XEP-0156 auf XMPP aktivieren

4
geralt / Pixabay

Die Erwartungen an einen XMPP-Server steigen ständig. Deshalb bin ich bemüht meinen auf Prosody basierenden XMPP-Server stets auf dem neueseten Stand der Technik zu halten.

Gestern fiel mir jedoch auf, dass mein XMPP-Server den Complience-Test von Daniel Gultsch, dem Entwickler von Conversations, nicht mehr komplett bestehen konnte. XEP-0398: User Avatar to vCard-Based Avatars Conversion und Contact Addresses for reporting abuse konnten recht schnell aktiv gesetzt werden. Bei der Gelegenheit habe ich auch die Möglichkeit geschaffen Avatare für Chaträume einzubinden.

Ein größeres Problem hatte ich hingegen mit der Aktivierung von XEP-0156: Discovering Alternative XMPP Connection Methods (HTTP). Hierzu musste eigentlich nur im Webroot das Verzeichnis .well-known erstellt und dort eine Datei host-meta mit folgendem Inhalt erzeugt werden.

Wer noch keinen Account hat, kann sich hier registrieren.

Nachtrag

Inzwischen ist es außerdem nötig den VirtualHost um die Zeile

zu erweitern.

Viel Spaß!

Hintergrund-Aufgaben der Nextcloud auf Cron umstellen

0
Larisa-K / Pixabay

Man kann die Performance der Nextcloud noch etwas erhöhen indem man die Hintergrund-Aufgaben von Ajax (Eine Aufgabe bei jedem Laden einer Seite ausführen) auf Cron umstellt. Dazu erzeugt man für den Systemnutzer „www-data“ einen Cronjob.

Hierzu wird

eingegeben und die folgende Zeile ans Ende der Datei gesetzt. Hier bitte den Pfad entsprechend an die Installation anpassen.

Dann mit Ctrl + o speichern und den Editor mit Ctrl + x verlassen. Anschließend werden in den Einstellungen der Nextcloud über Grundeinstellungen die Hauptaufgaben auf Cron umgestellt. Der Cronjob wird nun alle 15 Minuten ausgeführt und trägt zur Leistungsverbesserung der Cloud bei.

Nextcloud
Umstellung auf System-Cron-Service

Viel Spaß!

Kein Abgleich der IP über ddclient

0
mohamed_hassan / Pixabay

Falls ddclient nicht mehr die IP-Adresse mit dem entsprechenden DynDNS-Anbieter abgleicht, kann das Stoppen des Dienstes und der Neustart mit der Option –force eventuell helfen:

Siehe hierzu auch: https://intux.de/2016/04/raspberry-pi-3-mit-dyndns/

GnuPG Key Gültigkeitsdauer festlegen

0
tumbledore / Pixabay

m die Gültigkeitsdauer eines GnuPG-Keys festzulegen bzw. zu editieren führt man folgenden Befehl aus. Die eMail-Adresse ist hier entsprechend anzupassen.

Dann geht es mit

weiter. Im folgenden Beispiel habe ich zwei Jahre gewählt.

Nun wird der Key gesichert

und an einen Keyserver versendet, der diesen dann weiter verteilt.

Es erscheint in meinem Fall folgende Ausgabe:

Fehlermeldungen in Nextcloud 14

34
kreatikar / Pixabay

Da sind sie wieder! Nach dem Upgrade auf Nextcloud 14 galt es auch hier wieder neu auftauchende Fehlermeldungen zu beseitigen. 

Nextcloud
Fehlermeldungen nach dem Upgrade auf Version 14

Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.

In der Datenbank fehlen einige Indizes. Auf Grund der Tatsache, dass das hinzufügen von Indizes in großen Tabellen einige Zeit in Anspruch nehmen wird, wurden diese nicht automatisch erzeugt. Durch das Ausführen von „occ db:add-missing-indices“ können die fehlenden Indizes manuell hinzugefügt werden, während die Instanz weiter läuft. Nachdem die Indizes hinzugefügt wurden, sind Anfragen auf die Tabellen normalerweise schneller.

  • Fehlender Index „share_with_index“ in der Tabelle „oc_share“.
  • Fehlender Index „parent_index“ in der Tabelle „oc_share“.
  • Fehlender Index „fs_mtime“ in der Tabelle „oc_filecache“.

Der „Referrer-Policy“ HTTP-Header ist nicht gesetzt auf „no-referrer“, „no-referrer-when-downgrade“, „strict-origin“ oder „strict-origin-when-cross-origin“. Dadurch können Verweis-Informationen preisgegeben werden. Siehe die W3C-Empfehlung.

Um die erste Fehlermeldung zu beseitigen, wurde im Virtual Host mit

die vorhandene Zeile 

entfernt. Darunter fügt man an dieser Stelle

ein und auch die dritte Fehlermeldung verschwindet nach dem Neustart des Webservers.

Um das Datenbank-Problem zu lösen, wechselt man ich das Hauptverzeichnis der Nextcloud

und führt

aus. Die erfolgreiche Bestätigung sollte dann so aussehen:

Zum Schluss sind alle Überprüfungen bestanden und die Nextcloud darf wieder produktiv genutzt werden.

Nextcloud
Fehlermeldungen beseitigt – Alle Überprüfungen bestanden

Viel Spaß!

Fehlermeldungen nach Nextcloudinstallation

3
geralt / Pixabay

Nach einer frischen Installation von Nextcloud hat man  i.d.R. mit einigen Fehlermeldungen zu kämpfen. Die Suche nach den Problemlösungen beschäftigt mich dann immer eine ganze Weile. Aus diesem Grund habe ich einfach einmal aufgeschrieben, was ich bei der letzten Installation alles noch erledigen musste.

Nextcloud
Fehlermeldungen nach der Installation

Hier die Sicherheits- & Einrichtungswarnungen nach der Installation:

Ihr Datenverzeichnis und Ihre Dateien sind wahrscheinlich vom Internet aus erreichbar. Die .htaccess-Datei funktioniert nicht. Es wird dringend empfohlen, Ihren Webserver dahingehend zu konfigurieren, dass das Datenverzeichnis nicht mehr vom Internet aus erreichbar ist oder dass Sie es aus dem Document-Root-Verzeichnis des Webservers herausverschieben.

Der Zugriff auf diese Site erfolgt über HTTP. Es wird dringend geraten, den Server so zu konfigurieren, dass er stattdessen nur HTTPS akzeptiert, wie es in den Sicherheitshinweisen beschrieben ist.

Es wurde kein PHP-Memory-Cache konfiguriert. Zur Erhöhung der Leistungsfähigkeit kann ein Memory-Cache konfiguriert werden. Weitere Informationen finden Sie in der Dokumentation.
Bitte überprüfen Sie noch einmal die Installationsanleitungen und kontrollieren Sie das Protokoll auf mögliche Fehler oder Warnungen.

Der PHP-OPcache ist nicht richtig konfiguriert. Für eine bessere Leistung empfiehlt es sich folgende Einstellungen in der php.ini vorzunehmen:opcache.enable=1
opcache.enable_cli=1
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=10000
opcache.memory_consumption=128
opcache.save_comments=1
opcache.revalidate_freq=1

Dem Datenverzeichnis entzieht man wie folgt die Erreichbarkeit aus dem Internet. Dazu öffnet man die /etc/apache2/apache2.conf.

Dort verändert man den bestehenden Eintrag

in

Die Umstellung auf HTTPS wurde nach der Anleitung „Let’s Encrypt auf dem Raspberry Pi“ durchgeführt.

Den PHP-Memory-Cache richtet man ein, indem man die benötigten Pakete via 

installiert. Im Anschluss wird via

folgende Zeile hinzugefügt:

Um die Fehlermeldung zu PHP-OPcache zu eliminieren, öffnet man die php.ini

und trägt Folgendes am Ende der Datei ein:

Zum Schluss wird der Apache-Webserver neu gestartet.

Nun erhielt ich die nächste Fehlermeldung.

Der „Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens „15552000“ Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen erläutert ist.
Bitte überprüfen Sie noch einmal die Installationsanleitungen und kontrollieren Sie das Protokoll auf mögliche Fehler oder Warnungen.

Diese beseitigt man indem man das Header-Modul für den Apache2 aktiviert.

Dach trägt man in den Virtualhost der Webseite unter DocumentRoot

ein und startet den Webserver mit

neu.

Nextcloud
Fehlermeldungen beseitigt – Alle Überprüfungen bestanden.

Am Ende waren alle Warnungen beseitigt und alle Tests wurden erfolgreich bestanden.

7″ Touchscreen für den Raspberry Pi

0
kevinpartner / Pixabay

Gestern habe ich das erste Mal das offizielle 7″ Touchscreen für den Raspberry Pi verbauen dürfen. Das Ganze war recht schnell und unkompliziert bewerkstelligt (siehe Video von Maker-Tutorials.com). Für den späteren Einsatz empfehle ich hierzu das entsprechende Bundle, bestehend aus Gehäuse und Touchscreen.

Zu beachten ist dann, dass das Display per Befehl um 180° zu drehen ist, da es sonst im Gehäuse auf dem Kopf steht. Dazu wird mit 

an das Ende der Datei eingetragen und mit Ctrt + o gespeichert. Nach dem Verlassen des Editors mit Ctrl + x wird der Rpi rebootet.

Quelle: YouTube

Raspberry Pi
Erste Inbetriebnahme des im Gehäuse verbauten Touchscreens + Raspberry Pi 3

Meine Empfehlungen

 

WordPress-Verzeichnis wp-admin absichern

0
pixelcreatures / Pixabay

Viele Jahre habe habe ich mein Backend von WordPress so abgesichert, dass auffällige IP-Adressen nach drei gescheiterten Login-Versuchen für eine gewisse Zeit keinen Zugang mehr zum Verzeichnis wp-admin bekamen. Da  auf meinem Server schon lange keine IP-Adressen mehr geloggt werden, ist diese Methode nicht mehr praktikabel. 

Aus diesem Grund habe ich nach einer Alternative gesucht. Ganz zufrieden bin ich damit das Login-Verzeichnis via Benutzername und Passwort zu schützen. Ein weiterer Vorteil ist, dass ich ein weiteres Plugin aus meiner überladenen WordPress-Installation entfernen kann.

Verzeichnisschutz WordPress
Verzeichnisschutz

Installation

Zuerst wird via

im Hauptverzeichnis der WordPress-Installation eine versteckte Datei .htpasswd angelegt.

Mit dem htpasswd Generator ist es möglich den Inhalt der .htpasswd zu erstellen. Hierbei wählt man einen Benutzernamen und ein starkes Passwort. Die entsprechende Ausgabe trägt man nun in die .htpasswd ein und spreichert mit Ctrt + o.

.htpasswd
Beispiel .htpasswd

Nach dem Verlassen des Editors mit Ctrt + x öffnet man wiederum mit Nano

die .htaccess und fügt folgende Zeilen hinzu.


Dabei muss auch hier der Pfad der .htpasswd entsprechend angepasst werden. Wenn man nun die Seite https://domain.tld/wp-admin aufruft sollte der Zugang zum Login nur über die Eingabe von dem zuvor ausgewählten Benutzernamen und dem entsprechenden Passwort möglich sein.

Viel Spaß!

VNC-Remote der GNOME-Shell

0
pixel2013 / Pixabay

Einige VNC-Server hatte ich bereits in der Vergangenheit getestet. Dabei konnte ich keine wirklich vernünftige Lösung für die GNOME-Shell finden. Den einzigen, aus meiner Sicht zufriedenstellende Server, bietet RealVNC. Mit dieser proprietären Lösung kann man für den privaten Gebrauch mit bis zu 5 Remotecomputern über einen zuvor zu erstellenden Account verbinden.

Was unter Ubuntu auf Anhieb läuft, bereitet auf einem Debian im ersten Moment Probleme. Hier lässt sich der Rechner auf dem zuvor VNC Connect mit

installiert wurde nur verbinden, wenn der Benutzer der Gruppe sudo zugewiesen wurde.

Dies geht wie folgt:

„benutzer“ ist hierbei durch den entsprechenden Benutzernamen zu ersetzen. Die Änderung wird nach dem erneuten Anmelden bzw. einem Reboot wirksam.

Im Anschluss wird mit 

der entsprechende Service gestartet und der Rechner via

für den privaten Gebrauch lizensiert. 

RealVNC
Hinzugefügter VNC-Server

Nun sollte die GNOME-Shell via VNC von außen erreichbar sein.

VNC Viewer
Remote via VNC Viewer für Android (Debian 9)
VNC Viewer
Remote via VNC Viewer für Android (Ubuntu 18.04)

Eine komplette Anleitung u.a. wie der VNC-Server in den Autostart des zu remotenden Systems eingetragen wird findet man hier.

Prosody inaktive User löschen

0
JESHOOTScom / Pixabay

Im Artikel „Prosody – inaktive User ausfindig machen“ hatte ich beschrieben, wie man nach inaktiven XMPP-Accounts in Prosody suchen kann. Eine elegante Möglichkeit diese User wieder loszuwerden zeigt Thomas Leister auf seinem Blog. 

Ich habe mich für meinen XMPP-Server entschieden, Accounts welche drei Monate inaktiv waren zu löschen. Hierzu erstelle ich lt. Anleitung ein Script.

Dieses wird dann im Anschluss ausgeführt. 

Danach sind alle inaktiven User des zuvor erwähnten Zeitraums vom drei Monaten vom Server gelöscht.