home.social

Search

428 results for “saraverse”

  1. Two weeks ago we published our analysis of TURN security threats. Today: how to fix them.

    New guides covering implementation-agnostic best practices (IP range blocking, protocol hardening, rate limiting, deployment patterns) and coturn-specific configuration with copy-paste templates at three security levels.

    Best practices: enablesecurity.com/blog/turn-s
    coturn guide: enablesecurity.com/blog/coturn
    Config templates on GitHub: github.com/EnableSecurity/cotu

    coturn 4.9.0 dropped yesterday with fixes for CVE-2026-27624 (IPv4-mapped IPv6 bypass of deny rules) and an inverted web admin password check that had been broken since ~2019. The guides cover workarounds for older versions.

    #infosec #webrtc #security #TURN #coturn #penetrationtesting #voip #serversecurity

  2. @Kristian
    Bleibt wieder der Punkt: Erwartungshaltung wäre, dass sowas in den Standard gehört. Egal warum - prior art in Hubzilla, Erfahrung mit E-Mail, oder ganz einfach "common sense" des Netzwerk-Entwicklers. ActivityPub hat dieses Feature nicht, und ich sehe nicht, dass sich das jemals flächendeckend umsetzen lässt.

    Ich glaube, ich habe mal aufgeschnappt, daß Mike Macgirvin versuchte, die Entwicklung von ActivityPub zum Besseren hin zu schubsen. Aber alle, aber auch wirklich alle seine Vorschläge sind abgeschmettert worden. Deshalb war Mike ja lange Zeit auf ActivityPub nicht gut zu sprechen.

    Inzwischen versuchen andere (meistens silverpill), mittels FEPs nachzuhelfen, die aus Mikes Kreationen hervorgehen. Es war ja auch silverpills Idee, mal zu versuchen, nomadische Identität mit nichts außer ActivityPub aufzubauen. Mit (streams) und Mitra wurden die ersten zaghaften Schritte getan. Und Forte ist heute vollnomadisch, obwohl es nur ActivityPub unterstützt.

    Nomadische Identität nur mit ActivityPub, also ohne Zuhilfenahme von Zot oder Nomad, ist also durchaus möglich und schon gemacht worden. Nur gibt's dafür noch längst nicht genug Normschriften.

    Außerdem hatte Mike mit Forte ja einen Vorteil: Forte ist ja nicht aus einer nichtnomadischen Software nomadisch gemacht worden. Es entstand vielmehr aus dem schon nomadischen (streams), indem Mike alle Unterstützung für Nomad und Zot6 rausriß, weil ihm nach Einführung von DIDs nach FEP-ef61 in (streams) die vielen verschiedenen IDs um die Ohren geflogen waren.

    Ich hatte ja gehofft, daß silverpill Mitra tatsächlich zu serverseitig vollnomadischer Software umbaut und den Prozeß quasi in Form von FEPs dokumentiert. Dann hätten wir die FEPs, und wir hätten den Präzedenzfall eines erfolgreichen Umbaus, den andere sich zum Beispiel nehmen können.

    Aber leider ist daraus ja statt dessen ein spezieller Client (Mini Mitra) geworden, der sich um das Nomadische kümmert. Auch von der wohl einst geplanten Nomadizität zwischen (streams) bzw. Forte und Mitra ist nichts mehr zu hören.

    Über den - aus Nachhaltigkeitssicht - Unsinn der massiven Menge paralleler Projekte, die alle wieder und wieder und dann /wieder/ dasselbe Rad zu erfinden versuchen, nur weil es geht, müsste man separat diskutieren, aber das tut hier nix zur Sache.

    Die meisten erfinden das Rad neu, weil sie noch nie von Rädern gehört haben.

    Warum werden immer neue Microblogging-Serveranwendungen ins Fediverse gekippt? Weil deren Entwickler kaum etwas im Fediverse außer Mastodon kennen. Sie haben nie von Sharkey gehört. Sie haben nie von Akkoma gehört. Sie haben nicht mal von Misskey oder Pleroma gehört. Genau das, was sie an Mastodon vermissen, weshalb sie selbst etwas entwickeln, würden sie da sofort bekommen. Selbst wenn sie etwas suchen, was weniger Serverlast verursacht als Mastodon: Gerade Akkoma wäre genau das.

    #Long #LongPost #CWLong #CWLongPost #LangerPost #CWLangerPost #FediMeta #FediverseMeta #CWFediMeta #CWFediverseMeta #ActivityPub #NomadischeIdentität
  3. Um mal die ersten drei Punkte einzeln anzugehen (Achtung @Mastodon-Nutzer, jetzt wird's extrem lang):

    Leichteres und besseres Onboarding

    Wie sieht denn heutzutage das Onboarding aus:

    • man erfährt von Mastodon
    • man lädt die offizielle Mastodon-App aufs Handy
    • man ignoriert die Server-Voreinstellung mastodon.social
    • Name, Paßwort, los

    Was soll denn da noch mehr vereinfacht werden? Soll in Zukunft nicht nur das Fediverse (im Sinne des Gerade-eben-nicht-nur-Mastodon-Netzwerks) vor den Nutzern verschleiert werden, sondern auch die Dezentralität von Mastodon selbst? Sollen die Leute zwei Jahre lang glauben, Mastodon (bzw. das Fediverse, wenn sie von dem Begriff lesen) sei nur eine einzelne Website oder gar nur eine einzelne Handy-App?

    Übrigens, falls das jemand noch nicht mitbekommen hat: Es gibt Nutzer im Fediverse außerhalb von Mastodon, die schon lange dagegen Sturm laufen, daß jedem Neuling das Fediverse als nur Mastodon dargestellt wird, weil das einfacher zu verstehen ist. Daran wiederum stören sich all diejenigen auf Mastodon, die lieber ein reines Mastodon-Fediverse hätten, weil sie zu lange an genau so ein reines Mastodon-Fediverse gewöhnt waren (das es so übrigens nie gab).

    leichtere und bessere Migration von Accounts zwischen Instanzen (inkl. Portabilität von Accounts)

    Die Technologie gibt's längst. Und ich rede nicht von Bluesky, das das nie unter Beweis gestellt hat.

    Ich rede von nomadischer Identität, die schon 2012, fast vier Jahre vor dem Start von Mastodon, erstmals implementiert wurde. Kein grobes Konzept, kein Laborexperiment, sondern seit mehr als einem Jahrzehnt tagtäglich produktiv genutzte Technologie.

    Der Hubzilla-Kanal, von dem ich hier jetzt gerade kommentiere, ist voll nomadisch. Ich könnte ihn mit allem, aber auch wirklich allem Drum und Dran auf einen anderen Hub verschieben. Ich bin aber noch weiter gegangen: Ich habe ihn geklont. Dieser Kanal existiert gleichzeitig auf zwei unabhängigen Hubs in zwei beinahe komplett identischen Instanzen, die fast in Echtzeit synchron gehalten werden. Sogar beide Male mit derselben Identität, auch wenn der weit überwiegende Teil des Fediverse das nicht wahrnehmen kann.

    Seit 2024 geht nomadische Identität auf Forte sogar rein über ActivityPub.

    Was allerdings bis heute nicht gelungen ist, ist, eine typische Fediverse-Serversoftware (nur ActivityPub, nicht nomadisch, Account/Login = Identität) serverseitig voll nomadisch zu machen, also auf demselben Niveau wie auf Hubzilla oder (streams) oder Forte. @silverpill hatte das mit Mitra vor, hat aber letzten Endes lieber einen Client entwickelt, der das erledigen soll.

    So wird es bis auf weiteres vier riesige Hürden auf dem Weg zu dem vollnomadischen Fediverse geben, von dem längst schon geträumt worden ist:
    • Existierende, nicht nomadische Fediverse-Software vollnomadisch zu machen, bedeutet einen gigantischen Totalumbau.
    • Das ist so noch nie gemacht worden.
    • Es ist auch bis heute noch nie gelungen, mittels nomadischer Identität über ActivityPub eine Fediverse-Identität von einer Software auf eine andere zu verschieben oder zu klonen. Auch das ist ein rein theoretisches Konzept, von dem keiner weiß, ob und wie gut es funktionieren kann.
    • Selbst wenn das ginge, wird Mastodon sich mit Händen und Füßen dagegen sträuben, eine Technologie einzuführen, die ausgerechnet der Friendica- und Hubzilla-Erfinder Mike Macgirvin erfunden hat. Überhaupt baut Mastodon nur sehr ungern Dinge ein, die sie dann nicht als revolutionär neue komplette Eigenentwicklungen verkaufen können.

    größere Benutzerfreundlichkeit


    Und das wiederum kann nur heißen: Die existierenden Fediverse-Serveranwendungen müssen noch mehr wie die populären kommerziellen Silos aussehen und sich auch so bedienen.

    Das heißt auf die Spitze getrieben: Das ganze Fediverse muß zu einem 1:1-Klon von Twitter werden. Mastodon muß die Oberfläche von Twitter nachbauen. Die offizielle Mastodon-App muß zu einem 1:1-Klon der Twitter-App werden. Und alles, was nicht Mastodon ist, muß "aus dem Fediverse ausgesperrt" werden, weil es Mastodon-Nutzer nur verwirrt.

    CC für die im Thread, deren Fediverse-Anwendungen keine Konversationen unterstützen: @Kristian @samvie @candy in the wind @💀 Mirko 💀

    #Long #LongPost #CWLong #CWLongPost #LangerPost #CWLangerPost #FediMeta #FediverseMeta #CWFediMeta #CWFediverseMeta #Fediverse #NichtNurMastodon #Hubzilla #Streams #(streams) #Forte #NomadischeIdentität #Onboarding
  4. #Lokale #Datensicherheit mit #Android #Keystore#Threema:

    Der Schutz lokal gespeicherter Daten ist ein zentraler Aspekt jeder sicheren #Messaging-App – insbesondere dann, wenn wie bei #Threema bewusst auf eine serverseitige Speicherung verzichtet wird. Unter Android stellt der Keystore dafür eine systemseitige Möglichkeit zur sicheren Verwaltung #kryptografischer Schlüssel bereit.

    Threema verfolgt seit jeher einen klaren Ansatz:...

    threema.com/de/blog/android-ke

  5. Wow. Kleiner Schock gestern. Kein Zugriff mehr auf meine E-Mails. Hätts gar nicht gemerkt, wenn #FairEmail nicht gemeckert hätte, dass es nen Fehler auf Serverseite gibt. #K9mail hats nicht gemerkt. Es kamen keine neuen Mails rein.

    Webmail per #Roundcube hat mir auch nen seltsamen nichtssagenden Fehler geschmissen und konnte auf keine E-Mails zugreifen... Hatte schon Angst mein Hoster hätte äh Probleme mit dem Server...
    Aber dann kam es mir. Die Quota des Users war voll ausgenutzt. Kein weiterer Speicherplatz vorhanden. 🫠

    Danke #FairEmail 👏

  6. 🌴🔍 "Groundbreaking" findings about #Rapa Nui's "isolation" were so earth-shattering that even the internet refused to serve them. 🤦‍♂️ Who knew radiocarbon dating had such hard limits... like server security policies? 🚫💻
    phys.org/news/2025-06-radiocar #Groundbreaking #Nui #RadiocarbonDating #ServerSecurity #InternetIsolation #HackerNews #ngated

  7. As for #introductions

    I am a new #mom working for a #tech company in a #data role.

    I read about #geopolitics, #HumanRights, #programming, #infosec, and #defense but am writing narrowly about my experience as a #mom.

    My challenge for this account is I write and hit Publish mostly real time, so it's likely far from perfect.

    #MomsOfMastodon #WorkingMom #attachment #AttachmentTheory #parenting #authenticity #poetry #writing #LGBTQIAally #BLM

  8. itsfoss.com/self-hosting-start

    5 simple(~ish) tools to start your home-lab or home-server with

    - Jellyfin: Your own Netflix
    - Kavita: Your own Kindle library
    - Nextcloud: Your own Google drive (and more)
    - Immich: Your own Google Photos
    - Navidrome: Your own Spotify

    #SelfHosting #Homelab #OpenSource #Linux #DIYTech #TechStack #ServerSetup #PrivacyFirst #DigitalFreedom #DataProtection #SecureYourData #EncryptEverything #FOSS #DataSovereignty #OwnYourData #InternetFreedom #TechIndependence

  9. 🛡️ Oh look, another thrilling #update on how your beloved #Nginx can turn into a #cybersecurity disaster waiting to happen! 🎉 Kudos to the internet heroes who found these digital booby traps—just don’t forget to #patch them up before your server becomes a hacker’s playground! 🙄🔧
    nginx.org/en/CHANGES #Vulnerability #InternetHeroes #ServerSecurity #HackerNews #ngated

  10. #Lokale #Datensicherheit mit #Android #Keystore#Threema:

    Der Schutz lokal gespeicherter Daten ist ein zentraler Aspekt jeder sicheren #Messaging-App – insbesondere dann, wenn wie bei #Threema bewusst auf eine serverseitige Speicherung verzichtet wird. Unter Android stellt der Keystore dafür eine systemseitige Möglichkeit zur sicheren Verwaltung #kryptografischer Schlüssel bereit.

    Threema verfolgt seit jeher einen klaren Ansatz:...

    threema.com/de/blog/android-ke

  11. #Lokale #Datensicherheit mit #Android #Keystore#Threema:

    Der Schutz lokal gespeicherter Daten ist ein zentraler Aspekt jeder sicheren #Messaging-App – insbesondere dann, wenn wie bei #Threema bewusst auf eine serverseitige Speicherung verzichtet wird. Unter Android stellt der Keystore dafür eine systemseitige Möglichkeit zur sicheren Verwaltung #kryptografischer Schlüssel bereit.

    Threema verfolgt seit jeher einen klaren Ansatz:...

    threema.com/de/blog/android-ke

  12. #Lokale #Datensicherheit mit #Android #Keystore#Threema:

    Der Schutz lokal gespeicherter Daten ist ein zentraler Aspekt jeder sicheren #Messaging-App – insbesondere dann, wenn wie bei #Threema bewusst auf eine serverseitige Speicherung verzichtet wird. Unter Android stellt der Keystore dafür eine systemseitige Möglichkeit zur sicheren Verwaltung #kryptografischer Schlüssel bereit.

    Threema verfolgt seit jeher einen klaren Ansatz:...

    threema.com/de/blog/android-ke

  13. #Lokale #Datensicherheit mit #Android #Keystore#Threema:

    Der Schutz lokal gespeicherter Daten ist ein zentraler Aspekt jeder sicheren #Messaging-App – insbesondere dann, wenn wie bei #Threema bewusst auf eine serverseitige Speicherung verzichtet wird. Unter Android stellt der Keystore dafür eine systemseitige Möglichkeit zur sicheren Verwaltung #kryptografischer Schlüssel bereit.

    Threema verfolgt seit jeher einen klaren Ansatz:...

    threema.com/de/blog/android-ke

  14. Mal wieder ein zusätzliches Holzscheit in den Heizkessel von #SwissSocial gepackt, damit die Maschine sauber läuft. Diesmal ist es ein grosser Sprung bei den serverseitigen Ressourcen, entsprechend steigen die monatlichen Kosten um rund 40.-

    Vielen Dank allen, die unsere Instanz mit einer Spende unterstützen!

    verein.swiss.social/unterstuet

  15. Ja, das gefällt mir schon besser.
    #CommonMark / #ShowDown ist schlank, lässt sich gut in #Moodle verwenden und produziert einen style-baren HTML-Code.

    Was müsste man tun, damit das die hakelige Markdown-Implementierung offiziell ersetzen kann? Immerhin funktioniert ShowDown auch serverseitig. 🤔

    Was mir jetzt noch fehlt, ist ein "Präsentationsmodus" für das Textfeld. ...
    Vorerst wird das wohl nichts mehr, aber LisScript und Cryptpad können es ja immerhin auch, also sollte da doch irgendow ein Weg sein.

  16. Server Security Checklist — Essential Hardening Guide

    Securing your servers isn’t optional — it’s your first line of defense against data breaches, ransomware, insider threats, and lateral movement. Use this checklist as a baseline for Linux, Windows, cloud, hybrid, or on-prem servers.

    🔧 1. System & OS Hardening
    • Keep OS & packages updated (apply security patches frequently).
    • Remove / disable unused services & software.
    • Enforce secure boot + BIOS/UEFI passwords.
    • Disable auto-login and guest accounts.
    • Use minimal OS images only (reduce attack surface).

    🔐 2. Access Control
    • Enforce strong passwords & MFA everywhere.
    • Use RBAC & least privilege access.
    • Disable root/Administrator login over SSH/RDP.
    • Rotate credentials & keys regularly.
    • Implement just-in-time access for privileged users.

    🌐 3. Network Security
    • Restrict inbound/outbound traffic via firewalls.
    • Segment critical servers from general LANs/VLANs.
    • Disable unused ports & protocols.
    • Enable DoS/DDoS protection.
    • Apply zero-trust network principles.

    🔑 4. Secure Remote Access
    • Use SSH key-based authentication (disable password login).
    • Enforce VPN for admin access.
    • Log & monitor all remote access sessions.
    • Disable legacy protocols (Telnet, FTP, SMBv1).
    • Require bastion/jump host for critical access.

    📊 5. Logging & Monitoring
    • Enable centralized logging (syslog / SIEM).
    • Track failed login attempts & anomalies.
    • Configure alerts for privilege escalation or config changes.
    • Monitor log tampering.
    • Retain logs securely for audits & forensics.

    🔒 6. Data Protection
    • Encrypt data at rest (LUKS, BitLocker, etc.).
    • Encrypt data in transit (TLS 1.2+).
    • Strict database access policies.
    • Regular, offline, immutable backups.
    • Test restore procedures (don’t assume backups work).

    🔁 7. Application & Patch Management
    • Keep middleware, frameworks, and apps patched.
    • Delete default credentials & sample files.
    • Enable code signing for software packages.
    • Use secure coding practices (OWASP Top 10).
    • Implement dependency scanning (Snyk, Trivy, etc.).

    🛡️ 8. Malware & Intrusion Defense
    • Deploy EDR/AV on endpoints.
    • Enable IDS/IPS at network edge.
    • Automatic vulnerability scans (schedule weekly/monthly).
    • Monitor persistence techniques (cron, startup scripts).
    • Block known malicious IP ranges & TLDs.

    🏢 9. Physical & Cloud Security
    • Restrict physical access to server racks/rooms.
    • Enable provider security tools (AWS Security Groups, Azure NSG, IAM).
    • Harden cloud images (CIS benchmarks).
    • Review cloud logging & audit trails regularly.
    • Disable unused cloud API keys / roles.

    📜 10. Policy & Compliance
    • Use CIS / NIST / ISO-27001 benchmarks.
    • Track & document every access change.
    • Force annual access reviews & key rotation.
    • Perform regular security training for admins.
    • Maintain disaster recovery & incident plans.

    ➕ Additional 5 Critical Controls (Advanced Hardening)

    🧠 11. Privileged Access Management (PAM)
    • Use jump hosts & session recording.
    • Just-In-Time access for admins.
    • Store keys in secure vaults (HashiCorp Vault, CyberArk).

    🚨 12. Real-Time Threat Detection
    • Use behavioral analytics → UEBA/XDR.
    • AI-based anomaly detection recommended.
    • Block suspicious IPs automatically.

    🧪 13. Red Team & Pentesting
    • Run regular internal pentests.
    • Validate configuration weaknesses.
    • Simulate phishing + lateral movement scenarios.

    🧱 14. Container / VM Isolation
    • Use AppArmor, SELinux, Seccomp profiles.
    • Limit Docker socket access & root containers.
    • Scan images before deployment.

    📦 15. Automated Configuration Management
    • Use IaC (Terraform, Ansible, Puppet) for repeatable and secure builds.
    • Detect drift using compliance scanning.
    • Version control all infrastructure.

    🧠 Core Reminder

    A server is only as secure as the team who maintains it.
    Hardening isn’t one task — it’s an ongoing

    #ServerSecurity #SystemHardening #InfoSec #CyberSecurity #BlueTeam
    #DevSecOps #SysAdmin #ThreatDetection #AccessControl #NetworkSecurity
    #LinuxSecurity #SecureArchitecture #RiskMitigation #SecurityChecklist
    #CloudSecurity #InfrastructureSecurity #ZeroTrust #SecurityMonitoring

  17. Server Security Checklist — Essential Hardening Guide

    Securing your servers isn’t optional — it’s your first line of defense against data breaches, ransomware, insider threats, and lateral movement. Use this checklist as a baseline for Linux, Windows, cloud, hybrid, or on-prem servers.

    🔧 1. System & OS Hardening
    • Keep OS & packages updated (apply security patches frequently).
    • Remove / disable unused services & software.
    • Enforce secure boot + BIOS/UEFI passwords.
    • Disable auto-login and guest accounts.
    • Use minimal OS images only (reduce attack surface).

    🔐 2. Access Control
    • Enforce strong passwords & MFA everywhere.
    • Use RBAC & least privilege access.
    • Disable root/Administrator login over SSH/RDP.
    • Rotate credentials & keys regularly.
    • Implement just-in-time access for privileged users.

    🌐 3. Network Security
    • Restrict inbound/outbound traffic via firewalls.
    • Segment critical servers from general LANs/VLANs.
    • Disable unused ports & protocols.
    • Enable DoS/DDoS protection.
    • Apply zero-trust network principles.

    🔑 4. Secure Remote Access
    • Use SSH key-based authentication (disable password login).
    • Enforce VPN for admin access.
    • Log & monitor all remote access sessions.
    • Disable legacy protocols (Telnet, FTP, SMBv1).
    • Require bastion/jump host for critical access.

    📊 5. Logging & Monitoring
    • Enable centralized logging (syslog / SIEM).
    • Track failed login attempts & anomalies.
    • Configure alerts for privilege escalation or config changes.
    • Monitor log tampering.
    • Retain logs securely for audits & forensics.

    🔒 6. Data Protection
    • Encrypt data at rest (LUKS, BitLocker, etc.).
    • Encrypt data in transit (TLS 1.2+).
    • Strict database access policies.
    • Regular, offline, immutable backups.
    • Test restore procedures (don’t assume backups work).

    🔁 7. Application & Patch Management
    • Keep middleware, frameworks, and apps patched.
    • Delete default credentials & sample files.
    • Enable code signing for software packages.
    • Use secure coding practices (OWASP Top 10).
    • Implement dependency scanning (Snyk, Trivy, etc.).

    🛡️ 8. Malware & Intrusion Defense
    • Deploy EDR/AV on endpoints.
    • Enable IDS/IPS at network edge.
    • Automatic vulnerability scans (schedule weekly/monthly).
    • Monitor persistence techniques (cron, startup scripts).
    • Block known malicious IP ranges & TLDs.

    🏢 9. Physical & Cloud Security
    • Restrict physical access to server racks/rooms.
    • Enable provider security tools (AWS Security Groups, Azure NSG, IAM).
    • Harden cloud images (CIS benchmarks).
    • Review cloud logging & audit trails regularly.
    • Disable unused cloud API keys / roles.

    📜 10. Policy & Compliance
    • Use CIS / NIST / ISO-27001 benchmarks.
    • Track & document every access change.
    • Force annual access reviews & key rotation.
    • Perform regular security training for admins.
    • Maintain disaster recovery & incident plans.

    ➕ Additional 5 Critical Controls (Advanced Hardening)

    🧠 11. Privileged Access Management (PAM)
    • Use jump hosts & session recording.
    • Just-In-Time access for admins.
    • Store keys in secure vaults (HashiCorp Vault, CyberArk).

    🚨 12. Real-Time Threat Detection
    • Use behavioral analytics → UEBA/XDR.
    • AI-based anomaly detection recommended.
    • Block suspicious IPs automatically.

    🧪 13. Red Team & Pentesting
    • Run regular internal pentests.
    • Validate configuration weaknesses.
    • Simulate phishing + lateral movement scenarios.

    🧱 14. Container / VM Isolation
    • Use AppArmor, SELinux, Seccomp profiles.
    • Limit Docker socket access & root containers.
    • Scan images before deployment.

    📦 15. Automated Configuration Management
    • Use IaC (Terraform, Ansible, Puppet) for repeatable and secure builds.
    • Detect drift using compliance scanning.
    • Version control all infrastructure.

    🧠 Core Reminder

    A server is only as secure as the team who maintains it.
    Hardening isn’t one task — it’s an ongoing

    #ServerSecurity #SystemHardening #InfoSec #CyberSecurity #BlueTeam
    #DevSecOps #SysAdmin #ThreatDetection #AccessControl #NetworkSecurity
    #LinuxSecurity #SecureArchitecture #RiskMitigation #SecurityChecklist
    #CloudSecurity #InfrastructureSecurity #ZeroTrust #SecurityMonitoring

  18. Server Security Checklist — Essential Hardening Guide

    Securing your servers isn’t optional — it’s your first line of defense against data breaches, ransomware, insider threats, and lateral movement. Use this checklist as a baseline for Linux, Windows, cloud, hybrid, or on-prem servers.

    🔧 1. System & OS Hardening
    • Keep OS & packages updated (apply security patches frequently).
    • Remove / disable unused services & software.
    • Enforce secure boot + BIOS/UEFI passwords.
    • Disable auto-login and guest accounts.
    • Use minimal OS images only (reduce attack surface).

    🔐 2. Access Control
    • Enforce strong passwords & MFA everywhere.
    • Use RBAC & least privilege access.
    • Disable root/Administrator login over SSH/RDP.
    • Rotate credentials & keys regularly.
    • Implement just-in-time access for privileged users.

    🌐 3. Network Security
    • Restrict inbound/outbound traffic via firewalls.
    • Segment critical servers from general LANs/VLANs.
    • Disable unused ports & protocols.
    • Enable DoS/DDoS protection.
    • Apply zero-trust network principles.

    🔑 4. Secure Remote Access
    • Use SSH key-based authentication (disable password login).
    • Enforce VPN for admin access.
    • Log & monitor all remote access sessions.
    • Disable legacy protocols (Telnet, FTP, SMBv1).
    • Require bastion/jump host for critical access.

    📊 5. Logging & Monitoring
    • Enable centralized logging (syslog / SIEM).
    • Track failed login attempts & anomalies.
    • Configure alerts for privilege escalation or config changes.
    • Monitor log tampering.
    • Retain logs securely for audits & forensics.

    🔒 6. Data Protection
    • Encrypt data at rest (LUKS, BitLocker, etc.).
    • Encrypt data in transit (TLS 1.2+).
    • Strict database access policies.
    • Regular, offline, immutable backups.
    • Test restore procedures (don’t assume backups work).

    🔁 7. Application & Patch Management
    • Keep middleware, frameworks, and apps patched.
    • Delete default credentials & sample files.
    • Enable code signing for software packages.
    • Use secure coding practices (OWASP Top 10).
    • Implement dependency scanning (Snyk, Trivy, etc.).

    🛡️ 8. Malware & Intrusion Defense
    • Deploy EDR/AV on endpoints.
    • Enable IDS/IPS at network edge.
    • Automatic vulnerability scans (schedule weekly/monthly).
    • Monitor persistence techniques (cron, startup scripts).
    • Block known malicious IP ranges & TLDs.

    🏢 9. Physical & Cloud Security
    • Restrict physical access to server racks/rooms.
    • Enable provider security tools (AWS Security Groups, Azure NSG, IAM).
    • Harden cloud images (CIS benchmarks).
    • Review cloud logging & audit trails regularly.
    • Disable unused cloud API keys / roles.

    📜 10. Policy & Compliance
    • Use CIS / NIST / ISO-27001 benchmarks.
    • Track & document every access change.
    • Force annual access reviews & key rotation.
    • Perform regular security training for admins.
    • Maintain disaster recovery & incident plans.

    ➕ Additional 5 Critical Controls (Advanced Hardening)

    🧠 11. Privileged Access Management (PAM)
    • Use jump hosts & session recording.
    • Just-In-Time access for admins.
    • Store keys in secure vaults (HashiCorp Vault, CyberArk).

    🚨 12. Real-Time Threat Detection
    • Use behavioral analytics → UEBA/XDR.
    • AI-based anomaly detection recommended.
    • Block suspicious IPs automatically.

    🧪 13. Red Team & Pentesting
    • Run regular internal pentests.
    • Validate configuration weaknesses.
    • Simulate phishing + lateral movement scenarios.

    🧱 14. Container / VM Isolation
    • Use AppArmor, SELinux, Seccomp profiles.
    • Limit Docker socket access & root containers.
    • Scan images before deployment.

    📦 15. Automated Configuration Management
    • Use IaC (Terraform, Ansible, Puppet) for repeatable and secure builds.
    • Detect drift using compliance scanning.
    • Version control all infrastructure.

    🧠 Core Reminder

    A server is only as secure as the team who maintains it.
    Hardening isn’t one task — it’s an ongoing

    #ServerSecurity #SystemHardening #InfoSec #CyberSecurity #BlueTeam
    #DevSecOps #SysAdmin #ThreatDetection #AccessControl #NetworkSecurity
    #LinuxSecurity #SecureArchitecture #RiskMitigation #SecurityChecklist
    #CloudSecurity #InfrastructureSecurity #ZeroTrust #SecurityMonitoring

  19. Server Security Checklist — Essential Hardening Guide

    Securing your servers isn’t optional — it’s your first line of defense against data breaches, ransomware, insider threats, and lateral movement. Use this checklist as a baseline for Linux, Windows, cloud, hybrid, or on-prem servers.

    🔧 1. System & OS Hardening
    • Keep OS & packages updated (apply security patches frequently).
    • Remove / disable unused services & software.
    • Enforce secure boot + BIOS/UEFI passwords.
    • Disable auto-login and guest accounts.
    • Use minimal OS images only (reduce attack surface).

    🔐 2. Access Control
    • Enforce strong passwords & MFA everywhere.
    • Use RBAC & least privilege access.
    • Disable root/Administrator login over SSH/RDP.
    • Rotate credentials & keys regularly.
    • Implement just-in-time access for privileged users.

    🌐 3. Network Security
    • Restrict inbound/outbound traffic via firewalls.
    • Segment critical servers from general LANs/VLANs.
    • Disable unused ports & protocols.
    • Enable DoS/DDoS protection.
    • Apply zero-trust network principles.

    🔑 4. Secure Remote Access
    • Use SSH key-based authentication (disable password login).
    • Enforce VPN for admin access.
    • Log & monitor all remote access sessions.
    • Disable legacy protocols (Telnet, FTP, SMBv1).
    • Require bastion/jump host for critical access.

    📊 5. Logging & Monitoring
    • Enable centralized logging (syslog / SIEM).
    • Track failed login attempts & anomalies.
    • Configure alerts for privilege escalation or config changes.
    • Monitor log tampering.
    • Retain logs securely for audits & forensics.

    🔒 6. Data Protection
    • Encrypt data at rest (LUKS, BitLocker, etc.).
    • Encrypt data in transit (TLS 1.2+).
    • Strict database access policies.
    • Regular, offline, immutable backups.
    • Test restore procedures (don’t assume backups work).

    🔁 7. Application & Patch Management
    • Keep middleware, frameworks, and apps patched.
    • Delete default credentials & sample files.
    • Enable code signing for software packages.
    • Use secure coding practices (OWASP Top 10).
    • Implement dependency scanning (Snyk, Trivy, etc.).

    🛡️ 8. Malware & Intrusion Defense
    • Deploy EDR/AV on endpoints.
    • Enable IDS/IPS at network edge.
    • Automatic vulnerability scans (schedule weekly/monthly).
    • Monitor persistence techniques (cron, startup scripts).
    • Block known malicious IP ranges & TLDs.

    🏢 9. Physical & Cloud Security
    • Restrict physical access to server racks/rooms.
    • Enable provider security tools (AWS Security Groups, Azure NSG, IAM).
    • Harden cloud images (CIS benchmarks).
    • Review cloud logging & audit trails regularly.
    • Disable unused cloud API keys / roles.

    📜 10. Policy & Compliance
    • Use CIS / NIST / ISO-27001 benchmarks.
    • Track & document every access change.
    • Force annual access reviews & key rotation.
    • Perform regular security training for admins.
    • Maintain disaster recovery & incident plans.

    ➕ Additional 5 Critical Controls (Advanced Hardening)

    🧠 11. Privileged Access Management (PAM)
    • Use jump hosts & session recording.
    • Just-In-Time access for admins.
    • Store keys in secure vaults (HashiCorp Vault, CyberArk).

    🚨 12. Real-Time Threat Detection
    • Use behavioral analytics → UEBA/XDR.
    • AI-based anomaly detection recommended.
    • Block suspicious IPs automatically.

    🧪 13. Red Team & Pentesting
    • Run regular internal pentests.
    • Validate configuration weaknesses.
    • Simulate phishing + lateral movement scenarios.

    🧱 14. Container / VM Isolation
    • Use AppArmor, SELinux, Seccomp profiles.
    • Limit Docker socket access & root containers.
    • Scan images before deployment.

    📦 15. Automated Configuration Management
    • Use IaC (Terraform, Ansible, Puppet) for repeatable and secure builds.
    • Detect drift using compliance scanning.
    • Version control all infrastructure.

    🧠 Core Reminder

    A server is only as secure as the team who maintains it.
    Hardening isn’t one task — it’s an ongoing

    #ServerSecurity #SystemHardening #InfoSec #CyberSecurity #BlueTeam
    #DevSecOps #SysAdmin #ThreatDetection #AccessControl #NetworkSecurity
    #LinuxSecurity #SecureArchitecture #RiskMitigation #SecurityChecklist
    #CloudSecurity #InfrastructureSecurity #ZeroTrust #SecurityMonitoring

  20. Server Security Checklist — Essential Hardening Guide

    Securing your servers isn’t optional — it’s your first line of defense against data breaches, ransomware, insider threats, and lateral movement. Use this checklist as a baseline for Linux, Windows, cloud, hybrid, or on-prem servers.

    🔧 1. System & OS Hardening
    • Keep OS & packages updated (apply security patches frequently).
    • Remove / disable unused services & software.
    • Enforce secure boot + BIOS/UEFI passwords.
    • Disable auto-login and guest accounts.
    • Use minimal OS images only (reduce attack surface).

    🔐 2. Access Control
    • Enforce strong passwords & MFA everywhere.
    • Use RBAC & least privilege access.
    • Disable root/Administrator login over SSH/RDP.
    • Rotate credentials & keys regularly.
    • Implement just-in-time access for privileged users.

    🌐 3. Network Security
    • Restrict inbound/outbound traffic via firewalls.
    • Segment critical servers from general LANs/VLANs.
    • Disable unused ports & protocols.
    • Enable DoS/DDoS protection.
    • Apply zero-trust network principles.

    🔑 4. Secure Remote Access
    • Use SSH key-based authentication (disable password login).
    • Enforce VPN for admin access.
    • Log & monitor all remote access sessions.
    • Disable legacy protocols (Telnet, FTP, SMBv1).
    • Require bastion/jump host for critical access.

    📊 5. Logging & Monitoring
    • Enable centralized logging (syslog / SIEM).
    • Track failed login attempts & anomalies.
    • Configure alerts for privilege escalation or config changes.
    • Monitor log tampering.
    • Retain logs securely for audits & forensics.

    🔒 6. Data Protection
    • Encrypt data at rest (LUKS, BitLocker, etc.).
    • Encrypt data in transit (TLS 1.2+).
    • Strict database access policies.
    • Regular, offline, immutable backups.
    • Test restore procedures (don’t assume backups work).

    🔁 7. Application & Patch Management
    • Keep middleware, frameworks, and apps patched.
    • Delete default credentials & sample files.
    • Enable code signing for software packages.
    • Use secure coding practices (OWASP Top 10).
    • Implement dependency scanning (Snyk, Trivy, etc.).

    🛡️ 8. Malware & Intrusion Defense
    • Deploy EDR/AV on endpoints.
    • Enable IDS/IPS at network edge.
    • Automatic vulnerability scans (schedule weekly/monthly).
    • Monitor persistence techniques (cron, startup scripts).
    • Block known malicious IP ranges & TLDs.

    🏢 9. Physical & Cloud Security
    • Restrict physical access to server racks/rooms.
    • Enable provider security tools (AWS Security Groups, Azure NSG, IAM).
    • Harden cloud images (CIS benchmarks).
    • Review cloud logging & audit trails regularly.
    • Disable unused cloud API keys / roles.

    📜 10. Policy & Compliance
    • Use CIS / NIST / ISO-27001 benchmarks.
    • Track & document every access change.
    • Force annual access reviews & key rotation.
    • Perform regular security training for admins.
    • Maintain disaster recovery & incident plans.

    ➕ Additional 5 Critical Controls (Advanced Hardening)

    🧠 11. Privileged Access Management (PAM)
    • Use jump hosts & session recording.
    • Just-In-Time access for admins.
    • Store keys in secure vaults (HashiCorp Vault, CyberArk).

    🚨 12. Real-Time Threat Detection
    • Use behavioral analytics → UEBA/XDR.
    • AI-based anomaly detection recommended.
    • Block suspicious IPs automatically.

    🧪 13. Red Team & Pentesting
    • Run regular internal pentests.
    • Validate configuration weaknesses.
    • Simulate phishing + lateral movement scenarios.

    🧱 14. Container / VM Isolation
    • Use AppArmor, SELinux, Seccomp profiles.
    • Limit Docker socket access & root containers.
    • Scan images before deployment.

    📦 15. Automated Configuration Management
    • Use IaC (Terraform, Ansible, Puppet) for repeatable and secure builds.
    • Detect drift using compliance scanning.
    • Version control all infrastructure.

    🧠 Core Reminder

    A server is only as secure as the team who maintains it.
    Hardening isn’t one task — it’s an ongoing

    #ServerSecurity #SystemHardening #InfoSec #CyberSecurity #BlueTeam
    #DevSecOps #SysAdmin #ThreatDetection #AccessControl #NetworkSecurity
    #LinuxSecurity #SecureArchitecture #RiskMitigation #SecurityChecklist
    #CloudSecurity #InfrastructureSecurity #ZeroTrust #SecurityMonitoring

  21. Chat AI wurde jetzt um eine neue einzigartige Funktion namens „Arcana“ erweitert, die Anfragen von Nutzer*innen mit zusätzlichen Informationen anreichert. Damit ist Chat AI der erste Dienst seiner Art, der ein vollständig privates, serverseitiges RAG-Framework mit offenem und einfachem Zugang integriert, einschließlich der Möglichkeit für jede*n Nutzer*in, Wissen hochzuladen, zu extrahieren und mit anderen Nutzer*innen zu teilen.

    ➡️ info.gwdg.de/news/neue-funktio

    #chatAI #gwdgTools

  22. "🚨 Openfire Vulnerability Under Active Exploit: A Gateway to Ransomware and Cryptominers 🚨"

    The widely-used Openfire chat server is under siege as hackers exploit a high-severity flaw, CVE-2023-32315, to deploy ransomware and cryptominers. This Java-based open-source XMPP server, boasting 9 million downloads, has become a lucrative target due to an authentication bypass vulnerability in its admin console. Attackers are creating new admin accounts on vulnerable servers, installing malicious Java plugins, and executing commands via HTTP requests. 🛑

    The flaw spans across various Openfire versions dating back to 2015. Although patches were released in May 2023, over 3,000 servers remained vulnerable by mid-August 2023. The first known exploitation dates back to June 2023, when a server was ransomed post-exploitation. Attack scenarios include deploying crypto-mining trojans, installing backdoors, and extracting server information. 🕵️

    Dr. Web has identified four distinct attack scenarios leveraging this flaw, emphasizing the urgency of applying available security updates. BleepingComputer also reports multiple instances of Openfire servers being encrypted with ransomware, appending a .locked1 extension to files. The ransom demands range from 0.09 to 0.12 bitcoins ($2,300 to $3,500). 🖥️🔓

    The threat landscape is evolving, with threat actors not solely targeting Openfire servers but any vulnerable web server. It's a stark reminder for organizations to stay vigilant and ensure their systems are up-to-date with the latest security patches. 🛡️

    Source: BleepingComputer by Bill Toulas

    Tags: #Openfire #Ransomware #Cryptominers #CyberSecurity #Vulnerability #CVE202332315 #ThreatIntel #InfoSec #PatchManagement #ServerSecurity #DrWeb #BleepingComputer 🌐🔐

    MITRE CVE-2023-32315

  23. Die #Mastodon-#Software (wie auch andere #Fediverse-Serversoftware) geht davon aus, daß Beiträge als #HTML-Text vorliegen (können).

    Die Verarbeitung eingehender (von außen föderierter) Beiträge inkludiert eine serverseitige Bereinigung auf erlaubte HTML-Tags.

    Ab #Mastodon 4.2 sind deutlich mehr HTML-Tags erlaubt als bisher. Dies hat zur Folge, daß Formatierungsanweisungen (wie z.B. fett oder kursiv) ab dieser Version erhalten bleiben. Ausschlaggebend ist hier die Version der Serversoftware, die auf der Instanz läuft, mit der die jeweiligen Nutzenden unterwegs sind.

    Beispiel: Wenn irgendjemand irgendwo im #Fediverse einen Beitrag verfaßt, dessen Instanzsoftware etwa die Auszeichnungssprache #Markdown unterstützt und diese Umsetzung in Form von HTML föderiert wird, kann eine #Mastodon-Instanz ab Version 4.2 möglicherweise mehr anzeigen als bisher. Wobei natürlich zur Anzeige diverse Möglichkeiten existieren (etwa Weboberfläche oder eine App wie #Tusky).

    Mehr Details (auf Englisch) sind hier zu finden:
    https://docs.joinmastodon.org/spec/activitypub/#sanitization
    (#HTML #sanitization)

  24. Die #Mastodon-#Software (wie auch andere #Fediverse-Serversoftware) geht davon aus, daß Beiträge als #HTML-Text vorliegen (können).

    Die Verarbeitung eingehender (von außen föderierter) Beiträge inkludiert eine serverseitige Bereinigung auf erlaubte HTML-Tags.

    Ab #Mastodon 4.2 sind deutlich mehr HTML-Tags erlaubt als bisher. Dies hat zur Folge, daß Formatierungsanweisungen (wie z.B. fett oder kursiv) ab dieser Version erhalten bleiben. Ausschlaggebend ist hier die Version der Serversoftware, die auf der Instanz läuft, mit der die jeweiligen Nutzenden unterwegs sind.

    Beispiel: Wenn irgendjemand irgendwo im #Fediverse einen Beitrag verfaßt, dessen Instanzsoftware etwa die Auszeichnungssprache #Markdown unterstützt und diese Umsetzung in Form von HTML föderiert wird, kann eine #Mastodon-Instanz ab Version 4.2 möglicherweise mehr anzeigen als bisher. Wobei natürlich zur Anzeige diverse Möglichkeiten existieren (etwa Weboberfläche oder eine App wie #Tusky).

    Mehr Details (auf Englisch) sind hier zu finden:
    #sanitization" target="_blank" rel="nofollow noopener noreferrer">https://docs.joinmastodon.org/spec/activitypub/#sanitization
    (#HTML #sanitization)

  25. #Fediverse-#Statistik-Sammler #FediDB

    Innerhalb eines föderierten Systems - ja, genau, in diesem Fall ist natürlich vom föderierten #Universum, dem #Fediverse, die Rede - ist es naturgemäß schwierig, einen vollständigen Überblick über Größe, Nutzerstatistiken und technische Details zu erhalten.

    Mehrere Projekte sind im #Fediversum unterwegs und sammeln Daten von den einzelnen Instanzen.

    Dazu zählt auch #FediDB, welches vom #Pixelfed-Team betrieben wird.

    https://fedidb.org

    Gesammelte Daten werden grafisch dargestellt und liefern so einen Einblick über Zahlen von Nutzenden, Anzahl von Servern und eingesetzter (serverseitiger) #Software. Auch populäre Konten werden gelistet.

    Wohlgemerkt, es handelt sich um eine Sicht auf Basis der zur Verfügung stehenden Daten des Statistiksammlers. Andere erhobene Statistiken mögen davon abweichen.

  26. Form-Validierung doppelt implementiert? #API-Contract gebrochen? Typische SPA-Probleme kosten Zeit & Nerven. Frederik Hahne zeigt, wie Hypermedia + HTMX das serverseitig löst. Direkt anwendbare Patterns.

    Wann weniger mehr ist: javapro.io/de/joyful-web-devel

    #HTMX #Frontend #Java