Zugriff auf Server absichern

ayla · 2013/03/23, 20:43:19

Quote from: "cryptosteve"
Ja, man muss auch Textdateien editieren.

und eine (lighttpd.conf) hab' ich sogar schon gefunden...

Sogar gerade noch zwei mit denen ich wohl zu tun bekomme: 05-auth.conf und 10-ssl.conf

rolandx1 · 2013/03/23, 22:19:36

lighty-enable-mod ist auch ein sehr sinnvoller befehl (ssl/cgi) usw

ayla · 2013/03/23, 22:30:13

Den hab ich schon entdeckt, trotzdem danke.

Schlag mich gerade mit dieser Seite herum, aber lighty meldet einen error im configfile.c.943 -> parser failed. (auth.conf) Meine Adaption ist wohl (noch

nicht optimal.

Oder anders ausgedrückt: Ich blick noch nicht so wirklich durch.
Wird wohl heut abend auch nix mehr, erst mal drüber schlafen.

So,
ich bekomme via dnsdynamic und dem vorgegebenen Port auf dem Pi die index.lighttpd.html, allerdings noch nicht mit ssl obwohl ich das eigentlich dachte konfiguriert zu haben. Aber immerhin.
Wenn ich meine test.php aufrufen will bekomme ich ein "403" :evil:

Aber mal 'ne ganz andere Frage:

Ich hab' noch nichts gefunden was auf eine Authentizierung mit Client-Zertifikaten o.ä. hinweist. Geht das mit lighttpd? (oder mit nginx?)

cryptosteve · 2013/03/24, 07:47:58

Dann merke Dir mal gut, was genau Du da machst, damit Du das nachher auch aufschreiben kannst. An so einer Client-certificate-Authentifizierung hätte ich nämlich auch noch gesteigertes Interesse, habe mich da aber bislang irgendwie noch nicht rangetraut.

ralfi · 2013/03/24, 09:48:40

Hi ayla, Du kannst ja mal versuchen, ob Du auf dem PI auch SNORT zum Laufen bekommst. Vielleicht etwas überdimensioniert aber nun mal nicht umsonst (inkl. Abkömmlinge) DER Standard für IDS. Und man lernt bei der Beschäftigung damit unglaublich viel über Netzwerkprotokolle und alles was damit zusammenhängt.

ayla · 2013/03/24, 11:13:08

Quote from: "cryptosteve"Dann merke Dir mal gut, was genau Du da machst, damit Du das nachher auch aufschreiben kannst.

Ich führ 'ne Datei in der ich (z.T.) mit protokolliere

ssl funktioniert erst mal auch.

Wenn ich dies hier richtig interpretiere scheint die Geschichte mit Client-Zertifikaten wohl zu gehen.

Code Select

ssl.verifyclient.activate        enable/disable client verification
ssl.verifyclient.enforce                enable/disable enforcing client verification
ssl.verifyclient.depth 	                certificate depth for client verification
ssl.verifyclient.exportcert 	        enable/disable client certificate export to env:SSL_CLIENT_CERT
ssl.verifyclient.username               client certificate entity to export as env:REMOTE_USER (eg. SSL_CLIENT_S_DN_emailAddress, SSL_CLIENT_S_DN_UID, etc.)

Jetzt mal rausfinden wie... Sieht erst mal ziemlich kompliziert aus

@ralfi: Schau ich mir später mal an. Im Moment würde ich das gerne "einfach" mit recent hinkriegen.

Gruß
ayla

ayla · 2013/03/24, 21:57:44

Hi,
EDIT

Ich glaub ich habs

Mein Client Zertifikat wird abgefragt und akzeptiert, wenigstens mal von einer Kiste! Ich muß es aber erst noch ausgiebiger testen -morgen, nach ausschlafen.

Code Select

# /usr/share/doc/lighttpd/ssl.txt

	ssl.engine  = "enable"
	ssl.pemfile = "/etc/lighttpd/server.pem"
	ssl.ca-file = "/etc/lighttpd/server.cert.crt"
	ssl.cipher-list = "ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"
	ssl.honor-cipher-order = "enable"

ssl.verifyclient.activate   = "enable"
ssl.verifyclient.enforce    = "enable"
ssl.verifyclient.exportcert = "enable"

-urspünglicher Beitrag, weil jetzt irrelevant, gelöscht-1:00 Ortszeit, 25.3.

Edit: 26.03. 14:00
Owncloud 5.0 auf dem PI:
apt-get install ark
Aus dem admin-guide von owncloud:
apt-get install php5 php5-gd php-xml-parser php5-intl php5-sqlite curl libcurl3 php5-curl
Owncloud5.0.0 aus dem bz2 entpackt
kopiert nach /var/www
Versuch zu verbinden führt zu 403-error
Von http://redmine.lighttpd.net/projects/lighttpd/wiki/TutorialLighttpdAndPHP#Configuration :
/etc/php5/cli/php.ini editiert und cgi.fix_pathinfo = 1 freigeschaltet

Code Select

fastcgi.server = ( ".php" => (( 
                     "bin-path" => "/usr/bin/php-cgi",
                     "socket" => "/tmp/php.socket" 
                 )))

zu der lighttpd.conf hinzugefügt.
Verbindung erfolgreich-> Anlegen des admin-Kontos -> Fehlermeldung zu WebDAV -> nach Durchlesen diverser Bugreports, wie dort teilweise vorgeschlagen, ignoriert.
Neu verbunden -klappt und funktioniert.

Wiki folgt.

Gruß
ayla

ayla · 2013/03/26, 17:24:25

Soweit geschafft: Wiki.

Jetzt nochmal zu recent

Danke an alle und Gruß
ayla

cryptosteve · 2013/03/26, 17:38:21

Mhmm ... dat iss aber mal respektabel!

Vielen Dank!

rolandx1 · 2013/03/26, 22:29:49

Quote from: "ayla"Soweit geschafft: Wiki.

Jetzt nochmal zu recent

Danke an alle und Gruß
ayla

hui! das nenn ich mal nenn guten wiki-eintrag.
danke ayla

ayla · 2013/03/27, 12:12:47

Danke

Hab das wiki für'n Apache und siduction auch nochmal überarbeitet, sollte jetzt auch brauchbar sein.

Gruß
ayla

whistler_mb · 2013/03/27, 21:45:19

@ayla

Danke für den wiki-Eintrag.

Anhand deines wiki-Eintrags habe ich eine frische wheezy Installation durchgeführt. dabei sind mir ein paar Kleinigkeiten aufgefallen, die man korrigieren bzw. ergänzen könnte.

Aktuell (27.03.2013 21:44) ist aber das wiki für mich nicht erreichbar (Error 502)

ayla · 2013/03/27, 21:52:22

Jupp, krieg auch keine Verbindung, vielleicht ist ja gerade jemand am schrauben..

whistler_mb · 2013/03/27, 22:45:13

Gibt es eine Lösung für die Nutzung des Desktop-Clients und der Android-App bei der Verwendung von Client-Zertifikaten?

ayla · 2013/03/28, 00:59:57

Quote from: "whistler_mb"Gibt es eine Lösung für die Nutzung des Desktop-Clients und der Android-App bei der Verwendung von Client-Zertifikaten?

Das sieht nicht so aus als gäbe es da bereits eine Möglichkeit für den Desktop-Client -offener (Enhancement)Bug.
https://github.com/owncloud/mirall/issues/69

oder für Android:
https://github.com/bartoszprzybylski/owncloud-android/issues/23

Aber vielleicht kann jemand der da wirklich drin steckt mehr zu sagen.

Gruß
ayla

Zugriff auf Server absichern

rolandx1

rolandx1