OPENPGPKEY mit Unix Bordmitteln

Abstract

OPENPGPKEY Records können auch mit Unix-Boardmitteln erstellt und abgefragt werden. Zwei Scripte zeigen wie.

Im Artikel "PGP-Schlüssel einfach und sicher verteilen" habe ich beschrieben, wie OPENPGPKEY DNS-Records mit dem Tool hash-slinger erstellt werden können. Bei einigen Unix/Linux-Systemen ist hash-slinger aber nicht vorhanden.

PGP-Schlüssel abfragen

OPENPGPKEY-Records können auch mit …

Continue reading

Dovecot gegen SSL-FREAK-Attacke sichern

Abstract

Dovecot kann mit wenigen Handgriffen gegen die SSL-Schwachstelle FREAK geschützt werden. Ich zeige die notwendigen Schritte.

Die SSL-FREAK-Attacke betrifft jeden Dienst, der EXPORT-Chiffren innerhalb einer SSL/TLS-Session anbietet. Die Entwickler verschiedener SSL-Libraries arbeiten an Patches, um diese Schwachstelle zu beseitigen. Bis dahin ist es am einfachsten, die Nutzung von …

Continue reading

Postfix gegen SSL-FREAK-Attacke sichern

Abstract

Postfix kann mit wenigen Handgriffen gegen die SSL-Schwachstelle FREAK geschützt werden. Ich zeige die notwendigen Schritte.

Die SSL-FREAK-Attacke betrifft jeden Dienst, der EXPORT-Chiffren innerhalb einer SSL/TLS-Session anbietet. Die Entwickler verschiedener SSL-Libraries arbeiten an Patches, um diese Schwachstelle zu beseitigen. Bis dahin ist es am einfachsten, die Nutzung von …

Continue reading

Unbound mit privaten reverse Zonen

Robert Schetterer, 27. February 2015

   unbound

Abstract

Kürzlich wollte ich einen lokalen caching only DNS Resolver mit Unbound in einem Intranet aufsetzen. Es zeigte sich, dass die Einrichtung für private Reverse Zonen nicht ganz einfach ist. Hier nur kurz ein Ausschnitt der dafür relevanten Teile der Konfig.

Kürzlich wollte ich einen lokalen caching only DNS Resolver …

Continue reading

PGP-Schlüssel einfach und sicher verteilen

Abstract

Die PGP-Schlüsselserver waren eine Ad-hoc-Lösung der PGP-Benutzer der ersten Stunde. Das Verfahren ist kompliziert und bietet unnötig Angriffsfläche. OPENPGPKEYS, ein RFC kurz vor der Verabschiedung, hat das Zeug, diesen Anachronismus durch ein einfaches uns sicheres Verteilverfahren zu ersetzen. In meinem Post gehe ich auf die Vor- und Nachteile ein …

Continue reading

Entwarnung für Postfix und CVE-2015-0235 (GHOST)

Abstract

Ein Buffer Overflow in der gethostbyname-Funktion der glibc eröffnet eine kritische Sicherheitslücke. Postfix ist nicht betroffen.

Qualys beschreibt in seinem Security Advisory CVE-2015-0235 eine schwerwiegende Sicherheitslücke in glibc. Die Lücke ist ein Buffer Overflow in der Funktion gethostbyname, weshalb Qualys die Lücke „GHOST“ genannt hat.

Viele Applikationen nutzen die …

Continue reading

Cyrus SASL ldapdb man page

Abstract

This document describes configuration options for the Cyrus SASL auxiliary property plugin ldapdb. This plugin reads all user data from an LDAP server. It requires configuration of the ldapdb plugin and of the LDAP server. The ldapdb plugin must name a proxy user. The proxy user must (also) SASL …

Continue reading

Cyrus SASL libsasl man page

Description

This document describes generic configuration options for the Cyrus SASL authentication library libsasl.

The library handles communication between an application and the Cyrus SASL authentication framework. Both exchange information before libsasl can start offering authentication services for the application.

The application, among other data, sends the service_name. The service …

Continue reading

Cyrus SASL saslauthd man page

Description

saslauthd is a daemon process that handles plaintext authentication requests on behalf of the SASL library.

The server fulfills two roles: it isolates all code requiring superuser privileges into a single process, and it can be used to provide proxy authentication services to clients that do not understand SASL …

Continue reading