man diesen nur bei Virtuellen Servern, und auch dann oft nur stark verkrüppelt: Kein Auth per Public Key, keine Cron-Jobs, kaum Ablagemöglichkeiten und keine editierbaren .profile /.bashrc -Dateien. Meine Erfahrungen mit Systix schildere ich neutral in diesem Artikel.
Wer als Linux-Enthusiast seine Websites professionell hosten will, kommt an einem SSH-Zugang , SNI und flexibler Mailkonfiguration nicht vorbei. Nur zwei Hoster – Uberspace und Schokokeks – sind mir bekannt, die solch spezielle Dienste überhaupt anbieten – die haben es aber qualitativ in sich!
Beide verwenden ein relativ ähnliches Setup, was sich gefühlt nur in Details unterscheidet. Es gibt aber durchaus wichtige Unterschiede, die man vor dem Anlegen eines Kontos dringend verstehen sollte. Diese Unterschiede zwischen Schokokeks.org und Uberspace.de möchte ich im folgenden möglichst neutral darlegen.
Eine Telefonrechnung kann sehr praktisch sein. Etwa, weil man sie beim Finanzamt einreichen kann, die Kosten kontrollierbar bleiben. Andererseits kann man sich mit einer Telefonrechnung normalerweise bei StartSSL zertifizieren lassen, eine so genannte Class 2 Identity Validation.
Dämlicherweise gibt es Firmen, die den Datenschutz allzu ernst nehmen. Easybell gehört wohl dazu. Natürlich kann es auch sein, dass ich hier einen einschlägigen Paragrafen nicht kenne. Jedenfalls machte mir weiland die Telefonrechnung einen Strich durch selbige. Die folgende Begebenheit rief Unverständnis bei mir hervor.
Wer Nutzer von sozialen Netzen, Blogging-Diensten und anderen Services im Internet ist, kennt es: Überall sollte er ein anderes Passwort nutzen, und möglichst auch verschiedene E-Mailadressen.
So kompliziert muss es gar nicht sein – vorrausgesetzt man nutzt GMail (ehemals Google Mail). GMail erlaubt es nämlich, seine E-Mail-Adressen auf ganz geschickte Art und Weise zu verändern – ohne, dass sie ungültig würden.
