SFTP in chroot()-Umgebung made easy

By shortcut April 6th, 2011, under Gentoo, Linux

Uploader möchte man im Allgemeinen auf dem eigenen Server in Ihre Home-Directories eingesperrt wissen. Die haben außerhalb einfach nichts verloren. Das geht seit Jahren problemlos mit dem ProFTPd mit der simplen Direktive:

DefaultRoot ~

FTP ist mittlerweile aber ziemlich überholt. Ich selbst benutze nur noch SFTP oder Rsync-over-SSH. Einfach weil die Übertragung verschlüsselt stattfindet und eine Publi-Private-Key Authentifizierung stattfindet und so keine Passwörter gespeichert oder gar im Klartext übertragen werden müssen.

Allerdings bricht man sich die Beine, sofern man jemanden in ein Verzeichnis einsperren möchte und derjenige aber ein etwas (zurecht) ausgeprägeteres Sicherheitsbedürfnis hat und eben eine verschlüsselte Verbindung nutzen möchte.

Beim World-Update meines Gentoo-Servers fiel mir das USE-Flag „sftp“ beim Proftpd auf. Also gleich mal das Flag aktiviert und proftpd neu kompiliert. Nun ist auch die sichere Verbindung mit chroot() wirklich einfach geworden. So funktionierts:

SFTPEngine      On
SFTPLog /var/log/proftpd_sftp.log
SFTPHostKey /etc/ssh/ssh_host_rsa_key
SFTPHostKey /etc/ssh/ssh_host_dsa_key

# Configure the file used for comparing authorized public keys of users.
SFTPAuthorizedUserKeys file:~/.ssh/sftp_authorized_keys

# Enable compression
SFTPCompression delayed

# Allow the same number of authentication attempts as OpenSSH.
#
# It is recommended that you explicitly configure MaxLoginAttempts
# for your SSH2/SFTP instance to be higher than the normal
# MaxLoginAttempts value for FTP, as there are more ways to authenticate
# using SSH2.
MaxLoginAttempts 6

Die Public-Key muss allerdings im RFC4716 Format vorliegen. Konvertieren kann man so:

ssh-keygen -e -f ~/.ssh/id_rsa.pub

Weitere Infos gibt es direkt beim Autor des Moduls

Hängende Apacheprozesse killen ohne den ganzen Server zu restarten

By shortcut März 30th, 2011, under Gentoo, Linux

Manchmal kommt es vor, dass nach einem /etc/init.d/apache2 reload auch nach längerer Zeit noch Apacheprozesse mit dem Status „G“ in der Prozessliste rumdümpeln. Die brauchen wertvolles RAM und gehen in der Regeln nicht von alleine weg. Sie können nach meiner Beobachtung mehrere Ursachen haben. Unsaubere Skripte, Client ist noch verbunden, etc.

Mit dieser Zeile

lynx --dump http://localhost/server-status | grep " G " | \
cut -d" " -f 5 | xargs kill -9

Kann man die „hängenden“ Prozesse abschießen. Setzt natürlich voraus, dass der /server-status lokal erreichbar ist.

Nun ist er da, der Held

By shortcut Oktober 15th, 2009, under Android

Und auch gleich mal einen Blogpost damit probieren. Toll, oder?

Android oder doch nicht…

By shortcut Oktober 3rd, 2009, under Android

Schwere Frage, noch schwerere Entscheidung. Eigentlich juckt es mich schon sehr in Zeiten von Twitter, Facebook, Flickr usw. ein passendes mobiles Endgerät zu haben. Das HTC Hero könnte mir schon gut gefallen, hat es doch die aktuell wohl schönste Oberfläche, einen anscheinend vernünftigen Akku, eine ausreichende Zubehörpalette und noch einiges mehr. Mobile Datenverbindungen sind auch in der letzten Zeit bezahlbar geworden.

Hätte aber als Konsequenz, dass ich mittelfristig mit 2 Telefonen rumlaufen müßte, da mein T-MobileVertrag leider noch ein gutes Jahr läuft. Auch irgendwie doof. Kostentechnisch würde ich mich auch nicht verbessern.

Am besten schlafe ich noch die eine oder andere Nacht über die Entscheidung. Schön wärs schon.

What’s my pirate name?

By shortcut September 24th, 2009, under Netzwelt
My pirate name is:
Black Roger Kidd

Like anyone confronted with the harshness of robbery on the high seas, you can be pessimistic at times. Even though you’re not always the traditional swaggering gallant, your steadiness and planning make you a fine, reliable pirate. Arr!

Get your own pirate name from piratequiz.com.
part of the fidius.org network

DD-WRT als OpenVPN-Server

By shortcut Juli 30th, 2009, under Gentoo, Linux

Die aktuellen Preise der Energieversorger drängen zum Umdenken – irgendwie.

Es ist zwar sehr angenehm einen Server zuhause stehen zu haben, auf den man sich rund um die Uhr connecten kann. Dumm nur, wenn er 95% des Tages idlet.

Eine neue Lösung musste her um sich von unterwegs daheim einzuloggen und z.B. den LinVDR zu starten.

Ein WRT54GL verrichtet seit Jahren klaglos seinen Dienst mit DD-WRT. Das hatte ich mir ausgesucht, weil ich mal mit HotSpot-Funktionalitäten herumspielen wollte. Hatte damals auch prima geklappt. Der WRT stand im LAN, ein Radius-Server und die Splashseite waren auf meinem Server im Netz.

Geschickterweise gibt es auch ein Firmware-Image mit integriertem OpenVPN sowohl Client als auch Server.

Hier meine Einstellungen (Klick aufs Bild für Originalgröße):

dd-wrt-vpn-1

In die Felder:

Public Server Cert
Public Client Cert
Private Client Key
DH PEM
trägt man die generierten Keys bzw. Zertifikate ein. Prinzipiell kann man nach der Anleitung im DD-WRT-Wiki vorgehen.
Hier noch meine openvpn.conf auf dem WRT:
server 10.9.0.0 255.255.255.0
port 1195
proto udp
tls-server
dev tun
ca ca.crt
cert cert.pem
key key.pem
dh dh.pem
client-to-client
push "route 192.168.178.0 255.255.255.0"
comp-lzo
ping-timer-rem
keepalive 20 180
verb 3

Abweichend zum Default hört das OpenVPN auf dem WRT auf Port 1195. Ich habe das lieber sauber in der Fritz!Box die die DSL-Leitung handlet getrennt. Ausserdem verwende ich intern wie extern bei solchen Sachen gerne dieselben Portnummern.

Nun muss man dem WRT noch mitteilen, dass beim Booten auch das OpenVPN mitstarten soll:

dd-wrt-vpn2

Das Ganze nochmal für Copy&Paste, die beiden Skripte sind jeweils in die Inputbox bei Kommandos einzutragen:

cd /tmp/openvpn
/usr/sbin/openvpn --daemon --config /tmp/openvpn/openvpn.conf
sleep 5

und die Firewall, damit auch sauber ins Netz geroutet wird:

/usr/sbin/iptables -I INPUT -p udp --dport 1195 -j ACCEPT
/usr/sbin/iptables -I INPUT -i tun+ -j ACCEPT
/usr/sbin/iptables -I FORWARD -i tun+ -j ACCEPT

Jetzt kann ich auch von unterwegs schnell mal den Videorekorder per WOL anwerfen und Timer erstellen o.ä.

Meine 1&1-Kündigung ist endlich eingetütet

By shortcut Juli 20th, 2009, under Netzwelt

Nachdem ich schon meinen Telefonanschluß nach fragwürdigen Briefen der T-Com umstellen durfte – habe natürlich einen Anschluss genommen, der ebenfalls nur 7-Tage Kündigungsfrist hat (Call Plus ISDN) und auch noch 3 EUR weniger im Monat kostet  als der bisherige ISDN-Komfort-Anschluss. Eigentlich wollte ich auf einen Analog-Anschluß wechseln, da zusätzliche Rufnummern nicht mehr benötigt werden aber das hätte einmalig 60 EUR gekostet und würde sich nur rechnen, wenn man noch länger bei der T-Com bleiben will…

Daher dachte ich gleich mal die TK-Geschichten komplett zu bereinigen, da 60 EUR/Monat plus Mobilfunk einfach nicht mehr zeitgemäß sind.

Also auf vertrag.1und1.de eingeloggt und das 3DSL-Paket auch gleich mitgekündigt. Man muß danach zwar noch eine 0800-Nummer bei 1und1 anrufen, um seinen Authentifizierungscode nochmal durchzugeben aber dann stand auch umgehend das übliche Fax zur Verfügung, welches ich auch gleich an die 0180er-Nummer zurückgefaxt habe. Aktuell ist der Status:

Bin mal gespann wie ob das am Ende alles glatt läuft, meine Nummern beibehalten werden, mein DSL-Port rechtzeitig zum neuen Anbieter umgezogen werden kann usw. Könnte noch spannend werden.

… to be continued

Update 20090724:

Ich habe mich natürlich vertan, der neue Anschluß ist 10 Cent teurer als der alte *damn*

Ausserdem hat sich T-Home / T-Com schon wieder beliebt gemacht. Zwei Tage nach Umstellungstermin trudelte ein Schreiben hier ein, welches mich zu meinem Komplettpaket bei T-Home beglückwünschte (?häh? Ein ISDN-Anschluss ist bereits ein Komplettpaket? Respekt?) und ich soll doch – damit ich das Komplettpaket auch nutzen kann – bei meinem bisherigen Anbieter den DSL-Anschluss kündigen. Tja, habe ich ja bereits gemacht, aber: Ich will ja nach Ende bei 1und1 doch höchstwahrscheinlich gar nicht zu einem Zensurprovider… Nur mal so als Denkanstoß.

links for 2009-07-08

By shortcut Juli 8th, 2009, under Links

links for 2009-07-01

By shortcut Juli 1st, 2009, under Links

links for 2009-06-24

By shortcut Juni 24th, 2009, under Links