Al geruime tijd ben ik bezig met het zoeken naar een manier om ssh aanvallen te voorkomen. Ik gebruik goede wachtwoorden, dus de kans dat zulk soort aanvallen slagen is heel klein. Maar al die aanvallen kosten wel cpu-tijd.
Iptables heeft hiervoor een module genaamd ipt_recent. Hiermee is het mogelijk om brute force aanvallen te blokkeren. De volgende commando’s zorgen voor alles:
# iptables --new-chain SSHSCAN
# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSHSCAN
# iptables -A SSHSCAN -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
# iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j LOG --log-level info --log-prefix "SSH SCAN blocked: "
# iptables -A SSHSCAN -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP Via het commando cat /proc/net/ipt_recent/SSH kunnen we zien wat er zoal wordt tegengehouden.
Gisteren maar eens de upgrade uitgevoerd van Ubuntu 8.04 naar 8.10. En zoals ik vooraf eigenlijk al verwacht had, gebeurde precies hetzelfde als bij de vorige 3 updates van Ubuntu.
Wat is het geval? Ubuntu is niet in staat om een goed werkende 8.04 installatie bij te werken naar een goed werkende 8.10 installatie. Allereerst het updaten zelf, dat duurde ruim vier uur en dat is naar mijn idee veel te lang.
Op de voorafavond van de grote 2.7 release is nog een laatste security release van de 2.6 tak uitgebracht. Ditmaal betreft het een lek in de snoopy routine. Gelukkig is het een kleine update.
Al enige tijd was ik aan het zoeken naar de mogelijkheid om mijn modem te laten reageren op een ping van buitenaf. In de webinterface is daar geen optie voor, maar na lang zoeken heb ik een mogelijkheid gevonden om via telnet de ping aan te zetten:
Iedereen die met SSL en virtuele servers bezig is geweest kent het probleem waarschijnlijk wel. Per combinatie van ip en poort is maar 1 host mogelijk. Dit komt omdat de host nog geëncrypt is op het moment dat het verzoek bij de webserver binnenkomt.
Onlangs kwam ik per toeval de term SNI tegen (Server Name Indication). Deze uitbreiding van TLS zorgt er voor dat SSL voor virtuele hosts mogelijk is door de host mee te sturen als onderdeel van het TLS pakket.
Schreef ik eerder dat ik stopte met alternatieve firmware, ik heb nu toch besloten om de draad weer op te pakken. Ditmaal kies ik niet voor Tomato – vanwege het probleem met de wegvallende verbinding – maar voor dd-wrt. Daarvan is onlangs versie 2.4 sp1 uitgebracht en die versie heeft support voor ipv6.
Nu heb ik via Xs4all een werkende ipv6-tunnel in Ubuntu, maar hiermee kan ik nog niet alle andere pc’s in het netwerk van ipv6 voorzien.
Iets om nog eens uit te zoeken, een manier om in Apache meerdere ssl certificaten te kunnen gebruiken in dezelfde instantie.
http://daniel-lange.com/archives/2-Multiple-Apache-VHosts-on-the-same-IP-and-port.html
Niet dat ik het direct nodig heb, maar altijd leuk om te onderzoeken!
Wegens het toevoegen van het Chrome icoontje in Awstats heb ik de statistieken voor september opnieuw moeten opbouwen.
Allereerst moeten de oude statistieken verwijderd worden. Dit kan eenvoudig door het betreffende awstatsmmyyyy.[config].txt te verwijderen. Daarna dienen de statistieken voor september opnieuw opgebouwd te worden. Dit kan met een paar commando’s:
/dev/null
$ ./awstats_buildstaticpages.pl -awstatsprog=./awstats.pl -config=www.breinstein.tk -year=2008 -month=09 -dir=/var/www/webstats/200809 > /dev/null
Het zal waarschijnlijk niemand ontgaan zijn, Google heeft een eigen browser ontwikkeld. Voor de statistieken van mijn websites gebruik ik Awstats. Nu heeft deze standaard nog geen herkenning voor Chrome, maar dit is op te lossen met een paar kleine aanpassingen.
De user-agent string van Chrome is als volgt:
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.13 (KHTML, like Gecko) Chrome/0.X.Y.Z Safari/525.13. Volgende stappen zijn nodig om Awstats aan te passen:
Enige tijd geleden is een lijst gepubliceerd met voorstellen voor functies voor versie 2.7 van WordPress. Op zich is het een mooie lijst waarvan ik me kan voorstellen dat sommige best handig kunnen zijn.
Wat me echter steeds meer tegen gaat staan is het feit dat elke nieuwe grote versie nieuwe functies met zich mee brengt. Omdat in die release ook security fixes in zitten ben je eigenlijk wel verplicht om al die nieuwe functies te accepteren, ook al gebruik ik ze niet.