[Announce] Verbesserung der Sicherheit auf trash.net

truniger truniger at trash.net
Mi Jul 1 22:04:03 CEST 2009


Hallo trash.netter

Das Vorhaben, die Sicherheit für trash.net zu erhöhen, hat primär zum Ziel
alle Klartext-Anmeldeverfahren zu vermeiden.

Abschluss Phase 1 per 1. Juli:
==============================

Ab sofort gelten folgende zwei Einschränkungen:

A) SMTP AUTH nur noch über SSL/TLS
----------------------------------
Die Anmeldung am MTA von stinky.trash.net ist nur noch möglich, wenn die
Verbindung über SSL/TLS verschlüsselt wird.
Hinweis: die meisten Mailclients erlauben die Angabe von SSL/TLS beim
Postausgangsserver

B) FTP Anmeldung nur noch über SSL/TLS
--------------------------------------
Die Anmeldung am FTP Server mit Benutzername ist nur noch möglich, wenn die
Verbindung über SSL/TLS verschlüsselt wird.
Hinweise:
- wenn ein NAT-Router oder eine Firewall im Spiel ist, dann funktioniert die
Kommunikation nur im Passiv-Modus, da der NAT-Router oder die Firewall keine
Möglichkeit mehr hat die Portaushandlung für den Datachannel mitzuverfolgen.
Zudem muss jede Outbound-Verbindung auf Upper-Ports erlaubt sein.
- das Serverzertifikat lautet auf mail.trash.net (gleiches Zertifikat wie
für Mailserver)
- FTP Servertyp: z.B. bei FileZilla "FTP über SSL (Explizite
Verschlüsselung)"
- wenn kein SSL/TLS-fähiger FTP-Client vorhanden ist, empfiehlt sich als
Alternative scp oder "ftp over ssh"
- Anonymous-Login funktioniert weiterhin standardmässig. Als Workaround kann
/incoming über anonymous-ftp verwendet werden, was über
/home/anon-ftp/incoming im Filesystem sichtbar ist. Aber bitte nichts
vertrauliches ablegen, da die Files nicht gelöscht werden können und
jederman Read-Rechte hat. Lösch-Anträge bitte an techstaff at trash.net
richten.

Im Vorfeld zur Umstellung wurden die betroffenen Benutzer so weit im Log
sichtbar vorgängig informiert.


Start von Phase 2 ab sofort: Umstellung auf SSL/TLS für Mailclients
===================================================================
Zieltermin Abschluss Phase 2: 31.07.2009

Bitte stellt euren Mailclient komplett auf SSL/TLS um beim Zugriff über POP3
oder IMAP. Per 1. August wird die Klartextanmeldung durch den Mailclient
nicht mehr unterstützt.

Ausblick Phase 3: Austausch SSH Serverkeys
==========================================
wir werden in nächster Zukunft die SSH Serverkeys durch stärkere Keys
ersetzen. Die Fingerprints werden vorgängig über Email bekanntgegeben.

Bei Rückfragen stehe ich gerne zur Verfügung. Meldungen über Störungen bitte
an support at trash.net richten.

Othmar Truniger
URL http://www.truniger.ch/     Email mailto:truniger at bluewin.ch
____________________________________________________




More information about the announce mailing list