Wenn man Dateien in die Cloud überträgt, sollte man die Daten verschlüsseln. Mit GoCryptFS werden die Inhalte und Dateinamen verschlüsselt.
Die Anwendung ist schnell installiert.
sudo apt install gocryptfs
Jetzt sollte GoCryptFS arbeiten.
gocryptfs -version
Wir legen zwei Verzeichnisse für die Daten an.
mkdir cipher plain
Zuerst müssen wir die Verschlüsslung initialisieren.
Wir möchten unsere SSH Zugang mit einer Zwei Faktor Authentifizierung absichern.
Zur Erzeugung des zweiten Faktor verwenden wir ein Smartphone mit der App FreeOTP oder Google Authenticator. Diese Apps generieren ein Token, welcher nur für eine bestimmte Zeit gültig ist. Damit wir der SSH Zugang zusätzlich abgesichert.
Zuerst müssen wir das SSH Modul für Google Authenticator installieren.
sudo apt install libpam-google-authenticator
Jetzt müssen wir den Server mit der App verbinden. Dazu rufen wir die Anwendung als Benutzer auf.
google-authenticator
Den QS Code können wir mit dem Smartphone in der App Google Authenticator einlesen. Die Emergency Codes sollten wir uns an einem sicheren Ort speichern.
Die Frage können wir mit Yes, Yes, Yes, No, Yes beantworten.
Do you want authentication tokens to be time-based (y/n) y Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y The app provides you with a secret key, verification code, and recovery codes. Keep these in a secure, safe location. The recovery codes are the only way to access your server if you lose your mobile phone. Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y By default, tokens are good for 30 seconds. In order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. If you experience problems with poor time synchronization, you can increase the window from its default size of +-1min (window size of 3) to about +-4min (window size of 17 acceptable tokens). Do you want to do so? (y/n) n If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n) y |
Das PAM Modul muss noch konfiguriert werden.
sudo vim /etc/pam.d/sshd
Ende der Datei fügen wir eine Zeile hinzu.
auth required pam_google_authenticator.so |
In den Einstellungen vom SSH-Server müssen ggf. noch Einstellunge geändert werden.
sudo vim /etc/ssh/sshd_config
Prüfen Sie ob diese Werde gesetzt sind.
ChallengeResponseAuthentication yes PasswordAuthentication no |
Nach dem Neustart vom SSH-Server sollte die Zwei Faktor Authentifizierung arbeiten.
sudo systemctl restart sshd.service
Man kann den Status eines Apache Server per Kommandozeile abfragen.
apachectl status
Dabei erhalten Sie jedoch diese Fehlermeldung:
/usr/sbin/apachectl: 113: /usr/sbin/apachectl: www-browser: not found 'www-browser -dump http://localhost:80/server-status' failed. Maybe you need to install a package providing www-browser or you need to adjust the APACHE_LYNX variable in /etc/apache2/envvars |
Um den Fehler zu beheben, müssen wir noch ein Text-Browser installieren.
sudo apt install w3m
Wenn die Namensauflösung mit Systemd nicht richtig funktioniert, dann muss man vielleicht einen Resolver manuelle einrichten.
Zuerst legen wird das Verzeichnis an.
sudo mkdir /etc/systemd/resolved.conf.d/
Jetzt hinterlegen wird den DNS Resolver.
sudo vim /etc/systemd/resolved.conf.d/dns_servers.conf
[Resolve] DNS=1.1.1.1 8.8.8.8 DNSSEC=true DNSOverTLS=opportunistic |
Nach einem Neustart von Systemd-resolver sollte die Namensauflösung wieder funktionieren.
sudo systemctl restart systemd-resolved
Jetzt kann der DNSSEC Test beginnen.
systemd-resolve sigok.verteiltesysteme.net
Für weitere Abfragen kann man das Tool „dig“ installieren.
sudo apt-get install dnsutils
Mit diesem Tool ist die Ausgabe der Signaturen von Localhost (127.0.0.1) von Port 53 (DNS) möglich.
dig -p 53 @127.0.0.1 com. SOA +dnssec
Ein DNSSEC Beispiel für die Abfrage vom Cloudflare DNS (1.1.1.1).
dig @1.1.1.1 whois.arin.net SOA +dnssec
Wir wollen die Sprache von Englisch auf Deutsch in Ubuntu oder Debian ändern.
Dazu installieren wird die Sprachen.
sudo apt install locales
Wir können uns die aktuellen Einstellung ansehen.
locale -a
Sollte die Sprache „Deutsch“ mit UTF-8 nicht nicht erzeugt sein, so sollten wir es jetzt vornehmen.
sudo locale-gen de_DE.UTF-8
Die Einstellungen für die Sprache können wir mit einem grafischen Tool einfach ändern.
sudo dpkg-reconfigure locales
Nach der Umstellung sollten nur Einträg welche ausgewählt wurden in der Datei enthalten sein.
cat /etc/locale.gen
de_DE.UTF-8 UTF-8 |
Für unsere Umgebung müssen wir ggf. noch die Einstellungen hinterlegen.
sudo vim /etc/default/locale
LANG=de_DE.UTF-8 LANGUAGE=de_DE.UTF-8 LC_MESSAGES=de_DE.UTF-8 |
sudo vim /etc/environment
LC_ALL=de_DE.UTF-8 LANG=de_DE.UTF-8 |
Nach dem Update sollten alle Einstellung wie Datum und Währung und Sprache auf Deutsch umgestellt sein.
sudo update-locale
Sollten zu viele Sprachen installiert sein, sollte die Einträge im Verzeichnis /var/lib/locales/supported.d/local/ überprüfen.
Überflüssige Sprachen können entfernt werden und im Anschluss neu generiert werden.
sudo locale-gen
Diese Anleitung funktioniert mit Debian und Ubuntu.
Für den Zugriff von PHP7.2 auf eine MongoDB 4.2 Datenbank braucht man einen Client Treiber. Die Installation unter Ubuntu Server 18.04 LTE möchte ich hier beschreiben.
1. Pakete installieren
sudo apt install php-pear php7.2-dev
2. Treiber MongoDB installieren
sudo pecl install mongodb
3. Konfigurationsdatei erstellen
sudo sh -c 'echo "extension=mongodb.so" > /etc/php/7.2/mods-available/mongodb.ini'
4. Konfiguration aktivieren
sudo phpenmod mongodb
Durch die Verwendung von HTTP/2 wird die Verbindung bei SSL/TSL Verbindungen stark beschleudingt. Wir müssen den Apache2 für die Verwendung von HTTP/2 umstellen.
Hinweis: Das Modul mod_php verwendet das Prozessmodul mpm_prefork. Um das Protokoll HTTP/2 zu verwenden, müssen wir auf das Prozessmodul mpm_event mit FastCGI umstellen.
Die Installation von Apache2 und PHP7.2 erfolgt unter Ubuntu 18.04 wie folgt.
sudo apt install apache2 php7.2
Nach der Installation läuft der Apache mit Prefork als Prozessmodul. Für HTTP/2 brauchen wir das Prozessmodul Event.
Zuerst deaktivieren wir MPM Prefork und das Modul von PHP.
sudo a2dismod php7.2
sudo a2dismod mpm_prefork
Jetzt aktivieren das MPM Event Prozessmodul mit FastCGI.
sudo a2enmod mpm_event proxy_fcgi setenvif
Wir möchten PHP mit FastCGI verwenden und installier es jetzt.
sudo apt install php7.2-fpm
sudo a2enconf php7.2-fpm
PHP läuft als extra Dienst, welche wir aktivieren und starten.
sudo systemctl start php7.2-fpm
sudo systemctl enable php7.2-fpm
Nach dem Neustart von Apache sollte PHP wieder laufen.
sudo systemctl restart apache2
Für HTTP/2 aktivieren wir das Modul.
sudo a2enmod http2
Damit unsere Webseite das Protokoll HTTP/2 verwendet, müssen wir es in der Konfiguration hinterlegen.
sudo vim /etc/apache2/sites-enabled/your-host-ssl.conf
<VirtualHost *:443>
Protocols h2 http/1.1
SSLEngine On
... |
Nach einem Neustart von Apache sollte das Protokoll HTTP/2 funktionieren.
sudo systemctl restart apache2
Den Funktionstest kann man mit dem Curl Tool durchführen. Hier am Beispiel von Google.
curl -k -v --http2 https://www.google.com/
Sollte es zu Problemen mit der Anzahl der Theads kommen, kann man die Anzahl begrenzen.
sudo vim /etc/apache2/mods-enabled/http2.load
H2MinWorkers 1 H2MaxWorkers 1 |
Das Protokoll HTTP/2 ermöglich auch das Vorrausladen (Preload) von Inhalten. Hier ein Beispiel für WordPress als Header.
Header add Link "</wp-content/themes/twentyseventeen/style.css>;rel=preload" Header add Link "</wp-includes/js/jquery/jquery.js>;rel=preload" Header add Link "</wp-includes/js/jquery/jquery-migrate.min.js>;rel=preload" Header add Link "</wp-includes/js/wp-embed.min.js>;rel=preload" |
In dem Raspbian Image ist Exim4 enthalten und muss für den Versand noch konfiguriert werden.
sudo dpkg-reconfigure exim4-config
Die Einstellung erfolgen Grafisch. Hier die Vorgaben für einem SMTP Relay (192.168.10.123) ohne Authentifizierung.
„Versand über Sendezentrale (Smarthost); keine lokale E-Mail-Zustellung“
E-Mail-Name des Systems: raspberrypi
IP-Adressen, an denen eingehende SMTP-Verbindungen erwartet werden: 127.0.0.1 ; ::1
Weitere Ziele, für die E-Mails angenommen werden sollen: raspberrypi
Sichtbarer Domänenname für lokale Benutzer: domain.com
IP-Adresse oder Rechnername der Sendezentrale für ausgehende E-Mails: 192.168.10.123
DNS-Anfragen minimieren (Automatische Einwahl, Dial-on-Demand)? Nein
Einstellungen auf kleine Dateien aufteilen? Nein
Empfänger der E-Mails an die Benutzer root und postmaster: pi
Jetzt ist der Versand per Mail möglich.
Ja, der Zugriff auf die Linux Bash ist per Browser (Firefox / IE / Chrome) möglich.
Das Programm mit dem Namen Shell in a Box ermöglicht den Zugriff auf das Terminal. Die Installation ist ganz einfach möglich.
sudo apt install shellinabox
Nach der Installation läuft der Dienst automatisch.
sudo systemctl status shellinabox
Der Dienst läuft under der Url https://hostname:4200/ mit Port 4200.
Quelle: UbuntuUsers, Github
Ziel ist es einen Raspberry Pi Zero W (also mit WLAN) ohne Monitor und Tastatur zu installieren.
Zuerst laden wir uns das Betriebssystem ist Rasbian Lite auf unseren PC.
Der Download ist als ZIP-Datei möglich.
Nach dem Entpacken kann man die Datei auf Windows per Win32DiskImager auf eine SD Karte übertragen.
Für Linux gibt es eine Anleitung.
Die ZIP-Datei entpacken und das Image auf eine SD Karte übertragen.
unzip -p 2018-06-27-raspbian-stretch-lite.zip | sudo dd of=/dev/mmcblk0 bs=4M conv=fsync
Nach dem Übertragen müssen wir noch das WLAN und SSH einrichten, damit wir Headless sofort den Raspberry Pi Zero W starten können.
Wir entfernen die SD Karte und stecken die Karte wieder in den PC. Bei vielen Betriebssystem erfolgt das Mounten automatisch.
Auf der SD Karte gibt es zwei Partitionen (boot/root).
Die Boot Partition hat das vfat Format, die Root Partition das ext4 Format.
Die WLAN Einstellungen (SSID, Passwort) werden in der Root Partition hinterlegt.
sudo vim /media/user/rootfs/etc/wpa_supplicant/wpa_supplicant.conf
network={ ssid="WLAN-SSID" psk="WLAN-PASSWORT" } |
Für den automatisch start des SSH Server müssen wir eine leere Datei in der Boot Partition erstellen.
touch /media/user/boot/ssh
Jetzt können wir die SD Karte in den Raspberry Pi Zero W stecken und starten. Monitor und Tastatur ist nicht notwendig.
Jetzt können wir uns per SSH zu dem Paspberry Pi verbinden. Das Kennwort für den Benutzer „pi“ lautet „raspberry“.
ssh pi@192.168.10.123
Mit dem Tool Raspi-Config können wir weitere Einstellungen vornehmen.
sudo raspi-config
Diese Punkte sollten wir ändern.
– Change User Password
– Network Options / Hostname
– Localisation Options / Change Locale
– Localisation Options / Timezone
– Localisation Options / Keyboard Layout
– Localisation Options / Wi-fi Country
Die Pakete sollte man aktualisieren.
sudo apt update
sudo apt dist-upgrade
Die Tools (htop, iotop, iftop und vim) finde ich sehr sinnvoll.
sudo apt install vim htop iotop iftop
Optional kann man diese Installationen entfernen.
sudo apt remove --purge cron logrotate triggerhappy dphys-swapfile fake-hwclock samba-common sudo apt autoremove --purge |
Will man die Lebenszeit der SD Karte verlängern und Fehler bei einem Spannungsverlust vorbeugen, sollte man die Schreibvorgänge auf die Karte unterbinden.
Auf das Swap File sollte wir deshalb verzichten.
sudo systemctl stop dphys-swapfile
sudo systemctl disable dphys-swapfile
sudo rm /var/swap
Die Partitionen können wir auf Read Only (ro) setzen und die Log-Dateien in dem RAM schreiben.
sudo vim /etc/fstab
proc /proc proc defaults 0 0 PARTUUID=xxxx-01 /boot vfat ro,defaults 0 2 PARTUUID=xxxx-02 / ext4 ro,defaults,noatime 0 1 # a swapfile is not a swap partition, no line here # use dphys-swapfile swap[on|off] for that tmpfs /var/log tmpfs nosuid,nodev,noexec,mode=0755,size=64M 0 0 |
Das Verzeichnis /tmp wird auch im RAM angelegt. Für Systemd gibt es schon ein Mount, welches wir aktivieren.
sudo ln -s /usr/share/systemd/tmp.mount /etc/systemd/system/ sudo systemctl enable tmp.mount sudo systemctl start tmp.mount |
Einige Dienste schreiben Informationen auf das Dateisystem. Das ermöglichen wir, indem die Ordner auf das Verzeichnis /tmp zeigen.
sudo rm -rf /var/lib/dhcp/ /var/tmp /var/spool /var/lock /var/cache/unbound/resolvconf_resolvers.conf sudo ln -s /tmp /var/lib/dhcp sudo ln -s /tmp /var/spool sudo ln -s /tmp /var/lock sudo ln -s /tmp /var/tmp sudo ln -s /tmp/resolv.conf /etc/resolv.conf sudo ln -s /tmp/resolvconf_resolvers.conf /var/cache/unbound/resolvconf_resolvers.conf |
Die automatischen Jobs sollten wir deaktivieren. Dazu entziehen wir Ihnen einfach die Execute Rechte.
sudo chmod -x /etc/{cron.hourly,cron.daily,cron.weekly,cron.monthly}/*
Der Dienst Sshd möchte gerne in Datei /var/log/lastlog schreiben. Diese Datei müssen wir nach einem Neustart in /var/log anlegen.
sudo vim /etc/rc.local
touch /var/log/lastlog /var/spool/rsyslog chgrp utmp /var/log/lastlog chmod 664 /var/log/lastlog bash -c 'mkdir -p /var/log/{apache2,fsch,apt,ConsoleKit,watchdog}' |
Das Jounal von Systemd schreibt Daten in /var/log/jounal/. Das müssen wir umstellen auf die Speicherung im RAM Speicher.
sudo vim /etc/systemd/journald.conf
[Journal] Storage=volatile ## stored only in memory Compress=yes |
Nach dem Neustart ist die SD Karte schreibgeschützt und kann durch einen Stromausfall
nicht mehr beschädigen werden.
sudo reboot
Der Re-Mount als Read-Write ist zur Lautzeit möglich.
sudo mount -o remount,rw /dev/mmcblk0p1 /boot
sudo mount -o remount,rw /dev/root /
Copyright © 2024 Weiter.info
Theme von Anders Norén — ↑ ↑