MySQL mit SSL

Ziel: MySQL mit SSL im master-master setup

Die Geschichte des SSL mit MySQL ist eine Geschichte voller Mißverständnisse.
Es funktioniert. Ist aber schmerzhaft zu implementieren. Dieser Anleitung ist ergo leider strikt zu folgen. 🙁

Besondere Ärgernisse/Fallstricke:
– Es müssen pro Instanz und Replikationsuser je ein eigenes Zertifikat (also hier zwei mal zwei, wenn noch slaves dazu kommen jeweils noch ein weiteres) – selbes für clients (da könnte es aber, im Notfall, reichen ein einziges zu nutzen)
– Als Cipher funktionierte nur „DHE-RSA-AES256-SHA“ und nix besseres
– Fehlermeldungen sind, wenn überhaupt, allesamt verwirrend/nicht zielführend
„MySQL mit SSL“ weiterlesen

CMD-FS

CMD-FS ist eine weitere elegante Methode, um ausser mit Monit oder fspy, automatisch beliebige (Datei-) Operationen auszuführen wenn sich etwas an Verzeichnissen oder Dateien ändert. Ausserdem kann man damit Dateisystem-Views erstellen. Es wird als FUSE virtual filesystem integriert.
Zum Beispiel kann man damit automatisch Bilder oder Videos bearbeiten lassen, durch einen Virenscanner schleusen oder in ein Versionierungssystem (cvs/svn/git) einbringen sobald sie in einem Verzeichniss abgelegt werden. Man kann aber auch Dateien aus einem Verzeichniss automatisch in einer RAM-Disk cachen.
Die Views funktionieren so das man in einem Verzeichniss nur bestimmte Dateien, anhand von regular expressions oder des MIME-Typs, sichtbar machen kann.
„CMD-FS“ weiterlesen

EncFS

EncFS ist ein virtuelles verschlüsseltes pseudo „Dateisystem“.
Im Gegensatz zu den meisten anderen verschlüsselten Dateisystemen verzichtet EncFS auf „Container-Dateien“ mit denen man sich meist auf eine feste Größe festlegt. Sondern benutzt nur ein normales Verzeichniss, mit einer Steuerdatei, für die verschlüsselten Dateien (jede Datei ist einzeln verschlüsselt). Und einen mountpoint über den die Dateien entschlüsselt bereit gestellt werden. Es wird also auch kein Speicherplatz durch pre-allocating verschwendet. Ausserdem läuft es, mittels FUSE, im Userspace.
Interessant um z.B. Dateien in einer Dropbox oder auch Verzeichnisse im NFS oder auf CD-ROMs (hier natürlich read-only) schützen.

„EncFS“ weiterlesen

monit

monit restartet (er kann auch jede beliebige andere Aktion ausfühern) Dienste automatisch wenn bestimmte Konditionen zutreffen, wie z.B. der daemon läuft amok und frisst CPU oder Speicher, die systemlast im allgemeinen ist zu hoch, er stirbt ganz einfach, eine (z.B. Konfig) Datei ändert sich oder ein anderer Dienst wird durchgestartet von dem der jeweilige abhängt uvm. und leistet so u.a. einen guten Beitrag zur hochverfügbarkeit. Nebenbei lässt es sich noch als IDS „mißbrauchen“ da es timestamps und checksummen von Dateien überwachen kann.
Über jede Aktion informiert monit per mail, was manchmal unnötig/ungewollt ist. Diese Notifizierung kann man aber abschalten!

„monit“ weiterlesen

fspy – Eine schlanke und schnelle Alternative zu FAM

Ein weiters Frontend welches das kürzlich vorgestellte inotify nutzt, um Veränderungen an Verzeichnissen und Dateien zu melden, ist fspy. Sehr schön: es kann regex, die Ausgabe ist schön anpassbar und es ist sehr schnell einsatzbereit. ( Und auch deutlich schneller/performanter als das, inzwischen, veraltete FAM. )

„fspy – Eine schlanke und schnelle Alternative zu FAM“ weiterlesen

Hardening FreeBSD

Ich stelle hier einige Tips zum absichern eines FreeBSD (z.B. als Firewall) Servers vor.
Der folgende Text erhebt keinerlei Anspruch auf vollständigkeit! Zudem empfehle ich dringendst die einzelnen Tips vorher auf einer Testkiste zu testen. Auch muss nicht alles so übernommen wie hier steht da einiges (z.B. ‚kern_securelevel=“3″‚, ’net.inet.tcp.blackhole=2‘ oder ‚console none unknown off insecure‘) vielleicht dem einen oder anderen setting zu viel ist. Auch sei die konsultation der Manpages sehr empfohlen.

„Dependency“: FreeBSD 5.3 oder höher
„Hardening FreeBSD“ weiterlesen