GnuPG-Schlüsseldaten veröffentlichen

Grafik eines Laptops mit Ausrufezeichenschild

In dem vorhergegangen Tutorial wurde gezeigt wie man einfach und mit Hilfe einer GUI mit Thunderbird/Enigmail einen Yubikey für GnuPG vorbereitet. Die Schlüssel helfen nichts wenn man nicht seine öffentliche Schlüssel veröffentlicht. Dies kann man zunächst einmal auf den Schlüsselservern und man erhält dann einen Link der folgendermaßen aussehen kann: https://keys.openpgp.org/vks/v1/by-fingerprint/46761780D7F5D4ED744CD286684A0B0B03A1960E

Dies ist ein auf einem Keyserver abgelegter Schlüssel. Dieser Link sollte sich bereits auf dem Yubikey unter URL befinden.

Für das Veröffentlichen des öffentlichen Schlüssels werden oft folgende Formate angeboten:

  • Key-ID (obsolet)
  • Fingerprint
  • Öffentlicher Schlüssel

Weiterlesen

Error: net_connect_unix(/var/run/dovecot/stats-writer) failed

Käfer (Bug)

Ich habe einen Server der als Grundlage nach dieser Anleitung mit Postfix und Dovecot erstellt wurde. Die Tage ist mir dann aufgefallen, dass Dovecot bei jeder empfangenen Email folgende Fehlermeldung in /var/log/mail.log hinterlässt:

Jul 26 02:33:21 example postfix/pipe[10873]: 4081A2B819F3: to=<user@example.com>, relay=dovecot, delay=0.25, delays=0.09/0.04/0/0.11, dsn=2.0.0, status=sent (delivered via dovecot service (lda(user@example.com,)Error: net_connect_unix(/var/run/dovecot/stats-writer) failed: Permissi))

Weiterlesen

Spamassassin – warning: description exists for non-existent rule USER_IN_WELCOMELIST_TO

Käfer (Bug)

Seit ein paar Tagen hatte ich auf dem Server unter Debian Buster immer wieder folgende Fehlermeldungen beim täglichen Update von Spamassassin der Nachts per Cron-Job startet:

/etc/cron.daily/spamassassin:
Failed to set filetime 1594704651 on outfile: Die Operation ist nicht erlaubt
Failed to set filetime 1594704651 on outfile: Die Operation ist nicht erlaubt
Failed to set filetime 1594704651 on outfile: Die Operation ist nicht erlaubt
Failed to set filetime 1594704652 on outfile: Die Operation ist nicht erlaubt
config: warning: description exists for non-existent rule USER_IN_ALLOWLIST_TO

channel: lint check of update failed, channel failed
sa-update failed for unknown reasons

Weiterlesen

.htaccess

Stilisierte Erde mit verschiedenen Verbindungen

Nur kurz und vielleicht von Interesse für jemanden anders als Vorlage meine üblicherweise verwendete .htaccess-Datei. Die Datei ist von einer Reihe von Quellen zum Teil abgekupfert und zum Teil durch Analyse der eigenen Logfiles selber erweitert.

Weiterlesen

Authentifizierung über ssh mit einem Yubikey

Bild eines Yubikey Neo

Als stolzer Besitzer eines Yubikey Neo mit vollständig eingerichteten gpg-Schlüsseln für die Email-Verschlüsselung und -signierung wollte ich den Key auch noch für die Authentifizierung von meinen root-Accounts nutzen. Bisher hatte ich den root-Login verboten und mich immer über su – zu root gemacht wenn ich es brauchte. Leider taugt dieses Verfahren bereits bei scp nicht mehr. Im Internet findet man dazu einen Haufen teils recht komplizierte Anleitungen – kryptographische Verfahren haben leider die Neigung selber recht kryptisch zu werden. Ich suchte jedoch nach einem einfachen und wenig fehlerträchtigen Weg damit die Chance des eigenen Aussperrens recht minimal bleibt. Nun gibt es die Public-Key-Authentifizierung und dazu muss man den private Key immer parat haben – im lokalen Verzeichnis ~/.ssh/ oder auf einem USB-Stick. Wenn man jedoch sowieso einen Yubikey besitzt dann bietet sich dieser jedoch an um diese Aufgabe auch noch zu übernehmen.

Weiterlesen

glances als Systemmonitor

Symbolisiertes Terminal

glances ist ein nettes Projekt um sich, abgesehen von den Klassikern wie top oder htop, einen Überblick über ein System zu verschaffen. Das Tool glances ist sogar in der Lage das Monitoring über Netzwerk abrufbar zu machen. Bietet, anders wie top, mehr Informationen über das System. glances  ist in den Reporsitorien von Debian und Derivaten und kann daher mit:

apt-get install glances

installiert werden. glances wurde in Python und psutils erstellt und verfügt über eine ncurses-Oberfläche.

Weiterlesen

rsync und Serverumzug (II)

Logo von Debian

Ich hatte hier eine einfache Version eines Serverumzugs geschildert – Server A auf Server B sichern und zurück übertragen. Da mein bisheriger Serverprovider die Mietpreise massiv erhöht hat und dieses „Upgrade“ dazu noch schlechtere Konditionen (Speicherplatz, Traffic) hat, habe ich mich auf die Suche nach einer Alternative begeben. Aus meiner Erfahrung mit Version I habe ich dem Serverumzug optimistisch entgegen gesehen.

Weiterlesen

Webpage zur Anzeige der von fail2ban geblockten IP-Adressen

Irgendwie interessiert mich immer mal woher die IPs kommen die durch automatisierte Angriffscripts von fail2ban aussortiert werden. Was liegt hier nahe – ein Shellscript zu schreiben und dann mit crond regelmäßig zu erneuern. Geblockte IP-Adressen können mit:

fail2ban-client status | grep "Jail list:" | sed "s/ //g" | awk '{split($2,a,",");for(i in a) system("fail2ban-client status " a[i])}'

ausgelesen werden. Ist ein wenig unhandlich diese unformatierte Ausgabe.

Weiterlesen

rsync und Serverumzug (I)

Logo von Debian

Vor einer Weile hatte ich das Problem, dass dieser VServer wohl ein Problem mit dem Virtualisierungs-Container hatte. Ich selber habe weder Ahnung von Virtualisierung oder wie das für einen Provider aussieht. Ich versuche aber was von dem zu verstehen was ich gerade vorfinde und für mich sah das nach einem normalen Linux-System aus. Alle Dateien waren für mich intakt. Der Vorschlag des Providers war ernüchternd und sah vor: Neuinstallation und etwas was man nicht gerne hören möchte zumal ich selber keine Probleme gesehen habe und das neue Aufsetzen mich wahrscheinlich wieder Wochen gedauert hätte. Nach etwas Verhandlung habe ich dann kostenfrei einen zweiten Server für ein paar Tage, sagen wir mal mit der IP-Adresse 10.0.0.2, zur Verfügung gestellt bekommen um dahin meine Daten zu sichern. Das war irgendwie so etwas wie ein doppelter Serverumzug. Alter Server auf temporären Server und wieder zurück (später musste ich dann komplett umziehen und das ist hier beschrieben). So etwas hab ich noch nie gemacht und klingt erst einmal nach einem Alptraum.

Weiterlesen

kais-universum.de