Nginx ist der Standard. Traefik ist die Docker-native Alternative. Caddy ist der einfachste Einstieg. Alle drei können als Reverse Proxy vor PHP-Anwendungen stehen — aber sie haben verschiedene Stärken. Nginx Der Klassiker. Maximal performant, extrem flexibel, überall dokumentiert. Konfiguration ist…
Samba macht Linux-Verzeichnisse für Windows-Clients über das SMB-Protokoll zugänglich. Praktisch für Heimnetzwerke oder wenn man Dateien zwischen Linux-Server und Windows-Rechner teilen will. Installation Einfache öffentliche Freigabe Konfiguration. Am Ende eintragen. Passwortgeschützte Freigabe Sam…
NFS ist der klassische Weg um Verzeichnisse zwischen Linux-Servern zu teilen. Einfacher als Samba und ohne Windows-Abhängigkeiten. Server einrichten Freizugebendes Verzeichnis anlegen. Export konfigurieren. — lesbar und schreibbar. — Schreiboperationen warten auf Disk-Bestätigung, sicherer. — besser…
Pi-hole blockiert Werbung und Tracker auf DNS-Ebene. Läuft nicht nur auf einem Raspberry Pi sondern auf jedem Linux-Server. Installation Das Installationsskript führt durch die Konfiguration. Als Upstream-DNS 1.1.1.1 oder 8.8.8.8 wählen. Zugriff absichern Pi-hole öffnet standardmäßig Port 80 für das…
Das OSI-Modell ist das theoretische Fundament von Netzwerken. Prüfungsthema, oft auswendig gelernt und schnell vergessen. Aber wenn man versteht welche Schicht für was verantwortlich ist debuggt man Netzwerkprobleme deutlich schneller. Die sieben Schichten | Nr | Schicht | Protokolle | Aufgabe | |--…
Viele Anwendungen müssen Mails verschicken: Passwort-Reset, Benachrichtigungen, Cronjob-Outputs. Postfix als lokaler Mail-Relay ist dafür die sauberste Lösung ohne einen externen SMTP-Dienst einzubinden. Installation Beim Setup-Dialog "Internet Site" auswählen und den Hostnamen eingeben. Konfigurati…
Træfik ist ein Reverse Proxy der sich besonders gut mit Docker verträgt. Neue Container werden automatisch erkannt und bekommen ohne manuelle Konfiguration ein HTTPS-Zertifikat. docker-compose.yml Anwendung registrieren Jeder Container bekommt Labels die Træfik sagen wie er zu erreichen ist. Sobald …
openssl ist auf jedem Linux-System dabei und unersetzlich wenn man mit Zertifikaten arbeitet. Self-Signed Zertifikat erstellen Für interne Dienste oder lokale Entwicklung. bedeutet kein Passwort auf dem Private Key — nötig damit Nginx ohne manuelle Eingabe startet. Bestehende Zertifikat prüfen Ablau…
Subnetting ist einer dieser Inhalte die in der Ausbildung theoretisch gelehrt werden und praktisch bei jedem Netzwerk-Setup relevant sind. VLANs bauen darauf auf und lösen die Frage wie man physische Infrastruktur logisch trennt. Subnetting Ein IP-Netzwerk wird in kleinere Teilnetzwerke aufgeteilt. …
Nginx kann Traffic auf mehrere Backend-Server verteilen ohne dass man dafür extra Software braucht. Praktisch wenn man eine Anwendung horizontal skalieren will. Upstream definieren Im -Block der nginx.conf. Traffic verteilen Nginx verteilt jetzt im Round-Robin-Verfahren auf alle drei Server. Gewicht…
Eine Glühbirne ist kein Sicherheitsrisiko. Eine Glühbirne mit WLAN-Chip, Firmware aus dem Jahr der Auslieferung, und einem China-Cloud-Backend dem sie alle 30 Sekunden Statusinformationen schickt — ist eine andere Sache. Das IoT-Sicherheitsproblem Smart-Home-Geräte werden nach dem Preis gekauft, nic…
iptables ist seit Jahrzehnten das Standard-Firewall-Tool unter Linux. nftables ist der Nachfolger und seit Debian 10 und Ubuntu 20.04 der Standard. Die Frage ist ob man noch iptables lernen oder gleich auf nftables setzen soll. Aktueller Stand Auf modernen Systemen ist meist nur noch ein Wrapper der…
netstat ist auf älteren Systemen der Standard, auf modernen Debian/Ubuntu-Versionen ist der Nachfolger. Beide zeigen offene Ports, aktive Verbindungen und lauschende Dienste. ss — der moderne Weg Alle lauschenden Ports. TCP, nur lauschende, ohne Namensauflösung, zeigt den Prozess. Alle aktiven Verbi…
Bevor man einen Server ins Internet stellt sollte man wissen welche Ports von außen erreichbar sind. nmap ist dafür das richtige Werkzeug. Installation Einfacher Port-Scan Scannt die 1000 häufigsten Ports und zeigt an welche offen sind. Alle Ports scannen Dauert länger aber erfasst auch ungewöhnlich…
HTTPS nutzt jeder. Aber was hinter dem grünen Schloss steckt bleibt oft undurchsichtig. Public-Key-Infrastruktur ist das Fundament — und das Konzept ist verständlicher als es klingt. Asymmetrische Kryptographie Das Grundprinzip: zwei Schlüssel die zusammengehören. Private Key: nur der Besitzer kennt…
Zwei Einstellungen die bei jedem Nginx-Server aktiviert sein sollten und kaum Aufwand kosten. Gzip-Komprimierung Komprimiert Antworten bevor sie an den Browser geschickt werden. Spart Bandbreite und macht die Seite schneller. In der im -Block eintragen. verhindert dass winzige Dateien komprimiert we…
IPv4-Adressen sind seit Jahren knapp. Hetzner, DigitalOcean und alle anderen Cloud-Anbieter geben jedem Server eine IPv6-Adresse — die meisten Leute ignorieren sie. Das wird irgendwann ein Problem. Warum IPv6 IPv4: 4,3 Milliarden Adressen, praktisch verteilt. IPv6: 340 Sextillionen Adressen. Genug f…
tcpdump schneidet Netzwerktraffic direkt auf dem Server mit. Praktisch wenn man verstehen will was wirklich über die Leitung geht — nicht was die Anwendung behauptet. Grundlegende Verwendung Zeigt alles auf dem Interface eth0 in Echtzeit. Meist zu viel auf einmal. Nach Port filtern Nach IP filtern K…
Du nutzt ein VPN. Deine IP ist versteckt. Trotzdem sieht dein Internetanbieter jeden Domainnamen den du aufrufst — weil DNS-Anfragen am VPN vorbeigehen. Das nennt sich DNS-Leak. Was DNS ist und warum es exponiert DNS übersetzt Domainnamen in IP-Adressen. Bevor der Browser google.com aufruft, fragt e…
Ein Postfix-Server ohne SPF, DKIM und DMARC landet zuverlässig im Spam oder wird direkt abgewiesen. Die drei DNS-Records sind heute Pflicht. SPF — wer darf E-Mails für diese Domain senden SPF definiert in DNS welche Server berechtigt sind E-Mails von zu senden. — diese IP darf senden — der MX-Eintra…
WireGuard ist moderner und deutlich einfacher als OpenVPN. Weniger Code, bessere Performance, schnellere Verbindungsaufbau. Installation Schlüsselpaar erstellen Auf dem Server. Auf dem Client genauso. Server konfigurieren IP-Forwarding aktivieren. WireGuard starten. Client konfigurieren leitet den g…
„WhatsApp ist doch verschlüsselt" ist technisch korrekt und trotzdem eine Vereinfachung die wichtige Unterschiede verdeckt. Die Unterschiede zwischen den großen Messengern sind real — und relevant je nach Schutzbedarf. Was Ende-zu-Ende-Verschlüsselung bedeutet E2E bedeutet: Der Inhalt der Nachricht …
Ein Let's Encrypt Zertifikat reicht nicht. Nginx liefert standardmäßig auch schwache Cipher Suites und alte TLS-Versionen aus. Das lässt sich mit ein paar Zeilen abstellen. Sichere SSL-Konfiguration In der oder in einer eigenen Include-Datei. HSTS — Browser erzwingen HTTPS Im Server-Block. Einmal ge…
Apache und Nginx zusammen klingt erstmal nach Doppelarbeit, macht aber Sinn. Nginx ist schneller beim Ausliefern von statischen Dateien und kann als Reverse Proxy vor Apache geschaltet werden. Apache kümmert sich dann nur noch um PHP, Nginx um den Rest. Ausgangslage Apache läuft auf Port 8080, Nginx…
Das Firmennetzwerk hatte eine Firewall, einen Mail-Gateway, kontrollierte Endgeräte. Das Homeoffice hat einen Consumer-Router, das private WLAN und denselben Laptop auf dem auch Netflix läuft. Die Angriffsfläche hat sich erheblich vergrößert. Das geteilte Gerät Dienstgerät und Privatgerät zu trennen…
Seit Let's Encrypt gibt es keine Ausrede mehr eine Seite ohne HTTPS zu betreiben. Kostenlos, automatisch erneuerbar und in wenigen Minuten eingerichtet. Certbot installieren Für Apache statt Nginx. Zertifikat ausstellen Certbot passt die Nginx-Konfiguration automatisch an und richtet die HTTPS-Weite…
Basic Auth ist der schnellste Weg um einen Bereich mit einem Passwort zu schützen. Für interne Tools, Staging-Umgebungen oder Admin-Bereiche reicht das völlig. Passwort-Datei erstellen erstellt die Datei neu. Für weitere Benutzer ohne . Nginx konfigurieren Einen ganzen Server-Block schützen. Nur ein…
Betriebssystem aktuell. Browser aktuell. Antivirus läuft. Und der Router daheim läuft seit drei Jahren mit der Firmware von Lieferung. Das ist das tatsächliche Einfallstor. Was Firmware ist und warum sie vergessen wird Firmware ist die Software die direkt auf Hardware läuft: Router, NAS, IP-Kameras,…
Cookies blockieren, Inkognito-Modus nutzen, Tracking-Blocker installieren — und trotzdem erkannt werden. Browser-Fingerprinting umgeht all das, weil es ohne Speichern funktioniert. Was ein Fingerprint ist Jeder Browser meldet beim Seitenaufruf eine Kombination aus Eigenschaften: User-Agent-String, i…
DNS-Probleme sind schwer zu debuggen wenn man die richtigen Werkzeuge nicht kennt. dig und nslookup sind auf jedem System dabei und reichen für die meisten Fälle. dig installieren Einfache Abfrage Zeigt den A-Record. Die wichtige Antwort steht im . Bestimmten Record-Typ abfragen Kompakte Ausgabe Gib…
Nginx kann übermäßige Requests pro IP selbst drosseln ohne dass dafür fail2ban oder eine Anwendungslogik nötig ist. Rate Limiting konfigurieren Im -Block der eine Zone definieren. ist die Größe der Zone im Speicher — reicht für etwa 160.000 IPs. bedeutet 5 Requests pro Minute, 30 pro Sekunde. Zone a…
„Kein öffentliches WLAN nutzen" ist der Sicherheitsrat den alle kennen und niemand befolgt. Zu Recht — denn er ist so pauschal dass er nicht mehr hilfreich ist. Was früher stimmte Vor HTTPS-Everywhere war öffentliches WLAN tatsächlich gefährlich. Man konnte mit Wireshark passiv mithören, Anmeldedate…
Heartbleed (CVE-2014-0160) war eine der folgenreichsten Schwachstellen in der Geschichte des Internets. Betroffen war OpenSSL — die TLS-Bibliothek die zu diesem Zeitpunkt auf geschätzten zwei Dritteln aller HTTPS-Webserver lief. Was die Schwachstelle war Das TLS-Protokoll hat eine Heartbeat-Erweiter…
SSH kann mehr als nur eine Remote-Shell öffnen. Mit Tunneling lassen sich Ports weiterleiten und Dienste erreichbar machen die eigentlich nicht öffentlich sind. Lokaler Tunnel — Remote-Port lokal verfügbar machen Ein Dienst läuft auf dem Server auf Port 8080 aber ist von außen nicht erreichbar. Mit …
Viele Infrastrukturen haben einen öffentlich erreichbaren Bastion-Host hinter dem die eigentlichen Server nur intern erreichbar sind. Mit ProxyJump springt man in einem Schritt durch. Einmaliger Befehl SSH verbindet zuerst zum Bastion-Host und tunnelt die Verbindung von dort zum Zielserver weiter. M…
E-Mail fühlt sich privat an. Man schreibt, schickt ab, der Empfänger liest. Was dazwischen passiert interessiert die meisten nicht — sollte es aber. Die Strecke einer E-Mail Eine E-Mail läuft typischerweise durch: deinen Mail-Client → deinen Mailserver (MTA) → möglicherweise mehrere Relay-Server → d…
Das alte und sind auf modernen Systemen durch ersetzt. Hier die Befehle die man regelmäßig braucht. Interfaces anzeigen IP-Adresse setzen (temporär) Interface hoch/runter Routing-Tabelle Standard-Gateway anzeigen. Route hinzufügen. Standard-Gateway setzen. Verbindungen prüfen kombiniert ping und tra…
Conficker war einer der am weitesten verbreiteten Computerwürmer der Geschichte. Auf dem Höhepunkt infizierte er schätzungsweise 9 bis 15 Millionen Maschinen weltweit — darunter Militärnetzwerke, Krankenhäuser und Regierungsbehörden. Was war Conficker Ein Wurm der sich über drei Wege verbreitete: ei…
UFW ist das Frontend für iptables das bei Debian und Ubuntu mitgeliefert wird. Die Bedienung ist deutlich einfacher als direkt mit iptables zu arbeiten und für die meisten Anwendungsfälle völlig ausreichend. Zuerst prüfen wir ob UFW überhaupt installiert ist. Falls nicht, installieren wir es schnell…
Am 21. Oktober 2016 war ein großer Teil des US-Internets für Stunden nicht erreichbar. Twitter, Reddit, GitHub, Spotify, CNN — alle down. Die Ursache: ein DDoS-Angriff auf Dyn, einen der größten DNS-Provider der USA. Das Werkzeug: Mirai. Was Mirai war Mirai war ein Botnet aus IoT-Geräten — IP-Kamera…