Allerlei

Ubuntu 18.04 LTS Bionic Beaver

Die letzten Tage konnte ich mir das am 26.04.2018 erschienene Ubuntu 18.04 LTS Bionic Beaver näher ansehen. Wer schon Ubuntu 17.10 verwendet hat, wird kaum große Unterschiede feststellen. Umsteiger von Version 16.04 LTS müssen sich hingegen hier schon auf einige Änderungen einstellen. Der Unity-Desktop wurde inzwischen aufgegeben und Canonical ist zu GNOME zurück gekehrt. Allerdings wird in der aktuellen LTS eine angepasste GNOME-Shell eingesetzt. Canonical spricht hier vom Ubuntu-Desktop, der im erstem Moment stark Unity erinnert. Die Unterschiede hierzu liegen aber im Detail. Trotz alledem besteht aber weiterhin die Möglichkeit den von der Community weiterentwickelten Unity-Desktop nachzuinstallieren.

Ubuntu 18.04 kommt mit dem Kernel 4.15 und wird für fünf Jahre unterstützt.

Die Long Term Support Version arbeitet im Standard mit dem X-Server. Wayland kann jedoch optional im GDM3 ausgewählt werden. Als Browser steht nach wie vor Firefox zur Verfügung. Hier bietet Mozilla die Version 59 an. Thunderbird ist in Version 52 vorinstalliert. LibreOffice wird in der aktuellen Version 6 angeboten. Neu in der LTS ist die Möglichkeit den Kernel live zu patchen. Hierfür muss allerdings ein entsprechendes Konto eingerichtet werden.

Anmeldescreen

Desktop

Firefox

Wer lieber den klassischen GNOME-Desktop einsetzen möchte, kann diesen mit

sudo apt install gnome-session

1	sudo apt install gnome-session

nachinstallieren. Dieser ist dann bei der Anmeldung als GNOME-Session auszuwählen.

Fazit

Canonical ist mit Ubuntu 18.04 wieder eine hervorragende langzeitunterstützte, moderne und stabile Linux-Distribution gelungen. Wenn man während der Installation die Häkchen an der richtigen Stelle setzt, sollte auch die Privatsphäre vor dem datenhungrigen Distributor ausreichend geschützt werden. Die Möglichkeit den Kernel live zu patchen ist an sich eine gute Sache, jedoch sehe ich hier die Notwendigkeit eher im Server- als im Desktop-Bereich.

Nextcloud Talk

Die App Talk der Nextcloud ist für mich momentan die beste Alternaive für Videokonferenzen. Dabei benötigt der Gesprächspartner weder eine Nexcloud noch einen Account in einer Nextcloud.

USB in VirtualBox aktivieren

Sehr oft teste ich die verschiedensten Betriebssysteme in der VirtualBox von Oracle. Hierzu muss man hin und wieder Daten von einem angeschlossenen USB-Stick in die Virtualisierung einspielen. Dies gelingt in der Regel nicht ohne weiteres, da die Treiber erst geladen werden müssen. Voraussetzung hierfür ist das installierte Extension Pack der VirtualBox. Wurde das Paket eingespielt, gelingt es aber im Normalfall nicht das USB-Device einzubinden.

Am folgenden Beispiel der virtualisierten Version Ubuntu 18.04 LTS Bionic Beaver auf einem Debian 9 Stretch zeige ich was hierzu getan werden muss.

Zuerst weist man der Gruppe vboxusers den User zu über den die VitualBox gestartet wird. In meinem Fall ist das intux (den Befehl bitte an den User anpassen).

# usermod -aG vboxusers intux

1	# usermod -aG vboxusers intux

Ist dies geschehen, muss man sich im System neu anmelden oder den Rechner neu booten, damit die Änderungen übernommen werden. Dann geht man in die Einstellung der VitualBox (hier Ubuntu 18.04) und wählt unter USB den entsprechenden Controller (USB-1.1, USB-2.0 oder USB-3.0) aus. Dann werden, wie im Screenshot zu sehen die entsprechen USB-Filter hinzugefügt.

VirtualBox — ausgewählter USB-2.0 Controller

Nun kann die Virtuelle Maschine gestartet werden, um von dort auf den USB-Stick zuzugreifen.

Viel Spaß!

Frohe Ostern!

Ich wünsche allen Besuchern von intux.de ein frohes Osterfest.

FTP-Daten der Webseite nach Samba-Share sichern

FTP-Daten einer Webseite können per SSH folgendermaßen manuell gesichert werden. Ein Archiv wird iin diesem Beispiel in das zuvor erstellte Samba-Share Verzeichnis geschrieben. Alle Dateiberechtigungen bleiben erhalten.

# cd /var/www/html

1	# cd /var/www/html

# tar -cf /samba_share/website.tar website/

1	# tar -cf /samba_share/website.tar website/

SSH mit Google Authenticator absichern

Vor einem Jahr, zur damaligen CeBIT, nahm ich an einem sehr interessanten Vortrag zur Absicherung von Diensten, wie der ownCloud via Zwei-Faktor-Authentifizierung, im Open Source Forum teil. Seit dieser Zeit setze ich immer häufiger den Google Authenticator ein. So waren die ersten Dienste die dahingehend abgesichert wurden WordPress, Nextcloud und mein Google-Konto.

Bei den diesjährigen Chemnitzer Linux Tagen konnte ich einem Vortrag „Linux-Server absichern“ lauschen. Auch hier wurde u.a. über die Problematik Zwei-Faktor-Authentifizierung referiert. Was mich dazu bewogen hat den SSH-Zugang meines vServers mit dem Authenticator zu schützen. Auf meinem Server läuft ein Debain 9 als Betriebssystem.

Dazu installiert man folgende Pakete

# apt install libpam-google-authenticator

1	# apt install libpam-google-authenticator

und aktiviert den Google Authenticator wie folgt:

# google-authenticator

1	# google-authenticator

Nun kann der QR-Code entsprechend gescannt oder der „secret key“ per Hand eingegeben werden. Die entsprechenden Backup-Codes sind zu sicher. Die nachfolgenden Fragen werden wie beschrieben beantwortet.

Do you want me to update your „/root/.google_authenticator“ file (y/n) y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By default, tokens are good for 30 seconds. In order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with
poor time synchronization, you can increase the window from its default
size of +-1min (window size of 3) to about +-4min (window size of
17 acceptable tokens).
Do you want to do so? (y/n) n

If the computer that you are logging into isn’t hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y

Nun wird mit dem Editor

# nano  /etc/pam.d/sshd

1	# nano /etc/pam.d/sshd

dieser Eintrag ans Ende gesetzt.

auth required pam_google_authenticator.so nullok

1	auth required pam_google_authenticator.so nullok

„nullok“ sorgt dafür, dass nur der SSH-Zugang für root abgesichert wird. Andere eingerichtete User bleiben hier außen vor.

Weiterhin wird der vorhandene Eintrag in

# nano  /etc/ssh/sshd_config

1	# nano /etc/ssh/sshd_config

auf

ChallengeResponseAuthentication yes

1	ChallengeResponseAuthentication yes

gesetzt und der SSH-Service neu gestartet.

# service ssh restart

1	# service ssh restart

Schließt bitte nicht den SSH-Zugang! Testet in einem weiteren Terminal, ob alles funktioniert. Nicht, dass Ihr Euch versehentlich aussperrt. Ein vorheriges Backup des Servers setze ich natürlich voraus.

Nachtrag

Übrigens wird Filezilla via SFTP nun den Zugang verweigern. Hier setzt Ihr die Verbindungsart auf Interaktiv.

Viel Spaß!

Chemnitzer Linux Tage 2018

Am Samstag habe ich mit drei weiteren Leuten der hality.org die 20. Chemnitzer Linux Tage besucht. Neben einigen Ausstellern konnten wir einigen Vorträgen lauschen. Besonders interessant war der Beitrag des ownCloud- und Nextcloud-Gründers Frank Karlitchek „Warum ich mein eigenes Projekt und meine Firma geforkt habe“. Hier wurde erläutert, wo die genauen Gründe für den Neuanfang des Open-Source-Projekts Nextcloud lagen.

Im Anschluss gab es noch ein Stück Torte, bevor es wieder heim ging.

hality.org

Unsere regionale Free and Open Source Software Community geht nun langsam ins zweite Jahr. Ich habe heute die Domain hality.org um ein weiteres Jahr verlängert.

searx.intux.de

Seit Ende letzten Jahres habe ich auf meinem Server die Metasuchmaschine Searx searx.intux.de laufen. Diese habe ich in Docker neben meiner Mailcow installiert. Was mich bei der Installationsanleitung gestört hat, dass man hierbei keinen Service für den Dienst berücksichtigt hat. Nach einem Reboot des Servers wäre also die Suchmaschine offline.

Dies konnte ich nun in meinem Fall umgehen, indem ich Searx folgendermaßen gestartet habe.

# docker run -d --restart=always --name searx -p 8888:8888 -e IMAGE_PROXY=True searx

1	# docker run -d --restart=always --name searx -p 8888:8888 -e IMAGE_PROXY=True searx

Viel Spaß!

Mailcow Dockerized Postfach sichern

Ob es nun die eleganteste Lösung ist sein Postfach so zu sichern, sei einmal dahin gestellt. Ich habe nach einem Weg gesucht und mich hierfür entschieden.

Dazu wurde ein Script /root/MailBoxscript.sh

# cd /root

1	# cd /root

# nano MailBoxscript.sh

1	# nano MailBoxscript.sh

mit folgendem Inhalt erstellt

#!/bin/bash
rsync -av --delete /var/lib/docker/volumes/mailcowdockerized_vmail-vol-1/_data/ /samba_share/backup_mailbox

1 2	#!/bin/bash rsync -av --delete /var/lib/docker/volumes/mailcowdockerized_vmail-vol-1/_data/ /samba_share/backup_mailbox

und

# chmod +x MySQLscript.sh

1	# chmod +x MySQLscript.sh

ausführbar gemacht. Weiterhin wurde ein Crontab angelegt.

# nano /etc/crontab

1	# nano /etc/crontab

Hier habe ich am Ende

* 3 * * * root /root/MailBoxscript.sh

1	* 3 * * * root /root/MailBoxscript.sh

eingetragen, um die Sicherung drei Uhr morgens auszuführen. Zum Schluss startet man den Dienst Cron neu.

# /et12c/init.d/cron restart

1	# /et12c/init.d/cron restart