- https://github.com/perara/wg-manager
- https://github.com/ngoduykhanh/wireguard-ui
- https://github.com/WeeJeWel/wg-easy
- https://github.com/WeeJeWel/wg-easy/wiki/Using-WireGuard-Easy-with-Pi-Hole
- https://github.com/WeeJeWel/wg-easy/wiki/Using-WireGuard-Easy-with-nginx-SSL
- https://github.com/UnnoTed/wireguird
Security
Plesk 12.5 / Postfix Cert ändern
Mit Thunderbird gab es noch Probleme beim Versand von eMails da er wegen des Certs meckerte. Cacert root habe ich bereits als trusted und dient als Übergang bis es möglich ist mit LetsEncrypt die Zertifikate zu erstellen.
Neuen Key generieren
1 2 |
openssl req -newkey rsa:4096 -subj /CN=*.buyenne.com -nodes -keyout wildcard.buyenne.com.key -out wildcard.buyenne.com.csr cat wildcard.buyenne.com.csr |
Certificate Request bei Cacert eingeben und das erstellte Zertifikat eintragen.
1 2 |
nano wildcard.buyenne.com.crt cat wildcard.buyenne.com.key wildcard.buyenne.com.crt class3.crt root.crt > wildcard.buyenne.com.pem |
Zertifikat austauschen.
1 2 3 4 |
cd /etc/postfix/ mv postfix_default.pem postfix_default.orig.pem cp ~/wildcard.buyenne.com.pem /etc/postfix/postfix_default.pem /etc/init.d/postfix restart |
LetsEncrypt / Docker / Plesk – erste Versuche
Die Webseiten werden entweder in Plesk oder Docker Container gehostet. Ein Plesk Modul gibt es erst ab der Version 12.5. Für Docker Container gibt es noch ein Fork vom jwilder reverse Proxy.
1 2 3 |
git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt/ ./letsencrypt-auto --server https://acme-v01.api.letsencrypt.org/directory certonly --agree-tos --email 'registrierte@email.de' -a manual |
Domains eintragen
IPFire – iPXE Installation auf Alix APU1d4
Die alte Firewall wird gegen ein aktuelleres Board ausgetauscht (http://www.pcengines.ch/apu1d4.htm)
Die Installation auf die SSD war nicht so einfach wie erwartet. Laut Website soll diese automatische erfolgen wenn man die entsprechende ISO auswählt (Flash-Image für Geräte mit serieller Konsole). Ich habe es einfach nicht hinbekommen. Auch die Auswahl anderer Images half nicht weiter. Ebenso das Kopieren des USB Sticks auf die Formatierte SSD.
Letztendlich hat es dann mit der iPXE Installation funktioniert (ein paar Infos dazu gibt es hier: http://ipxe.org/cmd)
Zuerst sollte man sich mit Putty mit dem Board verbinden. Dann einschalten. [STRG][B]
Netzwerkanschlüsse net0 / net1 /net2 vom COM Port zu USB Port
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
iPXE> ifstat net0: 00:0d:b9:3c:c9:8c using rtl8168 on PCI01:00.0 (closed) [Link:down, TX:0 TXE:0 RX:0 RXE:0] [Link status: Down (http://ipxe.org/38086101)] net1: 00:0d:b9:3c:c9:8d using rtl8168 on PCI02:00.0 (closed) [Link:down, TX:0 TXE:0 RX:0 RXE:0] [Link status: Down (http://ipxe.org/38086101)] net2: 00:0d:b9:3c:c9:8e using rtl8168 on PCI03:00.0 (closed) [Link:down, TX:0 TXE:0 RX:0 RXE:0] [Link status: Down (http://ipxe.org/38086101)] iPXE> ifopen net0 iPXE> ifopen net1 iPXE> ifopen net2 iPXE> dhcp Configuring (net0 00:0d:b9:3c:c9:8c)...... ok iPXE> imgstat iPXE> imgfetch http://mirror0.ipfire.org/releases/ipfire-boot/latest/undionly.kpxe http://mirror0.ipfire.org/releases/ipfire-boot/latest/undionly.kpxe... ok iPXE> imgstat undionly.kpxe : 77309 bytes iPXE>boot unionly.kpxe |
Plesk Hosting hardening
Die aktuelle Basiskonfiguration von Plesk beim Hosting läßt einige Wünsche offen.
Die Bewertung beim Qualys SSL Test war miserabel. Aber es läßt sich relativ einfach beheben.
NGINX dient als Reverse Proxy und das Hosting findet unter Apache statt.
Die ersten Schritte sind hier bestens beschrieben.
Nun werden noch die dhparam angepaßt.
1 |
openssl dhparam -out /etc/ssl/dh4096.pem 4096 |
Weiter geht es mit diesen Änderungen in den folgenden Dateien.
- /usr/local/psa/admin/conf/templates/custom/nginxWebmailPartial.php
- /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
- /usr/local/psa/admin/conf/templates/custom/server/nginxVhosts.php