Dies ist eine alte Version des Dokuments!
Verschlüsselung von eMails mit Hilfe von Zeyple unter CentOS7
Verschlüsselung vertraulicher Daten dürfte in sensiblen Bereichen kaum mehr weg zu diskutieren sein. Sehr oft werden eMails genutzt, um einen Systemadministrator über Stati, (Fehl-)Funktionen und aussergewöhnliche Situationen zu informieren.
Besser als der Programm-Author des Encyption-Daemons ZEYPLE kann man es nicht besser beschreiben:
Why should I care? If you are a sysadmin who receives emails from various monitoring tools like Logwatch, Monit, Fail2ban, Smartd, Cron, whatever - it goes without saying that those emails contain lots of information about your servers. Information that may be intercepted by some malicious hacker sniffing SMTP traffic, your email provider, <insert your (paranoid) reason here>… Why would you take that risk - encrypt them all!
In unserem Anwendungsbeispiel wollen wir alle eMails, die unsere Monitoring-Umgebeung Icinga 2 verschickt automatisch verschlüsseln, sofern die Nachrichten den geschützen Bereich der eigenen Infrastruktur verlässt.
Kommunikationsablauf
Die wesentlichen Kernaufgaben von Zeyple sind:
- Annahme der (unverschlüsselten) Nachrichten vom MTA1) (Postfix)
- Verschlüsseln der Nachrichten mit Hilfe des öffentlichen PGP Keys des Systemadministrators.
- Übergabe der (verschlüsselten) eMail an den MTA (Postfix)
Nachfolgende Übersichsskizze zeigt diese Verarbeitungsschritte.
<uml width=900 title=„Verarbeitungsschritte einer eMail“> skinparam defaultFontName Courier
state „/usr/bin/sendmail“ as sendmail
sendmail : Script oder Daemon generiert sendmail : eMail und verschickt diese sendmail : via /usr/bin/sendmail
state „Postfix Mail Transfer Agent - Server“ as mhs1 {
state "Postfix Daemon" as mta1
mta1 : Annahme der eMail durch das
mta1 : Postfix-Modul POSTDROP
mta1 : und Weiterleitung an den
mta1 : zeyple-Encryption-Daemon
state "zeyple (Mail Encryption Gateway/Daemon)" as zeyple
zeyple : Annahme der unverschlüsselten Admin-Mails vom Postfix-Daemen (queue);
zeyple : Verschlüsseln der Nachrichtenen mit dem PGP-Key des Empfängers und anschließend
zeyple : weiterleiten der verschlüsselten Mail an den Postfix SMTP-Daemon Port 10026
state "Postfix Port 10026" as mta2
mta2 : Entgegennahme der verschlüsselten eMail
mta2 : vom zyple Daemon und weiterleiten an den
mta2 : zuständigen Mailserver (next-hop)
}
sendmail --> mta1 mta1 -right-> zeyple zeyple -right-> mta2 mta2 --> [*] note left
From: icinga <icinga@nausch.org To: django@mailserver.guru Subject: icinga 2 Service-Notification Date: Friday 17:25:30
Content-Type: multipart/encrypted; boundary=„=_KVUguhHg3_izbRdYCjHHIA2“; protocol=„application/pgp-encrypted“ Content-Description: Mit PGP =?utf-8?b?dW50ZXJ6ZWljaG5ldGUvdmVyc2NobMO8c3NlbHRl?= Daten MIME-Version: 1.0
This message is in MIME format and has been PGP signed and encrypted.
–=_KVUguhHg3_izbRdYCjHHIA2 Content-Type: application/pgp-encrypted
Version: 1
–=_KVUguhHg3_izbRdYCjHHIA2 Content-Type: application/octet-stream Content-Disposition: inline
—–BEGIN PGP MESSAGE—– Version: GnuPG v2.0.14 (GNU/Linux)
hQIMA7qTOzFT6dtKAQ/+LGrN28ikLsfChNJ4A+gko5Pxr6OEItdcORT3FPRxbhXg XogSXhi57xIgMF2dY3BlY02JIrJ/3ysnIZOwhy5HstV1kz4M/AEOOCLOxq4NCjAM 4NpQovyw5Yd9OOxGfP49+qNn1MIgWwbOsIPf91qT1RAzdWMwIg25Rkdn63OSMTsE fLquJLPdbrbVZQfb2oTzThwmWZ9LGHB54zQpOSG2Nehq4UYHdCed/ALO8oYHdWbB FwqkZGr9SSUVLQz7VkBUnHfcuMHZ22zliFdsbjhp84Q9ekZqqOBATK99BeF+kZBd FCtKLtpBOlJ03zOz3J7vxgcpVpScnbn9kXJFg3g05Y/3bAqwr1dTlnBI9suP6sEL mul0lY1zMM6TRSWkezuR8y26kNqOUw2y5rOKCq8fjPoqY9SJBSEKiPPukQsZ9W8u WRTxrEQqixGedABrZfKq41uQv+gQyF9iYJpiBSPT6Sws/nK3L4nY8OI01ph7DBPZ 9tUowUkaUao/b1z2FyGm8zDY6AqQG2TfMGkx1uWPkRERmg/1gxCS2eDeghaETR8S Wf+CSD9u/1GGu6aXHO+s/H6iG/DoJ3Fbp6xLbu4nrKeLKPWdJ+uwYXtGguA65bIv s/aZ3e3ZtDtTG5JG0x7ckPGlbq2FOrJNgBemXI5jtoNkUNRqntsLYZ6aF37aNFmF AgwD8mpRdV5KKq0BEACcRFnmcNhfGoM1oql5WWLkJNcaixELxJ/ifILSR5PjVQ/f GySlbYCymO6B3stRzajuBjCVC0+eFluYAFbpVRXlA4jUN7YE41P5JGWf4S6vpOZE /CmFr1WViHj5u3/Yx23APvsb0G/namf9b1NDe+A5kVQjzR5MyGm+btGJ9XC58mb3 jcekTCBroHISAhMec0IYh060a8T4ojlxprp6cpRkJ8ofnVBGBi6w8pan2W9FdNhD 9MxE/gE1zmRikA85j9RfqfrC9T716CEfj06Fjq1VcPZ9Zz+Xbs5htIm5bzQfQoI9 ML8pMGUcjJAlE0w68jnhvznKN1WS82C+s/42q9SYCcVHUVwg5HyDIdVNtl8Bbn+H OpP8pPrV0gaJMNFZB2lHX6p7btFcbYL3wWXT2Rp6QBYSBZx8AYAoERSRNbi9DKSB AtgU0YkAjYnuZcQ3+VasXmHayhayR1l1b22NRHxwfbf8Ls/3zvO29dVsrbJ/vDP3 kV6DcAo7wZmtpazyqKmdU1H8MQ0QOW5UmjWF62A10Qjrg7I2Y3K6k/R3/QiW5+oo FreQ9cWsAMI0GiUvCZMi29wI4GqWvkdL1I1PZxrvGfmz6lL1hK26PzEoWgUqeSdj ws1o9O04IhZkyCeH8sPSoUylIEei/RYgXVp3rmOFlMw/yLsbKwzk5qtevF5RBDgp kB12G4rGASScJYWzCUsuhonj/98YNi9HCrBsIBoXig== =Ydeu —–END PGP MESSAGE—–
–=_KVUguhHg3_izbRdYCjHHIA2–
end note
note right of sendmail From: icinga <icinga@nausch.org To: django@mailserver.guru Subject: icinga 2 Service-Notification Date: Friday 17:25:30
* nausch.org Icinga2 Service Monitoring *
> alert for System_Users is WARNING! <
When? Service? System_Users Host? vml000017.dmz.nausch.org Address? 10.0.0.17 Info? USERS WARNING - 4 users currently logged in
Comment by :
Have a look: https://orwell.nausch.org/icingaweb2/monitoring/service/show?host=vml000017.dmz.nausch.org&service=System_Users
end note
</uml>
GutHub
Download
Bevor wir uns nun dieses Projekt auf unseren Rechner clonen, wechseln wir in das Prokekt-Verzeichnis unseres Servers.
# cd /usr/local/src
Nun clonen wir das Projekt direkt in das Verzeichnis zeyple.
# git clone https://github.com/infertux/zeyple.git
Cloning into 'zeyple'... remote: Counting objects: 591, done. remote: Total 591 (delta 0), reused 0 (delta 0), pack-reused 591 Receiving objects: 100% (591/591), 113.99 KiB | 0 bytes/s, done. Resolving deltas: 100% (315/315), done.
Als erstes holen wir uns nun das
django