WordPress Admin-Bereich mit SSL absichern

Mit dem Admin-SSL WordPress Plugin kann man ganz bequem den Admin-Bereich eines WordPress-Blogs auf SSL umstellen. Vorher muss man nur den Apache mit SSL zum Laufen gebracht haben. Hier ein paar Zeilen aus der Apache2 Konfiguration:

<virtualhost IP-Adresse:443>
SSLEngine on
SSLCertificateFile /etc/ssl/blog.crt
SSLCertificateKeyFile /etc/ssl/blog.key
SSLCACertificateFile /etc/ssl/blog.ca-bundle
DocumentRoot […]

Weitere Infos zu WordPress plus SSL gibts auf WordPress Codex: Administration Over SSL

Sicherheitslücke im Zusammenspiel von SysCP, proftpd und Debian Sarge/Etch

Im SysCP-Blog war schon im April im Artikel Security warning: Possible remote code injection when using Debian Sarge/Etch von einer Sicherheitslücke zu lesen. In Unkenntnis davon, das es ein SysCP Blog gibt, habe ich davon erst heute erfahren.

Ursache ist der Benutzer ftp bei Debian, der als Passwort das Ausrufezeichen zugewiesen bekommt, was für „Login immer verboten“ steht. Durch einen Fehler in der SysCP Default-Konfiguration für proftp, kann man sich dann mit diesem Passwort am System anmelden. Wenn im Apache mod_userdir aktiviert ist, kann man für den FTP-Benutzer das Verzeichnis public_html anlegen und mit Dateien befüllen. Diese sind dann im Web zugänglich. Als Lösung wird folgendes aufgeführt, was bei mir auch zur Absicherung des Servers führte:

We recommend to add the following line to your /etc/proftpd.conf:
AuthOrder mod_sql.c

Ich würde allen SysCP-Usern empfehlen nach dem Verzeichnis /home/ftp/public_html zu suchen, proftpd ggf. umzukonfigurieren und dann den public_html Ordner zu löschen, wenn sein Inhalt nicht legitim ist.

Was neues bei der Bahn – Teil 2

Heute war ich wieder Fahrkarten kaufen, diesmal in Oberhausen. Auch hier die neuen Drucker, auch hier wieder ritsch-ratsch der Großteil vom Papier abgetrennt. Ich sage wieder das das ja nicht so toll für die Umwelt ist. Die Mitarbeiterin am Schalter klärte mich dann darüber auf, das sie den Abfall einem Kindergarten geben und die Kinder dann noch drauf malen können. Wenigstens etwas… 🙂

Was neues bei der Bahn

Ich war heute beim Fahrkarten kaufen im Regensburger Hauptbahnhof am Schalter. Trotz drohendem Streik will ich nächste Woche mit dem Zug fahren. Beim Drucken des Kartenzahlbelegs kam mir dann was komisch vor. Der Schaltermensch muss knicken und reisst dann was vom Papier ab und wirft das in einen Karton. Noch hat es bei mir nicht klick gemacht. Die selbe Prozedur für eine Fahrkarte und drei weitere Platzkarten. Jeweils kommt ein Blatt aus dem neuen Laserdrucker, knick, knick, reiss, wegwerf. Klick. Die neuen Drucker können wohl nur noch A4 Blätter einziehen, das heisst es wird nur ein kleiner Teil bedruckt, der Rest wird weggeworfen. Darauf angesprochen, dass es ja wohl nicht sein kann, dass immer 2/3 des Papiers weggeworfen werden sagte der Bahnmitarbeiter, dass sie das auch nicht toll finden.

Zuhause habe ich mal nachgemessen. So eine Fahrkarte ist 84mm hoch. Ein DIN A4 Blatt ist 297mm hoch. D.h. der eigentliche Beleg macht rund 28% aus und rund 71% sind Abfall. Bei den fünf Belegen, die ich bekommen habe, sind also ca. zweieinhalb DIN A4 Seiten Altpapier produziert worden. Das „Altpapier“ war übrigens zu allem Überfluss zweifarbig vorbedruckt. Dafür habe ich nur ein Kopfschütteln übrig.

Wenn TLDs eingestellt werden

In der Folge 17 vom Regencast habe ich über „Klimaerwärmung und die Südseeinseln“, im speziellen über Tuvalu, gesprochen. Die Insel könnte ihre Top-Level-Domain verlieren, wenn sie im Meer versinkt. Als aktuelles Beispiel steht nun die Migration von .YU (Ex-Jugoslawien) nach .RS (Serbien) und .ME (Montenegro) an.