Kategorie: Allerlei
FTP-Daten der Webseite nach Samba-Share sichern
FTP-Daten einer Webseite können per SSH folgendermaßen manuell gesichert werden. Ein Archiv wird iin diesem Beispiel in das zuvor erstellte Samba-Share Verzeichnis geschrieben. Alle Dateiberechtigungen bleiben erhalten.
|
1 |
# cd /var/www/html |
|
1 |
# tar -cf /samba_share/website.tar website/ |
SSH mit Google Authenticator absichern
Vor einem Jahr, zur damaligen CeBIT, nahm ich an einem sehr interessanten Vortrag zur Absicherung von Diensten, wie der ownCloud via Zwei-Faktor-Authentifizierung, im Open Source Forum teil. Seit dieser Zeit setze ich immer häufiger den Google Authenticator ein. So waren die ersten Dienste die dahingehend abgesichert wurden WordPress, Nextcloud und mein Google-Konto.
Bei den diesjährigen Chemnitzer Linux Tagen konnte ich einem Vortrag „Linux-Server absichern“ lauschen. Auch hier wurde u.a. über die Problematik Zwei-Faktor-Authentifizierung referiert. Was mich dazu bewogen hat den SSH-Zugang meines vServers mit dem Authenticator zu schützen. Auf meinem Server läuft ein Debain 9 als Betriebssystem.
Dazu installiert man folgende Pakete
|
1 |
# apt install libpam-google-authenticator |
und aktiviert den Google Authenticator wie folgt:
|
1 |
# google-authenticator |
Nun kann der QR-Code entsprechend gescannt oder der „secret key“ per Hand eingegeben werden. Die entsprechenden Backup-Codes sind zu sicher. Die nachfolgenden Fragen werden wie beschrieben beantwortet.
Do you want me to update your „/root/.google_authenticator“ file (y/n) y
Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y
By default, tokens are good for 30 seconds. In order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with
poor time synchronization, you can increase the window from its default
size of +-1min (window size of 3) to about +-4min (window size of
17 acceptable tokens).
Do you want to do so? (y/n) n
If the computer that you are logging into isn’t hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y
Nun wird mit dem Editor
|
1 |
# nano /etc/pam.d/sshd |
dieser Eintrag ans Ende gesetzt.
|
1 |
auth required pam_google_authenticator.so nullok |
„nullok“ sorgt dafür, dass nur der SSH-Zugang für root abgesichert wird. Andere eingerichtete User bleiben hier außen vor.
Weiterhin wird der vorhandene Eintrag in
|
1 |
# nano /etc/ssh/sshd_config |
auf
|
1 |
ChallengeResponseAuthentication yes |
gesetzt und der SSH-Service neu gestartet.
|
1 |
# service ssh restart |
Schließt bitte nicht den SSH-Zugang! Testet in einem weiteren Terminal, ob alles funktioniert. Nicht, dass Ihr Euch versehentlich aussperrt. Ein vorheriges Backup des Servers setze ich natürlich voraus.
Nachtrag
Übrigens wird Filezilla via SFTP nun den Zugang verweigern. Hier setzt Ihr die Verbindungsart auf Interaktiv.
Viel Spaß!
Chemnitzer Linux Tage 2018
Am Samstag habe ich mit drei weiteren Leuten der hality.org die 20. Chemnitzer Linux Tage besucht. Neben einigen Ausstellern konnten wir einigen Vorträgen lauschen. Besonders interessant war der Beitrag des ownCloud- und Nextcloud-Gründers Frank Karlitchek „Warum ich mein eigenes Projekt und meine Firma geforkt habe“. Hier wurde erläutert, wo die genauen Gründe für den Neuanfang des Open-Source-Projekts Nextcloud lagen.
Im Anschluss gab es noch ein Stück Torte, bevor es wieder heim ging.
hality.org
Unsere regionale Free and Open Source Software Community geht nun langsam ins zweite Jahr. Ich habe heute die Domain hality.org um ein weiteres Jahr verlängert.
searx.intux.de
Seit Ende letzten Jahres habe ich auf meinem Server die Metasuchmaschine Searx searx.intux.de laufen. Diese habe ich in Docker neben meiner Mailcow installiert. Was mich bei der Installationsanleitung gestört hat, dass man hierbei keinen Service für den Dienst berücksichtigt hat. Nach einem Reboot des Servers wäre also die Suchmaschine offline.
Dies konnte ich nun in meinem Fall umgehen, indem ich Searx folgendermaßen gestartet habe.
|
1 |
# docker run -d --restart=always --name searx -p 8888:8888 -e IMAGE_PROXY=True searx |
Viel Spaß!
Mailcow Dockerized Postfach sichern
Ob es nun die eleganteste Lösung ist sein Postfach so zu sichern, sei einmal dahin gestellt. Ich habe nach einem Weg gesucht und mich hierfür entschieden.
Dazu wurde ein Script /root/MailBoxscript.sh
|
1 |
# cd /root |
|
1 |
# nano MailBoxscript.sh |
mit folgendem Inhalt erstellt
|
1 2 |
#!/bin/bash rsync -av --delete /var/lib/docker/volumes/mailcowdockerized_vmail-vol-1/_data/ /samba_share/backup_mailbox |
und
|
1 |
# chmod +x MySQLscript.sh |
ausführbar gemacht. Weiterhin wurde ein Crontab angelegt.
|
1 |
# nano /etc/crontab |
Hier habe ich am Ende
|
1 |
* 3 * * * root /root/MailBoxscript.sh |
eingetragen, um die Sicherung drei Uhr morgens auszuführen. Zum Schluss startet man den Dienst Cron neu.
|
1 |
# /et12c/init.d/cron restart |
ElsterFormular 19 unter Debian Stretch
Es gibt Tage, da denkt man, dass es doch nicht ohne Windows geht. Nachdem ich auf die neue Version ElsterFormular 19 auf meinem Debian 9 Stretch aktualisieren musste, war das Programm quasi unbrauchbar. Die ersten Versuche das alles zu reparieren schlugen fehl.
Da ich aber meine Steuererklärung schnell an das Finanzamt übermitteln wollte, griff ich kurzerhand zu einem Windows 10, welches noch in einer VirtualBox läuft. Hier habe ich dann ElsterFormular installiert, stundenlange Updates ertragen und die Daten an das Finanzamt übermittelt.
Da ich so schnell nicht aufgebe, wurde kurzerhand WineHQ komplett neu installiert. Dazu erstellt man die Datei /etc/apt/sources.list.d/winehq.list.
|
1 |
# nano /etc/apt/sources.list.d/winehq.list |
Hier wird die entsprechende WineHQ-Quelle eingetragen.
|
1 |
deb https://dl.winehq.org/wine-builds/debian/ stretch main |
Es erfolgt eine Aktualisierung der Paketquellen und die Installation von winehq-devel und winetricks.
|
1 2 |
# apt update # apt install winehq-devel winetricks |
Nun kann ElsterFormular via Mausklick installiert werden.
Beim ersten Start von Elsterformular kommt es dann zu der oben im Artikel erwähnten Fehlermeldung.
Um ElsterFormular nun doch zum Arbeiten unter Debian Stretch zu zwingen, startetet man winetricks, um Microsoft Visual C++ zu installieren.
Jetzt geht man wie folgt vor, um Visual C++2015 zu installieren.
Es kommt nun zu einer Reihe von Warnungen und Fehlermeldungen, welche einfach zu ignorieren sind.
Nun ist es geschafft und ElsterFormular kann ohne weitere Fehlermeldungen gestartet werden.
Nun kann mit ElsterFormular wie gewohnt gearbeitet werden. Der Test der Datenübermittlung verläuft problemlos.
Der Kampf geht weiter!
MRT-Aufnahmen mit Wine öffnen
MRT-Aufnahmen werden leider in einem gesonderten Format abgespeichert. Wenn man eine entsprechende CD ausgehändigt bekommt, wird man schnell feststellen, dass man die Bilder auf einem Linux-System nicht ohne weiteres öffnen kann.
Da auf der CD ein entsprechendes Tool namens eView vorhanden ist, können die Aufnahmen problemlos auf einem Windows-PC betrachtet werden.
Mit WineHQ ist es aber dennoch möglich eView unter Linux zu starten und sich die Aufnahmen am Monitor im dafür vorgesehenen Programm anzusehen.
GhostBSD vs. Solus
Vor ein paar Tagen wurde ich gebeten ein Betriebssystem für ein sechs Jahre altes Notebook zu finden, welches den Bedürfnissen des zukünftigen Users entsprechen könnte. Es sollte sicher, schick und leicht zu bedienen sein.
Also habe ich damit angefangen mir zwei meiner derzeitigen Favoriten herunter zu laden. Beim ersten System handelt es sich um GhostBSD. Dieses BSD-Derivat hat den Vorteil, dass man sich das Ganze schon als Livesystem anschauen kann. Nach dem ersten Start war klar, GhostBSD erkennt die Hardware wie Cam, WLAN etc. problemlos. Kurzerhand wurde das System mit ein paar Mausklicks auf dem Notebook installiert. GhostBSD wirkt aus meiner Sicht recht schick und komfortabel mit dem ausgewählten Xfce-Desktop. Ein paar Handgriffe zur Umstellung von Firefox und LibreOffice aud deutsch waren noch nötg. Leider kam die Bedienung und die Optik beim User nicht ganz so gut an wie bei mir. GhostBSD ließ sich nicht im Efi-Modus installieren. Störend wurde die Textausgabe beim Booten empfunden. Weiterhin wurde die lange Bootzeit und das Design bemängelt. Leider konnte ich den User nicht vom BSD-Sicherheitskonzept überzeugen.
Durchsetzen konnte sich letztendlich Solus 3. Solus konnte im Efi-Modus auf dem Rechner installiert werden. Auch hier wurde die komplette Hardware erkannt. Dieses Rolling Release, mit dem hauseigenen Budgie-Desktop, gefiel auf Anhieb. Solus vereint Sicherheit, Aktualität und eine ansprechende Optik. So hat nun das Notebook ein für einen längeren Zeitraum unterstütztes aktuelles Betriebssystem.
Ende gut, alles gut!