SSH mit Google Authenticator absichern

heladodementa / Pixabay

Vor einem Jahr, zur damaligen CeBIT, nahm ich an einem sehr interessanten Vortrag zur Absicherung von Diensten, wie der ownCloud via Zwei-Faktor-Authentifizierung, im Open Source Forum teil. Seit dieser Zeit setze ich immer häufiger den Google Authenticator ein. So waren die ersten Dienste die dahingehend abgesichert wurden WordPress, Nextcloud und mein Google-Konto.

Bei den diesjährigen Chemnitzer Linux Tagen konnte ich einem Vortrag „Linux-Server absichern“ lauschen. Auch hier wurde u.a. über die Problematik Zwei-Faktor-Authentifizierung referiert. Was mich dazu bewogen hat den SSH-Zugang meines vServers mit dem Authenticator zu schützen. Auf meinem Server läuft ein Debain 9 als Betriebssystem.

Dazu installiert man folgende Pakete

und aktiviert den Google Authenticator wie folgt:

Nun kann der QR-Code entsprechend gescannt oder der „secret key“ per Hand eingegeben werden. Die entsprechenden Backup-Codes sind zu sicher. Die nachfolgenden Fragen werden wie beschrieben beantwortet.

Do you want me to update your „/root/.google_authenticator“ file (y/n) y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By default, tokens are good for 30 seconds. In order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with
poor time synchronization, you can increase the window from its default
size of +-1min (window size of 3) to about +-4min (window size of
17 acceptable tokens).
Do you want to do so? (y/n) n

If the computer that you are logging into isn’t hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y

Nun wird mit dem Editor 

dieser Eintrag ans Ende gesetzt.

„nullok“ sorgt dafür, dass nur der SSH-Zugang für root abgesichert wird. Andere eingerichtete User bleiben hier außen vor.

Weiterhin wird der vorhandene Eintrag in

auf

gesetzt und der SSH-Service neu gestartet.

Schließt bitte nicht den SSH-Zugang! Testet in einem weiteren Terminal, ob alles funktioniert. Nicht, dass Ihr Euch versehentlich aussperrt. Ein vorheriges Backup des Servers setze ich natürlich voraus.

Google Authenticator
Google Authenticator App

Nachtrag

Übrigens wird Filezilla via SFTP nun den Zugang verweigern. Hier setzt Ihr die Verbindungsart auf Interaktiv.

Viel Spaß!

Suchmaschine Grams ist Geschichte

Suchmaschine im Darknet
Grams – die Suchmaschine

Die Suchmaschine Grams, Das Pendant zu Google im Darknet, ist seit dem 16.12.2017 Geschichte. Für den Administrator sei die Pflege der  Seite, Angaben zu Folge, zu aufwendig und komplex geworden. Nach einem finanziell und persönlich hartem Jahr sah der Administrator keine andere Möglichkeit als die Suchmaschine vom Netz zu nehmen.

Google Earth 7 unter Stretch

Google Earth 7.1
Google Earth Starter

Vor einiger Zeit war es kaum noch möglich auf Debian 8 Google Earth zu installieren, geschweige denn vernünftig zu starten. Mittlerweile kann man Google Earth im Browser ausführen, was eine Installation obsolet macht. Jedoch habe ich nun unter Debian 9 Stretch festgestellt, dass sich die letzte Version 7.1 64-Bit problemlos installieren lässt.

Google Earth im Webbrowser

Dazu läd man die 64-Bit-Variante für Debian/Ubuntu hier herunter: https://www.google.com/intl/de/earth/download/ge/agree.html

Dann steigt man in das entsprechende Download-Verzeichnis ab und installiert das Paket mit

und führt

aus. Da sich beim ersten Start Orte nicht anfliegen lassen. Ersetzt man im Starter den Befehl zum Ausführen

durch

Viel Spaß!

Nextcloud auf dem Raspberry Pi

Seit ca. vier Jahren habe ich auf meinen Raspberry Pi eine eigene Cloud installiert. Anfangs war es mehr oder weniger eine reine Testumgebung. Mittlerweile möchte ich aber auf die Möglichkeit, Daten zu Hause in der eigenen Wolke zu speichern, nicht mehr verzichten.  Inzwischen läuft eine Nextcloud 11.0.2 auf einem Raspberry Pi 3 Modell B.

Vor einem halben Jahr bin ich dann noch einen Schritt weiter gegangen. Meine Kontakte, Kalender und Aufgaben werden ebenfalls über die Nextcloud mit meinem Smartphone und Notebook synchronisiert. Der Vorteil hierbei: Google bleibt außen vor. Zur Synchronisation setze ich mittlerweile DAVdroid in Verbindung mit der App Calendar Color ein. Des Weiteren werden Aufgaben mit der App Open Tasks bearbeitet. Natürlich kommt auch die eigentliche Applikation Nextcloud zum Einsatz. Diese Apps sind alle kostenlos auf F-Droid erhältlich. Wer den Entwicklern etwas Geld zukommen lassen will, kann dies natürlich direkt tun.

Mit ein wenig Willen und Lust zum Basteln ist die eigene Cloud schnell installiert und einsatzbereit. Hier kurz eine Liste der von mir eingesetzten Komponenten:

Von Außen erreiche ich die Nextcloud über eine auf INWX eingerichtete DynDNS-Adresse. Um den Zugang aus dem Internet etwas zu härten, verwende ich seit Kurzem eine Zwei-Faktor-Authentifizierung über den Google Authenticator.

Vorsicht: Bei der Einrichtung sind die Backup-Codes unbedingt zu sichern! Hier besteht die Gefahr, dass man sich ungewollt aussperrt.

Und wie macht sich der Kleine so?

Vor über einem Monat habe ich einen Test gestartet, wobei nun alle Kontakte, Termine und Dateien meines Smartphones mit einem Raspberry Pi synchronisiert werden. Dazu wurde die Standard-Synchronisation dieser Dienste zu Google deaktiviert.

Auf dem Raspberry Pi läuft ein aktuelles Raspbian Jessie. Die Ports 21, 22, 80 und 443 wurden zu diesem Zweck (FTP, SSH, HTTP und HTTPS) am heimischen Router geöffnet. Um nun von außen einen Zugang zu bekommen, nutze ich den Dienst NoIP. So kann ich mit einer festen Internetadresse über die sich ständig ändernde öffentliche IP auf meinem Raspberry Pi zugreifen. Der RasPi gleicht diese IP mit dem installierten ddclient ab. Weiterhin sind der Webserver Apache2 und eine ownCloud installiert. Letztere dient der Speicherung der zuvor erwähnten Daten. Das Ganze wurde mit einem Let’s Encrypt Zertifikat verschlüsselt. 

Um diese Daten dann mit der Cloud zu synchronisieren, nutze ich mit dem Smartphone die drei kostenpflichtigen Apps CardDAV-SyncCalDAV-Sync und FolderSync. Am PC synchronisiert Debian 8 die Daten mit dem ownCloud Client. Kontakte und Termine werden im Mail-Programm Evolution abgegriffen.

Wie läuft das alles nun rückblickend?

Eigentlich erstaunlich gut und ohne Probleme meinerseits. Ein zwischenzeitlicher Ausfall, hatte mich aber kurzzeitig hierbei aus der Bahn geworfen. Mein Internet-Provider stellte ohne Ankündigung meinen Anschluss auf Port and Address Translation (PAT). Dabei war es nicht mehr möglich über die öffentliche IP auf mein Heimnetz zuzugreifen. Erst nach Rücksetzung durch den Support auf Network Address Translation (NAT) konnte ich meine Cloud wieder erreichen.

Fazit

Ja, es geht auch ohne Google, wenn man die Daten des Smartphones sichern möchte. Mit dieser Heim-Lösung bin ich im Moment sehr zufrieden. Die Anschaffungs- und Stromkosten eines Raspberry Pi inkl. Zubehör halten sich in Grenzen. Zudem nutze ich eine 64GB MicroSD, die wirklich sehr viel Spielraum zur Datensicherung bietet.

Übrigens gibt es CardDAV-Sync, CalDAV-Sync und FolderSync auch in kostenlosen Light-Versionen. Diese verfügen aber nicht über den vollständigen Funktionsumfang.

Ich habe hier anhand dieses Beispiels eine Einkaufsliste der eingesetzten Hardware zusammen gestellt.

Kontakte und Kalender der Nextcloud

carddav-sync-logocaldav-sync-logo

Vor drei Jahren hatte ich schon einmal über die Synchronisation von Kontakten mit der ownCloud geschrieben. Zu dieser Zeit hatte ich mit der freien Version von CardDAV-Sync experimentiert. Diese hatte damals jedoch leider nicht alle Daten synchronisiert.

Nun habe ich die Kaufversionen CardDAV-Sync und CalDAV-Sync von Marten Gajda mit meiner Nextcloud getestet.

news-766 news-767

Fazit

Es klappt sehr gut. Die Apps machen genau was sie sollen.

Man muss sich also nicht immer blind in die Hände von Google begeben.

Chrome unter Debian Jessie

GoogleChrome

Will man Google Chrome unter Debian Jessie installieren, muss man zuvor folgende Pakete ins System einbinden.

Nach dem Herunterladen wechselt man in das entsprechende Download-Verzeichnis und installiert Chrome.

Zum Schluss wird noch der Signatur-Schlüssel eingelesen.

Viel Spaß!

LG G Watch R

LG_Logo.svg

Über den Sinn einer Smartwatch lässt sich mit Sicherheit streiten. Auch ich hatte bislang solch einem Gerät gegenüber meine Zweifel.

Freundlicherweise wurde mir von LG eine LG G Watch R für einen zweiwöchigen Test zur Verfügung gestellt. Während dieses Zeitraums habe ich die Uhr tagsüber ständig am Handgelenk getragen.

news-637

news-638

news-639

Im Lieferumfang ist ein zweites Lederarmband, eine Ladestation und Schnellanleitung enthalten. Der Betrieb dieser Uhr setzt ein Android-Smartphone voraus. Nach dem ersten Start wird hier eine dauerhafte Verbindung via Bluetooth eingerichtet. Des Weiteren muss die App Android Wear auf dem Handy installiert werden. Um in den Genuss weiterer Features zu gelangen benötigt man weiterhin u.a. LG Anruf für Android Wear, um ggf. Anrufe anzunehmen bzw. abzuweisen. Nun ist es möglich Informationen vom Handy wie etwa die Wetteraussichten, Kurznachrichten, Google Now oder eMails abzufragen sowie einen Musik Player wie Googles Play Music zu steuern. Mit dem am Gehäuseboden verbauten Sensor kann man innerhalb weniger Sekunden eine Pulsmessung durchführen. Dies ist bei sportlichen Aktivitäten von Vorteil. Zusätzliche Sensoren wie Barometer und Kompass geben weitere nützliche Informationen. Wobei sich die Orientierung in Google Maps, bedingt durch das kleine runde Display, sehr schwierig gestaltet.

Die 62 Gramm schwere Uhr lässt sich gut tragen und wirkt nicht aufdringlich. Das schwarze Standard-Ziffernblatt, sieht auf den ersten Blick sehr real aus. Dieses lässt sich natürlich fast beliebig ändern. Das Gehäuse ist aus Kunststoff und im Vergleich zu manchen Chronographen nicht größer und auffälliger. Auf den ersten Blick wird man hier kaum einen Unterschied bei Tageslicht zu einer herkömmlichen Armbanduhr feststellen. Was mir gut gefällt ist das etwas versenkte Touch-Display. Dies schützt vor Stoß und Kratzern. Eine Akkuladung hält je nach Benutzung, ähnlich wie beim Smartphone bis zu zwei Tagen. Der Akku mit 410 mAh ist ebenfalls wie bei vielen mobilen Endgeräten nicht wechselbar. Das Laden erfolgt über eine magnetische Dockingstation, über die an der Unterseite freiliegenden Kontakte.

Vorteile

  • genaue Uhrzeit
  • ständige Versorgung mit Informationen vom Smartphone
  • GPS-Tracking (ideal zum Wandern, Radfahren etc.)
  • robustes Kunststoffgehäuse
  • Wechselarmband

Nachteile

  • nicht wasserdicht

Ausstattung

  • Größe: 4.6 x 5.4 x 1 cm
  • Gewicht: 64 g
  • Displaygroße: 1,3 Zoll rundes P-OLED Display
  • Akku: 410 mAh Akku
  • Sensoren: Pulsmesser, Schrittzähler, Druckmesser, Kompass-Funktion und Google Sprachsteuerung
  • OS: Android Wear Betriebssystem (kompatibel mit Android-Smartphones ab Version 4.3)

Fazit

Meine Skepsis gegenüber dem Sinn einer Smartwatch ist deutlich geringer geworden. Ob man solch eine Uhr tatsächlich benötigt, muss jeder für sich selbst entscheiden. Fest steht, dass in bestimmten Situationen die G Watch R ein nützliches Gadget darstellt, um Informationen vom Smartphone zu erhalten. Ich denke dabei an Bahn- oder Busfahrten, Besprechungen, Restaurantbesuche etc., wo das Telefon auf lautlos gestellt ist und man durch eine leichte und diskrete Vibration am Handgelenk z.B. auf den Eingang einer eMail oder Hangouts-Nachricht aufmerksam gemacht wird. Auch zum Joggen, Wandern und Radfahren liefert die G Watch R durch ständiges Tracking via GPS viele nützliche Informationen. Wer also ständig online sein möchte, wird mit einer Smartwatch seine wahre Freude haben. Hierbei sollte man sich jedoch vorher über den Preis und die Halbwertzeit eines solchen Gerätes schon im Klaren sein.