Blog – Seite 2

nftables Cheat Sheet: Nützliche Befehle für nft Teil 2

Nachdem ich in Teil 1 die grundlegenden Begriffe zu nft erläutert habe, zeige ich in Teil 2 die wichtigsten Befehle.

sudo lasse ich bei den nachfolgenden Beispielen weg. Es wird für nft Kommandos nötig sein.

Ausgabe der kompletten Konfiguration:

Bash

nft list ruleset

Mit diesem Befehl wird das gesamte nftables-Regelwerk in seiner aktuellen Form ausgegeben.

Da das Ruleset je nach Komplexität sehr umfangreich sein kann, habe ich mir ein eigenes Skript erstellen lassen, das die Ausgabe auf das Wesentliche kürzt: Bei mehrzeiligen Blöcken innerhalb geschweifter Klammern wird nur die erste und letzte Zeile angezeigt.

(mehr …)

17. Juni 2025

nftables Cheat Sheet: Nützliche Befehle für nft Teil 1

nftables ist ein modernes Framework zur Paketfilterung unter Linux und ersetzt langfristig iptables. In diesem Beitrag zeige ich die wichtigsten Kommandos, die sich in meinem Admin-Alltag bewährt haben.

Die Anlage neuer Tabellen und Chains benötige ich in der Praxis selten, daher gehe ich darauf hier nicht ein.

In Teil 1 erkläre ich die grundlegenden Begriffe. In Teil 2 erläutere ich dann die wichtigsten Befehle.

(mehr …)

17. Juni 2025

NGINX + ModSecurity v3 + OWASP CRS unter Ubuntu 24.04 LTS – Schritt für Schritt – Teil 3

Teil 3 – Ausnahmen für WordPress korrekt setzen.

Nachdem du ModSecurity erfolgreich mit dem OWASP Core Rule Set (CRS) integriert und getestet hast, wirst du bei dynamischen Anwendungen wie WordPress schnell auf ein bekanntes Problem stoßen: false positives – also legitime Anfragen, die fälschlich als Angriff eingestuft und blockiert werden.

WordPress nutzt moderne Funktionen wie REST-API, AJAX, dynamische Blockeditoren (Gutenberg) und teils auch sehr spezielle HTML-Kommentare. Diese Mechanismen lösen bei aktivem CRS häufig Sicherheitsregeln aus, insbesondere in den Bereichen XSS, LFI oder Anomalieerkennung. Damit die Schutzmechanismen nicht zur Einschränkung im Admin-Bereich führen, müssen wir gezielt Regelausnahmen für WordPress definieren.

(mehr …)

13. Juni 2025

NGINX + ModSecurity v3 + OWASP CRS unter Ubuntu 24.04 LTS – Schritt für Schritt – Teil 2

Teil 2 – Installation des OWASP Core Rule Set (CRS)

Nachdem du in Teil 1 ModSecurity v3 erfolgreich installiert hast, zeige ich dir nun wie du das OWASP Core Rule Set installierst und aktivierst und somit den Regelsatz für ModSecurity einbindest.

Download und Aktivierung des OWASP CRS

Mit nachfolgenden Befehlen kannst du das Regelset herunterladen und aktivieren. Wechsle in das modsec-Verzeichnis, lade das git-Repository herunter und erstelle danach die Datei crs-setup.conf.

Bash

cd /etc/nginx/modsec
sudo git clone https://github.com/coreruleset/coreruleset.git
cd coreruleset
sudo cp crs-setup.conf.example crs-setup.conf

(mehr …)

13. Juni 2025

NGINX + ModSecurity v3 + OWASP CRS unter Ubuntu 24.04 LTS – Schritt für Schritt – Teil 1

Teil 1 – Compilieren und Installation der Module und Aktivierung von ModSecurity v3

Diese Anleitung zeigt die vollständige Installation von ModSecurity v3 mit NGINX und OWASP Core Rule Set (CRS) auf einem Ubuntu-Server – inklusive korrekter Modulpfade, Symlink-Konvention und Beispieltests.

In Teil 1 installierst du die benötigen Module und aktivierst ModSecurity v3.
In Teil 2 fügen wir das OWASP Core Rule Set (CRS) hinzu.
In Teil 3 behandeln wir die nötigen Ausnahmen für das OWASP Core Rule Set um eine WordPress Website damit betreiben zu können.

1. Abhängigkeiten installieren

Bash

sudo apt update
sudo apt install -y git g++ build-essential autoconf automake libtool \
  libpcre3 libpcre3-dev libpcre2-dev libxml2 libxml2-dev libyajl-dev \
  pkg-config zlib1g zlib1g-dev libcurl4-openssl-dev \
  liblua5.3-dev libgeoip-dev doxygen

(mehr …)

11. Juni 2025

Vollständige Linux-Datensicherungen mit dem dd_image.sh Script – Komprimiert, Remote, Automatisiert

Repository: https://github.com/andreas-schwab-swx/dd_image

Wer eine einfache, aber leistungsfähige Lösung für vollständige Disk-Image-Backups unter Linux sucht, findet mit dem dd_image Script ein vielseitiges Werkzeug: Es erstellt vollständige Festplattenabbilder, komprimiert diese on-the-fly und überträgt sie automatisiert per SSHFS auf einen entfernten Server – mit Logging, Aufbewahrungslogik und optionaler Benachrichtigung.

Funktionen im Überblick

Vollständige Disk-Backups mittels dd
Live-Kompression mit xz
Remote Storage via sshfs
Automatische Löschung alter Backups
Fortschrittsanzeige und Logging
Verhindert Parallelstarts mit Lock-Datei
Optionale E-Mail-Benachrichtigungen bei Erfolg oder Fehler
Optionales Zero-Fill zur besseren Kompression

(mehr …)

8. Juni 2025

Absichern von SSH Verbindungen mittels Zertifikat auf einem Mac oder Linux-System

Nachfolgend findest du die einzelnen Schritte, um deine SSH-Verbindung zu einem Server mithilfe eines Zertifikats (SSH-Schlüssels) abzusichern.

1. SSH-Schlüssel erstellen

Öffne das Terminal auf deinem Mac (oder Linux-System) und verwende folgenden Befehl, um ein SSH-Schlüsselpaar zu erstellen:

Bash

ssh-keygen -t ed25519 -C "deine_email@example.com"

ssh-keygen -t ed25519 -C "deine_email@example.com"

Der Parameter -t ed25519 legt fest, dass ED25519 als Verschlüsselungsalgorithmus verwendet wird.
Mit -C "deine_email@example.com" kannst du einen Kommentar hinzufügen, z. B. deine E-Mail-Adresse.

(mehr …)

31. Mai 2025

Konfiguration des Tailscale Exit Nodes in der Admin Console

Schritt 7 der Serie: Internetblockaden umgehen und Privatsphäre in öffentlichen WLANs schützen

Im letzten Schritt der Serie wird der Tailscale Exit Node noch im Tailnet deklariert. Damit bist du bereit für die Nutzung von Tailscale.

Die einzelnen Tailscale Machines können wir in der Übersicht anzeigen: https://login.tailscale.com/admin/machines.

(mehr …)

30. Mai 2025

Konfiguration von Tailscale als Exit Node im Detail

Schritt 6 der Serie: Internetblockaden umgehen und Privatsphäre in öffentlichen WLANs schützen

In diesem Teil der Serie werden die einzelnen Schritte des im vorangegangenen Artikel vorgestellten Installationsscripts erläutert.

Wenn du an den einzelnen Details nicht interessiert bist, kannst du diesen Teil überspringen.

(mehr …)

30. Mai 2025

Konfiguration von Tailscale als Exit Node mittels Script

Schritt 5 der Serie: Internetblockaden umgehen und Privatsphäre in öffentlichen WLANs schützen

In diesem Teil der Serie stelle ich dir ein Script vor, das die Netzwerkeinstellungen von Ubuntu Server für Tailscale vorbereitet.

(mehr …)

30. Mai 2025