schokokeks.org Hosting

Jabber mit PEP

2008-06-12T16:21:49+02:00

Dank der Hilfe unseres Kunden Fabian Fingerle unterstützt der Jabber-Server von schokokeks.org nun PEP. Fabian schreibt dazu:

»Etwas Zeit ist vergangen seitdem schokokeks.org auf ejabberd 2.0, welcher PEP-Support bietet, umgestiegen ist. Was bietet PEP und was hat PubSub für einen Nutzen?
PubSub ist im Allgemeinen eine Möglichkeit Informationen zentral zu veröffentlichen. Nutzer, die sich für bestimmte Dinge interessieren können einen solchen PubSub-Node, ähnlich RSS/Atom-Feed abbonieren und werden über neue Informationen auf dem laufenden gehalten. PEP (Personal Eventing via Pubsub) ist dabei das i-Tüpfelchen für PubSub, da es ermöglicht ändernde Meldungen wie aktuell laufender Musiktitel, Stimmung etc. via PubSub zu versenden.

Mir hat dieses Feature auf schokokeks.org gefehlt, weswegen ich mich sehr gefreut habe schokokeks.org dabei zu helfen dieses zu implementieren.«

Neues Zertifikat mit Firmennamen

2008-05-27T15:03:21+02:00

Wir haben heute das Zertifikat für die Webseiten von schokokeks.org erneuert. Alle Webseiten sind über https erreichbar, die Seiten, die einen Login erfordern (Konfigurationsinterface, Webmail, Wiki), sind ausschließlich SSL-geschützt erreichbar.

Wir haben nun bei der freien Zertifizierungsstelle CAcert eine sogenannte Organisations-Assurance durchgeführt, d. h. die Echtheit unserer Firma wurde überprüft. Damit ist im Zertifikat auch unser Firmenname schokokeks.org GbR eingetragen (bislang war dieses Feld leer).

Um CAcert-Zertifikate automatisch zu akzeptieren, muss man die Root-Zertifikate im Browser einfügen.

SSL/SSH-Keys von Debian-basierten Systemen kompromittiert

2008-05-16T00:30:47+02:00

Eine Verwundbarkeit in den OpenSSL-Paketen von Debian hat gravierende Auswirkungen. Diverse Schlüssel, die mit diesem Paket erstellt wurden, sind angreifbar.

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

Auf unseren eigenen Systemen benutzen wir ausschließlich Gentoo Linux, insofern sind unsere Server-Keys nicht betroffen. Zur Sicherheit unsere Kunden haben wir alle SSL-Server-Zertifikate und alle SSH-Publickeys (in authorized_keys) überprüft.

Wir fanden keine unsicheren SSL-Zertifikate. Einige wenige SSH-Keys waren verwundbar, wir haben diese deaktiviert und die entsprechenden Nutzer informiert.

Presseinformation: schokokeks.org setzt für SSL-Zertifikate auf SNI

2008-04-03T14:23:44+02:00

Ein gängiges Problem von geschützten https-Verbindungen ist, dass üblicherweise pro IP-Adresse nur ein Zertifikat vergeben werden kann. Daher ist es bei den meisten Shared-Hosting-Angeboten nicht möglich, https-Verbindungen korrekt zu nutzen, da das zugehörige Zertifikat nicht passend ist.

Hierfür existiert die SSL-Erweiterung SNI (Server Name Indication), welche auf unterschiedlichen virtuellen Hosts unterschiedliche Zertifikate ermöglicht. SNI wird bereits von den gängigen Browsern (Firefox, Opera, IE ab version 7) unterstützt. schokokeks.org bietet als einer der ersten Shared-Hosting-Provider seinen Kunden SNI an.

schokokeks.org selbst setzt für seine Seiten Zertifikate der freien Zertifizierungsstelle CAcert.org ein, jedoch können unabhängig davon auch eigene, extern gekaufte Zertifikate eingesetzt werden.

Einige Hintergrundinformationen über SNI haben wir in unserem Wiki bereitgestellt:
https://wiki.schokokeks.org/SNI

Local Root Exploit im Linux-Kernel

2008-02-11T17:29:04+01:00

Heute früh ging die Meldung über alle einschlägigen Nachrichtenseiten: Ein lokaler Root-Exploit für den Linux-Kernel ist im Umlauf (heise-Meldung hierzu).

Leider gestaltete sich das Update für uns nicht ganz trivial. Wir setzen grsecurity ein, welches für 2.6.24 noch nicht zur Verfügung steht. Für 2.6.23 existiert ein grsecurity-patch, welcher jedoch auf Kernel 2.6.23.16 (wo o. g. Exploit gefixt ist) nicht funktioniert.

Nun läuft folgende Kombination:
- Linux 2.6.23.14
- grsecurity-Patch grsecurity-2.1.11-2.6.23.14-200801231800.patch
- Relevante Änderungen aus 2.6.23.15 in splice.c: splice1
- Relevante Änderungen aus 2.6.23.16 in splice.c: splice2

Login mit Einmalpasswörtern

2008-01-28T21:29:55+01:00

Wenn man sich von einem Rechner, den andere Personen kontrollieren können (Internet-Café, bei Fremden, ...) mit einem Passwort einloggen möchte, besteht immer die reale Gefahr, dass der Rechner das Passwort irgendwo protokolliert ("Keylogger") und damit andere Personen Zugriff auf das Passwort und damit den benutzten Account haben.

Um diesem Problem ohne zusätzliche Hardware zu begegnen gibt es eigentlich nur eine funktionierende Lösung: One-Time-Passwords bzw. Einmalpasswörter (kurz: OTP).

Ab sofort unterstützen wir Einmalpasswörter nach dem S/Key-Verfahren. Damit kann sich jeder Benutzer bei Bedarf den Zugang mittels Einmalpasswörtern ermöglichen. Mehr Informationen dazu in unserem Wiki.

Vorerst keine Vorratsdatenspeicherung bei schokokeks.org

2008-01-09T12:56:13+01:00

Viel kritisiert wurde die kürzlich verabschiedete Regelung zur Vorratsdatenspeicherung in Deutschland.

Zwar ist die Vorratsdatenspeicherung seit 1. Januar in Kraft, sieht jedoch eine Übergangsfrist für Internetanbieter vor, verpflichtend wird die Speicherung erst ab 2009. Wir werden die Übergangsfrist ausnutzen und in diesem Zeitraum keine zusätzlichen Daten speichern.

Desweiteren hoffen wir im Moment, dass das Bundesverfassungsgericht die Vorratsdatenspeicherung kippt, da sie unserer Ansicht nach einen schwerwiegender Eingriff in die informationelle Selbstbestimmung darstellt. Die Administratoren von schokokeks.org haben sich deshalb an der Verfassungsbeschwerde des AK Vorratsdatenspeicherung beteiligt.

Energiesparen bei schokokeks.org

2007-10-31T00:10:42+01:00

Wir versuchen, beim Betrieb der schokokeks.org-Server den Energieverbrauch nicht unnötig hoch zu halten.

Beispielsweise setzen wir seit einiger Zeit cpufreq mit dem ondemand-Governor ein. Mit cpufreq ist es unter Linux möglich, die CPU-Taktfrequenz zu beeinflussen. Hierfür stehen verschiedene sogenannte Governor zur Verfügung. Der ondemand-Governor ist besonders interessant, er regelt automatisch die CPU-Taktfrequenz nach Bedarf. Ist das System unausgelastet, wird die Taktfrequenz abgesenkt, steigt die Last, wird sie automatisch erhöht.

Nach aktivieren der entsprechenden Kerneloptionen lässt sich der ondemand-Governor folgendermaßen aktivieren:

echo ondemand > /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor

Dieser Befehl muss bei jedem Systemstart ausgeführt werden.

Eine Reihe weiterer Möglichkeiten, den Energieverbrauch unter Linux zu senken, sind im Moment in der Entwicklung. Einige der Entwicklungen werden im nächsten Kernel 2.6.24 enthalten sein. Wir sind bemüht, derartige Neuerungen zeitnah auf den schokokeks.org-Servern zu implementieren.

Verweisen möchten wir noch auf die Seite LessWatts.org. Die Webseite ist eine sehr umfangreiche Informationsquelle für Energiesparfunktionalität unter Linux.

Eigene SSL-Zertifikate für Kunden

2007-10-24T23:04:44+02:00

Ein leidiges Problem mit https-Seiten ist, dass sie, zumindest bei Shared-Hosting-Umgebungen, meist mit falschen Zertifikaten ausgeliefert werden. Das Problem besteht darin, dass in der Vergangenheit eine IP lediglich ein Zertifikat ausliefern konnte.

Inzwischen gibt es eine Erweiterung des SSL/TLS-Standards mit dem Namen »Server Name Indication«, welche genau dieses Problem löst. Ab sofort bieten wir auf schokokeks.org an, dass Kunden über SNI eigene https/ssl-Zertifikate für ihre Domains nutzen können.

Clientseitig funktioniert dies bereits in den meisten Browsern. Firefox, Opera und IE unterstützen dies in der jeweils aktuellen Version, Konqueror wird ab KDE 4 dabei sein. Safari unterstützt im Moment SNI noch nicht.

Wir empfehlen weiterhin, Zertifikate von der freien Zertifizierungsstelle CAcert unterschreiben zu lassen, wir verteilen auch als Assurer Punkte für CAcert.

Weiteres Source-Release: freewvs (free web vunlerability scanner)

2007-10-18T19:04:22+02:00

Nachdem wir kürzlich bereits unser greylisting-System als freie Software veröffentlicht haben, steht nun ein weiteres Tool zur Verfügung.

freewvs dient dem Zweck, Webanwendungen mit bekannten Sicherheitsproblemen ausfindig zu machen.

http://source.schokokeks.org/freewvs/

Datenschutz bei schokokeks.org

2007-10-05T16:02:35+02:00

Vor einigen Tagen startete der AK Vorratsdatenspeicherung eine Kampagne unter dem Titel Wir speichern nicht, in der sich Betreibern von Webseiten verpflichten, den Zugriff zu ihren Seiten ohne die Protokollierung von IP-Adressen zu ermöglichen.

Kurze Zeit später wurde gemeldet, dass das Berliner Amtsgericht in einem Urteil das Justizministerium dazu zwang, IP-Protokollierung auf Webseiten zu unterlassen.

Wir nahmen diese Entwicklung zum Anlass, den Datenschutz bei schokokeks.org genauer unter die Lupe zu nehmen. Das Ergebnis nach einigen Tagen Arbeit:

Sämtliche Web-Dienste (Webseite, Wiki, Planet, Blog etc.) von schokokeks.org speichern keine IPs.
Personalisierbare Logs von anderen Services (ssh-Logins, eMail, Jabber) werden nach spätestens 5 Tagen entfernt.
Nutzer haben die Möglichkeit, Logfiles pro Web-Vhost anzuschalten. In der Standardeinstellung ist dies jedoch ausgeschaltet. Error-Logs werden grundsätzlich anonymisiert.

Desweiteren haben wir für unsere Nutzer eine Seite im Wiki zusammengestellt, wie in verschiedenen Webanwendungen der Datenschutz optimiert werden kann:
https://wiki.schokokeks.org/Datenschutz

Wir sind für weitere Vorschläge, die zu einer Verbesserung des Datenschutzes beitragen, immer offen.

Erstes Source-Release von schokokeks.org

2007-09-27T16:11:24+02:00

Im Lauf der Zeit sind bei schokokeks.org einige Skripte und Tools entstanden. Wir werden in naher Zukunft einiges davon als freie Software veröffentlichen.

Den Anfang macht ein Modul, welches sogenanntes Greylisting (eine Methode gegen Spam) für den Courier Mailserver implementiert. Es kann ab sofort unter http://source.schokokeks.org/greylisting/ heruntergeladen werden.

Wir sprechen von freier Software

2007-09-24T15:08:46+02:00

Wie den meisten unserer Kunden sicher bekannt ist, setzen wir bei schokokeks.org ausschließlich auf freie Software. Desweiteren sind wir immer bemüht, freie Softwareprojekte zu unterstützen und falls notwendig mit den Entwicklern zu kooperieren.

Die Free Software Foundation Europe hat eine Kampagne für Unternehmen gestartet, die freie Software unterstützen und darüber sprechen. Ein gutes Anliegen, wie wir finden, weswegen nun auch schokokeks.org dort gelistet ist.

Kampagne der FSFE - Wir sprechen von freier Software

schokokeks.org GbR

2007-08-10T07:02:31+02:00

Heute möchten wir eine größere Veränderung in der Struktur von schokokeks.org bekannt geben.

Doch zuvor ein kurzer Rückblick: schokokeks.org existiert seit etwa 4 Jahren und wurde als fixe Idee »Lasst uns zusammen einen Server mieten« von 7 Geeks ins Leben gerufen. Schon nach kurzer Zeit kristallisierte sich heraus, dass es nicht funktioniert, wenn zu viele Leute ohne geregelte Struktur verwaltet werden müssen.

Zudem stellte sich heraus, dass es sehr großes Interesse an Webspace-Accounts mit unserem Leistungsumfang gibt. Das Projekt wurde im Jahr 2005 umgewandelt in eine Firma, die dann auch die Handhabe hatte, neue Kunden aufzunehmen. Um den Verwaltungsaufwand möglichst in Grenzen zu halten, wurde schokokeks.org als Produktmarke von mir, Bernd Wurst, als Einzelkaufmann betrieben obwohl gleichermaßen Hanno Böck und Lars Strojny an der Administration beteiligt waren.

In letzter Zeit hat sich Lars Strojny aufgrund anderer Prioritäten aus der aktiven Arbeit zurückgezogen und jetzt auch seinen freiwilligen Ausstieg bekannt gegeben.

Dies haben wir zum Anlass genommen, schokokeks.org nochmals umzuwandeln, diesmal als GbR (Gesellschaft bürgerlichen Rechts), sodass Hanno und ich gleichermaßen beteiligt sind. Damit wird der wirklichen Struktur von schokokeks.org Rechnung getragen.

Unser Impressum ist bereits aktualisiert (wichtig, wie man weiß), in einem Kunden-Newsletter werden die Änderungen demnächst nochmals bekannt gegeben.

SSL-Zertifikat mit Kunden-Domains

2007-08-06T20:18:05+02:00

Ein bekanntes Problem mit über SSL ausgelieferten Webseiten ist, dass https pro IP-Adresse nur ein Zertifikat erlaubt. Das bedeutet, dass üblicherweise Domains, die in Shared-Hosting-Umgebungen betrieben werden, kein korrektes Zertifikat besitzen können, sofern Sie nicht eine eigene IP-Adresse beanspruchen.

schokokeks.org bietet seinen Kunden ab sofort die Möglichkeit, ihre Domains in einem Gemeinschaftszertifikat eintragen zu lassen. Hierfür bieten SSL-Zertifikate die Möglichkeit, mehrere Domains mit der Direktive SubjectAltName einzutragen. Wie bereits bekannt, lassen wir unsere Zertifikate von der freien Zertifizierungsstelle CAcert unterschreiben.

Die Lösung mit SubjectAltNames behebt das Problem zwar rudimentär, jedoch ist diese Lösung nicht sonderlich elegant. Für die Zukunft planen wir deshalb den Einsatz von SNI (Server Name Indication), welches mehrere SSL-Zertifikate auf einer IP vorsieht. SNI ist eine Erweiterung des SSL/TLS-Standards. Interessanterweise ist die Unterstützung von SNI in den meisten Client-Applikationen bereits vorhanden. Firefox, Opera und Internet Explorer sind bereits SNI-fähig, Konqueror wird mit KDE 4 diese Möglichkeit erhalten. Einzig Safari ist bei den großen Browsern noch außen vor.
Was uns davon abhält, SNI nicht jetzt schon einzusetzen, ist die Tatsache, dass openssl (und damit apache mit mod_ssl) dies erst mit Version 0.9.9 unterstützen wird - und wann diese erscheint, ist noch unklar. Alternativ wäre der Einsatz von gnutls mit mod_gnutls möglich, jedoch gilt dies noch nicht als stabil einsetzbar.

Unabhängig davon wäre natürlich langfristig eine Lösung mit IPv6 zu bevorzugen. Auch hier ist schokokeks.org bereits vorbereitet und bietet auf Anfrage eigene Zertifikate über IPv6 schon jetzt.

Die VhostTaskForce bei CAcert bietet einen Überblick über die angesprochenen Möglichkeiten der SSL-Zertifikate.