Linux – slacc

Linux Apache SSL-Zertifikat über Windows Server 2012 R2 PKI anfordern

Geschrieben am 2. Februar 2018 Von slacc

Intranet Linux Apache Server mit SSL-Verschlüsselung die von Domänen-Client-PCs als „sicher“ eingestuft wird.

Windows Server:
servername.firma.intern als DNS Eintrag auf dem DC hinzufügen:
DNS-Manager
DNS -> DC -> Forward-Lookupzonen -> firma.intern
Rechtsklick -> Neuer Host
Name -> Servername
IP-Adresse -> IP vom Server eintragen (für diese Anleitung verwende ich im folgenden 192.168.1.23 als IP)
-> Host hinzufügen

Linux Server:

mkdir /etc/apache2/ssl
cd /etc/apache2/ssl
openssl genrsa 2048 > server.key

openssl req -new -sha256 -key ./server.key > request.csr
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bundesland
Locality Name (eg, city) []:Stadt
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Firma
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:servername.firma.intern
Email Address []:email@firma.de

Please enter the following ‚extra‘ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

cat request.csr
in die Zwischenablage kopieren

Windows Server:
Es muss die Rolle Active Directory-Zertifikatdienste aktiv sein (Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung).

Powershell (dies aktiviert SAN damit auch Chrome das Zertifikat akzeptiert):

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc

Internet Explorer als Admin starten
http://server/certsrv
-> Ein Zertifikat anfordern
-> erweiterte Zertifikatanforderung
-> Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet…

Zertifikat- oder Erneuerungsanforderung einreichen
Base-64-codierte Zertifikatsanforderung (CMC oder PKCs #10 oder PKCS #7)
-> aus Zwischenablage einfügen

Zertifikatsvorlage: Webserver

bei Attribute:

san:dns=servername.firma.intern&dns=192.168.1.23&ipaddress=192.168.1.23

-> Einsenden

Zertifikat wurde ausgestellt
-> Base-64-codiert
-> Download des Zertifikats

mit WinSCP auf den Linux Server kopieren

Linux Server:

mv /home/user/certnew.cer /etc/apache2/ssl/server.cer
chown root:root server.cer
chmod -R 600 /etc/apache2/ssl

vi /etc/apache2/sites-available/default-ssl.conf
einfügen:
SSLCertificateFile /etc/apache2/ssl/server.cer
SSLCertificateKeyFile /etc/apache2/ssl/server.key

a2enmod ssl
a2ensite default-ssl
systemctl reload apache2

Dann sollten Edge und Chrome https://servername.firma.intern/ und https://192.168.1.23/ akzeptieren.

Im Firefox muss man noch eine Einstellung setzen damit Domänen-Zertifikate funktionieren:
about:config
security.enterprise_roots.enabled von false auf true setzen (Rechtsklick -> umschalten)

rad1o badge mit GQRX unter Kali Linux 2.0

Geschrieben am 28. August 2015 Von slacc

GQRX und die benötigten SDR-Pakete sind unter Kali Linux 2.0 schon vorinstalliert, allerdings bekommt man mit dem rad1o badge eine Fehlermeldung:

root@kali:~# hackrf_info
hackrf_open() failed: HACKRF_ERROR_LIBUSB (-1000)

Was sich ganz einfach lösen lässt in dem man das im Kernel integrierte modul „hackrf“ deaktiviert:

root@kali:~# rmmod hackrf

Und schon wird das rad1o badge erkannt:

root@kali:~# hackrf_info
Found HackRF board.
Board ID Number: 3 (Unknown Board ID)
Firmware Version: git-dfbbbfb
Part ID Number: 0xa0000a30 0x0055434f
Serial Number: 0x00000000 0x00000000 0x750815d9 0x220e1437

Damit das Modul hackrf permanent deaktiviert bleibt:

root@kali:~# echo "blacklist hackrf" >> /etc/modprobe.d/blacklist-hackrf.conf

Und schon kann man gqrx unter Kali Sana starten ohne sich mit dem install-script aus dem rad1o badge wiki herum ärgern zu müssen 😉

PS: Bei der Live-USB Version von Kali kamen bei mir keine brauchbaren Signale in GQRX, nach der Festplatten Installation lief es tadellos.

ZNC 1.6.1 update auf einem centOS5 Host (uberspace)

Geschrieben am 15. August 2015 Von JDT

Ich hocke auf einem alten Uberspace Account mit einem CentOS5 drunter, bis jetzt haben die Updates ohne Probleme geklappt, mit der 1.61 habe ich wild gekämpft!

Diese Lösung hat mich 3 Abende gekostet…

1) das source ball runterladen (wie in der ZNC-Anleitung)

2) ./configure –prefix=“$HOME/ZNC“ –with-openssl=/package/host/localhost/openssl

3) make

4) make install

5) Starten mit: /home/$USER/ZNC/bin/znc

Fehlermeldung 1:

/home/$user/ZNC/bin/znc: error while loading shared libraries: libssl.so.1.0.0: cannot open shared object file: No such file or directory

Lösung für 1:

export LD_LIBRARY_PATH=/package/host/localhost/gcc-5.2/lib64:/package/host/localhost/openssl-1.0.2a/lib/

Fehlermeldung 2:

/home/$user/ZNC/bin/znc: /usr/lib64/libstdc++.so.6: version `GLIBCXX_3.4.20′ not found (required by /home/$user/ZNC/bin/znc)

/home/$user/ZNC/bin/znc: /usr/lib64/libstdc++.so.6: version `GLIBCXX_3.4.11′ not found (required by /home/$user/ZNC/bin/znc)

/home/$user/ZNC/bin/znc: /usr/lib64/libstdc++.so.6: version `GLIBCXX_3.4.18′ not found (required by /home/$user/ZNC/bin/znc)

/home/$user/ZNC/bin/znc: /usr/lib64/libstdc++.so.6: version `GLIBCXX_3.4.14′ not found (required by /home/$user/ZNC/bin/znc)

/home/$user/ZNC/bin/znc: /usr/lib64/libstdc++.so.6: version `GLIBCXX_3.4.9′ not found (required by /home/$user/ZNC/bin/znc)

/home/$user/ZNC/bin/znc: /usr/lib64/libstdc++.so.6: version `GLIBCXX_3.4.15′ not found (required by /home/$user/ZNC/bin/znc)

Lösung für 2:

export LD_LIBRARY_PATH=/package/host/localhost/gcc-5.2/lib64

Dann erscheint aber wieder die Fehlermeldung 1….

Lösung für beide:

export LD_LIBRARY_PATH=/package/host/localhost/gcc-5.2/lib64:/package/host/localhost/openssl-1.0.2a/lib

Danach funktioniert auch ein Start wieder wie immer!! Um dies dauerhaft zu implementieren, den Befehl einfach in die .bashrc einfügen.

Shellshock: bash manuell patchen

Geschrieben am 1. Oktober 2014 Von slacc

Eine sehr gute Anleitung habe ich gerade hier gefunden:
http://stevejenkins.com/blog/2014/09/how-to-manually-update-bash-to-patch-shellshock-bug-on-older-fedora-based-systems/

EDIT: selbst nach dem (automatischem) Patchen bleiben alte bash versionen mit dem bug im RAM!!!
http://stevejenkins.com/blog/2014/09/shellshock-warning-even-after-patching-your-old-vulnerable-bash-binary-could-be-resurrected-from-memory/

Raspberry Pi GPIO als serielles Interface nutzen

Geschrieben am 30. Oktober 2013 Von slacc

Da will man mal eben schnell neue Animationen auf sein Hacklace flashen, stellt aber beim Lesen des Wiki fest, dass man dafür eine serielle Schnittstelle braucht statt dem rausgekramten USB ISP… Firmware ist ja schon drauf geflasht. Aber hey wozu hat man einen Raspberry Pi mit GPIO? Kann man doch wunderbar als serielles 3.3V Interface nutzen:
http://elinux.org/RPi_Serial_Connection
http://elinux.org/RPi_Low-level_peripherals#GPIO_hardware_hacking

Mehrere SSL Zertifikate auf einer IP mit Apache

Geschrieben am 15. Oktober 2013 Von slacc

http://allfacebook.de/gastbeitrag/howto-mehrere-ssl-zertifikate-auf-apache-einrichten

Dateirechte unter Linux anpassen

Geschrieben am 8. Oktober 2013 Von slacc

Dateirechte unter Linux anpassen ist ja relativ einfach: für Ordner „chmod 755“ und für Dateien „chmod 644“. Aber was soll man bei einem entpackten .tar.gz Archiv machen, wo alle Ordner und Dateien „chmod 777“ haben? Ein Weg wäre „chmod -R 644 *“ um die Dateirechte rekursiv anzupassen. Aber wie filtern ob es ein Ordner oder eine Datei ist?

To recursively give directories read&execute privileges:
find /path/to/base/dir -type d -exec chmod 755 {} +

To recursively give files read privileges:
find /path/to/base/dir -type f -exec chmod 644 {} +

Quelle: http://superuser.com/questions/91935/how-to-chmod-755-all-directories-but-no-file-recursively