Wordpress 4.4.2 released (Security Update)

WordPress has released version 4.4.2 of its popular content management system and is “strongly” encouraging users to update their websites immediately.

Version 4.4.2 fixes two security issues and 17 bugs. The change list indicates that the bug fixes involve things like pagination and a handful of comments-related issues, among others.

The update can be downloaded manually from WordPress.org. The update can also be run manually from the WordPress dashboard, and websites with automatic background updates should see that happen today if it hasn’t already.

Creating Solutions and Implementations in Technology

Security strategie noodzakelijk bij het migratie naar cloudoplossingen

Veel bedrijven migreren momenteel (een deel van) hun infrastructuur naar cloud oplossingen, met als doel een goedkoper en beter beschikbaar applicatielandschap te bewerkstelligen voor klanten en medewerkers. Valkuilen die bij de gang naar IaaS, PaaS of SaaS vaak over het hoofd gezien worden zijn de beveiliging van informatie die gemigreerd moet worden. In deze blogpost zal ik ingaan op het eerste, over de opslag en het migreren  van informatie bij cloud migratie zal ik in een latere blogpost praten.

Beschikbaarheid, Vertrouwelijkheid en Integriteit

Binnen informatiebeveiliging kijken we naar drie belangrijke aspecten wanneer ons gevraagd wordt om informatie binnen een SaaS, PaaS of IaaS oplossing naar een cloudomgeving te brengen.

Beschikbaarheid:

Hoe belangrijk is het dat de informatie, die aan gebruikers ter beschikking gesteld wordt, daadwerkelijk beschikbaar is?

Hierbij moet u denken aan bijvoorbeeld uw klantenbeheer systeem waar uw medewerkers van de afdeling verkoop dag-in, dag-uit van afhankelijk zijn. Wanneer uw bedrijf een groot aantal mensen in de buitendienst heeft kan het heel handig zijn om uw klantenbeheer systeem in de cloud te plaatsen, waardoor de buitendienst medewerkers, zolang zij de beschikking hebben over een internet verbinding, altijd bij de gegevens van hun klanten kunnen. En dat zonder afhankelijk te zijn van het internetgebruik op kantoor.

Één van de voordelen van het gebruik van cloud oplossingen bij het ter beschikking stellen van informatie aan (potentiële-) klanten en medewerkers is beschikbaarheid van intern gehoste informatie bij een aanval op via het internet ontsloten informatie. Bedrijven die gespecialiseerd zijn in het via de cloud ontsluiten van informatie, bieden geografisch gescheiden oplossingen aan met 1 doel voor u, het beschikbaar hebben van de informatie of toepassing, die u daar geplaatst heeft.

Een ander verhaal wordt het, wanneer u voor het grootste deel afhankelijk bent van een verkoop binnendienst, waarbij de medewerkers altijd vanaf de kantoorlocatie werken. In dat geval kan een cloud oplossing negatief uitpakken, bijvoorbeeld wanneer er een storing is bij uw internetprovider. Kunnen uw medewerkers dan nog steeds hun werk doen, of stuurt u ze naar huis om vanuit daar te werken?

Bij het bepalen of informatie in een cloud oplossing geplaatst kan worden is daarom belangrijk dat u van tevoren bepaalt welke beschikbaarheidsstrategie u gaat volgen. Op basis van deze strategie kunt u vervolgens een leverancier van cloud diensten selecteren en met de geselecteerde leverancier afspraken maken over de beschikbaarheid.

Vertrouwelijkheid:

Hoe belangrijk is het dat de informatie, die aan gebruikers ter beschikking gesteld wordt, alleen door hen betrokken kunnen worden die daartoe gemachtigd zijn?

Om deze vraag te beantwoorden is het belangrijk te weten hoe wij binnen TechGourmet informatie classificeren. 

Wij classificeren vertrouwelijkheid van informatie in 4 categorieën :

V1: Publiek toegankelijke informatie (Bijvoorbeeld de informatie die u op uw website zet, reclame, publieke bedrijfsgegevens)

V2: Vertrouwelijke informatie (Bijvoorbeeld offerten, facturen of  projectinformatie, die u met derden deelt)

V3: Strikt vertrouwelijke, of interne informatie (Bijvoorbeeld interne bedrijfsprocedures, financiële gegevens, relatiegegevens, interne email)

V4: Geheime informatie (Bijvoorbeeld directieverslagen, personeelsgegevens, functioneringsgegevens)

Om te bepalen welke strategie u moet volgen bij het verplaatsen van informatie naar een SaaS, IaaS of PaaS oplossing, zult u eerst moeten bepalen in welke van de vier hierboven genoemde categorieën de informatie valt. V1 en V2 informatie is redelijk eenvoudig naar een cloud oplossing te verplaatsen, bij V3 en V4 informatie komen wet- en regelgeving, alsmede uw eigen procedures kijken. Houdt er rekening mee dat veel leveranciers van cloud diensten grensoverschrijdend opereren en dat u er, tenzij u goede afspraken maakt met uw leverancier, weinig tot geen invloed op hebt. Hierbij geldt dat doorgifte van privacygevoelige data buiten de EER (EU-landen, IJsland, Liechtenstein en Noorwegen) verboden is, tenzij sprake is van een passend beschermingsniveau in dat land, of als het gaat om een partij in de VS die is aangesloten bij de Safe Harbor principles. Buiten die gevallen is doorgifte slechts toegestaan indien de betrokkene daartoe zijn ondubbelzinnige toestemming heeft gegeven. Daarnaast moet er een overeenkomst worden gesloten tussen het bedrijf en de service provider, die voldoende beschermingsmaatregelen biedt op basis waarvan het Ministerie van Justitie een vergunning heeft gegeven voor de doorgifte.

Wanneer u V2, V3 of V4 informatie naar de cloud wilt brengen is het altijd verstandig om dit onder begeleiding te doen, om te voorkomen dat uw gegevens worden ingezien door bedrijven, overheden en personen die daar geen toegang tot zouden moeten hebben.

Integriteit

Hoe belangrijk is het dat de informatie, die aan gebruikers ter beschikking gesteld wordt volledig, tijdig en/of geautoriseerd is?

De integriteit van de informatie die u aan klanten en medewerkers ter beschikking stelt bepaalt hoe betrouwbaar u als bedrijf gezien wordt. Wanneer u informatie binnen een cloud omgeving plaatst, is het van het grootste belang dat u deze, net zoals informatie die u op binnen uw eigen bedrijfsomgeving heeft staan, waarborgt.

Voorbeelden van vragen over het bewaken van integriteit van informatie waarmee rekening gehouden moet worden zijn:

Hoe vaak en op welke wijze wordt er van de opgeslagen informatie een back-up gemaakt?

Hoe lang worden back-ups van informatie bewaard, zodat u ze kunt herstellen op het moment dat informatie onverhoopt gecorrumpeerd raakt.   (data retentie)

Wordt uw bedrijfsinformatie versleuteld opgeslagen? Zo ja, op welke wijze?

Wordt uw bedrijfsinformatie versleuteld getransporteerd? Zo ja, op welke wijze?

Hoe is uw bedrijfsinformatie gescheiden van de bedrijfsinformatie van andere bedrijven bij dezelfde leverancier van cloud diensten?

Hoe is de toegang tot- en autorisatie ingeregeld  voor uw bedrijfsinformatie? 

De antwoorden op deze vragen helpen u bepalen of een leverancier van cloud diensten bij uw bedrijf en/of de informatie die u binnen een cloud oplossing wilt plaatsen past. Het toepassen van de juiste strategie voor uw bedrijfsinformatie zorgt ervoor dat uw bedrijf minder risico’s loopt op rondom privacyschending en het ongewenst aanpassen van de informatie.

Tevens is het van belang dat u afspraken maakt met uw leverancier over de wijze waarop deze omgaat met uw bedrijfsinformatie en deze ook vastlegt. Hiermee voorkomt u dat uw bedrijf onnodige risico’s loopt door informatie in een cloud oplossing te plaatsen.

Strategie

Het bepalen van de juiste security strategie voor uw bedrijfsinformatie is belangrijk wanneer u naar een cloud oplossing wilt migreren. Zorg dat u weet wat voor waarde de bedrijfsinformatie heeft voor uw bedrijf, welke risico’s u loopt en hoe uw leverancier van cloudvdiensten met uw informatie omgaat.  Hiermee waarborgt u de beschikbaarheid van uw bedrijfsinformatie en voorkomt u dat u juridisch aansprakelijk kunt worden gesteld wanneer (privacygevoelige-) informatie van/over uw klanten in verkeerde handen valt.

Mocht u twijfelen over wat voor uw bedrijfsinformatie de beste strategie is? Laat u dan bijstaan in het opstellen van een security strategie die past bij uw bedrijf. 

Daarmee wordt de migratie naar cloud oplossingen voor uw bedrijf een succes.

Creating Solutions and Implementations in Technology

Apple Patches NTP Vulnerabilities in First Automated Patch

— Apple Patches NTP Vulnerabilities in First Automated Patch … The latest security issue in NTP, which is used by computers to synchronize clocks, was …

Howto use 2TB+ hardisks in linux servers

Storage is becoming cheaper as technology advances. Therefore I started using 3TB and 4TB data disks in the hybrid cloud solutions we provide to our SMB (Small and Medium Business) customers. Being accustomed using fdisk to partition the disks, I ran into the problem only being able to create partitions totalling up to 2TB. This totally defies the use of implementing large harddisks.

Lets dive into the root cause of the issue.

Why am I only able to create partitions up to a total of 2TB on bigger harddisks?

The answer is simple. I was using ‘fdisk’. Fdisk is an old tool which uses a 32-bit ms-dos partition table. Subsequently, the Master Boot Record (MBR), in which the partition begin and end-points are stored is 32 bit, and thereby it can’t handle anything above 2 TeraBytes.

So how do we avoid using fdisk and create partitions larger 2TB in linux

To fully use your 2+TB harddrive, you have to use a partition table that supports it. We now know that the MS-DOS partition table (MBR) does not, so what should you use instead? GPT.

GPT supports up to 9.4 ZB (ZetaByte). That’s 9895604649984 GB (GigaByte)!. It’s pretty safe to say, that you will not hit this limit in the near future.

Requirements

First make sure that you have a backup of all your data thats on the harddrive, somewhere else. Because what you have to do WILL wipe the drive clean, and delete everything on it!

You need a program called “parted”. It’s the easiest way to create the partition table and create a partition of the desired size. It might be installed already on your Linux system. If not then you have to install it using your favorite package manager. In debian that would be:

apt-get install parted

In CentOS that would be:

yum install parted

Identify your harddrive

You have to find out what your harddrives name is. In Linux, every harddrive get’s a name. This can be “sda”, “hda” or something similar depending on what kind of interface they are connected to.

Find your drive names using the following tools: lsblk fdisk

Run the command:

lsblk

And you should see something like the following:

You see how there is a “sda” and a “sdb” ?

If you notice the nice treeview lsblk makes, you will see that below “sda” there is “sda1″ and “sda2″. These are partitions on disk “sda” sdb has a partition too, because I already formatted my harddrive to 4TB, but before I formatted it with a GPT partition table, “sdb1″ only had 1.8TB under the column “SIZE” which is the same problem you have.

Now we need to find the maximum size of your harddrive. You can do this by using the program “fdisk” with the following syntax:

fdisk -l /dev/<your harddrive name here>

In my example it would be:

fdisk -l /dev/sdb

You will get an output that looks something similar to this, it’s the top line marked with the number of GB we are interested in:

Disk /dev/sdb: 4000.8 GB, 4000787030016 bytes 255 heads, 63 sectors/track, 486401 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 4096 bytes / 4096 bytes Disk identifier: 0x00000000 Disk /dev/sdb doesn't contain a valid partition table

The “4000.8 GB” is the size of your harddrive, and this will be the max size of any partition. note this number, you will need it later.

Creating the partition table

Run the program you installed earlier in this guide called “parted” by running the following command:

parted /dev/<your harddrive name here>

In my case, the example would be:

parted /dev/sdb

The output will look like this:

GNU Parted 2.3 Using /dev/sdb Welcome to GNU Parted! Type 'help' to view a list of commands. (parted)

Create the GPT partition table

Type in the following and hit enter to create a GPT partition table:

mklabel gpt

The output will look like this, after you types “yes” and pressed enter to the warning stating that this will delete all files on the harddrive:

Warning: The existing disk label on /dev/sdb will be destroyed and all data on this disk will be lost. Do you want to continue? Yes/No? yes (parted)

Set the unit to GB

Now set the unit to GB to make it easy to specify the partition size later on. Type the following and hit enter. This will not give any output:

unit GB

Create the partition

To create the partitoion, you simply type the following syntax and press enter:

mkpart primary <from GB> <to GB>

In my example with the 4TB (4000GB) harddrive, this would be:

mkpart primary 0.0GB 4000.8GB

The above command will not give you any output.

View the partition table

To view the partition table and partition you just created, type the following and press enter:

print

Sample output:

Model: ATA WDC WD40EFRX-68W (scsi) Disk /dev/sdb: 4001GB Sector size (logical/physical): 512B/4096B Partition Table: gpt Number Start End Size File system Name Flags 1 0.00GB 4001GB 4001GB ext4 primary

You see the partition and the size you just created.

Now type the following and hit enter to save and quit parted:

quit

Create the filesystem

There are many filesystems to choose from. I prefer ext4 and that is what I will use in this guide. For general purpose, ext4 should be just fine. If you need to use the harddrive for something special, then please read up on what filesystem would be best for you and use that instead.

If you run the “lsblk” command again like earlier in this guide, you should now have a “1″ partition like I did in my example: “sdb1″

Creating a ext4 filesystem takes some time. my 4TB disk took ~40 minutes to format.

Create the ext4 filesystem using the following command:

mkfs.ext4 /dev/<your drivename and partition number here>

In my example it would be:

mkfs.ext4 /dev/sdb1

Wait for it to finish creating all the inodes, the finished output should look something like this:

mkfs.ext4 /dev/sdb1 mke2fs 1.41.12 (17-May-2010) Filesystem label= OS type: Linux Block size=4096 (log=2) Fragment size=4096 (log=2) Stride=0 blocks, Stripe width=0 blocks 183148544 inodes, 732566272 blocks 36628313 blocks (5.00%) reserved for the super user First data block=0 Maximum filesystem blocks=4294967296 22357 block groups 32768 blocks per group, 32768 fragments per group 8192 inodes per group Superblock backups stored on blocks: 32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968, 102400000, 214990848, 512000000, 550731776, 644972544 Writing inode tables: done Creating journal (32768 blocks): done Writing superblocks and filesystem accounting information: done This filesystem will be automatically checked every 31 mounts or 180 days, whichever comes first. Use tune2fs -c or -i to override.

Add the partition to fstab and mounting it

Adding the partition to fstab will make it auto remount upon reboot of the computer/server.

But first create the folder where you want the partition to be mounted. In my example I will use /store:

mkdir /disk/partition

open the file /etc/fstab in your favorite text editor and add the following line at the bottom:

/dev/<your drivename and partition number> /partition <your filesystem> defaults 0 0

In my example it would be:

/dev/sdb1 /disk/partition ext4 defaults 0 0

Mount the partition

Mounting the partition is now as easy as typing the following command:

mount /disk/partition

Because you added the mount point to fstab, this will automatically happen upon reboot and only has to be done this one time.

Hope this helps

Creating Solutions and Implementations in Technology

Installatie en configuratie van Apache2 als Reverse Proxy in 11 stappen

Binnen TechGourmet configureren we servers met security in onze gedachten. Daarom ontsluiten we webservers nooit direct aan het internet.

We gebruiken twee typen tier2 reverse proxies binnen om websites en webapplicaties te ontsluiten; HAProxy en Apache Reverse Proxy.

Deze How-To gaat over de installatie van Apache Reverse Proxy.

LET OP: OP EEN REVERSE PROXY WORDEN NOOIT WEBSITES GEHOST!

Stap 1: Installatie van Apache

Daar we binnen TechGourmet onze servers op Debian laten draaien en om het beheer (lees updaten) van applicaties zo eenvoudig mogelijk te maken, gebruiken we voor het installeren van packages de aptitude package manager.

sudo apt-get install apache2 libapache2-mod-evasive libapache2-mod-auth-openid libapache2-mod-geoip libapache2-mod-proxy-html libapache2-mod-spamhaus libapache2-mod-vhost-hash-alias libapache2-modsecurity

Stap 2: Basisconfiguratie van Apache (performance en logging)

Alle configuratie vindt plaats binnen de /etc/apache2 directory.

cd /etc/apache2

Open nu met vi de generieke configuratiefile apache2.conf met administratieve rechten.

sudo vi /etc/apache2.conf

Omdat dit een reverse proxy is, willen we zoveel mogelijk connecties tegelijk kunnen afhandelen. We doen dit door MaxKeepAliveRequests op 500 te zetten in plaats van de gebruikelijke 100

# MaxKeepAliveRequests: The maximum number of requests to allow # during a persistent connection. Set to 0 to allow an unlimited amount. # We recommend you leave this number high, for maximum performance. # MaxKeepAliveRequests 500

Aangezien de server aan direct aan internet hangt, willen we meer gelogged zien dan op een normale webserver. Het logging niveau verhogen we naar notice, in plaats van het standaard niveau warn.

# LogLevel: Control the number of messages logged to the error_log. # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. # LogLevel notice

Sla het configuratiebestand op en sluit de editor.

:wq!

Stap 3: Verhogen basis beveiligingsniveau van de Apache Reverse Proxy

Het security configuratiebestand staat in de daemon subdirectory /etc/apache2/conf.d/. We wijzigen deze met administratieve rechten.

sudo vi /etc/apache2/conf.d/security

Binnen dit bestand passen we een aantal instellingen aan die voorkomen dat de reverse proxy via het uitlezen van de header meer dan noodzakelijke gegevens aan een browser worden doorgegeven en Cross Site Script (XSS) aanvallen zoveel mogelijk worden tegen gegaan.

We zetten ServerTokens op Prod.

# ServerTokens # This directive configures what you return as the Server HTTP response # Header. The default is 'Full' which sends information about the OS-Type # and compiled in modules. # Set to one of:  Full | OS | Minimal | Minor | Major | Prod # where Full conveys the most information, and Prod the least. # #ServerTokens Minimal #ServerTokens OS #ServerTokens Full ServerTokens Prod

De ServerSignature zetten we uit.

# Optionally add a line containing the server version and virtual host # name to server-generated pages (internal error documents, FTP directory # listings, mod_status and mod_info output etc., but not CGI generated # documents or custom error documents). # Set to "EMail" to also include a mailto: link to the ServerAdmin. # Set to one of:  On | Off | EMail # ServerSignature Off #ServerSignature On

Tot slot halen we een aantal # weg voor regels die over het tegengaan van Cross Site Scripting (XSS) gaan.

Header set X-Content-Type-Options: "nosniff" Header set X-XSS-Protection: "1; mode=block" Header set X-Frame-Options: "sameorigin"

Sla het configuratiebestand op en sluit de editor.

:wq!

Stap 4: Noodzakelijke Reverse Proxy modules activeren

Om de Reverse Proxy goed zijn werk te laten doen, dienen de volgende modules geinstalleerd standaard te worden. we doen dit met het commando a2enmod, uit te voeren met administratieve rechten

sudo a2enmod headers cache proxy_ajp proxy_balancer proxy_connect proxy_ftp proxy_http rewrite vhost_alias vhost_hash_alias

Stap 5: Herstart Apache om de voorgaande wijzigingen te activeren

sudo service apache2 restart [ ok ] Restarting web server: apache2 ... waiting .

Stap 6: Disable standaard Apache website configuratie

sudo dis2site 000-default

Stap 7: Creëer een Reverse Proxy site configuratie

cd /etc/apache2/sites-available sudo vi reverse_proxy

Stap 8: vul het bestand met configuraties voor de websites die je naar internet wilt ontsluiten

Herhaal het configuratieblok voor elke Virtuele host die je wil ontsluiten.

<VirtualHost *:80>  ServerName website.1 ServerAlias www.website.1 website.1   ServerAdmin [email protected]   ProxyPreserveHost On   ProxyPass / http://www.website1.tier3/   ProxyPassReverse / http://www.website1.tier3/   <Proxy *>         Order allow,deny         Allow from all  </Proxy> ErrorLog /var/log/apache2/website.1.error.log   CustomLog /var/log/apache2/website.1.log combined </VirtualHost> <VirtualHost *:80>   ServerName website.2   ServerAlias www.website.2 website.2   ServerAdmin [email protected]   ProxyPreserveHost On   ProxyPass / http://www.website2.tier3/   ProxyPassReverse / http://www.website1.tier3/   <Proxy *>         Order allow,deny         Allow from all   </Proxy>   ErrorLog /var/log/apache2/website.2.error.log   CustomLog /var/log/apache2/website.2.log combined </VirtualHost> ... <VirtualHost *:80>   ServerName website.n   ServerAlias www.website.n website.n   ServerAdmin [email protected]   ProxyPreserveHost On   ProxyPass / http://www.websiten.tier3/   ProxyPassReverse / http://www.websiten.tier3/   <Proxy *>         Order allow,deny         Allow from all   </Proxy>   ErrorLog /var/log/apache2/website.n.error.log   CustomLog /var/log/apache2/website.n.log combined </VirtualHost>

Sla het configuratiebestand op en sluit de editor.

:wq!

Stap 9: Enable de Reverse Proxy site configuratie

a2ensite reverse_proxy

Stap 10: Pas de /etc/hosts file aan

Aangezien we niet willen dat de Reverse Proxy Server voor het publiceren van websites afhankelijk is van beschikbaarheid van DNS, zetten we de websites die we publiceren (buitenkant) in de /etc/hosts file. we gebruiken hiervoor het adres dat in de NAT tabel van de firewall geconfigureerd is.

sudo vi /etc/hosts

127.0.0.1      localhost 127.0.1.1      reverseproxy.dmz  reverseproxy #extern (tier2) 10.x.y.proxy   www.website.1 10.x.y.proxy   website.1 10.x.y.proxy   www.website.2 10.x.y.proxy   website.2 ... 10.x.y.proxy   www.website.n 10.x.y.proxy   website.n #intern (tier3) 10.intern.dmz.server www.website1.tier3 10.intern.dmz.server www.website2.tier3 ... 10.intern.dmz.server www.websiten.tier3 # The following lines are desirable for IPv6 capable hosts ::1     localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters

Sla het configuratiebestand op en sluit de editor.

:wq!

Stap 11: Herstart Apache om de Reverse Proxy te activeren.

sudo service apache2 restart

Klaar!

Creating Solutions and Implementations in Technology http://www.techgourmet.net

Rohan Singh explains how and why Spotify uses Docker. Join the conversation at http://twitter.com/university

Very interesting reveal into how @Spotify works on #continuousdelivery using @docker instead of the traditional use of vm’s and puppet.

How to install Active MQ with Oracle Java 7 on debian or other linux distributions

Apache’s Active MQ is a powerful, open source messaging and Integration Patterns server. Its support many Cross Language Clients and Protocols, from Java, C, C++, C#, Ruby, Perl, Python, PHP. Ajax to support web streaming support to web browsers using pure DHTML. It can be installed via the aptitude package manager, however that installation does not provide support for Oracle Java 7. To install Active MQ with Oracle Java 7 support, we have to use version 5.7 or newer. This how-to will use version 5.10 (June 2014). Active MQ will be installed on Debian Wheezy, but you can install it this way on every Debian based distribution. We will install Active MQ in /opt/applications Step 1: Download ActiveMQ from www.activemq.org using wget cd /opt/applications/install wget http://apache.cs.uu.nl/dist/activemq/5.10.0/apache-activemq-5.10.0-bin.tar.gz root@server:/opt/applications/install# wget http://apache.cs.uu.nl/dist/activemq/5.10.0/apache-activemq-5.10.0-bin.tar.gz --2014-07-14 16:25:55--  http://apache.cs.uu.nl/dist/activemq/5.10.0/apache-activemq-5.10.0-bin.tar.gz Resolving apache.cs.uu.nl (apache.cs.uu.nl)... 131.211.84.186 Connecting to apache.cs.uu.nl (apache.cs.uu.nl)|131.211.84.186|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 45401944 (43M) [application/x-gzip] Saving to: `apache-activemq-5.10.0-bin.tar.gz' 100%[==================================================================================================================>] 45,401,944   319K/s   in 1m 56s  2014-07-14 16:27:51 (382 KB/s) - `apache-activemq-5.10.0-bin.tar.gz' saved [45401944/45401944] root@server:/opt/applications/install Step 2: Unpack the tar-ball tar zxvf apache-activemq-5.10.0-bin.tar.gz The application will now be unpacked in a directory called apache-activemq-5.10.0 Step 3: Move the application to it’s destination directory /opt/applications mv apache-activemq-5.10.0 /opt/applications/activemq This will leave the downloaded tar-ball available for reinstallation on the same machine or another machine if necessary. Step 4: Create a symlink so activemq will run from /opt/applications/activemq We do this, so the startup configuration file will also start ActiveMQ with the right java version and permissions after an upgrade of the software. ln -s apache-activemq-5.10.0 activemq Step 5: Setup of ActiveMQ At this moment ActiveMQ is installed on your system but will not do anything yet. We first have to create a startup file in /etc/default and point JAVA_HOME to your Oracle Java7 installation. (if you havent installed Oracle Java7 yet, do it now using this howto http://blog.techgourmet.net/post/91637538946/howto-install-oracle-java-7-on-debian-wheezy) root@server:/opt/applications/activemq# ./bin/activemq setup /etc/default/activemq Step 6: Change the file permissions of the ActiveMQ startup script It’s recommended to limit access to ‘/etc/default/activemq to the priviledged or non-personal user. Therefore change the file permissions ont the script. chown root:nogroup '/etc/default/activemq'; chmod 600 '/etc/default/activemq After having executed the commands above only (in this example) root has full access to the script, no other users have access. Step7: Set the Oracle Java 7 path in the ActiveMQ startup script. Using your favorite editor, open the just created /etc/default/activemq startup script and point JAVA_HOME to /usr/lib/jvm/java-7-oracle. root@server:# vi /etc/default/activemq Find the JAVA_HOME section, it should look like this: # Location of the java installation                                                                                                                                                                                         # Specify the location of your java installation using JAVA_HOME, or specify the                                                                                                                                            # path to the "java" binary using JAVACMD                                                                                                                                                                                   # (set JAVACMD to "auto" for automatic detection)                                                                                                                                                                           #JAVA_HOME=""                                                                                                                                                                                                               JAVACMD="auto"  change the JAVA_HOME line to: JAVA_HOME="/usr/lib/jvm/java-7-oracle" Don’t forget to remove the # in front of JAVA_HOME, otherwise the script processor will skip the line during startup of the ActiveMQ service. Step8: Set the Non Personalized Account in the ActiveMQ startup script. //Optional If you are not to happy to run a non-system service like ActiveMQ under the root user, add a NPA,   root@server:# useradd -s /usr/sbin/nologin -r -M activemq Change the permissions on the ActiveMQ directory root@server:# chown -R activemq:nogroup /opt/applications/activemq and change the following in your ActiveMQ startup script using your favorite editor root@server:# vi /etc/default/activemq In the startup script, find the following section: # Configure a user with non root priviledges, if no user is specified do not change user if [ -z "$ACTIVEMQ_USER" ] ; then ACTIVEMQ_USER="" /JAVA_HOME fi change the ACTIVEMQ_USER line to: ACTIVEMQ_USER=“activemq" save the file and you’re done. Now start ActiveMQ for the first time (after a reboot the service will be started automatically) with the following command: root@server:/opt/applications/activemq# ./bin/activemq start

Creating Solutions and Implementations in Technology

Installing and configuring the Apache Tomcat 7 admin interface

Install and configure the webinterface of Apache Tomcat7 (including examples and tomcat7 docs). The installation is simple, since we use standard available packages within Debian Wheezy.

sudo apt-get install tomcat7-admin tomcat7-examples tomcat7-docs

With this you just installed the java applets for administration and the manual of your tomcat server, aswell as some example java applications.

  By default, Tomcat 7 supports the following user roles that you can use to set up multiple logins for different level of accesses:

manager-gui - allows access to the HTML GUI and the status pages

manager-script - allows access to the text interface and the status pages

manager-jmx - allows access to the JMX proxy and the status pages

manager-status - allows access to the status pages only

To be able to really use the admin interface, you have to edit the following file using your favorite editor and add users that are allowed to administer the java applications that  will be published using Apache Tomcat 7.

vi /etc/tomcat7/tomcat-users.xml

We will see the folowing:

<?xml version='1.0' encoding='utf-8'?> <!-- ... license info ... --> <tomcat-users> <!--   NOTE:  By default, no user is included in the "manager-gui" role   required to operate the "/manager/html" web application.  If you   wish to use this app, you must define such a user - the username   and password are arbitrary. --> <!--   NOTE:  The sample user and role entries below are wrapped in a   comment and thus are ignored when reading this file. Do not forget   to remove <!.. ..> that surrounds them. --> <!--   <role rolename="tomcat"/>   <role rolename="role1"/>   <user username="tomcat" password="tomcat" roles="tomcat"/>   <user username="both" password="tomcat" roles="tomcat,role1"/>   <user username="role1" password="tomcat" roles="role1"/> --> </tomcat-users>

Now we will add the role for administration (manager-gui) and create a user for it right above the </tomcat-users> tag.

<role rolename="manager-gui"/> <user username="admin" password="password" roles="manager-gui"/>

(You can name the user and define the password as you like but keep in mind that the password is stored in plain text, the rolename has to be manager-gui.) 

Save the file and restart your tomcat service using:

service tomcat7 restart

We can test the install by pointing your favorite browser to http://<servername or ip-address>:8080/manager/html

You will see the following screen.

Next Up: Reverse Proxies and loadbalancing of web applications

Creating Solutions and Implementations in Technology

Installing Apache Tomcat 7 on Debian Wheezy (using Oracle Java 7)

When installing applications within DTAP (Development, Test, Acceptance, Production) environments, I prefer doing as little compiling als possible to prevent incompatibility with the packages installed and updated with the aptitude package manager within Debian / Ubuntu.

NOTE:

First install Oracle Java 7 using my post on howto Install ORACLE Java 7 on Debian Wheezy

With Java 7 installed we install Tomcat7. Since Tomcat 7 is part of the standard repository of Debian wheezy, we just execute the following command as root or using sudo:

apt-get install tomcat7

You will see the following error:

Setting up tomcat7 (7.0.28-4+deb7u1) ... Creating config file /etc/default/tomcat7 with new version Adding system user `tomcat7' (UID 105) ... Adding new user `tomcat7' (UID 105) with group `tomcat7' ... Not creating home directory `/usr/share/tomcat7'. Creating config file /etc/logrotate.d/tomcat7 with new version [....] no JDK found - please set JAVA_HOME ... failed! invoke-rc.d: initscript tomcat7, action "start" failed.

The reason for this error is that we use Oracle Java 7 instead of OpenJDK Java 6 that is defined in the standard packages within Debian Wheezy.

To solve this we have to define JAVA_HOME in /etc/default/tomcat7

vi /etc/default/tomcat7

# Run Tomcat as this user ID. Not setting this or leaving it blank will use the # default of tomcat7. TOMCAT7_USER=tomcat7 # Run Tomcat as this group ID. Not setting this or leaving it blank will use # the default of tomcat7.  TOMCAT7_GROUP=tomcat7 # The home directory of the Java development kit (JDK). You need at least # JDK version 1.5. If JAVA_HOME is not set, some common directories for # OpenJDK, the Sun JDK, and various J2SE 1.5 versions are tried. #JAVA_HOME=/usr/lib/jvm/openjdk-6-jdk JAVA_HOME=/usr/lib/jvm/java-7-oracle # You may pass JVM startup parameters to Java here. If unset, the default # options will be: -Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC # # Use "-XX:+UseConcMarkSweepGC" to enable the CMS garbage collector (improved # response time). If you use that option and you run Tomcat on a machine with # exactly one CPU chip that contains one or two cores, you should also add # the "-XX:+CMSIncrementalMode" option. JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC" # To enable remote debugging uncomment the following line. # You will then be able to use a java debugger on port 8000. #JAVA_OPTS="${JAVA_OPTS} -Xdebug -Xrunjdwp:transport=dt_socket,address=8000,server=y,suspend=n" # Java compiler to use for translating JavaServer Pages (JSPs). You can use all # compilers that are accepted by Ant's build.compiler property. #JSP_COMPILER=javac # Use the Java security manager? (yes/no, default: no) #TOMCAT7_SECURITY=no # Number of days to keep logfiles in /var/log/tomcat7. Default is 14 days. #LOGFILE_DAYS=14 # Location of the JVM temporary directory # WARNING: This directory will be destroyed and recreated at every startup ! #JVM_TMP=/tmp/tomcat7-temp # If you run Tomcat on port numbers that are all higher than 1023, then you # do not need authbind.  It is used for binding Tomcat to lower port numbers. # NOTE: authbind works only with IPv4.  Do not enable it when using IPv6. # (yes/no, default: no) #AUTHBIND=no

Start Tomcat with the following command:

service tomcat7 start

root@server:# service tomcat7 start

[....] Starting Tomcat servlet engine: tomcat7.

root@server:#

  Tomcat is now installed.

We can test the install by pointing your favorite browser to http://<servername or ip-address>:8080

You will see the following screen.

This is all there is to it, to be able to be able to run Apache Tomcat 7 on Debian Wheezy.

In a future post we will explain how to install and configure the admin interface. 

Creating Solutions and Implementations in Technology

Howto Install ORACLE Java 7 on Debian Wheezy

When installing applications within DTAP (Development, Test, Acceptance, Production) environments, I prefer doing as little compiling als possible to prevent incompatibility with the packages installed and updated with the aptitude package manager within Debian / Ubuntu.

  Instead of using the standard Open-JDK JRE 6  I prefer to use Oracle’s Java 7 for update reasons.

  To install Oracle’s Java Runtime with apt-get, we first need to entend the list of apt-get’s sources. Once that is done, an java-installer will actually install the Java SE Runtime Environment. Here are the steps to follow:

Instal the latest version of Oracle JRE 7

echo "deb http://ppa.launchpad.net/webupd8team/java/ubuntu precise main" > /etc/apt/sources.list.d/webupd8team-java.list

echo "deb-src http://ppa.launchpad.net/webupd8team/java/ubuntu precise main" >> /etc/apt/sources.list.d/webupd8team-java.list

apt-key adv --keyserver keyserver.ubuntu.com --recv-keys EEA14886

apt-get update

apt-get install oracle-java7-installer

  To test the install type java -version

java version “1.7.0_17"

Java(TM) SE Runtime Environment (build 1.7.0_17-b02)

Java HotSpot(TM) 64-Bit Server VM (build 23.7-b01, mixed mode)

  BTW, Java got installed into this location: /usr/lib/jvm/java-7-oracle

Creating Solutions and Implementations in Technology

What is it about the IT industry that gets people so opinionated and wound up? I’ve been following a trail on Google+ where people are slamming Microsoft for everything except the holocaust and world hunger..

I’ve suggested in the trail that Wile Microsoft’s catch phrase may never have been do...

How to Troubleshoot DNS Problems

DNS is so important to the essential services of today’s Windows networks that it’s got to be the most common and most frustrating parts of your job to troubleshoot. The process can seem difficult but print out this helpful graphic and hang it on the wall. It can serve as a simple reminder on how to go about troubleshooting your DNS problems.

I stumbled upon the problem of fail2ban not banning after I had moved my ssh server to non standard port (let’s say 22022). To make fail2ban produce the right rules after a number of failed authentication attempts, I edited /etc/fail2ban/jail.conf.

pre:

You should change port as per your...

TaskBoard : iOS Inspired Multitasking Bar to Mac OS X

Facebook and Vine were just the beginning — you should have known that. Especially once the biggest social network in the world started dipping its toes in the VoIP pool. Skype isn’t about to let others encroach on its hard won territory without a fight. The Microsoft-owned messaging platform...

It’s not like we didn’t have ample warning, so by now anyone wanting to try out the new Ubuntu smartphone OS should have gotten hold of a Galaxy Nexus to be their test device. Still don’t have one? Then you’ll be pleased to know that a Nexus 4 will actually serve just as well, and you have six days to get equipped. The Ubuntu Touch Developer Preview will be made public on February 21st alongside the open source code and all the tools necessary to flash those two devices.

Voor wie het nog niet wist...legale backdoors en hacks bestaan. Ze worden veelvuldig wereldwijd door overheden ingezet. Virus en malware detectoren moeten gebruikers beschermen tegen de effecten hiervan. Wat nu als legale achterdeurtjes gebruikt worden door regimes om dissidenten en politieke activisten wereldwijd monddood te maken?