Posts by Georg

    Mir ist aufgefallen, dass Rspamd kürzlich (Version 2.4) die ARC-Message-Signature nicht mehr bei ausgehenden Nachrichten einfügt. Stattdessen erfolgt das Hinzufügen bei allen eingehenden Nachrichten. Auch prüft Rspamd sich selbst. Woran kann es liegen? An meiner Mail-Konfiguration hat sich nichts geändert. Es muss am Update liegen. Die Changelogs der Rspamd Release lässt auch kein Rückschluss auf Änderungen zu.

    Hallo gunnarh,


    ja, so passt es. Dachte der SSLHonorCipherOrder macht das Ganze genau andersherum. Bei der Mozilla Intermediate Config steht dieser nämlich auch auf off, nur bei der old Config ist dieser auf on. Die Cipher habe ich gemäß SSL Configuration Generator in dieser Reihenfolge übernommen.

    Wie kann ich das Ganze erhöhen? Beim Aufruf meiner Seite sind es niedriger Werte, als auf anderen Webseiten mit dem gleichen Browser.


    So sieht der Teil in der Apche Konfiguration aus:


    Code
    1. SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
    2. SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
    3. SSLHonorCipherOrder off
    4. SSLSessionTickets off
    5. SSLUseStapling On
    6. SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

    Beißt sich da vielleicht etwas? Mach die Reihenfolge der CipherSuites einen Unterschied?

    Hallo,


    ich brauche mal bitte etwas Nachhilfe. Die technischen Details, welche einem im Browser angezeigt werden können mit z.B. TLS_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.3 sind dies Eigenschaften, welche mit Erstellung des TLS Zertifikates festgelegt werden oder die CipherSuite? Wie habe ich die Möglichkeiten diese Werte zu erhöhen im Apache?

    Es gibt keine Meldung, bei TLS Aufruf via https, ist nach wie vor http 1.1 aktiv. Die Cipher werden im übrigen auch nicht übernommen. Ein Proxy ist nicht im Einsatz.


    Hier einmal die config:

    Hallo,


    wenn mehrer Verzeichnisse existieren und diesen unterschiedlichen Usern zugeordnet sind, wie kann ich dem Apache trotzdem Schreibzugriff gewähren?


    Zum Beispiel so:


    var/www/seite1 seite1:seite1

    var/www/seite2 seite2:seite2

    var/www/seite3 seite3:seite3


    Die Berechtigungen 755 für Verzeichnisse und 644 für Dateien sollen beibehalten werden.


    Kann unterm neuesten Debian Probleme mit AppArmor geben mit Apache?

    Hallo,


    ja, tatsächlich liegt es an AppArmor. Leider habe auch ich von AppArmor (noch) wenig Ahnung.


    Debugmodus kann wieder mit

    Code
    1. aa-enforce

    zurückgenommen werden?

    @chrko: Wie kann in diesem Fall der Eintrag in /etc/apparmor.d/usr.sbin.named.conf aussehen? Was unterscheidet dies von /etc/apparmor.d/local/usr.sbin.named.conf?

    Hallo gunnarh,


    es hat noch nicht funktioniert, ist ein neues Setup.


    Ich habe mich in der Tat an dein HowTo orientiert und schon mehrfach die Berechtigungen neu gesetzt, wie beschrieben:


    Code
    1. chown -R root:bind /etc/named/domains
    2. chmod 0660 –R /etc/named/domains
    3. chmod 2770 /etc/named/domains
    4. chmod 2770 /etc/named/domains/keys


    Das Verzeichnis domains schaut so aus:

    Code
    1. drwxrws--- 3 root bind 4096 Feb 3 20:17 domains

    im Verzeichnis domains so:

    Code
    1. -rw-rw---- 1 root bind 2329 Feb 3 19:01 domains.conf
    2. drwxrws--- 2 root bind 4096 Feb 3 18:59 keys
    3. [...]

    AppArmor hatte ich wie folgt ausgeschaltet:

    Code
    1. service apparmor stop

    Vielleicht habe ich auch etwas übersehen, bin für jede Hilfe dankbar!


    Edit: Debian 10 ist hier im Einsatz.

    Hallo,


    leider erhalte ich bei meinem BIND Setup mit DNSSEC die folgende Meldung in den Logs und, dass die .jnl / .jbk Files nicht erstellt werden konnten. Die Berechtigungen habe ich mehrfach geprüft. BIND darf in dem Verzeichniss schreiben. AppArmor habe ich auch temporär deaktiviert. Brachte leider keine Abhilfe. BIND schreibt trotzdem nicht. Weiß jemand von euch weiter?

    Code
    1. Feb 03 21:23:09 ns1.domain.tld named[16869]: zone domain.tld/IN (signed): reconfiguring zone keys
    2. Feb 03 21:23:09 ns1.domain.tld named[16869]: /etc/bind/domains/zone_domain.tld.signed.jnl: create: permission denied
    3. Feb 03 21:23:09 ns1.domain.tld named[16869]: zone domain.tld/IN (signed): zone_rekey:dns_journal_open -> unexpected error

    Hallo, was ist bei einem Betrieb vom Fallback Mailserver mit Postfix zu beachten?

    Reicht es den Slaveserver einfach als Relay zu konfigurieren? Gibt es noch bestimmte Regeln zu beachten? Der Mailserver kann aber weiterhin Mails annehmen und versenden, auch wenn er als Relay konfiguriert ist?

    Welche Vorteile habe ich, wenn ich den Mailserver und Webserver in einem Container betreibe? Ist das der Sicherheitsvorteil oder die schöne Verwaltung, Sicherheit? Welchen Mehrwert bietet mir Docker, abseits in Entwicklungsumgebungen?