Zwei Faktor Authentifizierung für SSH Zugang

SSH bietet Administratoren den sicheren Zugriff auf Systeme wie Server im Rechenzentrum oder Einplatinencomputer wie z.B. Raspberry Pi oder Banana Pi im heimischen Netzwerk. Oftmals wird der SSH Zugriff direkt über das Internet erlaubt. Dieses Szenario bietet eine generelle Angriffsfläche. Schon alleine wenn der Zugriff über ein nicht vertrauenswürdiges System erfolgt. Sind die Zugangsdaten einmal weg, haben Angreifer leichtes Spiel. Eine Möglichkeit ist der Einsatz von SSH Keys. Hier kommt ein asymmetrisches Verschlüsselungsverfahren zum Einsatz. Auf dem Zielsystem befindet sich nur der Public Key. Der sichere Private Key, der mit einer Passphrase geschützt ist, befindet sich unter Kontrolle des Administrators. Beim Zugriff auf das Zielsystem (Server, Banana Pi oder Raspberry Pi) wird also der Private Schlüssel sowie die zugehörige Passphrase benötigt.

„Zwei Faktor Authentifizierung für SSH Zugang“ weiterlesen

Banana Pi Kernel Update per Skript

Der Banana Pi Einplatinencomputer ist seit ein paar Monaten erhältlich und ist durch die bessere Performance eine echte Alternative zum Raspberry Pi. Gerade im Serverbetrieb macht sich der größere Arbeitsspeicher und die DualCore CPU bemerkbar. Allerdings lässt sich auch beim Banana Pi der Kernel nicht über die offiziellen Paketquellen aktualisieren, da hier einige Anpassungen erforderlich sind. Wer sich seinen Kernel nicht selbst kompilieren kann bzw. möchte, ist auf die Mithilfe der Community angewiesen. Die Banana Pi Entwickler stellen auf dem Github Account von Lemaker alle benötigten Komponenten zur Verfügung, um den für das Single-Board optimierten Kernel zu verwenden.

„Banana Pi Kernel Update per Skript“ weiterlesen

CPU Takt des Banana Pi unter Arch Linux anpassen

Der Banana Pi ist die etwas leistungsfähigere Variante eines Raspberry Pi. Jedoch sind die beiden Architekturen nicht untereinander kompatibel. Bei einem Wechsel müssen die Systeme neu aufgesetzt werden. Die Migration vom Raspberry auf den Banana Pi habe ich erfolgreich abgeschlossen. Da der Banana Pi bei mir als Server mit unterschiedlichen Diensten fungiert, ist eine optimale CPU Nutzung wünschenswert.

„CPU Takt des Banana Pi unter Arch Linux anpassen“ weiterlesen

Netzwerkanalyse mit nmap

nmap ist eine Open-Source Software, um das eigene Netzwerk zu analysieren und zu überprüfen. Hierbei ist wichtig zu wissen, dass es aus rechtlichen Gründen nur im eigenen Netzwerk eingesetzt werden darf oder die Genehmigung zum Scannen eines fremden Netzes vorliegen muss! Seit 2007 gibt es den sogenannten Hackerparagraphen „§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten“
, der dem Einsatz gewisser Tools nicht gerade offen gegenüber steht. Dazu gehört auch nmap. Wie soll es jedoch ohne den Einsatz solcher Tools möglich sein, sein eigenes System/Netz auf potentielle Schwachstellen zu prüfen? Nur weil ein Werkzeug eine gewisse Möglichkeit bietet, heisst es nicht, dass es auch genau dafür eingesetzt wird. Eine Kettensäge… Ach lassen wir das…

„Netzwerkanalyse mit nmap“ weiterlesen

Seafile Upgrade durchführen

Seafile ist eine OpenSource „File Sync & Share“ Software, ähnlich wie der kommerzielle Dienst Dropbox. Der Vorteil ist, dass Seafile selbst gehostet werden kann und somit die Kontrolle der eigenen Daten jeweils in eigener Hand bleibt. Anleitungen, wie Seafile auf dem Raspberry Pi installiert werden kann, gibt es im Internet genügend. Dieser Post beschreibt das Vorgehen für ein Seafile Upgrade. Hierbei werden sowohl Major- als auch Minor Updates berücksichtig.

„Seafile Upgrade durchführen“ weiterlesen

Eigenen URL Shortener auf Raspberry Pi installieren

Wer viele Links auf sozialen Plattformen postet weiß, dass einige dieser Dienste die eingegebenen URLs automatisch kürzen. Aus der URL https://blog.doenselmann.com wird dann z.B. http://bit.ly/1sn4bWc Wie bekannt ist, vergisst das Internet erstmal nichts, was es einmal gespeichert hat. Was passiert jedoch, wenn ein URL Shortener Dienst die Pforten für immer schließt? Richtig, die erzeugten URLs zeigen damit ins Nirwana. Wer generell fremden Diensten skeptisch gegenüber steht, kann sich auch seinen eigenen URL Shortener installieren. Dazu wird eine passende URL sowie ein Raspberry Pi mit installiertem YOURLS benötigt. Damit die eigene URL auch auf dem zu Hause stehenden Raspberry Pi zeigen kann, ist ein CNAME Eintrag beim Provider sowie möglicherweise ein DynDNS Dienst (sollte keine feste statische IP vorhanden sein) erforderlich. Wie die eigene URL für DynDNS verwendet werden kann, habe ich hier beschrieben: https://blog.doenselmann.com/eigenen-domainnamen-fuer-dyndns-verwenden

„Eigenen URL Shortener auf Raspberry Pi installieren“ weiterlesen

Jabber Server auf Raspberry Pi installieren

Was gibt es Bequemeres als sich schnell und unkompliziert per Instant Messaging mit Familie, Freunden oder Kollegen zu unterhalten. Gerne werden hier auch mal Dateien oder Informationen übermittelt, die nicht unbedingt für Dritte bestimmt sind. Große kommerzielle Anbieter von Instant Messaging Diensten regeln in den AGBs, dass jegliche Kommunikation gespeichert wird. Wer ein unabhängiges freies System nutzen möchte, sollte mal einen Blick auf Jabber bzw. das XMPP Protokoll werfen. XMPP (Extensible Messaging and Presence Protocol) ist ein freies Protokoll, welches dem XML Standard folgt und für Instant Messaging (Chat) genutzt wird. Zwei Branchenriesen setzen das Protokoll auch für ihre eigenen Dienste ein. Für den Eigenbetrieb gibt es mehrere OpenSource Varianten. Ich habe mich für Prosody entschieden, weil er sehr schlank und einfach zu konfigurieren ist. Nachfolgend werden die Schritte erklärt, wie Prosody auf einem Raspberry Pi mit Raspbian OS (Debian Wheezy) installiert wird.

„Jabber Server auf Raspberry Pi installieren“ weiterlesen

MySQL Installation mit mysql_secure_installation absichern

Im Internet finden sich viele Anleitungen, wie unter Linux ein MySQL Datenbank Server zu installieren ist. Gerne wird MySQL auf Einplatinen Computern wie dem Raspberry Pi installiert, um dann zum Beispiel in den eigenen vier Wänden eine OwnCloud oder WordPress Installation zu hosten. Dezentralisierung von Diensten und Daten ist generell eine feine Sache. Allerdings sollte man auch bedenken, dass das System im Internet erreichbar ist und der Betreiber des Systems auch die Verantwortung darüber trägt. Eine Datenbank im Internet bietet immer eine Angriffsfläche, die – soweit es möglich ist – minimiert werden sollte. Dazu gehören eine ordentliche Konfiguration, starke Passwörter sowie regelmässige Updates. Für eine erste Grundkonfiguration liefert MySQL den Befehl „mysql_secure_installation„, welcher leider in den wenigsten Anleitungen erwähnt wird.

„MySQL Installation mit mysql_secure_installation absichern“ weiterlesen