NGINX Reverse Proxy für Exchange 2016

Folgende Pakete müssen auf einem Ubuntu 16.04 LTS installiert werden: apt install nginx nginx-extras Die Konfiguration wird abgelegt unter /etc/nginx/conf.d/exchange.conf Folgende Dinge müssen angepasst werden: DNS Name unter dem OWA etc. erreichbar sein soll z.B. mail.example.org Autodiscover DNS Name z.B. autodiscover.example.org Interner Exchange Server z.B. exchange-server.example.internal server { listen 80; server_name mail.example.org autodiscover.example.org; return 301 … Weiterlesen

Check_MK: Problem mit Apache HTTP Proxy – SELinux blockt Reverse Proxy Verbindung zur Check_MK Instanz

Habe gerade auf ein frisch installiertes CentOS 7.4 Check_MK 1.4.0p19 installiert. Nach dem Start einer OMD Instanz kommt nur die Fehlermeldung: OMD: Site Not Started You need to start this site in order to access the web interface. Im Apache Log ist folgendes zu sehen: [Mon Dec 04 08:50:48.097245 2017] [proxy_http:error] [pid 20887] [client x.x.x.x:31372] … Weiterlesen

Subnetze und IP Adressen extrahieren aus SPF Records (z.B. Office365 oder Google Apps for Business)

Wenn man bei Office365 oder Google Apps for Business einen eigenen Mailserver (Postfix) vorschalten möchte beim versenden/empfangen muss man die Mailserver von Microsoft/Google Whitelisten in den mynetworks bei Postfix. Das Script löst alle SPF Record includes auf und generiert CIDR Maps die sich in Postfix einbinden lassen. Beispiel: max@dev1:~$ python get_subnets_of_spf_record_mynetwoks.py Working on job office365 … Weiterlesen

HP Server Tools für Debian/Ubuntu

HP stellt für verschiedene Linux Distributionen seine eigenen Tools bereit. Unteranderem System Health Application and Command line Utilities, iLO Online Configuration Utilities und die Insight Management Agents. HP SDR (Software Delivery Repository): http://downloads.linux.hpe.com/SDR/index.html Repository für Debian 8 (jessie) hinzufügen /etc/apt/sources.list.d/HP-mcp.list anlegen deb http://downloads.linux.hpe.com/SDR/repo/mcp jessie/current non-free Alternativ Repository für Ubuntu 16.04 LTS hinzufügen /etc/apt/sources.list.d/HP-mcp.list anlegen deb http://downloads.linux.hpe.com/SDR/repo/mcp xenial/current … Weiterlesen

Weak SSH/SSL protocols and ciphers & hardening

Sammlung aller SSH/SSL relevanten und meist genutzten Dienste und deren optimale SSH/SSL Konfiguration. Apache / Nginx apache 2.4.18 | modern profile | OpenSSL 1.0.1e Oldest compatible clients: Firefox 27, Chrome 30, IE 11 on Windows 7, Edge, Opera 17, Safari 9, Android 5.0, and Java 8 <VirtualHost *:443> … SSLEngine on SSLCertificateFile /path/to/signed_certificate_followed_by_intermediate_certs SSLCertificateKeyFile /path/to/private/key … Weiterlesen

Patch für automysqlbackup: mysqldump: [Warning] Using a password on the command line interface can be insecure.

In der aktuellen Version von automysqlbackup kommt es auf Ubuntu 16.04 LTS wieder zu der Fehlermeldung: mysqldump: [Warning] Using a password on the command line interface can be insecure. Es gab vor einiger Zeit bereits einen Patch für das Problem allerdings hat sich der Code geändert dementsprechend waren anpassungen nötig. Orginalpatch zu finden unter: http://wiki.nkosi.org/Automysqlbackup / https://www.redeo.nl/2013/11/automysqlbackup-warning-using-password-command-line-interface-can-insecure/ Hier … Weiterlesen

Unattended Installation von APT Paketen (Debian/Ubuntu)

Um Pakete ohne manuelle Eingaben zu Installieren müssen die Antworten für die Assistenten bereits vorliegen. Als Beispiel eine unattended Installation von Postfix auf einem Ubuntu 16.04 LTS System. Um die möglichen Parameter zu erfahren verwendet man das „debconf-show“ Tool, Postfix muss auf dem Testsystem bereits installiert sein. max@cmkdevel:/opt$ sudo debconf-show postfix postfix/procmail: false postfix/chattr: false … Weiterlesen

Postfix: Mail-Relay mit SMTP-Auth via Submission/TLS für ausgehende Mails

Ein Server soll als Relayhost (oder in der Windowswelt auch Smarthost gennant) dienen. Wer keine feste IP Adresse mit passenden DNS Reverse Eintrag hat wird schlechte Chancen haben das ein richtig konfigurierter Mailserver die Mails annehmen wird. Die Lösung ist die Mails an einen anderen Relayhost oder Mailserver zu schicken und dieser stellt dann die … Weiterlesen

socat: Pfiffiges Tool zum Mappen von IPv6 auf IPv4 Adressen

Wer gerade vor dem Problem steht alle Dienste auf seinen Linux Maschinen IPv4/IPv6 Dualstack fähig zu machen, der ist froh wenn er so ein Tool wie socat findet. Es sind zwar die meisten Linux Dienste bereits Dualstack fähig aber es gibt vereinzelt noch Dienste wo keine regelmäßige bis keine Pflege der Software stattfindet. socat ist … Weiterlesen

Python Version von getadsmtp.pl

Übersetzung des AD Mailadressen Sammelskripts von Perl nach Python. #!/usr/bin/python # getadsmtp.py # Version 1.0 # The script is an translation from the orginal perl script getadsmtp.pl # This script will pull all users‘ SMTP addresses from your Active Directory # (including primary and secondary email addresses) and list them in the # format „user@example.com … Weiterlesen

Layer 3 VPN mit OpenSSH

OpenSSH ist in der Lage über Tun-Interfaces ein Layer 3 VPN herzustellen. Dies ist eine sehr einfache Variante, besonders schön ist das man SSH auch in vielen Fällen über einen Proxy verwenden kann. Szenario Aufbau: Firewall (intern: 10.10.0.254, extern: 55.66.77.88, macht PAT über externes Interface) SSHVPN VM ist eine VMware Maschine auf meinem VMware Server … Weiterlesen

Automatische Proxy Zuweisung über WPAD/PAC

In meiner Testumgebung verwende ich verschiedene Domains die nicht über einen Proxy gehen sollen. Da die manuelle Pflege an meinen Maschinen mir zu umständlich erscheint habe ich mich für den Proxy PAC (Proxy Auto Configuration) weg entschieden. Normalerweise wäre es ja ganz einfach, einfach bei jeder Domain als TLD .local verwenden und als Filter in … Weiterlesen

Postfix als Frontend für einen Microsoft Exchange Server

Für einen Kunden habe ich einen Postfix eingerichtet als Frontend Server für seine Exchange Infrastruktur. Die Mailadressen werden automatisch aus dem Active Directory ausgelesen und in einem Hash-File gespeichert. Vorteil ist das der Postfix so nur gültige Mailaliases zulässt. Der Frontend macht auch noch weitere Überprüfungen. (postgrey, policy-weight, etc.) Folgendes Script wird für das Auslesen … Weiterlesen

Forwarding für bestimmte DNS Zonen in Bind9

In diesem Szenario hat der Kunde in der DMZ 2 DNS Server (Forwarding zum Provider) stehen. Diese DNS Server sind die „Inernet“ DNS Server. Im internen Netz betreibt der Kunde mehrere Active Directory instanzen. Der Kunde möchte das seine internen DNS Zonen innerhalb der DMZ auflösbar sind. Dies kann man über Zonenweiterleitung in Bind realisieren. … Weiterlesen

eth Inferfacenummerierung ändern

für Ubuntu / Debian In bestimmten Fällen will man die Nummerierung der eth Interfaces ändern. Wenn z.B. eine virtuelle Maschine geklont wird und eine neue MAC-Adresse für das Ethernet Interface generiert wird dann würde das Interface eth1 lauten. Die Zuordnung der Interfaces wird über UDEV realisiert in der Datei /etc/udev/rules.d/70-persistent-net.rules Nach Änderung der MAC Adresse: … Weiterlesen

Neue SSH Hostkeys generieren

für Debian / Ubuntu Falls man eine VMware Maschine kopiert benötigt man neue SSH Keys. Folgende Zeilen generieren neue Keys. sudo rm /etc/ssh/ssh_host_key sudo rm /etc/ssh/ssh_host_key.pub sudo rm /etc/ssh/ssh_host_rsa_key sudo rm /etc/ssh/ssh_host_rsa_key.pub sudo rm /etc/ssh/ssh_host_dsa_key sudo rm /etc/ssh/ssh_host_dsa_key.pub sudo /usr/bin/ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key -N „“ sudo /usr/bin/ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N „“ sudo … Weiterlesen

WPA Enterprise mit EAP PEAP

Howto für Ubuntu und Debian Für dieses Howto wird freeradius mit openssl Support benötigt. Eine Anleitung für freeradius+openssl ist hier zu finden: Freeradius mit EAP Support Die Pakete wie in der Anleitung beschrieben installieren. Die unten aufgeführten Konfigurationsteile sind Ergänzungen oder Änderungen der Default Config. openssl installieren apt-get install openssl RootCA anlegen In das Verzeichnis … Weiterlesen

freeradius mit EAP TLS/TTLS/PEAP Support

Howto für Ubuntu und Debian Das Paket wird leider bei Debian und Ubuntu ohne SSL Support ausgeliefert weshalb alle EAP Varianten die SSL benötigen nicht funktionieren. Das Paket kann aber relativ einfach selbst gebaut werden dank der Debiantools. Benötigte Pakete apt-get install build-essentials apt-src Sourcen laden cd ~ mkdir build_freeradius cd build_freeradius apt-src install freeradius … Weiterlesen

TFTPd – Server

Howto für  Ubuntu und  Debian Pakete installieren sudo apt-get install xinetd tftpd tftp Datei: /etc/xinetd.d/tftp anlegen nano /etc/xinetd.d/tftp service tftp { protocol = udp port = 69 socket_type = dgram wait = yes user = nobody server = /usr/sbin/in.tftpd server_args = /srv/tftp disable = no } Ordner anlegen sudo mkdir /srv/tftp sudo chmod -R 777 … Weiterlesen