Server Name Indication mit Apache
Als Webserver Admin kommt man irgendwann an den Punkt, wo man mehr als 1 Webseite betreuen muss / will. Mit virtual Hosts und Apache ist das auch alles gar kein Problem und lässt sich auch bei vielen Domains noch relativ gut verwalten. Wenn man jede Domain allerdings auch noch über https erreichen will, sieht das ganze schon ein bisschen schwieriger aus. https verlangt, dass man pro Host Domain auch eine IP zur Verfügung hat.
example.com brauche eine eigene IP und
foobar.com braucht auch eine eigene IP,
da der Hostname erst nach dem SSL Handshake übertragen wird. Es wird also erst eine SSL Verbindung zu einem Host aufgebaut und dann wird der Hostname (z.B foobar.com) übertragen. Das Zertifikat ist allerdings für example.com ausgestellt worden und nicht für foobar.com.
Dies kann man zum einen regeln, indem man eine extra IP pro Domain vergibt – das kostet aber bei meinem Provider jedes mal 0,50 € – oder man verwendet Server Name Indication (SNI).
SNI ist im aktuellen TLS (SSL 3.0) Standard spezifiziert und ermöglicht es den server_name Parameter schon beim Verbindungsaufbau zu übergeben. Es ist also schon während des Handshakes bekannt, mit welchem Host man sich verbinden will und somit kann man über eine IP zum Beispiel 10 Domains mit https Zertifikaten ausstatten.
Und wie geht jetzt dieses neue super coole Feature?
SO:
Als erstes muss man überprüfen, ob das Apache Modul gnutls schon installiert / eingebunden ist:
aptitude search libapache2-mod-gnutls
Ist das nicht der Fall installieren und danach mit
a2enmod gnutls
aktivieren. Jetzt sollten unter /etc/apache2/mods-enabled/ die Dateien gnutls.conf und gnutls.load zu finden sein. Als nächstes muss dem Apache noch mitgeteilt werden, dass wenn eine Anfrage auf Port 443 (https) kommt, er auch das GnuTLS Modul benutzt.
IfModule mod_gnutls.c # in spitzen Klammern nur Wordpress meckert da rum, deswegen stehen die hier nicht
NameVirtualHost 84.200.212.43:443
Listen 443
#IfModule Tag wieder schließen
Hier einfach mod_ssl.c gegen mod_gnutls.c ersetzen. Da ich mit IP basierten Virtual Hosts arbeite, muss ich unter NameVirtualHost die Server IP angeben – mehr ist hier zu finden. Bei mir (Debian Lenny) steht das ganze in /etc/apache2/ports.conf.
Jetzt kommen die Virtual Hosts dran:
VirtualHost ServerIPdesHosts:443 # in spitzen Klammern nur Wordpress meckert da rum, deswegen stehen die hier nicht
ServerName foobar.com:443
DocumentRoot /var/www/foobar
ServerAdmin webmaster@foobar.com
.....
GnuTLSEnable on
GnuTLSCertificateFile /etc/apache2/ssl/foobar.com.crt
GnuTLSKeyFile /etc/apache2/ssl/foobar.com.key
GnuTLSPriorities NORMAL:!AES-256-CBC:!DHE-RSA
....
# VirtualHost Tag wieder schließen
VirtualHost ServerIPdesHosts:443 # in spitzen Klammern nur Wordpress meckert da rum, deswegen stehen die hier nicht
ServerName example.com:443
DocumentRoot /var/www/example
ServerAdmin webmaster@example.com
.....
GnuTLSEnable on
GnuTLSCertificateFile /etc/apache2/ssl/example.com.crt
GnuTLSKeyFile /etc/apache2/ssl/example.com.key
GnuTLSPriorities NORMAL:!AES-256-CBC:!DHE-RSA
....
# VirtualHost Tag wieder schließen
Wenn man https über mod_ssl.c schon am laufen hatte, dann braucht man im Prinzip nur SSL gegen GnuTLS tauschen. Allerdings kommt noch die GnuTLSPriorities Direktive hinzu. Hier werden verschiedene Verschlüsselungsalgorithmen, die zugelassen / verboten sind definiert. MUSS ANGEBEN WERDEN!!!
Jetzt nur noch den Apache neustarten:
/etc/init.d/apache2 restart
und dann wars das. Jetzt sollte man die Domain foobar.com und example.com mit dem entsprechenden Zertifikaten erreichen können.
Hackerstyle trotz GUI
Bei vielen Filmen, die sich mit Themen der Informatik befassen, sieht man meistens die Hacker vor Terminals sitzen – die aber irgendwie in einer GUI laufen und mehr oder minder bunt animiert sind. Da drängt sich ja geradezu die Frage auf: wie machen die das?
Wer mir bei Twitter folgt weiß, dass ich seit kurzem auf meinem Netbook Fluxbox als Fenstermanager nutze. Mein Ziel ist es eigentlich soviele Anwendungen wie möglich im Terminal zu nutzen und so wenig wie möglich Gtk Anwendungen. Allerdings gibt es ein paar Problemkandidaten: wer lynx als Browser nutzt, kann 60% des Internets nicht nutzen 
, deswegen habe ich nen Iceweasel installiert. Skype in der Konsole geht auch nicht, aber da es ja seit kurzem als OpenSource veröffentlicht wurde, gibts da vielleicht auch bald ne Konsolen Variante von. Mit Video gucken verhält es sich ähnlich ( VLC ) – aber dann hörts auch schon auf.
Wer jetzt natürlich kommt und meint er müsse Photoshop, InDesign, Gimp, Video- / Audiorendering Software oder son Zeugs nutzen, der sollte sich vielleicht noch mal das Thema dieses Eintrags angucken.
Wie schon erwähnt habe ich Fluxbox installiert:
aptitude install x-window-system-core
aptitude install fluxbox
aptitude install xdm
Vielleicht noch mal kurz zum Hintergrund: Ich habe in meinem Netbook nur 2 Flash Laufwerke (4 und 8 GByte). Da wird es mit ner Desktop Umgebung wie Gnome schon mal haarig, denn da kommt auch gleich son Kram, wie Gimp, OpenOffice etc mit und das kann man auf nem < 10 Zoll Display eh knicken. Außerdem sind bei Debian EeePC + Gnome auch schon gleich die Platten voll: KLICK. Und wenn man dann versucht ein bisschen aufzuräumen, will apt auch gleich das ganze Gnome Paket löschen.
Also nachdem die Fluxbox installiert ist, stellt man fest, dass alles was man braucht bereits installiert ist: das TERMINAL.
Ich habe mir dann noch Skype, Iceweasel und Icedove nachinstalliert – wobei ich Icedove wohl gegen Mutt ersetzen werde. Ansonsten wars das erst mal.
Kommen wir jetzt zu den Konsolen Applikationen. Ich für meinen Teil brauche nen Jabber Client, irgendwas was Sound abspielen kann und vielleicht noch ein Tool, was mir den Zustand der Batterie anzeigt. Sonst hackt man gerade ein bisschen und zack ist alles dunkel, weil das System nicht meldet, wenn der Akku leer ist. Zum coden kann man den gcc auch in der Konsole starten und braucht keine riesen Entwicklungsumgebung dafür. Ach ja, ein Dateibrowser wäre vielleicht noch ganz geil.
Für Instant Messaging habe ich centerim (früher centericq) verwendet. Damit kann man auch ICQ, AOL und ähnliches nutzen. Sound macht moc bei mir, den Akkustatus lasse ich mir mit Gkrellm anzeigen und als Dateibrowser kommt mc zum Einsatz. Damit kann man schon mal einen großen Teil abdecken, weil Debian auch schon viel auf Konsolenebene mitbringt. Um ein bisschen schneller navigieren zu können, habe ich mir Shortcuts für verschiedene Anwendungen zusammengenagelt. Dazu trägt man unter /home/username/.fluxbox/keys einfach ein paar Zeilen nach:
…
Mod1 v :exec vlc # ALT + v startet den VLC Player
Mod1 e :exec icedove # ALT + e startet Icedove
Mod1 t :exec rxvt # ALT + t startet den Terminal Emulator rxvt
….
Mehr dazu hier. Dann kann man sich auch die Navigation durch das Menü schenken und es sieht einfach geiler aus. Es sei vielleicht noch erwähnt, dass ich mir rxvt als Terminal Emulator installiert habe, da dieser extrem einfach angepasst werden kann (Transparenz, Tabs etc) und alle Funktionen bietet, die man benötigt. Hat man dann das Nötige installiert und eingerichtet, könnte des Desktop z.B. so aussehen:
Hier sind noch ein paar Beispiele, wie man Fluxbox sonst noch konfigurieren kann:
KLICK
Hostinterface mit VirtualBox und Debian Lenny
Nach über einem Monat muss ich mal wieder einen neuen Blogeintrag schreiben …Und da ich gerade viel mit VirtualBox zu tun habe, drängt sich dieses Thema ja gerade zu auf.
Mit VirtualBox lassen sich Betriebssysteme virtualisieren, um unter anderem neue Software zu testen, ohne das man sein Wirksystem gefährdet. Für die Installation mache ich hier noch mal nen extra Eintrag – ich gehe einfach mal davon aus, dass VirtualBox installiert ist.
Hat man jetzt ein paar virtuelle Maschinen eingerichtet und unter Einstellungen -> Netzwerk: NAT ausgewählt, klappt das zwar mit dem Netzwerk, allerdings liegen dann die VM’s alle in einem eigenen Netzwerk 10.0.2.0, welches von VirtualBox bereit gestellt wird. Das Dumme an der Sache ist, dass man jetzt aus seinem eigenen Netzwerk z.B. 192.168.5.0 nicht so ohne weiteres auf die VM’s kommt. Diese liegen jetzt quasi hinter einem Router.
Hier kann Abhilfe geschaffen werden, indem man unter Einstellungen -> Netzwerk: Host Interface statt NAT einträgt und man muss ein bisschen an der /etc/network/interfaces Datei rumschrauben bzw. es muss eine Bridge und ein Tap Device erstellt werden:
Installieren der erforderlichen Pakete:
aptitude install uml-utilities bridge-utils
Erstellen der Bridge und des Tap Devices:
tunctl -u <benutzername> -t tap0
brctl addbr br0
Anpassen der /etc/network/interfaces:
Das vorhandene am besten auskommentieren.
auto lo
iface lo inet loopback
auto tap0
iface tap0 inet manual
up ifconfig $IFACE 0.0.0.0 up
down ifconfig $IFACE down
tunctl_user <username>
auto br0
iface br0 inet dhcp
bridge_ports all tap0
Jetzt muss noch unter VirtualBox -> Netzwerk unter Interface: tap0 eingetragen werden.
Als letztes noch die Rechte für /dev/net/tun setzen, sodass auch der normale User Zugriff darauf hat, um das tap0 Device zu nutzen
chmod 0666 /dev/net/tun
Das sollte es gewesen sein.
Jetzt wird der VM, wo das tap0 Device eingerichtet ist, eine IP des eigenen Netzwerks gegeben z.B. 192.168.5.8 zugewiesen – vorausgesetzt, dass ein DHCP Server existiert.
Das ganze noch mit
/etc/init.d/networking restart
neustarten.
hier geht mal wählen …
Da ich heute von meinem Bruder auf die Wahl aufmerksam gemacht wurde – hatte das ganze irgendwie total vergessen – war ich vorhin beim Arbeitsamt und habe erstmal schön meine Meinung kundgetan. Ich staune jedes mal wieder, was sich da für Leute zur Wahl stellen – der Hammer, der HAMmer! Aber das seht ihr ja alle auf dem Wahlschrieb. Die Wahlzettelausgabefrau meinte übrigens, dass die Wahlbeteiligung dieses Jahr richtig hoch wäre, hoffentlich macht sich dass dann auch im Ergebnis bemerkbar.
Da fällt mir ein, dass ich Freitag noch mit nem Arbeitskollegen im Shamrock war und irgendson Spacken von der NPD wollte uns dann weiß machen, dass wir als Deutsche ja gefälligst NPD wählen sollten.
Bin mal gespannt, was da heute Abend bei rauskommt. Hier ist übrigens noch mal der Link für die Kandidatin der Piratenpartei in Flensburg.
Ansonsten: wer noch nicht wählen war -> seht zu! Klar machen zum ändern!!!!
Freiheit statt Angst!!! Demo
Hier sind ein paar Videos der Freiheit statt Angst Demo in Berlin vom 12.09.2009.
Irgendwie klappt das mit dem einbetten nicht so ganz, deswegen hier die Links:
Und die Videos von den Bullen:
Video03
Video als MP4
meine neues Spielzeug: Thinkpad T61
Nachdem mir bei meinem schönen T42 die Festplatte abgeraucht ist, habe ich mir mal so überlegt, dass es Zeit für ein neues Notebook wird. Zu mal jetzt auch ein paar größe Aufgaben FH, Arbeit auf mich zukommen.
Gesagt getan und das Netz nach passender Hardware durchsucht. Fündig geworden bin ich beim Thinkpad T61.
Taktung: 2400Mhz
ProzessorTyp: Intel Pentium Penryn 2,4 GHz T8300
Maximale Auflösung: 1680×1050
Arbeitsspeicher: 4GB
Display: 15,4″ Wide SXGA+
Grafikkarte: Intel intern X3100
Festplatte: 160GByte (Harddrivespeed 7200 RPM SATA)
Netzwerk: Ja
WLan: Ja
Akku: vorhanden
Netzteil: vorhanden
Dockingstation: nicht enthalten
optisches Laufwerk: DVD-Brenner
USB Anschlüsse: 3
Bluetooth: Ja
Modem: Ja
Diskettenlaufwerk: nicht vorhanden
Da war zwar noch dieses komische Windows Vista installiert, aber Debian hat schon 28% der Platte gelöscht. Bye Bye Windows – du kommst erst wieder in der XP Version und als VM auf die Platte.
Wenn Debian komplett drauf ist, dann poste ich hier ein Update.
[[UPDATE]]
So, jetzt habe ich auch ein bisschen Zeit und Lust das Update hier zu posten.
Auch auf die Gefahr hin, dass ich der Debian Cmmunity einen herben Schlag versetze, habe ich auf meinem Thinkpad T61 doch Ubuntu 9.04 installiert. Debian lief zwar soweit echt super, aber irgendwie hatte ich imch schon so an mein “Not Ubuntu” ( habe meinen alten Desktop Rechner wieder reaktiviert ) gewöhnt und da ja wie gesagt demnächst ein paar größere Sachen auf mich zukommen, wofür ich auch nicht freie Software brauche, ist Ubuntu da eine gute Alternative. Außerdem laufen die visuellen Effekte bei Ubuntu einfach schöner, als bei Debian und als “Medieninformatiker“, wollte ich das jetzt endlich mal testen. Aber ich nutze Debian weiterhin auf meinem EeePC, dem Thinkpad T42 und meinen Servern!
Die OS Wahl:
Wie ihr oben sehen könnt, habe ich 4GB Ram drin, was blöderweise ein paar Probleme bei 32Bit Systemen verursacht. Debian hat mir erst 890MB angezeigt, aber weil das System einfach cool ist – flux den Bigmen Kernel installiert und schon konnte ich meinen Core 2 Duo und die 4GB Ram in vollen Zügen genießen. Nach einigem gucken und hin und her, habe ich mich dann aber doch für Ubuntu entschieden – erst in der 32 Bit Version. Da hatte ich dann plötzlich nur noch 3GB Ram.
Schlussendlich habe ich mir dann Ubuntu 9.04 64 Bit in der Satanic Version installiert. *muhahaha* Klappt auch alles “out of the Box” mit den Treibern etc. Aus arbeitstechnischen Gründen muss ich auch zu Hause dieses – *kotz* *würg* – Windows nutzen. Mit VirtualBox läuft das allerdings echt super.
Ich denke ich werde da demnächst auch mal LinuxMint installieren. Merl schwört ja auch das Zeug und da es ein Ableger von Ubuntu und somit von Debian ist, ist es auf jedenfall eine Installation wert. Wobei ich mir auch mal Fedora Core ansehen wollte. Naja die Updates / Tests könnt ihr dann hier lesen ….
Windows unser …
Windows Unser,
das Du bist im Rechner,
geöffnet seien Deine Fenster,
Dein Crash komme,
Dein Reboot geschehe,
wie in 95 so in 98.
Unser täglich Servicepack gib uns heute,
und vergib uns unsere Linuxpartition,
wie auch wir vergeben die Treiberbugs.
Und führe uns nicht in den Bluescreen,
sondern erlöse uns von den dll-Versionskonflikten.
Denn Dein ist das Ram
und die Festplatte
und die Prozessorauslastung
in Ewigkeit.
Alt-F4
Vater Microsoft,
der Du bist auf der Festplatte,
geheiligt sei Dein Windows,
Dein Update komme,
Dein Bugfix geschehe,
wie in Windows also auch in Office,
Unser täglich MSN gib uns heute,
und vergib uns unsere Raubkopie,
so wie wir vergeben uns’rer Telekom,
Und führe uns nicht zu IBM,
sondern erlöse uns von OS2,
Denn Dein ist das DOS,
und das Windows,
und NT,
in Ewigkeit,
ENTER
Programmiersprachen Ranking bei Open Source Projekten
Die Firma Black Duck hat ein Ranking zu den häufigsten Programmiersprachen bei Open Source Projekten veröffentlicht.
Ich persönlich bin ja eher für Serverseitige Sprachen, allerdings nehmen Sprachen, wie JavaScript und Java immer mehr zu.
C ist zwar immer noch die Top Sprache, aber Scriptsprachen, wie PHP etc werden immer häufiger genutzt, vorallem bei CMS Systemen.
die Sache mit dem Mailserver …
Nachdem ich vor ner Woche nen langweiligen Sonntag hatte, habe ich endlich meinen MailServer mit Dovecot und Postfix aufgesetzt.
Hintergrund der Aktion war, dass ich meine sonstigen Mail Accounts bei gmx habe und die für imap / imaps erst mal Kohle sehen wollen.
Wenn man EINEN MUA hat, dann ist das ja alles nicht so das Problem mit pop3s, da ich aber auch eMail auf meinem HTC nutzen will, musste da schnellstens eine Alternative her.
Im Zeitalter von Vorratsdatenspeicherung und Überwachung etc – was liegt da näher, als sich nen eigenen Server aufzusetzen. Nach ein bisschen hingefummel und diversen Howtos läuft die Kiste jetzt mit imaps und smtps / smtp – die Zertifikate sind von cacert.org.
Für das HTC habe ich K9-Mail und nach einer Woche mehr oder minder intensiven testens muss ich sagen, dass es echt super klappt – der MUA und MDA synchronisieren sich wunderbar. Probleme mit den SSL Zertifikaten gibt es bis lang auch nicht. Das einzige was fehlt, ist Pushmail, das klappt bislang nur mit GoogleMail, aber das können die schön selber nutzen.
Fazit: Das Ding läuft und läuft und läuft und läuft und läuft und läuft und läuft ….
Blöderweise lassen sich via K9-Mail keine Regeln für eingehenden Nachrichten erstellen und somit musste was serverseitiges her. Mit Thundebird geht das ganze zwar wunderbar und somit werden auch implizit die Nachrichten auf dem HTC in die richtigen Ordner verschoben – wenn man imap nutzt – , aber irgendwie ist das alles auf Dauer nicht so das wahre …
Google meinte dann, dass Dovecot seit einiger Zeit Sieve unterstützt. Sieve ist eine Programmiersprachen, die für das Filtern von Mails entwickelt wurde. Das ist eigentlich eine ganz interessante Sache, weil die Sprache wirklich easy ist und von Mailsortierung, über automatische Abwesenheitsnotiz, bis hin zur automatischen Verwerfung von Mails mit bestimmten Inhalten alles bietet, was man so braucht. Und es muss alles nur einmal konfigurieren – dann wars das und kein rumfrickel mehr an x verschiedenen Regeln.
Das Sieve Script wird einfach in das Userverzeichnis des Mailusers gehauen und zack fertig. Kein Neustart vom MDA oder MTA – nichts!
AEPOC: Jung == dumm !!
Da sitze ich gestern ganz seelenruhig im Bus zur Arbeit und was lese ich da bei Twitter: AEPOC Bestürzt über Einzug der Piraten
Die AEPOC ist die Länderübergreifende Anti-Piraterie Vereinigung, der verschiedene Firmen angehören. Diese Leute sorgen sich um son Zeugs wie geistiges Eigentum, Urheberrecht oder Patenschutz.
Naja, lange Rede kurzer Sinn: die AEPOC ist äußerst besorgt, dass die Piraten Partei so viele neue Mitglieder in kürzester Zeit bekommen hat und diese Zahl auch stetig wächst.
“Piraterie war nie ein Sport, sondern bleibt Diebstahl. Der Erfolg der Piraten-Partei bei der Europawahl zeigt, dass die Wähler dies verwechseln. Die kreative Industrie und politische Entscheidungsträger sollten eine sehr klare Linie gegen die Cyber-Kriminalität fahren, denn unsere Gesellschaft und Wirtschaft stützen sich zunehmend auf Internet-basierte oder andere digitale Dienste. Das Internet darf kein gesetzloser Raum sein, welcher Kriminalität entschuldigt oder duldet – egal ob es sich um Diebstahl, Fälschungen oder Missbrauch von Kindern handelt.” Danach bringt man es auf den Punkt: “Dies gilt insbesondere für junge Menschen, die für die romantischen, aber im Kern kriminellen Botschaften der Piraten-Partei empfänglich sind.”
Das Statement am Schluss ist ja wohl der Hammer!
Diese Leute sollten sich mal lieber überlegen, warum sich so viele der Piratenpartei zuwenden!
Aber so etwas kennen wir ja schon: Andersdenkende werden dann einfach als Verbrecher oder mit dem Teufel im Bunde abgestempelt und diese Leute muss man ja mit der nötigen Härte bekämpfen.
Außerdem ist es ja nicht so, dass die Piratenpartei den Musikern / Filmemachern etc nicht die Kohle im Portmonee gönnt, sondern das in der heutigen Welt einfach der freie Zugang zu Wissen und Kultur im Vordergrund steht und nicht: wie ziehe ich den Leuten am besten die Kohle aus der Tasche!
Im Gegensatz zu anderen Parteien hat die Piratenpartei wenigstens schon alternative Vorschläge – Creative Commons etc. Und diese Modelle haben sich schon in vielen Bereichen als extrem hilfreich erwiesen und bewiesen, dass man damit auch Geld verdienen kann.
Da sieht mal wieder eine unnütze Organisation ihr Geschäftsmodell den Bach runtergehen. Und da die Villen der Manager ja 30 Mille im Jahr kosten, muss die Kohle ja irgendwie rangeschafft werden.