"Die größte Verwundbarkeit ist die Unwissenheit."

Stun Tzu - chin. General ca. 3000 v.Chr.

Ich bin Uli Kleemann Linux Admin aus Überzeugung

  • English
Uli Kleemann
View Larger Map
    Startseite
  • über mich
  • Lebenslauf
  • Projekte
  • freier-offline-sprachassistent
  • Zertifikate
  • Referenzen
  • Vorträge
  • Datenklau
  • HOWTOS
  • Ebooks
  • Videos
  • Musik
  • Interessen
  • Uli und die Schmöker
  • Downloads
  • DSGVO
  • Impressum
  • Konferenz
  • Cloud

 

    Mailserver mit DKIM und DMARC und Sieve

    Wer sicher gehen möchte nicht vom Wohl und Wehe der Betrieber abhängig zu sein und diesen seine intimsten Daten nicht anvertrauen möchte der kommt um des Betreiben eigener Infrakstruktur nicht herum. Ist das bei Web oder Fileservern noch eher trivial , so erfordert die Implementierung eines eigenen Mailservers schon einiges an Wissen und Verständnis. V-Server sind mittlerweile darart günstig daß sich ein eigener Mailserver im RZ im Vergleich zu einem kostenpflichtigen Postfach nicht nur schnell rechnet , er ermöglicht auch individuelle Konfigurationen wie Spamfilter-Regeln- Sortierung über Sieve, Black und Greylisting, verwalten des Email-Verkehrs für mehrere Domänen usw.
    War früher sendmail als MTA der Platzhirsch und seine Konfiguration die Feuertaufe für Mailserver-Admins, so ist der inzwischen hoffnungslos veraltete MTA durch postfix und exim ersetzt worden. Als MDA hat sich Dovecot durchgesetzt. Musste man früher mühsam jede einzelne Komponente einzeln installieren und konfigurieren, so bieten sich heute komplette Mailserver Pakete wie modoboa und mailcow zum ausrollen an. Ich entschied mich für modoboa, da es alles bietet was ich benötige und keinen apache2 für sein Admin Frontend benötigt , weil es mit nginx arbeitet, und als Database postgres verwendet, wobei auch mysql und mariadb benutzt werden können. Amavis kümmert sich um möglche viren, DKIM überprüft die Herkunft der mails und DMARC legt fest was wie behandelt wird, das nicht 100% koscher zu sein scheint. Automx emöglicht die Administration über eine Weboberfläche.
    Als Betriebssystem habe ich mich für Debian 9 entschieden, der modoboa-installer wird von Debian10 und Centos8 noch nicht unterstützt. Eine sehr gute und ausführliche Anleitung gibt es von Tomas Leistner: https://thomas-leister.de/mailserver-unter-ubuntu-16.04/ Die modoboa instalation mit Debian 9 wird hier sehr gut erklärt: https://goneuland.de/modoboa-mailserver-unter-debian-9-stretch-schnell-und-einfach-installieren/ Bei längeren Dateinamen sollte die config im http Block von NGINX etwa so aussehen

    http { ## # Basic Settings ## sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 65; types_hash_max_size 2048; # server_tokens off; server_names_hash_bucket_size 64; # server_name_in_redirect off; include /etc/nginx/mime.types; default_type application/octet-stream; ## # SSL Settings ##

    da es sonst eine Fehlermeldung wegen des server_names_hash_bucket_size 32 gibt. Wer mehrere Domains verwalten möchte trägt die entsprechend in die MX Records ein. Eine Konfiguration in postfix oder dovecot ist nicht nötig.

    Monitoring mit Prometheus & Grafana

    Monitoring gehört zu den wohl unbeliebtesten Tätigkeiten eines Systemadmins. Wer schonmal stundenlang in diversten logfiles nach der Fehlerursache eine nicht korrekt startenden Dienstes gesucht hat weis wovon ich rede. Schön wenn der Admin dann ein gutes Werkzeug zur Übrwerwachung seiner Hosts hat und da geht die Qual der Wahl auch schon los. Monitoring tolols gibt es wie Sand am mehr. Von einfachen wie MRTG bis zu hochkomplexen wie Nagios und Icinga in Kombination mit IDS Systemen wie Surricata. Wie bei allen tools muss man sich vorher überlegen was man monitoren möchte und wie. Ich habe mich für die Lösung prometheus und grafana entschieden. Gründe dafür waren u.a.

    Skalierbarkeit

    Moderne IT-Architekturen unterscheiden sich von Lösungen der Vergangenheit meist fundamental dadurch, daß sie sich beliebig erweitern, also in die Breite skalieren lassen. Sie sind deutlich flexibler als ihre althergebrachten Kollegen: Oft laufen sie nicht mehr auf echtem Blech, sondern in virtuellen Maschinen in Clouds.

    MAT Monitoring, Alerting und Trending

    Ein zeitgemäßes Monitoring muß dem Admin verlässliche Daten dazu liefern, wann die Erweiterung des Setups (virtuell oder physisch) notwendig ist. Monitoring, Alerting und Trending unterscheiden sich allerdings grundlegend in der Art der Datenerhebung. Monitoring soll überwachen ob ein bestimmeter Dienst läuft und wenn nicht ggf. Alarm schlagen (Alerting). Beim Trending interessiert hingegen, ob ein Kriterium wie “CPU-Nutzung" oder "RAM-Verbrauch" über eine definierte Periode so hoch ist, daß das Skalieren der Plattform notwendig wird. Anders als bei Nagios stehen hier sog. Zeitreihen oder Time Series Databases im Vordergrund. Über ein entsprechendes Query lässt sich aus einer solchen Datenbank sofort herausfinden, wie sich beispielsweise die CPU-Nutzung über einen Zeitraum entwickelt hat. Die Zeitreihen-Datenbank gibt direkt die entsprechende Zeitreihe aus, statt Einzelwerte anzuzeigen, die dann ein anderes Programm in Relation setzen muss.

    Visualisierung

    hier kommt grafana ins Spiel. Grafana stellt einen Server zur Verfügung, mit dem Zeitreihen von Zahlenwerten graphisch dargestellt und manipuliert werden können. Das Anlegen sog. Dashboards und die Gestaltung der Achsen (Minimum. Maximum) ist mittels einer Weboberfläche im Browswer möglich. Zusätzlich existieren verschiedene Paneltypen, die neben dem klassischen Chart (Line / Bar / Point) auch Pie Charts oder Tabellen beinhalten.

    Konfigurierbare Firewall mit pfSense

    Eine eigene Firewall für mein LAN wollte ich schon immer haben. Eine Kaufappliance schied dabei schon aus Kostengründen aus und Elektronik.Schrott musste ich auch nicht mehr haben . Natürlich tut es auch ein alter PC mit 2 Netzwerkkarten , doch ist das angesichts der aktuellen Strompreise keine wirklich sinnvolle Lösung auf Dauer. Also habe ich mir eine 1HE 19” Appliance besorgt mit 512MB RAM und 1,6 GHZ AMD Prozessor. Bei der Auswahl der Firewall stiess ich auf 2 Alternativen:
    Den Klassiker pfsense und den Fork openSense. ich habe mich für den Klassiker entschieden , das dieser von einer größeren Community entwickelt und maintained wird.
    pfSense ist eine auf FreeBSD basierende Software-Firewall-Lösung, die sich vor kommerzielen Appliances nicht zu verstecken braucht.
      • Stateful Packet Inspection (SPI) • GeoIP blocking • Anti-Spoofing • Time based rules • Connection limits • Dynamic DNS • Reverse proxy • Captive portal guest network • Supports concurrent IPv4 and IPv6 • NAT mapping (inbound/outbound) • VLAN support (802.1q) • Configurable static routing • IPv6 network prefix translation • IPv6 router advertisements • Multiple IP addresses per interface • DHCP server • DNS forwarding • Wake-on-LAN • PPPoE Server

    Sie kann

      IPsec and OpenVPN • Site-to-site and remote access VPN support • SSL encryption • VPN client for multiple operating systems • L2TP/IPsec for mobile devices • Multi-WAN for failover • IPv6 support • Split tunneling • Multiple tunnels • VPN tunnel failover • NAT support • Automatic or custom routing • Local user authentication or RADIUS/LDAP
    und pfsense bringt ein snort-basiertes IDS gleich mit . Das pf.sense image kann auf einen USB Stick installiert, und die Firewall von diesem gebootet werden.
    # gunzip pfSense-CE-memstick-2.4.1-RELEASE-amd64.img.gz # dd if=pfSense-CE-memstick-2.4.1-RELEASE-amd64.img of=/dev/sdX bs=1M # sync
    Nach der Installation kann pfSense bequem über einen Webbrowser konfiguriert werden. Wichtig: Die Konfiguration erfolgt über die LAN-Seite der Firewall, stellen Sie deshalb sicher, daß Sie auf das LAN-Interface Zugriff haben.

    Disclaimer

    Haftung für Inhalte

    Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.

    Haftung für Links

    Unser Angebot enthält Links zu externen Websites Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.

    Urheberrecht

    Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den privaten, nicht kommerziellen Gebrauch gestattet. Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.