http://www.physiotherapie-am-abend.de/

Besonders erstaunt hat mich, dass der W3C Validator auf Anbieb zufrieden mit dem Queltext war. Wer sich die Mühe macht und die Webseite im Internet Exporer betrachtet, wird schnell einige Unterschiede feststellen. Nach mehreren Stunden “[if IE]” habe ich es aufgegeben das CSS an diesen Ignoranten anzupassen. Enttäuscht hat mich auch T-Online mit einem extrem langsamen Webserver, der die Webseite alles andere als schnell ausliefert.

Folgende Hardware kommt dabei zum Einsatz:

# cat /proc/bus/usb/devices | grep UPS | grep Product
S:  Product=Back-UPS CS 350 FW:807.q8.I USB FW:q8

Zuerst muss die Software installiert werden:

# aptitude install nut

Jetzt zeigt man der Software, wo die Hardware zu finden ist:

# vi /etc/nut/ups.conf
[apc]
driver = usbhid-ups
port = auto

In diesem Fall, soll die UPS per NRPE überwacht werden und kann damit auf localhost beschränkt sein:

# vi /etc/nut/upsd.conf
ACL all 0.0.0.0/0
ACL localhost 127.0.0.1/32
ACCEPT localhost
REJECT all
# vi /etc/nut/upsd.users
[local_mon]
password = irgendeinpasswort
allowfrom = localhost
upsmon master

An folgender Stelle kann zusätzlich konfiguriert werden, ob beim Stromausfall das System gestoppt werden soll. Dazu sollte man die Doku der Software lesen. In diesem Fall soll das System nicht gestoppt werden:

# vi /etc/nut/upsmon.conf
MONITOR apc@localhost 1 local_mon irgendeinpasswort master

Die Dateirechte werden wie folgt angepasst:

# chown root:nut /etc/nut/*
# chmod 640 /etc/nut/*

UPSD und UPSMON müssen nach einem Neustart automatisch gestartet werden:

# vi /etc/default/nut
- START_UPSD=no
- START_UPSMON=no
+ START_UPSD=yes
+ START_UPSMON=yes

Dienste starten:

# /etc/init.d/nut start && tail -f /var/log/daemon.log

Wenn alles richtig konfiguriert wurde, kann man die Daten der UPS auslesen:

# upsc apc

Der Nagios NRPE Check hat folgenden Inhalt:

# /usr/lib/nagios/plugins/check_ups -H localhost -u apc
UPS OK - Status=Online Utility=240,0V Batt=100,0% Load=65,0% |voltage=240000mV;;;0 battery=100%;;;0;100 load=65%;;;0;100

Das Ergebnis in Nagios schaut dann in etwa so aus:

Fatal error: Call to a member function log() on a non-object in /path/lib/OA.php  on line 207

Die Lösung wäre sinnvollerweise eine gesetzte Zeitzone in der php.ini. Leider scheint es hier noch Probleme zu geben. Folgende Anpassung brachte bei mir die Lösung:

$ for i in `grep 'date_default_timezone_get' * -R | cut -d":" -f1`; do \
sed -i "s/date_default_timezone_get()/date_default_timezone_get(\'Europe\/Berlin\')/g" $i; \
done

JIRA 4.1.1

Als Fazit kann man sagen, es wurden einige Bugs und Sicherheitslücken behoben und die Usability hat sich verbessert. Wer ein Update durchführen will, sollte noch genug RAM zur Verfügung haben, da sowohl während dem Update (abhängig von der vorhandenen Datenmenge), als auch beim späteren Betrieb der Umfang des RAM ein wenig steigt (bei mir zirka 10%).

http://piwik.org/changelog/

Ein neues Feature, welches Datenschützer freuen wird, ist die Möglichkeit, die IP-Adressen der Besucher zu anonymisieren.

Wer zur Auswertung der Zugriffe noch AWStats nutzt und auf Piwik umsteigen will, möge sich melden.

Gentoo/Linux:Dovecot

Für Testwillige steht die neue IMAP Software bereits auf einem anderen Port (994 mit SSL) zur Verfügung. Die abbonierten Ordner werden am Tag der Umstellung automatisch übernommen. Wer mit einem Client Programmen wie Thunderbird oder Outlook auf den Mailserver zugreift, findet bekannte Probleme und Lösungen im Wiki:

Gentoo/Linux:Dovecot#Client_Programme

Wer nach der Umstellung Probleme mit dem Zugriff auf Mails hat, möge sich bei mir melden.

Sollte weiterhin Interesse an einem Voice Dienst bestehen, würde ich alternativ zu Teamspeak die Software Mumble anbieten. Wenn jemand an einem solchen Dienst interessiert ist, kann er mich gerne anschreiben.

SSL123 Certificates

Dabei wird lediglich geprüft, ob das Zertifikat auch zur Domain z.B. www.bknaus.de passt (Domain validation). Ein solches Zertifikat kostet bei Thawte für ein Jahr $149 (umgerechnet 107,06€).

SSL Webserver-Zertifikate

Dabei handelt es sich um Zertifikate, die auch sicherstellen, dass die Domain zu einer Organisation gehört. Man kann dabei den Firmennamen in das Zertifikat aufnehmen, was z.B für Online Shops mit Kreditkartenzahlung zu bevorzugen ist. Der Kunde kann dabei sicherstellen, dass seine Kreditkartendaten auch wirklich bei der Firma landen, bei der er die Ware oder Dienstleistung einkaufen will. Ein solches Zertifikat kostet bei Thawte für ein Jahr $249 (umgerechnet 178,91€).

Natürlich gibt es noch weitere Produkte, die mehr Informationen in das Zertifikat aufnehmen, oder unterschiedliche Schlüsselstärken enthalten. Es gibt sogar Zertifikate, die eine Verschönerung der Adressleiste ermöglichen:

Solche Zertifikate sind für schwindelerregende Preise zu haben und bieten dabei nicht wirklich mehr Sicherheit. An große Organisationen lassen sich solche “Statussymbole” sicherlich verkaufen, aber Betreiber von einfachen Webdiensten werden auch den Preis beim Einkauf berücksichtigen.

Als Alternative zu teuren Zertifikaten, kann man auch kostenlose Dienstleister wie CAcert.org verwenden:

Quelle Wikipedia

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Leider hat CAcert.org den Sprung in die gängigen Browser noch nicht geschafft. Der Benutzer muss entweder mit einer Fehlermeldung beim ersten Verbindungsaufbau konfrontiert werden, oder das root-Zertifikat von CAcert.org im Browser importieren.

Einen kleinen Lichtblick bietet in diesem Jungel der Anbieter GoDaddy. Hier bekommt man einfache SSL Zertifikate die mit Thawte’s SSL123 vergleichbar sind für weniger als 25€ pro Jahr. Das ist ein Unterschied von 82€ Pro Jahr für die gleiche Sicherheit. Zuerst erzeugt man ein Key-File:

$ openssl genrsa -out bknaus.de.key 2048

Aus dem erzeugten Key-File generiert man eine CSR:

$ openssl req -new -key bknaus.de.key -out bknaus.de.csr

Man muss bei der Generierung darauf achten, dass bei “Common Name” der FQDN eingetragen wird. Das Zertifikat wird später nur für diesen FQDN gültig sein. Während dem Bestellprozess des “Standard SSL“-Zertifikats wird man aufgefordert den Inhalt der CSR Datei einzugeben. Daraus wird dann ein signiertes Zertifikat erstellt, welches auf dem Server eingebunden werden kann. Das signierte Zertifikat ist natürlich nicht an einzelne Dienste gebunden, sondern kann parallel für verschiedene Dienste genutzt werden.

Im Apache wird das Zertifikat wie folgt eingebunden. In diesem Beispiel legt man die Dateien unter Gentoo in das Verzeichnis “/etc/apache2/ssl/” und bindet sie wie folgt in der Apache Konfiguration ein:

# vi /etc/apache2/vhosts.d/bknaus.de.conf
...
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP:+eNULL
SSLCertificateFile conf/ssl/bknaus.de.crt
SSLCertificateKeyFile conf/ssl/bknaus.de.key
SSLCertificateChainFile conf/ssl/gd_bundle.crt
...
# /etc/init.d/apache2 configtest
# /etc/init.d/apache2 restart

Verbindet man sich jetzt per HTTPS auf die Domain, sollte keine Fehlermeldung mehr auftreten und durch einen Klick auf im Firefox, kann man sich die Inhalte des Zertifikats anzeigen lassen:

Auch Courier IMAP kann mit diesem SSL-Zertifikat umgehen. Dabei muss aber vorher eine PEM Datei erzeugt werden:

# cd /etc/courier-imap
# vi imapd-ssl
TLS_CERTFILE=/etc/courier-imap/bknaus.de.pem
TLS_TRUSTCERTS=/etc/courier-imap/gd_bundle.crt

# cp /etc/apache2/ssl/bknaus.de.key .
# cp /etc/apache2/ssl/bknaus.de.crt .
# cp /etc/apache2/ssl/gd_bundle.crt .
# cat bknaus.de.key bknaus.de.crt > bknaus.de.pem
# openssl gendh >> bknaus.de.pem
# /etc/init.d/courier-imapd-ssl restart

Natürlich kann auch netqmail mit dieser PEM Datei umgehen. Hier muss sie nur in den entsprechenden Ordner kopiert werden:

# cp /etc/courier-imap/bknaus.de.pem /var/qmail/control/servercert.pem
# /etc/init.d/svscan restart

Andere Dienste wie Postfix, OpenVPN und Co, lassen sich prinzipiell auch mit diesem Zertifikat absichern. Nahezu alle Browser und Mailprogramme enthalten das root-Zertifikat von GoDaddy, so dass man mit weniger als 25€ pro Jahr ein professionelles Sicherheitsniveau seiner SSL geschützten Dienste erreichen kann.

http://wordpress.org/support/topic/192158/page/2/

Danach war ein Login mit dem iPhone problemlos möglich und wurde durch das Schreiben dieses Blog Eintrags getestet. Nur der Upload von Bildern über iPhone App macht derzeit noch Probleme. Hier wird bei HTML Tags das einleitende “<” verschluckt, was zu einem Ausgabefehler führt.