Um Zertifikate für Dienste zu erstellen, die keinen Webserver mitbringen, kann man auch wie folgt erstellen. Dazu ist es nötig, dass der Domainprovider bzw. DNS Anbieter eine Schnittstelle für die DNS-Challenge mitbringt. INWX tut dies :-)
Man kann unter Linux die Datei /etc/issue.net dazu verwenden, vor dem eigentlichen Passwort Prompt, eine Meldung auszugeben. Diese kann z.B. Nutzer warnen ein Login durchzuführen sofern sie nicht dazu berechtigt sind.
Die Umsetzung ist denkbar einfach. Zuerst müssen wir uns natürlich korrekt auf dem System anmelden und im Anschluss die Datei /etc/issue.net editieren.
pico /etc/issue.net
Dort kann man die gewünschte Meldung eingeben und entsprechend speichern. Im Anschluss müssen die den SSH-Daemon dazu bringen diese auch zu verwenden. Dazu editieren wie die Datei /etc/ssh/sshd_config und suchen nach der Zeile Banner
pico /etc/ssh/sshd_config
Diese dann wie folgt einstellen. (In der Regel ist die Zeile auskommentiert)
# no default banner path
Banner /etc/issue.net
Nach dem Neustart des SSH-Daemon wird bei der Anmeldung vor dem Passwort Prompt die Meldung ausgegeben. (Siehe Bild oben)
service ssh restart
Bei der Authentifizierung mittels SSH-Keys (welches ich empfehle und bevorzuge), gibt es natürlich kein Passwort Prompt. Die Meldung wird dann aber trotzdem ausgegeben.
Bei Twitter bin ich auf ein Verschlüsselungsprogramm (age) aufmerksam geworden. Verschlüsselt wird wie bei PGP auch über ein Public-/Secret- Key Verfahren.
Die Installation und Handhabung ist recht einfach. Ich möchte hier ein paar davon (für OSX) beschreiben. Wer es genauer nachlesen möchte kann dies gerne unter https://github.com/FiloSottile/age tun.
Die Installation mittels brew ist denkbar einfach. Mit folgendem Befehl wird age und age-keygen installiert.
brew install age
Zuerst muss ein geheimer und öffentlicher Schlüssel generiert werden. Dies funktioniert wie folgt:
age-keygen > key.txt
Wer seinen privaten Schlüssel mit einem Passwort versehen möchte kann dies mit folgenden Befehl tun. Der öffentliche Schlüssel der dabei angezeigt wird sollte man sich anschließend in einer Datei merken!
age-keygen | age -p > key.age
Nun hat man eigentlich schon alles was man benötigt, dass einem eine Verschlüsselte Datei zugesendet werden kann. Das Public-Key-Verfahren beruht ja darauf, dass jemand mit meinem öffentlichen Schlüssel für mich etwas verschlüsselt, was nur ich mitmeinem privaten Schlüssel wieder entschlüsseln kann.
Wer selbst eine Domain betreibt und die dort Möglichkeit besitzt einen TXT Eintrag zu erstellen, der kann seinen öffentlichen Schlüssel auch dort ablegen. Mein aktueller Schlüssel liegt im TXT Eintrag zu knut.systemtechnics.de .
Diesen kann man mit dem Befehl dig auch ganz einfach aus der Konsole auslesen.
dig +short TXT knut.systemtechnics.de | tr -d \"
Kommen wir nun zum eigentlichen, dem verschlüsseln einer Datei. Die Einfachste Variante ist mit age eine Datei zu verschlüsseln und diese mit einem Passwort zu versehen. Dies funktioniert die folgt:
age -p meine-datei.txt > meine-datei.age
Nach der Eingabe des Passworts (zweimal) ist die Datei verschlüsselt.
Zum entschlüsselt (mit einem Passwort) kann folgender Befehl verwendet werden:
age -d meine-datei.age > neue-datei.txt
Nach Eingabe des Passwortes, welches beim Verschlüsseln verwendet wurde, ist die Datei wieder im Klartext. Im Beispiel auf dem Bild habe ich dieser einen anderen Dateinamen vergeben. (Ohne Umleitung in eine Datei wir der Standard Output verwendet)
Nun aber zum eigentlichen Public-Key Verfahren. Dazu muss derjenige meinen öffentlichen Schlüssel zum verschlüsseln verwenden. Entweder hat er diesen bei mir aus dem DNS ausgelesen (siehe oben dig) oder direkt übermittelt bekommen.
Verschlüsseln wir die Datei von oben nochmals mit meinem öffentlichen Schlüssel:
cat meine-datei.txt | age -a -e -r age1486ysemz2yg9zasd8wrdxz3kjpjv7jl7fdqpvgm3vag40jv0n5mskmcgwm > meine-datei.age
Die Datei meine-datei.age ist nun verschlüsselt und kann mir gefahrlos übermittelt werden. Nur ich kann diese wieder entschlüsseln.
Das Entschlüsseln geht ebenfalls sehr einfach. Datei wird mein geheimer Schlüssel benötigt und funktioniert wie folgt:
age -i Keys/age-key.txt -d meine-datei.age > neue-datei.txt
Die Datei ist nun wieder entschlüsselt. Auf ein Passwort habe ich bei mir im geheimen Schlüssel verzichtet. Ich bin der Meinung, dass wenn jemand an diesem auf meinem verschlüsselten MacBook kommt, der kann auch jeweils die Originale auch direkt anschauen.
Wer mag kann öffentliche Schlüssel der „Verschlüsselungspartner“ natürlich auch in Umgebungsvariablen speichern um diese öfters zu verwenden.
cat meine-datei.txt | age -a -e -r $Karsten_AGE_KEY > meine-datei.age
Auch an mehrere „Verschlüsselungspartner“ gleichzeitig kann man Dateien verschlüsseln. In diesem Beispiel kann jeweils Karten, Martin und German mit den jeweiligen geheimen Schlüsseln diese entschlüsseln:
cat meine-datei.txt | age -a -e -r $Karsten_AGE_KEY -r $Martin_AGE_KEY -r $German_AGE_KEY > meine-datei.age
Auch direkt meinen Key mittels dig auslesen und gleich verschlüsseln ist möglich:
cat meine-datei.txt | age -a -e -r $(dig +short TXT knut.systemtechnics.de | tr -d \") > meine-datei.age
Um den Fingerabdruck zur Authentifizierung im Terminal zu verwenden ist die Bearbeitung der Datei /etc/pam.d/sudo notwendig.
Am einfachsten ist es mit folgenden zwei Zeilen:
sudo su
Es wird nach nach dem Passwort des Administratornutzers gefragt. Nach Eingabe des Passwortes befindet sich das Terminal im „root“-Modus.
Mit dem zweiten Befehl wird in die Datei /etc/pam.d/sudo die Zeile auth sufficient pam_tid.so eingefügt. Evtl. muss der Zugriff in einem Sicherheitsfenter zusätzlich erlaubt werden.
Durch schlecht konfigurierte Router/Firewalls ist es unter Umständen möglich, so genannte „DNS Amplification Attack“ durchzuführen. Dabei werden lokale DNS Server dazu verwendet einen Denial-of-Service-Angriff (DOS) durchzuführen. (Genauer zum nachlesen KLICK)
Ob die eigene IP Adresse für solche Attacken „empfänglich“ ist, kann man unter Linux/OSX einfach mit dem Befehl DIG prüfen.
Die IP Adresse www.xxx.yyy.zzz ist natürlich durch die zu prüfende (eigene) IP-Adresse zu ersetzen. Ist ein offener DNS Vorhanden, dann wird der Text „open resolver detected“ ausgegeben. Wenn die Firewall korrekt arbeitet, dann erscheint eine Fehlermeldung (Siehe Bild)
Man kann natürlich auch Web-Dienste, wie etwa https://openresolver.com/ verwenden, um dies zu prüfen.
In manchen Fällen macht es Sinn, das Backup mit „Duply“ unschlüsselt auf den Backupserver zu sichern. Dazu muss in der entsprechenden Konfigurationsdatei folgendes vorgenommen werden:
GPG_KEY='disabled'
und (hinzufügen von –no-encryption) :
Anschließend werden die zukünftigen Backups unverschlüsselt abgelegt. Die Übertragung sollte natürlich weiterhin mit sftp durchgeführt werden.
Mit dem Modul Python-Paramiko kann man via Python SSH Befehle auf einem anderen Host ausführen lassen. Bei manchen Scripten, wie zum Beispiel Duply, werden neuere Versionen verlangt. Es kommt dann zu folgenden Fehlermeldungen:
/usr/lib/python2.7/dist-packages/paramiko/ecdsakey.py:164: CryptographyDeprecationWarning: Support for unsafe construction of public numbers from encoded data will be removed in a future version. Please use EllipticCurvePublicKey.from_encoded_point
self.ecdsa_curve.curve_class(), pointinfo
/usr/lib/python2.7/dist-packages/paramiko/kex_ecdh_nist.py:39: CryptographyDeprecationWarning: encode_point has been deprecated on EllipticCurvePublicNumbers and will be removed in a future version. Please use EllipticCurvePublicKey.public_bytes to obtain both compressed and uncompressed point encoding.
Abhilfe schafft das Python Modul aus den Buster Backports zu verwenden. Dazu muss entsprechend die sources.list bearbeitet werden.
pico /etc/apt/sources.list
Und eine weitere Zeile (sofern nicht schon vorhanden) hinzugefügt werden:
deb http://ftp.debian.org/debian buster-backports main
Wie immer müssen dann die Sourcen neu geladen werden und anschließend kann man von den Backports das aktuellere Modul installieren.
SMART steht für Self-Monitoring, Analysis and Reporting Technology, zu deutsch: Selbstüberwachung, Analyse und Aufzeichnung. Alle Festplatten prüfen automatisch, ob und wie oft es zum Beispiel zu Lese- und Schreibfehlern gekommen ist oder welche Festplattenbereiche defekt und ausgefallen sind. Die Daten legt die Festplatte im internen SMART-Speicher ab.
Hier (Webfund) mal die wichtigsten Werte und dessen Bedeutung:
Raw_Read_Error_Rate
Anzahl der bislang aufgetretenen Lesefehler. Kritisch: Viele Lesefehler deuten auf einen drohenden Festplattenausfall hin.
Spin_Up_Time
Durchschnittliche Zeit in Millisekunden, bis die Platte die volle Umdrehungsgeschwindigkeit erreicht. Kritisch: Niedrige Werte deuten auf einen Lager- oder Motorschaden hin.
Start_Stop_Count
Anzahl, wie oft der Festplattenmotor eingeschaltet wurde. Unkritisch: Hohe Werte sind unkritisch.
Reallocated_Sector_Ct
Anzahl der bisher genutzten Reservesektoren der Festplatten. Sehr kritisch: Hohe Werte deuten auf einen drohenden Festplattenausfall, da normale Bereiche der Festplatte bereits ausgefallen sind und die Platte auf die Reservesektoren zurückgreifen muss.
Seek_Error_Rate
Anzahl der Positionierungsfehler des Schreib-/Lesekopfs. Kritisch: Hohe oder steigende Werte deuten auf einen drohenden Festplattenausfall.
Seek_Time_Performance
Durchschnittliche Zeit zum Positionieren der Schreib-/Leseköpfe. Kritisch: Niedrige Werte deuten auf ein mechanisches Problem hin.
Power_On_Hours
Bisherige Betriebsdauer der Festplatte in Stunden, bei einigen Festplatten (z.B. Samsung SV1604 N) in Minuten. Kritisch, wenn die Betriebsstunden die vom Hersteller angegebene Lebenserwartung (MTBF, Mean Time Before Failure) erreicht.
Spin_Retry_Count
Anzahl der Startversuche der Festplatte. Kritisch: Hohe oder steigende Werte deuten auf einen drohenden Festplattenausfall aufgrund defekter Lager oder Festplattenmotoren hin.
End-to-End-Error
Anzahl der fehlerhaften Daten, die vom internen Speicher auf die Festplatte geschrieben wurden. Kritisch: Hohe oder steigenden Werte deuten auf einen Festplatten- oder Festplattenspeicherfehler hin.
Temperature_Celsius
Aktuelle Festplattentemperatur. Kritisch, wenn die Temperatur über der vom Hersteller angegebenen Höchsttemperatur (meist 60° C) liegt).
UMDA_CRC_Error_Count
Anzahl der Prüfsummenfehler (Übertragungfehler) bei der Datenübertragung. Kritisch: Hohe Werte deuten auf defekte Kabel, Steckkontakte oder Controller oder fehlerhafte Treiber hin.
Wer unter Windows 10 das WSL ( Windows Subsystem für Linux) installiert hat, der kommt vielleicht mal Idee auf die Dateien direkt zugreifen zu wollen. Dies klappt am einfachsten über die Adressleiste vom Explorer. Dort einmal rein klicken und folgendes eingeben:
\\wsl$\
Es erscheint, sofern ein WSL gestartet ist folgendes Bild:
In dem Unterordner von „Debian“ befindet sich in diesem Fall das Root-Verzeichnis des Linux Systems.
Microsoft empfiehl allerdings nicht direkt von Windows heraus dort zu zugreifen. Bei geöffneten Dateien könnten inkonsistente Zustände vorkommen.
Um diese Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwende ich Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in meiner Datenschutzerklärung.
