tipps_und_tricks

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
tipps_und_tricks [2015/09/26 14:14]
flacco [Rettungsumgebung]
tipps_und_tricks [2018/12/15 13:18]
flacco [Deeplinks verhindern]
Zeile 37: Zeile 37:
  
 Verlassen wird es einfach mit //​**exit**//​ Verlassen wird es einfach mit //​**exit**//​
- 
-===== VirtualBox ===== 
-Da der invis Server auch in Form virtueller Maschinen nutzbar ist und wir auf Messen gelegentlich entsprechende Images verteilen, beginnt die Tipps und Tricks Ecke mit einem Verweis auf VirtualBox - unserem favorisierten Virtualisierungssystem. Da mit einigen Einträgen zum Thema VirtualBox zu rechnen sein wird, widme ich diesem Thema eine eigene Wiki-Seite. 
- 
-[[:​tipps_und_tricks:​virtualbox| Tipps und Tricks zu VirtualBox]] 
  
  
Zeile 253: Zeile 248:
 Danach kann man sich wieder als Benutzer "​config"​ mit dem Passwort "​config"​ anmelden. Danach kann man sich wieder als Benutzer "​config"​ mit dem Passwort "​config"​ anmelden.
  
-===== OpenVPN ===== 
  
-Damit openVPN genutzt werden kann, wird eine CRL (Certificate Revocation List) benötigt. Auf älteren Installationen wird diese Datei nicht automatisch angelegt (Seit invis Version 9.2) ist dies der Fall), auch findet sich in den easy-RSA Tools kein Script um eine solche CRL zu erzeugen. Sie muss also manuell mittels //​**openssl**//​ erzeugt werden. 
- 
-Zunächst muss die auf dem System vorhandene OpenSSL-Version ermittelt werden. Für diesen Zweck gibt es ein vorgefertigtes Script: 
- 
-<​code>​ 
-invis:/​etc/​openvpn/​invis-server.loc # ./​whichopensslcnf ​ 
-/​openssl-1.0.0.cnf 
-************************************************************** 
-  No /​openssl-1.0.0.cnf file could be found 
-  Further invocations will fail 
-************************************************************** 
-</​code>​ 
- 
-Auch wenn die ausgegebene Meldung auf einen Fehler hindeutet, so liegt nahe, dass hier openSSL in Version 1.0.0 installiert ist und auf die in der Ausgabe genannte Konfigurationsdatei zurückgegriffen werden muss. Das Erstellen der CRL sieht dann wie folgt aus: 
- 
-<​code>​ 
-invis:/​etc/​openvpn/​invis-server.loc # openssl ca -config ./​openssl-1.0.0.cnf -gencrl -keyfile ./​keys/​ca.key -cert ./​keys/​ca.crt -out ./​keys/​crl.pem 
-</​code>​ 
- 
-Danach ist im Unterverzeichnis "​keys"​ die Datei "​crl.pem"​ zu finden, auf die in der OpenVPN Konfiguration bezug genommen wird. 
 ===== Nein Danke Zensursula ===== ===== Nein Danke Zensursula =====
 **Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.** **Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.**
Zeile 306: Zeile 280:
 neu.  neu. 
  
-===== Deeplinks verhindern ===== 
-Wenn der Webserver eines invis Servers auch via HTTPs aus dem Internet erreichbar ist, können die einzelnen Applikationen derzeit noch durch direkte Eingabe der Zieladresse im Browser ohne Umweg über das invis Portal erreicht werden. 
- 
-Dieses Verhalten ist aus Sicherheitsgründen eher bedenklich und in der Regel nicht erwünscht. Um dies zu verhindern muss die Apache-Konfigurationsdatei /​etc/​apache2/​vhosts.d/​i7ssl.conf erweitert werden. 
- 
-Tragen Sie dort für jede Applikation die nicht direkt angesprochen werden soll folgenden Eintrag ein: 
- 
-<​code>​ 
-    # Deeplinks verhindern 
-    <​Directory /​srv/​www/​htdocs/​phpMyAdmin>​ 
-        SetEnvIfNoCase Referer "​^http://​invis.invis-net.loc"​ dontblock 
-        SetEnvIfNoCase Referer "​^https://​your.dyndns-domain.net"​ dontblock 
-        Order Deny,Allow 
-        Deny from all 
-        Allow from env=dontblock 
-    </​Directory>​ 
-</​code>​ 
- 
-Das Beispiel zeigt den Deeplink-Schutz für das Verzeichnis von phpMyAdmin. Sie müssen lediglich die Domain-Namen an Ihre Gegebenheiten anpassen und den Apache neustarten. Danach sind die geschützten Applikationen nur noch über das invis-Portal erreichbar. 
- 
- 
-Die gezeigten Einträge sind ab invis Release 6.6-R4 generell für alle Applikationen Standard. 
  
 ===== Faxgate-Client unter Linux nutzen ===== ===== Faxgate-Client unter Linux nutzen =====
  • tipps_und_tricks.txt
  • Zuletzt geändert: 2018/12/15 14:05
  • von flacco