Microsoft hat mit dem Windows 10 Fall Creators Update neben dem bereits länger verfügbarem Linux Subsystem nun auch einen OpenSSH Server und Client hinzugefügt. Aktuell befinden sich die Features noch im Beta Status. Dadurch werden gewisse Funktionalitäten noch nicht gegeben sein. Um die beiden neuen Features nutzen zu können, müssen diese erst aktiviert werden. Dies kann entweder über die Windows Feature Verwaltung oder über die Kommandozeile geschehen. Die folgende Befehle aktivieren den OpenSSH Server und Client auf einem Windows 10 Host.
Linux mit Lynis analysieren und härten
Linux sorgt von Haus aus schon dafür, ein System möglichst sicher zu betreiben. Allerdings ist das immer von der Konfiguration des Systems und der installierten Pakete abhängig. Unsachgemäße Handhabung, mangelndes Wissen oder auch schlechte Dokumentationen können ein System schnell zur Angriffsfläche machen. Gerade Einplatinencomputer wie zum Beispiel ein Raspberry Pi hängen oft direkt im Internet und werden somit schnell ein Ziel für Angreifer. Neben einer Firewall, die wirklich nur den Traffic durchlässt, der wirklich erforderlich ist, aktuellen Paketen, sicheren Passwörtern und einer abgesicherten SSH Konfiguration müssen auch weitere Systemkomponenten möglicherweise gehärtet werden, um Angriffsflächen zu minimieren. Um das eingesetzte System zu analysieren gibt es mehrere Möglichkeiten. Eine davon ist das Open Source Audit Werkzeug “Lynis”. Es führt einige individuelle Tests durch und gibt Ratschläge wie das eigene System weiter abgesichert werden kann.
Odroid C2 mit Arch Mainline Kernel
Der Einplatinencomputer Odroid-C2 von Hardkernel wird standardmäßig mit dem nicht mehr ganz aktuellen Kernel 3.14.x ausgeliefert. Unter Arch Linux läuft mein System aktuell mit dem Mainline Kernel. So steht immer die aktuelle Version des Linux Kernels zur Verfügung. Allerdings ist dieser Vorgang mit ein wenig Vorsicht zu betrachten. Es ist nicht garantiert, dass alle Funktionen mit dem Mainline Kernel gegeben sind, da durchaus benötigte Patches fehlen können. Im reinen Headless Betrieb kann ich auf alle wichtigen Funktionen wie Ethernet und USB Ports zugreifen. Der Wechsel auf den Mainline Kernel ist generell nicht kompliziert. Allerdings empfiehlt sich auf jeden Fall im Vorfeld ein Backup anzulegen, um wieder ohne großen Aufwand auf die vorherige Version zurückwechseln zu können. Eine einfache Lösung liefert Partclone unter Linux. Damit lassen sich komprimierte Images einer Partition anlegen.
VMware virtuelle Festplatte verkleinern
Unter VMware lassen sich für jeden beliebigen Zweck virtuelle Maschinen verwalten. Dabei ist es egal, welches Betriebssystem hier zum Einsatz kommt. In der Regel wird jeder VM mindestens eine virtuell Festplatte zugeordnet. Dabei spielt es keine Rolle, ob diese für das Betriebssystem oder zur reinen Datenablage genutzt wird. Dieses Verhalten ist auch unabhängig von der eingesetzten Version (VMware vSphere, Workstation, Fusion oder Player). Virtuelle Festplatten lasen sich primär auf zwei unterschiedliche Arten anlegen. Es gibt statische und dynamische Festplatten. Bei einer statischen virtuellen Festplatte wird die definierte Größe sofort fest allokiert. Wird zum Beispiel eine statische Festplatte mit 1TB Größe angelegt, verwendet diese bereits diese Größe auf dem physischen Speicher, ohne das Daten darauf liegen. Aus Performance Gründen hat dies natürlich Vorteile. Die Festplatte muss bei steigendem Datenverbrauch nicht mitwachsen. Ebenso wird der physische Speicher nicht so stark fragmentiert. Im privaten Bereich kommen vermutlich eher die dynamischen Festplatten zum Einsatz.
Lästiger SMIME Bug in Apple iOS
Um meine Emails zu verschlüsseln, setze ich sowohl GPG als auch S/MIME ein. Beide Verfahren haben hier diverse Vor- und Nachteile. Damit ich generell die Funktionalität der Emailverschlüsselung auf iOS Geräten nutzen kann, habe ich mich hier für S/MIME entschieden, da es bereits integriert ist und ohne großen Aufwand genutzt werden kann. Wie S/MIME grundsätzlich zu nutzen ist, habe ich in einigen Beiträgen zusammengefasst: Klick Unter iOS verfolgt mich bereits seit mindestens Version 9 ein tierisch nerviger SMIME Bug, welcher immer dann zuschlägt, sobald ein Kommunikationspartner ein neues Zertifikat verwendet.
History für SQLPlus unter Linux
Mit SQLPlus lassen sich über die Kommandozeile Oracle Datenbanken verwalten. Alles was getan werden muss, um die Datenbank zu betreiben, kann hierüber erledigt werden. Allerdings hat die Linux Variante von SQLPlus einen enormen Nachteil. Bis zur Version 12.1.0.2 beherrscht SQLPlus keine History. Es müssen also wiederkehrende Befehle jedesmal neu eingegeben werden, was nach kürzester Zeit extrem nervig ist. Allerdings lässt sich mit einem kleinen Trick eine History für SQLPlus einrichten, um komfortabler damit arbeiten zu können.
Oracle Datenbank und PDBs über systemd steuern
Neben klassischen Datenbanken lassen sich in Oracle auch Container Datenbanken mit einzelnen PDBs (Pluggable Database) betreiben. Diese kommen gerade im Cloud Business oder in mandantenfähigen Umgebungen zum Einsatz. Allerdings ist das Starten bzw. Stoppen der PDBs über einen systemd Dienst gar nicht so einfach und bedarf ein wenig „Jugend forscht“, bis es dann endlich mal so funktioniert, wie man sich das auch vorstellt. In diesem Blog möchte ich zeigen, was alles getan werden muss, dass neben der Container Datenbank auch die PDBs im Schreib/Lese Modus zur Verfügung stehen, ohne dass dieser Modus manuell über SQLPlus gesetzt werden muss.
„Oracle Datenbank und PDBs über systemd steuern“ weiterlesen
Windows Lizenz komplett entfernen
Um ein Microsoft Betriebssystem zu betreiben, wird eine gültige Windows Lizenz benötigt, egal ob es sich um ein Windows 10 oder einen Windows Server 2016 handelt. Ohne Lizenz läuft das Betriebssystem im Evalulierungsmodus, welcher für 180 Tage gültig ist. In dieser Zeit erscheinen dann Meldungen und Hinweise auf dem Desktop, dass das Betriebssystem noch nicht aktiviert wurde. Nach Ablauf des Testzeitraums erscheinen dann regelmäßig PopUps, gewisse Funktionen sind nicht mehr gegeben und Windows Updates lassen sich auf regulärem Weg nicht mehr installieren. Das System ist also in einem Zustand, der nicht ernsthaft brauchbar ist. Möglicherweise ist es jedoch mal gewollt, einem bereits aktivierten Windows den zugewiesenen Lizenzschlüssel wieder zu entziehen. Dies kann zum Beispiel der Fall sein, wenn eine vorinstallierte Testumgebung an einen Kunden ausgeliefert werden soll. Die eigene Lizenz soll dann aber nicht die Firma verlassen.
Dateiinhalt unter Windows durchsuchen
Um eine gewisse Datei auf einem System zu finden, bedarf es nicht viel Aufwand. Im Windows Explorer einfach nach einer beliebigen Datei suchen und fertig. Natürlich kann hier auch mit einer Suchsyntax gearbeitet werden, um die Ergebnisse etwas präziser zu erhalten. Doch oftmals ist man auf der Suche nach etwas, ohne zu wissen, in welcher Datei man überhaupt fündig wird. Es ist also erforderlich, im Dateiinhalt zu suchen. Dies kommt gerade im Bezug auf Logfiles oder XML Dateien sehr häufig vor. Allerdings ist hier Windows ziemlich unflexibel. Damit tatsächlich innerhalb von Dateien gesucht werden kann, müssen die Suchbereiche im Suchindex vorhanden sein. Dieser muss entsprechend definiert werden. Bis der Index dann angelegt ist, kann es eine Zeit dauern. Unter Linux ist das mit einem “grep” total einfach, innerhalb von Dateien zu suchen. Hier ist keine weitere Konfigurationsarbeit erforderlich.
MySQL Binary Logs belegen viel Speicherplatz
Auf einem Einplatinencomputer wie dem Raspberry Pi lassen sich prima diverse Anwendungen betreiben. Für kleine Benutzergruppen ist es zum Beispiel recht einfach möglich, eine Private Cloud einzurichten, um Daten zu synchronisieren oder um Kalender und Kontakte mit unterschiedlichen Geräten abzugleichen. Damit solche Anwendungen auch funktionieren wird in den meisten Fällen eine Datenbank vorausgesetzt. Als Datenbanksystem kann auf aktuellen Generationen der Einplatinencomputer “MySQL” bzw. dessen Fork “MariaDB“ zum Einsatz kommen. Die Leistung der Geräte ist zwischenzeitlich so gut, dass dies problemlos funktioniert. MySQL bzw. MariaDB sollten vor dem ersten Einsatz zwingend abgesichert werden, damit zumindest die wichtigsten Grundkonfigurationen abgeschlossen sind.