Joomla! 3.2 nun mit Versionskontrolle

joomla-logoTatsächlich kommen einige interessante Neuerungen mit der Version 3.2 von Joomla daher. Neben der Einführung einer Versionskontrolle sind insbesondere das Admin-Menue als auch die Theme-Verwaltung vereinfacht worden. Das Framework on Framework Konzept wurde konsequent integriert, um Entwicklern weitere Unterstützung zur Programmierung von Erweiterungen zur Hand zu geben. In Punkto Sicherheit nimmt die Zwei-Faktor Authentifizierung in Joomla! 3.2 Einzug.

SaaS Web bietet neben zahlreichen anderen Webanwendungen auch das freie Joomla!-CMS als SaaS Lösung an. Hier geht es zu den Website CMS.

WordPress: Auf der sicheren Seite mit SaaS Web

WordPress LogoEine im Juni erschienene Studie zur Sicherheit der meistgenutzten Content Management Systemen stellt fest, dass 80% der Einbrüche auf WordPress Systeme auf das Konto der PlugIns zu buchen ist, hauptsächlich aufgrund veralteter Versionen. Lediglich 20% sind auf das Core zurückzuführen. Aktuell berichtet Heise über großangelegte Phishingversuche auf WordPress Installationen.

SaaS Hosting mit SaaS Web: SaaS Web bietet den Rundum Service für das gehostete CMS: Monitoring, Backups und Updates/Upgrades. So braucht sich der Kunde keine Gedanken zu machen, ist aber dennoch gut bedient! Ein weiterer Vorteil für den Kunden liegt auf der Hand: mehr Zeit für das Wesentliche!

ownCloud Client Update

ownCloud LogoEndlich erhält der ownCloud Client die Fortschrittsanzeige für den Dateisync. Neben zahlreichen kleineren Updates wie z.B. Performance-Optimierungen und Bandbreitennutzung-Parameter wurde auch der Wizard verbessert und in mehreren Schritten aufgeteilt.

Hier geht es zu den Detailinformationen und hier zum Download.

WordPress 3.6 released (Codename Oscar)

WordPress LogoMehr Blog mit WordPress 3.6.
Mit dem neuen Release kommt ein neues Theme „Twenty Thirteen“, besonders auf anspruchsvolle Blogger zugeschnitten: einspaltrig und somit bestens geeignet, auf unterschiedlichen Endgeräten gelesen zu werden. Ein paar Highlights:

Editing Features: von nun an können paralell mehrere Autoren an einem Post arbeiten und Inhalte gegenseitig übernehmen. Eine Revision Control hat ebenfalls Einzug gehalten, mit der auch alte Stände wiederhergestellt werden können.

Bug Fixing: natürlich wurden auch zahlreiche Bugs gefixed (über 700 an der Zahl).

Populäre Content Management Systeme vs. Sicherheit (WordPress, TYPO3, …)

BSI-LogoDie Sicherheit der meistgenutzten Web-CMS auf dem Prüfstand.

Die untersuchten Content Management Systeme sind: Drupal, Joomla!, Plone, TYPO3 und WordPress. Die Ergebnisse sind in den verschiedenen Angriffsmethoden unterteilt wie z. B. SQL Injection oder XSS (Cross-Site-Scripting).

Darstellung_Schwachstellentypen

Allgemein geht aus der Studie hervor, dass die Anwendungen recht sicher und die Update-Prozesse der Hersteller gut sind. Die Autoren empfehlen schließlich die Standardkonfiguration der eingesezten CMS anzupassen (z. B. Admin-Login ändern) und automatisiert Updates einzuspielen.

Hier können Sie die gesamte Studie runterladen.

OpenShift offiziell released und wird kommerziell vertrieben

openshift-logoDie populäre Platform as a Service Lösung von RedHat (ehemals Makara) ist nun offiziell aus dem Betastadium raus und wird neben dem kostenfreien gehosteten Package auch mit Premium Service kostenpflichtig angeboten.

Mit OpenShift lassen sich zahlreiche Plattformen einrichten wie z. B. für Java, Ruby, JavaScript (Node.js), PHP, Perl und Python. Über Cartridges lassen sich zudem auch eigene Anwendungen einbinden.

ownCloud 5 veröffentlicht!

ownCloud LogoownCloud 5 ist nun released worden und bringt zahlreiche Neuerungen mit: neues Design, neues Fotoalbum, … dazu sind wesentliche Funktionen verbessert worden wie die Dateifunktionen (löschen/wiederherstellen, Suchfunktion, Cache, ..) oder Features wie der Kalender und das Adressbuch.

ownCloud ist der (Open Source) Online Speicherplatz in der (eigenen) Cloud – eine konkrete Alternative zu Dropbox, Google Drive und wie sie alle heissen.

SaaS Web setzt nun auf Dedicated Private Cloud Infrastruktur

SaaS Web LogoSchon immer hat SaaS Web Skarlierbarkeit und hohe Erreichbarkeit mittels Virtaulisierung als Fokus gehabt.

Jetzt geht es eine Stufe nach oben: die Infrastruktur wird nach und nach auf VMware vSphere umgezogen und damit eine eigene Dedicated Private Cloud geschaffen. Die Außenanbindung beträgt 10 Gbit/s (redundant ausgelegt). Die Datastores sind ebenfalls redundant gehostet.

Die neue Hosting Plattform soll eine deutlich höhere Sicherheit bieten, sowohl in Bezug auf die Erreichbarkeit bei Lastspitzen als auch nach Ausfällen. Die Erreichbarkeit beträgt nun 99,99% im Jahresdurchschnitt.

Die gewonnene Flexibilität ist enorm, das System kann innerhalb weniger Minuten um das 100-fache an Kapazität erweitert werden (CPU/RAM/Storage); So können auch populäre/medienwirksame Webprojekte mühelos bedient werden.

ownCloud überzeugt Investoren – 2,5 Millionen Dollar für Weiterentwicklung

ownCloud, die Open Source Alternative zu Dropbox, Google Drive und Konsorten, hat eine wichtige Kapitalspritze in Höhe von 2,5 Millionen Dollar erhalten. ownCloud ist nicht nur eine freie Software, sie ermöglicht den Einsatz der Plattform beim Betreiber seiner Wahl bzw. auch on Premise in den eigenen vier Wänden. SaaS Web bietet Pakete für den Unternehmenseinsatz (siehe hier); für einen ersten Eindruck gibt es auch ein kostenloses Angebot.

Webserver NginX überholt Microsoft IIS in der November Netcraft Survey

Endlich ist es soweit, Nginx überholt Microsoft IIS in der weltweiten Statistik (Netcraft November 2012). Microsoft IIS Webserver fällt auf 11,53% und Aufsteiger Nginx klettert auf 11,78% Marktanteil. Apache bleibt unangefochten die absolute Nummer 1 mit 55,66%.

ownCloud Bug Fixes – immer besser, immer robuster

Vor wenigen Tagen wurde die Version 4.0.6 veröffentlicht. Einige Verbesserungen an der LDAP-Funktionalität erlauben nun einen mittlerweile stabilen Einsatz von LDAP. Andere behobene Fehler sind einfache Bugfixes aber teilweise auch sicherheitsrelevant. Hier der Changelog zu 4.0.6.

Wer möchte, kann gerne ownCloud kostenlos mit SaaS Web testen!

ownCloud Updates: Core & App Clients

Das neue Update behebt zahlreiche kleine Fehler wie das Erinnern des Logins an der Weboberfläche oder das Teilen von Daten mit anderen Gruppen. Dazu kommen noch die Client Updates auf Version 1.0.3 mit denen sich die Daten auch auf dem Desktop verwalten lassen. Weitere Infos zum Update finden Sie hier. Die Sync Clients können hier runtergeladen werden.

ownCloud ist die Open Source Antwort auf Dropbox und kann von kundenfreundlichen (lokalen) Providern auch angeboten werden. SaaS Web bietet sowohl ein kostenfreies Paket an zum Testen als auch für den Unternehmenseinsatz.

ownCloud nun mit Android Client Beta

Der Android Client ist zwar schon länger verfügbar, dennoch bislang nicht offiziell vorgestellt worden. Die Apps für Desktop Systeme und der Android Client können hier runtergeladen werden: https://owncloud.com/download.

SaaS Web bietet eigene ownCloud Accounts bzw. es gibt auch ein kostenloses Angebot zum Ausprobieren.

Feng Office sehr bald erhältlich

Die renommierte Online Office Suite ist schon bald bei SaaS Web erhältlich. Feng Office beinhaltet neben einem Texteditor, ähnlich Word, auch die Möglichkeit Präsentationen zu erstellen. Zahlreiche Plug-Ins erweitern bei Bedarf den Funktionsumfang beispielsweise die Fähigkeit Gant-Diagramme zu erstellen.

ownCloud – Jetzt kostenlos ausprobieren

Jetzt kostenlos testen: 100 MB eigener privater Speicherplatz. Mit ownCloud können Sie beliebige Daten speichern und jederzeit von überall darauf zugreifen. Die Daten können (für den gewerblichen Einsatz) verschlüsselt abgelegt werden und bei Bedarf auch mit anderen geteilt werden.

ownCloud ist der Open Source Storage für jedermann. Zusätzlich zu dem wohlgestaltenen Webinterface kann ein Nutzer auch mit einem Sync-Client auf seine Daten zugreifen. Die Sync-Clients sind für die meisten Betriebssysteme erhältlich, namentlich Windows, Linuc, MacOS X und Android. Eine App für iOS ist in Entwicklung. Hier geht es zu den Sync Apps bzw. hier zum Android Download.

Zum ownCloud Angebot

OrganisedMinds – Weitere Verbesserungen und neue Features

Mit dem neuen Update profitieren die Nutzer von OrganisedMinds von zahlreichen Verbesserungen und auch zusätzlichen Funktionen. Unter anderem kann ein Nutzer nun im Arbeitsraum-Umschaltbereich per Drag and Drop Aktivitäten zwischen den Räumen bewegen. Es gibt auch die Möglichkeit, sich Berichte täglich zuschicken zu lassen, mit denen der Status der Aktivitäten in einem Blick erfasst werden kann.

Hier die Übersicht der Neuerungen:

  • Vereinfachte Navigation durch die Arbeitsbereiche
  • Erweiterte E-Mail-Benachrichtigungen und -Tagesbericht
  • Aktivitäten in eigenen Arbeitsräumen übernehmen
  • Neue Einladungsfunktion

Zum Produkt

ownCloud – der eigene Datenspeicher ganz privat

owncloud bietet die Möglichkeit, ganz einfach und bequem seine Daten auf einem virtuellen Laufwerk zu speichern und von überall zuzugreifen. Auch lassen sich Mediafiles direkt abspielen. Die Daten werden verschlüsselt abgespeichert und sind somit rein privat.

Hier ein ganz aktueller Beitrag auf dem Heise Newsticker zum Thema owncloud.

Das Produkt ist bei SaaS Web erhältlich, angefangen mit einem Speicherplatz von 5 GB und bis zu 3 Benutzer bis hin zu 200 GB und 20 Benutzern. Individuelle Konfigurationen sind auf Anfrage natürlich auch möglich.

Zum Produkt

Etherpad Lite kostenlos auf Etherpad.SaaSWeb.net

Die geschätzte Document Collaboration Lösung Etherpad Lite ist kostenfrei für alle verfügbar. Es lassen sich beliebig viele Pads (Schreibblöcke) erstellen, auf Wunsch auch mit kryptischen Namen, damit Unbeteiligte nicht zufällig auf einen eigenen Pad stolpern. Private Pads sind in den Endkunden-Angeboten enthalten – der Zugang zum Pad lässt sich über Gruppen verwalten und erfordert eine Authentifizierung.

Viel Spaß beim Schreiben!
http://etherpad.saasweb.net

Wie kann man automatisch verschlüsselte MySQL-Dumps erzeugen?

Jeder weiß, dass Backups wichtig sind — sei es ein Systemausfall oder man möchte einfach auf einen älteren Stand zurückgreifen, weil man einen Fehler gemacht hat.
Oft werden die Sicherungen durch Cron-Jobs erledigt. In den meisten Fällen jedoch wird ein einfacher Mysql-Dump erzeugt, ohne den Inhalt zu verschlüsseln.
In diesem Artikel beschreibe ich, wie man mit Hilfe von GPG Backups erstellen kann, ohne ein festgelegtes Passwort zu verwenden. Da es mehrere DB-Admins geben kann, die die Backups zurückspielen können, sollte jeder Admin, der berechtigt ist, mit seinem eigenen Passphrase das Backup wieder zurückspielen können.

#!/bin/bash

BACKUP_DIR=/var/backup/auto/mysql
DATE=$(date -I)
TARGET_DIR=$BACKUP_DIR/$DATE
mkdir -p $TARGET_DIR

DATABASES=$(mysql -uadmin -B -s -e“show databases;“)

for db in $DATABASES; do
TARGET=$TARGET_DIR/$db.sql.gz.gpg
echo -n dumping $db to $TARGET …
mysqldump -uadmin $db | gzip | gpg -rCAFEBABE -rAFFE4711 -rAFFEFACE -e – > $TARGET
if [ $PIPESTATUS -eq 0 ]; then echo OK; else echo ERROR; fi
done

Die Variable BACKUP_DIR gibt an, wo die Backups abgelegt werden sollen. Darunter wird ein Verzeichnis mit dem Datum in Form von JJJJ.MM.TT (date -I) angelegt, in dem die Dumps einzelner Datenbanken landen. Wer mehr als ein Backup pro Tag erzeugen will, kann dann diesen Befehl anpassen.

Beispielausgabe:


dumping mysql to /var/backup/auto/mysql/2012-04-06/mysql.sql.gz.gpg …OK
dumping test to /var/backup/auto/mysql/2012-04-06/test.sql.gz.gpg …OK

Was man bei diesem Script anpassen muss, sind die KEY/IDs der Empfänger, also wer die Daten später entschlüsseln darf. In diesem Beispiel sind drei Empfänger angegeben:

gpg -rCAFEBABE -rAFFE4711 -rAFFEFACE

Jeder Empfänger hat die Möglichkeit die Backupdateien zu entschlüsseln. GPG ermittelt den Key für den „Entschlüssler“ automatisch:

gpg -d mysql/2012-04-06/test.sql.gz.gpg | gunzip | head -n 5

You need a passphrase to unlock the secret key for
user: „XZY“
2048-bit ELG-E key, ID AFFEFACE, created…
Enter passphrase:

gpg: encrypted with 2048-bit RSA key, ID CAFEBABE…
gpg: encrypted with 2048-bit ELG-E key, ID AFFE4711…
gpg: encrypted with 2048-bit ELG-E key, ID AFFEFACE…

Die eigentliche Ausgabe erscheint dann in STDOUT:

-- MySQL dump 10.13 Distrib 5.1.56, for redhat-linux-gnu (x86_64)
--
-- Host: localhost Database: test
-- ------------------------------------------------------
-- Server version 5.1.56

Wer noch nicht viel mit GnuPG und MySQL-CLI zu tun hatte, sollte noch folgende Punkte beachten, bevor man das Beispiel ausführt:
– Keys aller Empfänger sollten vorher signiert/trusted sein, damit das Backup-Script nicht in den Interaktiv-Modus gerät
– Das Passwort für den Datenbankzugriff ist standardmäßig in der Datei ~/.my.cnf in der [client]-Sektion definiert

Viel Spaß beim Testen und Einbauen
C.

Wie kann man die Integrität der installierten Dateien auf einem Debiansystem leicht überprüfen?

Wenn man Monitoringtools wie tripwire oder rkhunter verwendet, um Veränderungen von installieren Dateien zu überwachen, hat man das Problem, dass die Tools nicht erkennen, ob die Dateien durch ein reguläres Paketupgrade verändert oder durch einen Unbefugten manipuliert wurden.

Wenn z.B. rkhunter meldet, dass die Datei /usr/bin/ldd verändert wurde, muss man manuell nachschauen, ob die Prüfsumme der Datei dem neusten Stand des Debianpaktes entspricht.

Es gibt ein Tool names debsums, der diese Aufgabe erleichtert. Die Installation erfolgt mit:

# apt-get install debsums

Nachdem das Tool installiert ist, kann man die Überprüfung auf Paket-Ebene durchführen:

# debsums file
/usr/bin/file OK
/usr/share/bug/file/control OK
/usr/share/bug/file/presubj OK
/usr/share/doc/file/README.Debian OK
/usr/share/doc/file/README.gz OK
/usr/share/doc/file/changelog.Debian.gz OK
/usr/share/doc/file/changelog.gz OK
/usr/share/doc/file/copyright OK
/usr/share/lintian/overrides/file OK
/usr/share/man/man1/file.1.gz OK

aber nicht auf Dateiebene:

# debsums /usr/bin/ldd
debsums: invalid package name ‚/usr/bin/ldd‘

Man muss zuerst herausfinden, zu welchem Paket die Datei /usr/bin/ldd gehört.

# dpkg -S /usr/bin/ldd
libc-bin: /usr/bin/ldd

Damit man die Suche nicht jedes ausführen muss, hab ich ein kleines Shellscript geschrieben, der die diese Aufgabe übernimmt und mit den Ergebnissen debsums aufruft:

#!/bin/bash
EC=0
PKGS=$(dpkg -S „$@“ | awk -F‘:‘ ‚{print $1}‘ | sed -e ’s/, /\n/g‘ | sort | uniq)
for i in $PKGS; do
debsums „$i“ | grep -v OK
dec=$PIPESTATUS
echo -n „=== Package ‚$i‘ : “
if [ $dec -eq 0 ]; then echo OK; else echo MODIFIED; EC=$dec; fi
done
exit $EC

In diesem Beispiel habe ich das Skipt check-inst.sh genannt. Die Nutzung ist einfach:

# ./check-inst.sh /usr/bin/ldd
=== Package ‚libc-bin‘ : OK

Man kann das Skript mit mehreren Dateinamen aufrufen:

# ./check-inst.sh /usr/bin/file /usr/bin/ldd
=== Package ‚file‘ : OK
=== Package ‚libc-bin‘ : OK

Wenn man keinen absoluten Pfad verwendet bekommt man Suchergebnisse von installierten Paketen:

# ./check-inst.sh apache2
=== Package ‚apache2‘ : OK
=== Package ‚apache2.2-bin‘ : OK
=== Package ‚apache2.2-common‘ : OK
=== Package ‚apache2-doc‘ : OK
=== Package ‚apache2-mpm-prefork‘ : OK
=== Package ‚apache2-suexec‘ : OK
=== Package ‚apache2-utils‘ : OK
=== Package ‚bash-completion‘ : OK
=== Package ‚libapache2-mod-fcgid‘ : OK
=== Package ‚libapache2-mod-php5‘ : OK
=== Package ‚libapache2-mod-ruby‘ : OK
=== Package ‚libapache2-mod-suphp‘ : OK

Wenn die Ergebnisse OK sind, kann man mit ruhigem Gewissen sein Monitoringtool auf den neuen Stand bringen. Z.B. bei rkhunter:

# rkhunter –propupd –update

Hier ist eine Beispielausgabe, die die vom Benutzer modifizierten Dateien anzeigt:

# ./check-inst.sh /usr/bin/pear
/usr/bin/pear FAILED
/usr/bin/peardev FAILED
/usr/bin/pecl FAILED

/usr/share/php/pearcmd.php FAILED
/usr/share/php/peclcmd.php FAILED
=== Package ‚php-pear‘ : MODIFIED

Das Skript gibt den ExitCode 0 zurück, wenn alle Überprüfungen erfolgreich waren, ansonsten den Fehlercode des erst fehlgeschlagener Überprüfung. Dies ist nützlich, wenn man zunächst nur an ExitCode interessiert ist und die Fehlergebnisse von einer Logdatei auslesen möchte.

Viel Spaß beim Ausprobieren
C.

Apache Webserver rules, Nginx rocks

Eine kürzlich veröffentlichte Statistik von Netcraft bescheinigt Apache den absoluten Spitzenplatz bei den Webservern weltweit. Mit knapp 58% im Januar 2012 ist er mehr als 4mal so verbreitet als die Nummer zwei der Liste.

Nginx, ein weiterer Open Source Webserver (BSD Lizenz), hat nach dieser aktuellen Studie gerade Microsoft IIS überholt und ist mit 12,18% (MS IIS 12,14%) Marktanteil auf Platz 2.

Es ist allerdings zu bemerken, dass die Anzahl Webserver mit Apache schlagartig im Mai-Juni 2011 zunimmt (fast eine Verdoppelung). Dieser „Sprung“ lässt sich wahrscheinlich nicht (nur) mit einer spontanen Zunahme an Apache-Webservern erklären. Vermutlich ist eine veränderte Messmethode der Grund..? Jedenfalls wäre der Vorsprung immernoch doppelt so hoch, wenn die Zunahme „linear“ verlaufen würde. Immer noch beachtlich!

Telko-Maker – Telefonkonferenz: „Bin drin“

Dass es bereits viele Telefonkonferenzlösungen gibt, heisst noch lange nicht, dass man für sich die passende gefunden hat. Telko-Maker vereint einzigartige Funktionen, um das gemeinsame Telefonieren einfacher und bequemer zu gestalten.

Nutzen Sie beispielsweise das Einladungssystem, um mehrere Personen einzuladen und bieten Sie ihnen mehrere Terminmöglichkeiten zur Teilnahme an. Telko-Maker wird anhand der Antworten automatisch den ersten gemeinsamen Termin aufsetzen und die Teilnehmer benachrichtigen…

Telko-Maker bündelt in wenigen Optionen ein doch mächtiges Interface sowohl für gelegentliche Nutzer als Dauerkonferenzler. Momentan ist die Software im Beta Status kostenfrei nutzbar, Sie können sich einfach auf http://www.telko-maker.com anmelden.