Tag Archives: Security

Dateirechte-Management für WordPress

Dieser Artikel soll ein “System” zum managen der Dateiberechtigungen bei einer WordPress Installation vorstellen. Für den Artikel bin ich davon ausgegangen, dass WordPress auf einem Linux (bzw. Un*x-artigem) System installiert ist. Für eine Installation auf Windows-Basis fehlt mir schlicht die Erfahrung.

Continue reading

SSL-Auslieferung von WordPress

Die Artikelserie “Absichern von WordPress” soll helfen, die eigene Installation von WordPress auf einem Webserver gegen Angriffe zu schützen. Dieser Artikel startet eine Mini-Serie von Artikeln zu diesem Thema.

Beginnen möchte ich mit einem auf den ersten Blick ziemlich einfachen Thema: der Auslieferung einer SSL-Variante des Blogs (per https://). Das ist nicht ganz so leicht, wie es sich anhört, denn zur Zeit ist WP einfach nicht darauf ausgelegt, dem Benutzer die Wahl zu lassen zwischen der http oder https. Wenn man sich entschliesst, alles per SSL anzubieten ist das natürlich kein Problem. Will man jedoch nur den Administrationsbereich und den Benutzer-Login per SSL vor dem einfachen mitschneiden (durch beispielsweise WLAN-Sniffer im Lieblingscafé) schützen, ist das nicht mehr so einfach.
Continue reading

Schnell ein SSL-Zertifikat erstellen und dem Apachen einbauen

Es gibt je bereits einige HowTo’s im Internet zum erstellen eines Webserver-Zertifikats mit Hilfe von OpenSSL. Fast alle die ich bisher gesehen habe, gehen jedoch den umständlichen Weg und erstellen zuerst eine Certificate Authority (CA), welche dann das Zertifikat des Webservers signiert. Der Vorteil dieser Lösung ist: wenn man mehrere Server absichern möchte (z.B. auch den Mailserver und den IMAP Server), dann muss man nur einmal das Zertifikat der CA importieren und als vertrauenswürdig klassifizieren. Alles weitere geht dann automatisch. Wer jedoch einfach nur schnell ein Zertifikat für seinen Webserver möchte, der kann sich einfach ein selbstsigniertes Zertifikat sehr schnell basteln.

Mit den folgenden Schritten wird auf einem Unix/Linux System ein Zertifikat erzeugt.
Continue reading

Nerdausfluss – oder wie man einem User einen chroot-SFTP Zugang gibt

Heute wird es etwas sehr technisch und länger 🙂

Ich hab heute auf einem 64-Bit Debian Lenny einen User einrichten wollen, welcher ausschlieߟlich einen mit chroot eingesperrten SFTP Zugang bekommt. Er sollte also weder mit SCP noch mit SSH Zugriff auf dem System erhalten, noch sollte er sich aus einem bestimmten Verzeichnis rausbewegen können (um nichts anzustellen).

Früher hab ich dies mit Hilfe des Paketes scponly (oder rssh) realisiert. Gut, wenn ich mich richtig erinnere, war es auch schon etwas fummeln. Aber es lief dann wenigstens so wie es sollte… Wie ich es unter OpenBSD anno dazumal gelöst habe weiss ich allerdings nicht mehr wirklich, ich meine es war auch mit scponly.

Als ich es nun heute wieder einmal brauchte und Tante Google dazu befragte, musste ich erstaunt feststellen, dass es viele Leute gibt, die es unter den selben Voraussetzungen, welche ich hatte, bereits (erfolglos) versucht haben. Zumindest unter 64 Bit Systemen ist es nicht mehr so einfach. Leider findet man den wichtigen Hinweis erst sehr spät. Meine verwendeten Suchbegriffe trafen es jedenfalls nicht. Nach einigen Stunden des experimentierens mit dem jail, war ich nur noch gefühlte Zentimeter von meinem Ziel entfernt. Es wollte aber irgendwie nicht. Glücklicherweise kam ich dann irgendwie auf den erwähnten Artikel “OpenSSH SFTP chroot() with ChrootDirectory” bei debian-administration.org. Es wurde auch Zeit, dass OpenSSH die nötigen Ding dafür von Haus aus mitbringt. Im folgenden beschreibe ich kurz, wie es sehr einfach und schnell geht.

Continue reading