Posts Tagged ‘Verschlüsselung’

SSL mit stunnel – https the simple way

Dienstag, Januar 12th, 2010

Hallo,
der eine oder andere Leser hat vielleicht schon mal überlegt einen Webserver zu installieren. Ob jetzt Apache oder lighttpd (oder andere), liegt natürlich bei euch und je nach Anwendungsfall ist der eine oder andere besser geeignet.

Ich will heute nicht auf die Installation eines Webservers eingehen, sondern auf die Installation und Konfiguration von stunnel. Einfach gesagt, statt unverschlüsseltem http ein verschlüsseltes https via Zertifikaten. Ein lauffähiger Webserver wird voraus gesetzt.

Die Anleitung geht von einem Debian Linux oder Ubuntu aus. Stunnel gibt es aber auch für Windows.

Erstmal müssen wir uns um SSL und die Zertifikate kümmern:

sudo openssl req -new -x509 -days 3650 -nodes-out stunnel.pem -keyout stunnel.pem

einfach alle Fragen irgendwiebeantworten und danach per

openssl x509 -subject -dates-fingerprint -in stunnel.pem

anschauen, was ihr so eingegeben habt. stunnel.pem ist ein frei gewählter Name und kannauch foo.pem genannt werden.
So,jetzt installieren wir stunnel:

sudo aptitude install stunnel4

dann unter “/etc/default/stunnel4″

von ENABLED=0 auf ENABLED= 1

abschließend in  “/etc/stunnel/stunnel.conf” folgendes editieren:


; Certificate/key is needed in server mode and optional in client mode

cert = /etc/stunnel/stunnel.pem
key= /etc/stunnel/stunnel.pem

; Protocol version (all, SSLv2, SSLv3, TLSv1)
sslVersion= SSLv3

; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
; PID is created inside chroot jail
pid= /stunnel4.pid

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

[https]
accept = 443
connect = 8080

Erklärung: accept = stunnel lauscht auf Port 443 und leitet an connect Port, hier 8080 weiter. Ganz am Anfang müssen natürlich die Dateinamen mitden generierten Zertifikaten übereinstimmen.

Jetzt noch ein freundliches

sudo /etc/init.d/stunnel4 restart

und schon müsstet ihr euch per https://localhost/ verbinden können. Es kommt ein kurzer Hinweis mit einem nicht signierten Zertifikat, das müsst ihr annehmen und schonläuft die verschlüsselte Verbindung.

Mehr Informationen über SSL findet ihr bei www.google.de oder www.bing.de< /A> .

Das wars mit https in 10 Minuten.

Tags: , , , , , , ,
Posted in Linux, Verschlüsselung | 1 Comment »

eeePC 901 mit verschlüsselter /home Partition und Ubuntu Netbook Remix

Donnerstag, März 12th, 2009

Das hier ist keine ausführliche Anleitung und macht das alle auf eure eigene Gefahr hin Daten zu verlieren!!! Also Vorsicht!

Hier ist also die stichpunktartige Anleitung, um /home zu verschlüsseln. Es wird davon ausgegangen, dass ihr die interne 4gb ssd für / formatiert habt und die andere mit 8gb für /home.

- sudo apt-get install modconf
- run sudo modconf
- enable:
* kernel/crypto and then aes_generic and leave following Message blank
* kernel/drivers/md  and then dm-crypt and leave following Message blank
(this will also install kernel/drivers/md/dm-mod)
- sudo apt-get install cryptsetup hashalot
- sudo init 6
- sudo su
- cp -av /home/<user> /mnt
- logout
- strg+alt F3, login as user, switch to root
- as root: umount /home
- cryptsetup –verbose –verify-passphrase luksFormat /dev/sdb1
- confirm with: YES
- enter PW: xyz
- cryptsetup luksOpen /dev/sdb1 home
- enter PW
- mkfs.ext3 /dev/mapper/home
- mount -t ext3 /dev/mapper/home /home
- cp -av /mnt/<user> /home

- Add the following to /etc/crypttab: home /dev/sdb1 none luks
- backup /etc/fstab: cp /etc/fstab /etc/fstab.bak
- edit /etc/fstab
- uncomment line with /home (with #)
- and add this: /dev/mapper/home /home ext3 defaults,relatime 0 2
- reboot with: init 6

Jetzt noch ein swap-image erstellen, innerhalb von /home (dies muss dann logischerweise nicht verschlüsselt werden!)

- create Swap-Image (1536 MB = 1,5 GB = 3/2 existing RAM)
- sudo su
- dd if=/dev/zero of=/home/<user>/swap.img bs=1M count=1536
- initialize as Swap-Partition
- mkswap swap.img
- start Swap
- swapon /<path>/swap.img
- test: free

- add the following to /etc/fstab
/home/<user>/swap.img  none  swap  sw  0 0

- init 6

Have fun und immer schön vorsichtig sein, bei Fehlern könnt ihr euch schnell aussperren und Daten verlieren!

Das wars. Ich reboote gerne nach solchen Änderungen, um zu sehen ob alles geklappt hat, aber das könnt ihr machen wie ihr wollt!

Quellen: 1, 2

Tags: ,
Posted in Linux, Verschlüsselung | No Comments »

TrueCrypt erscheint in der Version 6.0

Sonntag, Juli 6th, 2008

Wer unter Windows, Linux oder am Mac seine Daten verschlüsseln will, der nutzt entweder ein kommerzielles Programm oder TrueCrypt. Dieses ist Open Source und für die oben genannten Betriebssysteme ohne weiteres über die Downloadseite von TrueCrypt zu beziehen. Die neue Version kann wohl nun auch versteckte Betriebssystempartitionen erstellen, deren Existenz angeblich nicht nachweisbar ist. (Hat das jemand getestet?) Es soll nun auch unter Linux möglich sein, versteckte Container zu erstellen und TrueCrypt unterstützt jetzt auch mehrere Prozessoren. Die Autoren schreiben, dass sie mit einem Quadcore CPU 4-fach so schnelle Ergebnisse erreicht haben (Benchmark).

Das Programm sollte jeder testen, der seine Daten verschlüsseln möchte oder einmal testen will, was Verschlüsselung bedeutet und wie es funktioniert.

Unter Ubuntu 8.04 musste man sich bei der Login Maske auf einem alternativen Terminal anmelden (STRG+ALT+F2; ggfs. mit FN-Taste auf meinem MacBook) und dann folgenden Befehl eingeben:
sudo apt-get remove truecrypt

Und wenn man sich jetzt neu einloggt, kann man das neue truecrypt package einfach per Doppelklick oder dpkg -i truecrypt...
 installieren.

Truecrypt bringt sowohl ein GUI mit sich, aber man kann auch wunderbar alles über das Terminal machen.

Also probiert es aus und vergesst nicht die Passwörter schön lang zu wählen und die Header der erstellten Container zu exportieren, um diese bei Fehlern wieder herstellen zu können.
Wenn ihr Fragen habt, stellt diese hier oder befragt google.

P.S.: Vielleicht folgen hier weitere Tests und Tutorials.

Tags: , ,
Posted in News | No Comments »