Blog über Linux Sicherheit und andere verschiedene Sachen

ccache

Ich habe heute mit 2 Bekannten über den Beitrag Kernel bauen gesprochen und wir sind auf das Thema ccache gekommen. Sie konnten meine Aussage nicht nachvollziehen, dass ich ccache nutze. Einer nutzt ccache nicht, weil er auf seinen System keinen (merkbaren) Geschwindigkeitsvorteil hat. Eine weitere Meinung ist, die nicht von der Hand zu weisen ist, die Wahrscheinlichkeit für Compilerfehler steigt, weil ccache auch Bugs haben kann und ggf. das falsche ausliefert.

Loadbalancer und Webserver härten

Im Artikel Cracking the Lens: Targeting HTTP’s Hidden Attack-Surface wird unter anderem gezeigt, welche Auswirkungen nicht valider Host-Header auf die eigene Infrastruktur haben können. Man kann sich vor derartigen Angriffen relativ leicht schützen. Als erstes muss man entscheiden, ob man pfad- oder hostbasiert Routingentscheidungen trifft. Man sollte pro Loadbalancer/Reverseproxy/Webserver nur ein Unterscheidungsmerkmal nutzen. Wenn man beides zulässt, dann muss festlegen und auch sicherstellen, dass z.B. immer zuerst der Pfad /.

Let's Encrypt mit ECC

Wenn man nichts angibt, dann generiert der Let’s Encrypt-Client einen RSA Schüssel, welcher von Let’s Encrypt signiert wird. Die RSA Schlüssel sind in der Regel 2048 Bit lang. Man kann auch längere Schlüssel generieren, diese erhöhen die Sicherheit. Es ist auch möglich ECC für Zertifikate zu nutzen. Der offensichtlichtlichste Vorteil ist, dass ECC Schlüssel viel kürzer als RSA Schlüssel sind - bei einem gleichwertigen Sicherheitsnivieau. Auf leistungsschwachen Geräten ist ECC, in meinen Augen, auch schneller als RSA.

Redirects mit HAProxy

HAProxy ist mein persönliches Schweizer Taschenmesser, wenn es um HTTP-Routing geht. Wenn man ganze Verzeichnisse umleiten möchte, dann ist das mitunter etwas kompliziert, gerade wenn man eine alte Version benutzen muss. Im folgenden gibt es zwei Beispiele, wie man alle Requests, welche mit /foo/ beginnen zu /bar/ umleitet. HAProxy 1.5 In HAProxy 1.5 funktioniert dieser Redirect nur mit einem kleinen Hack: Man kopiert den Inhalt der internen Variable url1 in einen eigenen Header.

Sicherheitslücke in CDNs

Auf golem.de habe ich heute den Beitrag Caches von CDN-Netzwerken führen zu Datenleck gelesen. Ich finde diesen Beitrag oberflächlich und falsch. Das CDN-Anbieter, wie Akamei die Cache-Header ignorieren ist ein Feature. Wenn man ein CDN einsetzt, dann möchte man in der Regel keinen transparenten Cache haben. Ein transparenter Cache muss die Cache-Header beachten. Beipiele Die folgenden Beispiele sind etwas an konstruiert, aber ich kenne alle aufgeführten Beispiele (und noch mehr) aus meiner beruflichen Praxis.