Blog-Archive

GnuPG Smartcard mit Ubuntu

Nachdem ich doch relativ viel Zeit damit verbracht habe meine GPG Smartcard mit Ubuntu zu verheiraten hier eine kurze und einfache Anleitung:

1. Ganz normal diese Anleitung hier von der fsfe befolgen. Wobei sie sich eigentlich so zusammenfassen lässt:

wget -O udev.sh "http://wiki.fsfe.org/Card_howtos/Card_reader_setup_%28udev%29?action=AttachFile&do=get&target=udev.sh"
sudo bash udev.sh

Dabei werden udev regeln erstellt um die gängigsten Cardreader für die neu angelegte Gruppe „scard“ nutzbar zu machen.

2. Als nächstest fällt auf das leider trotz dieser Anleitung kein erfolg zu sehen ist 🙁 Das liegt daran das Ubuntu leider einen nicht funktionierenden Ersatz für den gpg-agent mitliefert. Kurzfristig lässt sich dieser zum testen so aushebeln:

GPG_AGENT_INFO=""
gpg2 --card-status

dies ist nur leider keine langfristig brauchbare Lösung. Da hilft wie im Bug beschrieben ein:

mkdir ~/.config/autostart
cp /etc/xdg/autostart/gnome-keyring-gpg.desktop ~/.config/autostart/
echo "X-GNOME-Autostart-enabled=false" >> ~/.config/autostart/gnome-keyring-gpg.desktop

Nach einer erneuten Anmeldung sollte jetzt alles funktionieren.



Threema als WhatsApp Alternative

Auf der Suche nach einer vernünftigen alternative zu WhatsApp, bin ich auf Threema gestoßen.

Threema ist meiner Meinung nach der erste viel versprechende Ansatz um einen sicheren Ersatz für die SMS zu schaffen. Threema bietet eine, für Proprietäre Software, vorbildlich dokumentierte Ende zu Ende Verschlüsselung. Das heißt die nachrichten werden beim versenden so verschlüsselt das nur das gerät des Empfängers sie entschlüsseln kann. Auf Wunsch können die Schlüssel komplett offline per QR-Code sicher ausgetauscht werden.

Wichtig ist auch das Threema von Bedienbarkeit und Komfort meiner Meinung nach etablierten Diensten in nichts nachsteht. Es gibt bestimmt technisch noch ein klein wenig schönere Lösungen aber in Threema sehe ich momentan die beste massen taugliche sichere mobile Kommunikation.

Threema ist für Android und iOS verfügbar und ich traue dem Hersteller zu hier eventuell noch mit einem Desktop Client o.ä. nachzulegen. Auch nachgelegt werden muss noch bei einigen Features, momentan können immer nur zwei Leute untereinander schreiben. Ein Gruppenchat ist aber laut Entwickler geplant.

Alles in allem kann ich Threema jedem empfehlen der wert auf ein klein wenig Sicherheit beim Chaten legt.

 

Einige Details kann man noch hier nachhören.

 



Festplatten Löschen

Ich musste letztens eine größere Menge Festplatten ins Nirvana befördern hier meine zugegeben nicht perfekte aber deutlich arbeitserleichternde Methode… Wer sich über den Wust wundert, das sind gewachsene Strukturen 🙂

Ich kann mit diesem Skript im Grunde beliebig viele Festplatten parallel mit shred löschen und zum Abschluss noch die SMART Daten als .txt nach /var/www legen. Dabei fordert einen das Script dazu auf fertige Platten zu tauschen.

Wem es nützt der möge sich bedienen. Aber bitte mit verstand:

#!/bin/bash
#Platte nuken und smart auslesen mit hotswap
#bitte mit vorsicht verwenden dieses skript ist dafür gemacht daten zu vernichten!

#Seriennummer der Systemplatte (wird nicht angefasst) Alle anderen Schon!
SYSTEMDRIVE="PVF904ZFR3RTWN"
#Anzahl der zu startenden Jobs
JOBS=3
#SMAR Daten Zielverzeichnis
SMARTFOLDER=/var/www
#Tempverzeichnis anlegen
TEMPDIR=/tmp/hddclean
#TEMPDIR=$(mktemp -d)

if [[ $EUID -ne 0 ]]; then
   echo "This script must be run as root" 1>&2
   exit 1
fi

mkdir -p $TEMPDIR
echo "Warning this script was designed to destroy data! (Hopefully the right)..."
read -p "Press any key to continue... "

nuke_instance()
{
 jobnr=$1
 while true; do
  sleep $jobnr
  for HOSTA in /sys/class/scsi_host/host?/scan; do
   echo "- - -" > $HOSTA
  done

  for PLADDE in /dev/sd?; do
   if [[ $(mkdir $TEMPDIR/$(basename $PLADDE) 2>&1) ]]; then
    echo Job $jobnr: $PLADDE is locked...
    sleep 1
   else
    echo Job $jobnr: Working on $PLADDE...
    SERIAL=$(smartctl -a $PLADDE | grep "Serial Number" | tr -d " " | cut -d":" -f2)
    sleep $jobnr
    if [ $SERIAL ]; then
     if [[ $(mkdir $TEMPDIR/$SERIAL 2>&1) ]]; then
      echo Job $jobnr: $SERIAL is locked...
     else
      if [ $SERIAL == $SYSTEMDRIVE ]; then
       echo Job $jobnr: $PLADDE is my system disk no way...
       rm -rf $TEMPDIR/$SERIAL
      else
       if [ -e $SMARTFOLDER/$SERIAL.txt ];then
        echo Job $jobnr: $PLADDE is already done... please replace disk $SERIAL!
        echo 1 > /sys/block/$(basename $PLADDE)/device/delete && rm -rf $TEMPDIR/$SERIAL
       else
        echo Job $jobnr: $PLADDE with serial number $SERIAL will be nuked now...
        shred $PLADDE -f -z -n1
        smartctl -a $PLADDE > $SMARTFOLDER/$SERIAL.txt
        echo 1 > /sys/block/$(basename $PLADDE)/device/delete && rm -rf $TEMPDIR/$SERIAL
       fi
      fi
     fi
    else
     echo Job $jobnr: no disk to work on!
    fi
    rm -rf $TEMPDIR/$(basename $PLADDE)
   fi
  done
  sleep 300
 done
}

for inst in $(seq 1 $JOBS); do
 nuke_instance $inst &
done

p.s. Ich bin nicht schuld wenn sich irgend jemand die falschen Daten weg schießt…



Wieder bloggen

Ich habe grade beschlossen das ich hier unbedingt wieder bloggen muss und um diesen guten Vorsatz in die Tat umzusetzen gleich angefangen… 🙂



Denkanstoß: „soziale Netzwerke“

Florian Strankowski

Florian Strankowski

Heute möchte ich mich aus gegebenem Anlass sozialen Netzwerken widmen. Zum Einstieg berichte ich über meine persönliche Einstellung zu sozialen Netzwerken. Ich bin Mitglied bei MeinVZ und Facebook, aber ich achte genau auf meine Privatsphäre Einstellungen. So können nur meine Freunde persönliche Daten über mich sehen. Zu meinen Freunden gehören allerdings nur Menschen die ich auch persönlich kenne, und die alles was in den Netzwerken über mich steht sowieso schon wissen. Auf die Gründe werde ich jetzt nicht weiter eingehen, nur so viel, was denkt ein potentieller Arbeitgeber wenn er alles über mich wüsste?

Ab dem Beitritt zu einen sozialen Netzwerk schenkt man dem Betreiber ein gewisses Vertrauen dass er mit meinen Daten wünschenswert umgeht. Sie also nicht verkauft oder sonst wie veräußert.

Besonders verheerend sind Lecks die nicht von einen selbst geschaffen werden. Was nützen alle Privatsphäre Einstellungen wenn ein Fehler oder eine Sicherheitslücke alle meine Daten öffentlich zugänglich machen? Hier gibt es nur zwei Wege; Entweder man meldet sich erst gar nicht an oder nimmt die Offenlegung seiner Daten hin. Ganz allgemein sind persönliche Daten von Kinder besonders zu schützen. Diese Aufgabe hat sich unter anderen SchuelerVZ aufgeladen. Das Siegel des TÜV, sowie die Auszeichnung „Computer Bild Testsieger“ vermittelten hier Sicherheit. Aber ist diese Sicherheit tatsächlich gegeben? Eine klare Antwort auf diese Frage gibt uns Florian Strankowski. Er entwickelte einen Crawler mit dem er angeblich 1,6 Mio Datensätze ausgelesen hat. Hier das, englische, Paper zum Crawler.

So muss mal wieder jeder für sich selbst Entscheiden was er für richtig hält, wie wichtigeinem seine persönlichen Daten sind.



DNS

Seit einiger Zeit betreibe ich für meine Domains eigene DNS Server…
Meine Domain b9d.de hat drei DNS Server welche mit ipv4 und ipv6 glue Records bei der DENIC registriert sind. was man sich beispielsweise so angucken kann:

dig b9d.de @a.nic.de

Also sind meine Systeme jetzt nicht nur ipv6 aktiv sondern auch ohne ipv4 benützbar.



Bilder aus SchülerVZ

svzDas allseits bekannte Portal SchülerVZ legt mittlerweile immer mehr Wert darauf, das dort hochgeladene Bilder nicht mehr heruntergeladen werden können.  Im Moment wird versucht das Herunterladen mit einem einfachen JavaScript das einen Rechtsklick verhindert zu blockieren. Da kommt einem doch die Idee JavaScript im Browser zu deaktivieren und das Bild einfach via „Rechtsklick -> Bild speichern unter“ zu Speichern.

Also die Frage „Wie kann ich Bilder aus SchülerVZ herunterladen“ sollte hiermit hinreichend beantwortet sein.



Sieve

Sieve ist eine Scriptsprache zur serverseitigen Filterung von E-Mails. Das heißt die Mails werden bereits beim eintreffen auf dem Mailserver in unterschiedliche IMAP-Ordner einsortiert. Ursprünglich wurde diese Technik für den Cyrus IMAPD entwickelt, wurde jedoch auch für andere Server implementiert.

Ich verwende z.b. Dovecot in Kombination mit Postfix. Um Sieve verwenden zu können muss der LDA vom Dovecot verwendet werden dazu muss in der Postfix Konfiguration die Zeile mailbox_command welche beispielsweise so aussehen kann:

mailbox_command = procmail -a “$EXTENSION” DEFAULT=$HOME/mails/

in:

mailbox_command = /usr/lib/dovecot/deliver

geändert  werden.
Nun muss noch in der Dovecot Konfiguration, welche üblicherweise unter /etc/dovecot/dovecot.conf zu finden ist Der LDA und Sieve aktiviert werden:

protocol lda {
# Address to use when sending rejection mails.
postmaster_address = postmaster@b9d.de
…
# Enabling Sieve plugin for server-side mail filtering
mail_plugins = cmusieve
}

Jetzt kann in der Datei ~/.dovecot.sieve ein Sievescript abgelegt werden nach dessen regeln Mails zukünftig gefiltert werden.

Eine einfürung in die grundlagen von Sieve bietet die Wikipedia. Ich verwende Sieve Hauptsächlich um mich vor einer Überschwemmung meines Posteingangs durch Mailinglisten zu schützen, indem ich diese jeweils in einen eigenen Ordner sortieren lasse.



OpenVPN

Wie Hamachi ist auch OpenVPN eine Softwarelösung zum erstellen eines virtuellen Netzwerks.

OpenVPN ist jedoch im Gegensatz zu Hamachi freie Software und auch im Betrieb unabhängig von kommerziellen Anbietern. Für OpenVPN ist es daher jedoch nötig selbst einen Server einzurichten und zu betreiben. Die Konfiguration von OpenVPN ist anspruchsvoller als die von Hamachi. Bietet gleichzeitig aber auch ungleich viel mehr Möglichkeiten welche es für einen professionellen Einsatz qualifizieren. Auch bietet eine sorgfältig eingerichtet und gewartete OpenVPN Installation vermutlich wesentlich mehr Sicherheit als Hamachi.

OpenVPN ist für ansruchsvollere Szenarios in jedem Fall die bessere Wahl bietet jedoch auch in einfachen Installationen signifikante Vorteile. Wer jedoch den aufwand einer OpenVPN installation scheut kann getrost Hamachi verwenden.



Hamachi

Was ist Hamachi?
Hier eine kurze Beschreibung aus der Wikipedia:

Hamachi ist ein einfach zu konfigurierender, proprietärer VPN-Client mit einem integrierten Instant Messenger. Er ermöglicht, ein virtuelles LAN über das Internet zu erstellen. Programme, die sonst nur über lokale Netzwerke funktionieren, lassen sich so auch über das Internet nutzen, zum Beispiel Computerspiele oder Filesharing-Programme.

Wen die Funktionsweise weiter Interessiert dem sei der Artikel in Wikipedia dazu empfohlen.

Nun das wirklich spannende, ich habe mich mit ein paar Freunden schon mal vor ca. einem Jahr ausgiebig mit Hamachi beschäftigt. Leider waren wir nich in der Lage mit Hilfe von Hamachi ein voll funktionstüchtiges VPN zu errichten. Nun habe ich mich noch mal damit beschäftigt und einigen Ehrgeiz entwickelt endlich ein eigenes VPN mit Hilfe von Hamachi zu erstellen.
Und, oh Wunder, es sind zwischen meinen beiden Versuchen etliche neu Versionen released worden. Nach eine einfachen Installation unter Windows (XP), dem erstellen eines Virtuellen Netzwerkes und dem Hinzufügen von anderen Computern hatten wir ein funtionierendes VPN. Der einzige Hacken an der Sache ist, dass alle Firewalls deaktiviert werden müssen. Aus diesem Grund empfehle ich nur Freunde und/oder Bekannte in ein
Virtuelles Hamachi Netzwerk aufzunehmen, da sonst dritte auf ihren PC vollen Zugriff erlagen könnten.

(Bild: wikipedia.org)



Top