Ich war mir bis heute mittag nicht sicher, ob und wie einfach/schwer der Umzug von meinem WordPress auf einen neuen Server sein würde.
Ich behaupte mal nun kackfrech: Kinderkram. Ich habe heute mittag eine andere Seite (gut, mit einer nicht ganz so großen Datenbank) als Testexemplar umgezogen, allein um die Technik zu testen.
Mein zukünftiger Ex-Provider bietet ein Backup meiner Daten per Confixx-Job an, und ausgehend von diesem Punkt war der Plan folgender:
Backup machen
Runterladen
Auf den Server schieben
HTML-Gedöns entpacken
Rechte setzen
MySQL-Dump reinladen
wp-config.php anpassen
Fertig
Lustig: Der Plan an sich hat mit einer kleinen Änderung (man muss im MySQL-Dump noch den Datenbanknamen anpassen) funktioniert.
Ich hatte neulich beim Frühstück mit Kollegen eine angeregte Diskussion darüber, ob und warum der „Hack“ der AusweisApp-Anwendung bedenklich ist. Man braucht im Prinzip ja außer einem verseuchten DNS nicht wirklich etwas besonderes.
Aber: Wenn der Besitzer eines nPA ja zwingend seinen Rechner sauberhält, bedeutet das ja noch lange nicht, dass sein Router ebenso geschützt ist. Und ganz ehrlich: wer kennt sich denn mit dem Ding an der Wand besonders aus? Die meisten hängen es auf, geben den Zugangscode von $Provider ein und schreiben den WLAN-Code vom Gerät ab. Das bedeutet: sie ändern das Default-Passwort nicht, sie ändern den WLAN-Namen nicht, eigentlich nichts.
Das dieses Gerät aber im besten Fall ihr Schutz nach außen ist, und im dümmsten Fall ein fettes Sicherheitsrisiko, darüber macht sich kaum einer Gedanken.
Da der Router bei $Anwender auch gleichzeitig die DNS-Auflösung übernimmt, ist das natürlich ein geeignetes Angriffsobjekt. Und sobald man den Updatemechanismus benutzt hat um z.B. die lokale hosts-Datei mittels relativen Pfaden beim entpacken zu überschreiben…
Und dann greift ein Update-Mechanismus so einer Bundes-App (*pfffrt*) ungesichert und ungeprüft auf ein System zurück, bei dem die Regierung selbst massiv versucht, genaudieses anzugreifen und auszuhebeln. Erst baut man einen SOP ein und dann ist der User selbst dran schuld, obwohl sein Rechner sicher ist/war?
Mündiger Bürger schön und gut. Aber das ist etwas viel Zumutung, oder?
Themen: Londoner Börsse sattelt auf Linux um; Deklination auf dem Laternenzug; Jörg Tauss zur Paketvermittlung; @zeitweise hat Überlebenstipps für Unternehmen im Internetzeitalter und ein wirklich schöner Platz 1 bei Google. „Link-Ecke #23“ weiterlesen
Irgendwann in der Weihnachtszeit werden meine gesamten Domains auf einen neuen vServer bei netcup umgestellt, der komplett unter meiner Fuchtel steht. Dazu habe ich ein paar Sachen auf dem Server eingerichtet:
Apache, PHP, MySQL
Postfix Multi-Domain-Mailing mit mehrern virtuellen Usern/Mailboxen und TLS-Authentifizierung
Dovecot IMAP über TLS
Munin Überwachung
Bis der Server komplett live geht sollte da noch ein Spamassasin laufen und ab nächste Woche sollte für mein altes Mailkonto ein Imap-Sync laufen, ansonsten ist das Ding so gut wie fertig. Das ganze übrigens ohne eine Oberfläche à la SysCP o.ä., sondern komplett über Console und Configs.
Wer Interesse hat, seinen eigenen vServer zu betreiben, darf sich gerne bei Netcup umgucken, wer da Neukunde werden will, für den habe ich Gutscheine anzubieten. 10€ oder 3 Monate keine Grundgebühr.
Hinterlasst einen Kommentar mit eurer richtigen eMail-Adresse und ich schick‘ euch das zu.
PS: Sollte jemand zu den Themen „Spam Assasin“ und „Imapsync“ sachdienliche Hinweise haben, bitte in die Kommentare.
Piwik, das Open Source Tracking Tool, das neuerdings auch hier läuft (mit Anonymize-IP) und bis Ende des Jahres Google Analytics komplett ersetzen wird, hat ein nettes Feature: Das Plugin „SecurityInfo„.
Was macht das Plugin?
Es anaylsiert die PHP-Umgebung, und zeigt mögliche Schwachstellen auf. Auf meinem vServer läuft ein PHP-Suhosin, sowohl mit der Apache-Extension als auch mit dem PHP-Patch. Debian-Wertarbeit eben.
Meine Apache Config enthält nun unter anderem die Einstellungen:
# ServerTokens
# This directive configures what you return as the Server HTTP response
# Header. The default is 'Full' which sends information about the OS-Type
# and compiled in modules.
# Set to one of: Full | OS | Minimal | Minor | Major | Prod
# where Full conveys the most information, and Prod the least.
#ServerTokens Full
#ServerTokens Minimal
ServerTokens Prod
# Optionally add a line containing the server version and virtual host
# name to server-generated pages (internal error documents, FTP directory
# listings, mod_status and mod_info output etc., but not CGI generated
# documents or custom error documents).
# Set to "EMail" to also include a mailto: link to the ServerAdmin.
# Set to one of: On | Off | EMail
#ServerSignature On
ServerSignature Off
# Allow TRACE method
# Set to "extended" to also reflect the request body (only for testing and
# diagnostic purposes).
# Set to one of: On | Off | extended
#TraceEnable On
TraceEnable Off
Und Piwik PHPSecInfo sagt mir, dass zwar die Suhosin-Extension aktiviert ist, aber der Patch nicht eingespielt ist… Klingt etwas FAIL, oder?
Update Wie Anton vom Piwik-Team schreibt, ist das kein Piwik-Fehler sondern ein bug in phpsecinfo, der mittlerweile in der SVN-Version gefixed sei.
Jetzt, wo Maverick Meerkat in den Startlöchern stand, habe ich mir mal die Zeit genommen mein System auf 10.04 (Lucid Lynx) LTS upzudaten.
Ich bin begeistert. NICHT!
Nützliche Kleinigkeiten sind verloren gegangen, was die Usability des Systems in meinen Augen stark einschränkt:
Desktop
Der Lautstärkeregler sitzt horizontal.
Die 60-Sekunden-Lösung aus 9.10 beim abmelden oder herunterfahren ist keine mehr, sondern einfach nur ein zusätzlicher Dialog. Das sorgte schon mehrfach dafür, dass mein Rechner länger an war, als er eigentlich sollte.
Die Verknüpfung vom Logout und User-Info geht mir auf den Zeiger.
Schriften wurden deinstalliert
Das Taskbar-Widget von Rhythmbox ist für die Füße Es reichte bisher aus, mit dem Mausraus auf das Icon zu klicken um Play/Pause zu triggern und man konnte scrollen um die Lautstärke des Players zu regeln. Ausserdem brachte ein einzelner Klick das Programm in den und aus dem Tray. Nun öffnet sich ein beklopptes Menü
Server
Die Apache-User-Home-Verzeichnisse haben standardmäßig keine PHP-Engine (auch wenn sie vorher vorhanden war).
Das WLAN auf dem Server hat wieder nicht funktioniert. Erst die Installation der lucid-linux-modules-wireless-dingens und eine Umkonfiguration der RT2860STA.DAT schafften stabile Abhilfe.
Neulich habe ich mal 5 Minuten mit dem iPad eines Kollegen versucht 2 verschiedene Shooter zu spielen: Duke Nukem 3D und „N.O.V.A.“.
Fazit: Ich kann den Hype um die großartige Spieleplattform absolut nicht verstehen. Sachen wie „Angry Birds“ und die ganzen Ocassional Games mögen ihre Berechtigung haben, das will ich gar nicht abstreiten. Aber eine Gamepad-Steuerung, für die man das iPad wie ein Gamepad halten muss, mit nur nem Touchscreen realisieren ist irgendwie… blöd…
Liebe Kommentaristen. Ich bin weder angestellt bei GMX noch kenne ich dort jemanden. Ich kann hier keinen GMX-Support für euch leisten. Bitte hört auf, mir eure Zugangsdaten und Telefonnummern zu schicken.
Gestern, als ich meine GMX-Adresse benutzten wollte um mich von einem Newsletter abzumelden, bekam ich folgende Fehlermeldung angezeigt
Fehler in Thunderbird
Auch der Versand einer Mail aus der Weboberfläche ergab:
Fehler in der Weboberfläche
Nun. Ich zitiere, nachdem ich meine Mail versucht habe, an diverse Support-Adresse und die generelle GMX-Kontakt-Adresse zu schicken, meine Mail an die Pressestelle:
Hallo,
leider wurde mein GMX-Konto [nee, die Nummer schreib ich nicht hier ins Blog] aufgrund von angeblichem Mißbrauch gesperrt.
Mir wurde das nicht mitgeteilt, bis ich versuchte eine Mail über den SMTP-Server zu verschicken. Auch wüsste ich gern, welcher Art dieser Missbrauch sein sollte und worauf sich, falls es keine aussagekräftigen Belege gibt, der Verdacht gründet. Darüber hinaus würde ich mein Konto gern wieder benutzen können.
Da ich auch an einer Aufklärung diesbezüglich interessiert bin, freue ich mich, wenn Sie mir die entsprechenden Informationen zukommen lassen.
Darüber hinaus habe ich dann noch ein paar Fragen:
1. Warum muss ich mit einer sauteuren Nummer telefonieren um mein Konto zu entsperren? 2. Warum werde ich gesperrt, wenn ich Replies auf Spam-Mails bekomme, die ich nie gesendet habe? Ich weiss sehr wohl, dass man eMail-Header faken kann, wenn der SMTP es erlaubt. 3. Warum gibt es kein ordentliches Support-Formular mit einer Auswahl eines passenden Themas?
mit freundlichen Grüßen Christian Jung
PS: Eine aussagekräftige Antwort freut mich, denn so kann ich ein positives Bild vom Kundenservice eines Unternehmens in einem öffentlichen Bericht über diese Vorgänge verbreiten.
Also warten wir mal ab…
Update:
Sehr geehrter Herr Jung,
meine Kollegen teilten mir mit, dass ihr Passwort ausspioniert und Spammails verschickt worden sind.Deshalb sollten Sie ihren Rechner auf Viren überprüfen und ihr Passwort ändern.
Ihr Account müsste wieder entsperrt sein.
Mit freundlichen Grüßen
[xxx]
—–Ursprüngliche Nachricht—–
Hallo,
könnt ihr euch bitte darum kümmern.
Danke und VG
[xxx]
Lachhaft, die Ausrede, wie die Kommentare hier nahelegen.
Liebe Kommentaristen. Ich bin weder angestellt bei GMX noch kenne ich dort jemanden. Ich kann hier keinen GMX-Support für euch leisten. Bitte hört auf, mir eure Zugangsdaten und Telefonnummern zu schicken.
