Die MZLA Technologies Corporation hat mit Thunderbird 138.0.2 ein Update für seinen Open Source E-Mail-Client veröffentlicht.

Neuerungen von Thunderbird 138.0.2

Mit Thunderbird 138.0.2 hat die MZLA Technologies Corporation ein Update für seinen Open Source E-Mail-Client veröffentlicht. Die neue Version bringt mehrere Fehlerkorrekturen, welche sich in den Release Notes (engl.) nachlesen lassen.

Der Beitrag Thunderbird 138.0.2 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

💾

Rund neun Jahre nach der ersten Ankündigung des Windows Subsystem für Linux gibt Microsoft den Quellcode der Windows-Linux-Integration frei.

Microsoft gibt sein Windows Subsystem für Linux als Open-Source-Projekt frei und lädt die Community zur Entwicklung ein. Jedoch bleiben einige Teile proprietär.

Microsoft hat auf seiner jährlichen Build-Konferenz Dutzende von KI-Tools und -Plattformen vorgestellt, die Entwicklern dabei helfen sollen, autonome Systeme zu entwickeln, die Entscheidungen…

iXsystems setzt künftig auf die GNU/Linux-Variante von TrueNAS. Daher entwickelt die Community die FreeBSD-Version TrueNAS CORE im Fork zVault weiter.

Notizen helfen uns im Alltag, den Überblick zu behalten – ob bei der Arbeit oder privat. Statt zusätzlicher Apps kann man sich mit Nextcloud selbst eine praktische Lösung basteln.

Infrastrukturmonitoring in der Breite vom einzelnen Host über die Cloud bis zur SaaS-Variante und in der Tiefe vom einzelnen Gerät über die Applikationsebene bis zur Benutzersicht -- das verspricht…

Künstliche Intelligenz revolutioniert die IT-Sicherheit auf Linux-Systemen. Sie erkennt Bedrohungen frühzeitig, automatisiert Prozesse und steigert die Effizienz. Doch mit dem Fortschritt entstehen auch neue Risiken: fehleranfällige Modelle, Angriffsflächen und Kontrollverlust. Welche Chancen und Gefahren birgt der KI-Einsatz in sicherheitskritischen Systemen?

Der Beitrag Künstliche Intelligenz in der IT-Sicherheit: Chancen und Risiken für Linux-Systeme erschien zuerst auf Linux Abos.

Microsoft hat das Windows Subsystem for Linux (WSL) offiziell als Open-Source-Projekt veröffentlicht. Der Quellcode steht ab sofort auf GitHub unter Microsoft/WSL bereit. Die Entwickler haben das Projekt dabei in mehrere eigenständige Komponenten unterteilt. Dazu zählen Tools wie wsl.exe, wslg.exe und der zentrale WSL-Dienst. Auch Prozesse für Netzwerkfunktionen und Dateizugriffe gehören nun zur öffentlich einsehbaren Struktur. […]

Der Beitrag Microsoft macht WSL zu Open Source erschien zuerst auf fosstopia.

In Mozillas Browser Firefox sind zwei Sicherheitslücken entdeckt worden, die Angreifer eventuell ausnutzen können, um Schadcode einzuschleusen.

Das GNU-Projekt Taler erreicht die Version 1.0 und kann als Zahlungssystem in der Schweiz eingesetzt werden, wenn sich Geschäfte finden, die es akzeptieren. (Open Source, Datenschutz)

In der Not frisst der Tux Fliegen, doch auch er würde sich gerne einmal eine Pizza gönnen. Dazu ist deine Hilfe nötig. Freie Software braucht deine finanzielle Unterstützung!

Microsoft hat mit Edit einen neuen Befehlszeilen-Texteditor für Windows vorgestellt.

“Digitale Souveränität” ist in den vergangenen Monaten zum großen Trendthema geworden. Mit der Zunahme der geopolitischen Spannungen sowie durch die großen Verschiebungen in der politischen Landschaft der USA ist das Thema ganz oben auf der Agenda. Mittlerweile wird der Begriff jedoch inflationär genutzt. Selbst große US-Technologieunternehmen behaupten, ihre Angebote für Europa seien "digital souverän".

Quelle

Mit dem WSL können diverse Linux-Komponenten direkt in Windows ausgeführt werden. Einige Teile davon bleiben aber Closed Source. (Windows, Virtualisierung)

In Deutschland dominieren bei Künstlicher Intelligenz die kostenlosen Angebote. Nur acht Prozent nutzen aktuell kostenpflichtige KI-Dienste.

Canonical hat die Entwicklungsphase für Ubuntu 25.10 eingeläutet. Unter dem Codenamen Questing Quokka nimmt die nächste reguläre Ubuntu-Version Gestalt an. Als letzte Ausgabe vor dem kommenden LTS-Release (Ubuntu 26.04) bekommt sie eine besondere Rolle im Entwicklungszyklus. Und so sie bringt einige wegweisende Neuerungen mit. Im Mittelpunkt steht der Sprung auf GNOME 49, das eine rundum […]

Der Beitrag Ubuntu 25.10 „Questing Quokka“: GNOME 49, Microsoft-Integration und mehr erschien zuerst auf fosstopia.

Das KDE-Projekt hat die Beta-Version von KDE Plasma 6.4 veröffentlicht. Sie steht ab sofort für alle Interessierten zum Testen bereit. Die neue Ausgabe verspricht viele spürbare Verbesserungen und frische Funktionen. Zu den Highlights zählt ein überarbeiteter Look für das Screenshot-Tool Spectacle. Auch benutzerdefinierte Kachel-Layouts pro virtuellem Desktop sind nun möglich. Zudem erhält der klassische Fenster-Manager […]

Der Beitrag KDE Plasma 6.4: Beta-Version bringt frischen Wind auf den Desktop erschien zuerst auf fosstopia.

Nachdem Google der App Nextcloud die vollen Dateizugriffsrechte entzogen hatte, erhält die Anwendung bald ihre volle Funktionalität zurück. (Nextloud, Google)

Der SSH-Dienst ist ein natürliches Angriffsziel jedes Servers. Klassische Abwehrmaßnahmen zielen darauf aus, den root-Login zu sperren (das sollte eine Selbstverständlichkeit sein) und mit Fail2ban wiederholte Login-Versuche zu blockieren. Eine weitere Sicherheitsmaßnahme besteht darin, den Passwort-Login mit einer Zwei-Faktor-Authentifizierung (2FA) zu verbinden. Am einfachsten gelingt das server-seitig mit dem Programm google-authenticator. Zusätzlich zum Passwort muss nun ein One-time Password (OTP) angegeben werden, das mit einer entsprechenden App generiert wird. Es gibt mehrere geeignete Apps, unter anderem Google Authenticator und Authy (beide kostenlos und werbefrei).

Es gibt verschiedene Konfigurationsoptionen. Ziel dieser Anleitung ist es, parallel zwei Authentifizierungsvarianten anzubieten:

• mit SSH-Schlüssel (ohne 2FA)
• mit Passwort und One-time Password (also mit 2FA)

Grundlagen: sshd-Konfiguration

Vorweg einige Worte zu Konfiguration des SSH-Servers. Diese erfolgt durch die folgenden Dateien:

/etc/ssh/sshd_config
/etc/ssh/sshd_config.d/*.conf
/etc/crypto-policies/back-ends/opensshserver.config  (nur RHEL)

Verwechseln Sie sshd_config nicht mit ssh_config (ohne d) für die Konfiguration des SSH-Clients, also für die Programme ssh und scp! opensshserver.config legt fest, welche Verschlüsselungsalgorithmen erlaubt sind.

Beachten Sie, dass bei Optionen, die in den sshd-Konfigurationsdateien mehrfach eingestellt sind, der erste Eintrag gilt (nicht der letzte)! Das gilt auch für Einstellungen, die am Beginn von sshd_config mit Include aus dem Unterverzeichnis /etc/ssh/sshd_config.d/ gelesen werden und die somit Vorrang gegenüber sshd_config haben.

Werfen Sie bei Konfigurationsproblemen unbedingt auch einen Blick in das oft übersehene sshd_config.d-Verzeichnis und vermeiden Sie Mehrfacheinträge für ein Schlüsselwort!

Weil die Dateien aus /etc/ssh/sshd_config.d/ Vorrang gegenüber sshd_config haben, besteht eine Konfigurationsstrategie darin, sshd_config gar nicht anzurühren und stattdessen alle eigenen Einstellungen in einer eigenen Datei (z.B. sshd_config.d/00-myown.conf) zu speichern. 00 am Beginn des Dateinamens stellt sicher, dass die Datei vor allen anderen Konfigurationsdateien gelesen wird.

Überprüfen Sie bei Konfigurationsproblemen mit sshd -T, ob die Konfiguration Fehler enthält. Wenn es keine Konflikte gibt, liefert sshd -T eine Auflistung aller aktuell gültigen Einstellungen. Die Optionen werden dabei in Kleinbuchstaben angezeigt. Mit grep -i können Sie die für Sie relevante Einstellung suchen:

sshd -T | grep -i permitro

  permitrootlogin yes

Änderungen an sshd_config werden erst wirksam, wenn der SSH-Server die Konfiguration neu einliest. Dazu führen Sie das folgende Kommando aus:

systemctl reload sshd       # RHEL
systemctl reload ssh        # Debian, Ubuntu

google-authenticator einrichten

Google Authenticator bezeichnet zwei unterschiedliche Programme: einerseits die App, die sowohl für iOS als auch für Android verfügbar ist, andererseits ein Linux-Kommando, um die 2FA auf einem Linux-Server einzurichten. Während der Code für die Smartphone-Apps nicht öffentlich ist, handelt es sich bei dem Linux-Kommando um Open-Source-Code. Das resultierende Paket steht für RHEL-Distributionen in der EPEL-Paketquelle zur Verfügung, bei Ubuntu in universe.

dnf install google-authenticator qrencode   # RHEL + EPEL
apt install libpam-google-authenticator     # Debian, Ubuntu

Nach der Installation führen Sie für den Account, als der Sie sich später via SSH anmelden möchten (also nicht für root), das Programm google-authenticator aus. Nachdem Sie den im Terminal angezeigten QR-Code gescannt haben, sollten Sie zur Kontrolle sofort das erste OTP eingeben. Sämtliche Rückfragen können Sie mit y beantworten. Die Rückfragen entfallen, wenn Sie das Kommando mit den Optionen -t -d -f -r 3 -R 30 -W ausführen. Das Programm richtet die Datei .google-authenticator im Heimatverzeichnis ein.

user$ google-authenticator
  Do you want authentication tokens to be time-based (y/n)
  Enter code from app (-1 to skip): nnnnnn
  Do you want me to update your .google_authenticator file? (y/n)
  Do you want to disallow multiple uses of the same
    authentication token? (y/n)
  ...

SSH-Server-Konfiguration

Das nächste Listing zeigt die erforderlichen sshd-Einstellungen. Mit der Methode keyboard-interactive wird PAM für die Authentifizierung verwendet, wobei auch eine mehrstufige Kommunikation erlaubt ist. Die ebenfalls erforderliche Einstellung UsePAM yes gilt bei den meisten Linux-Distributionen standardmäßig. Am besten speichern Sie die folgenden Zeilen in der neuen Datei /etc/ssh/sshd_config.d/00-2fa.conf. Diese wird am Beginn der sshd-Konfiguration gelesen und hat damit Vorrang gegenüber anderen Einstellungen.

# Datei /etc/ssh/sshd_config.d/00-2fa.conf
UsePAM                           yes
PasswordAuthentication           yes
PubkeyAuthentication             yes
ChallengeResponseAuthentication  yes
# Authentifizierung wahlweise nur per SSH-Key oder
# mit Passwort + OTP
AuthenticationMethods            publickey keyboard-interactive

PAM-Konfiguration

Der zweite Teil der Konfiguration erfolgt in /etc/pam.d/sshd. Am Ende dieser Datei fügen Sie eine Zeile hinzu, die zusätzlich zu allen anderen Regeln, also zusätzlich zur korrekten Angabe des Account-Passworts, die erfolgreiche Authentifizierung durch das Google-Authenticator-Modul verlangt:

# am Ende von /etc/pam.d/sshd (Debian, Ubuntu)
...
# Authenticator-Zifferncode zwingend erforderlich
auth required pam_google_authenticator.so

Alternativ ist auch die folgende Einstellung mit dem zusätzlichen Schlüsselwort nullok denkbar. Damit akzeptieren Sie einen Login ohne 2FA für Accounts, bei denen Google Authenticator noch nicht eingerichtet wurde. Sicherheitstechnisch ist das natürlich nicht optimal — aber es vereinfacht das Einrichten neuer Accounts ganz wesentlich.

# am Ende von /etc/pam.d/sshd (Debian, Ubuntu)
...
# Authenticator-Zifferncode nur erforderlich, wenn 
# Google Authenticator für den Account eingerichtet wurde
auth required pam_google_authenticator.so nullok

Wenn Sie RHEL oder einen Klon verwenden, sieht die PAM-Konfiguration ein wenig anders aus. SELinux verbietet dem SSH-Server Zugriff auf Dateien außerhalb des .ssh-Verzeichnisses. Deswegen müssen Sie die Datei .google-authenticator vom Home-Verzeichnis in das Unterverzeichnis .ssh verschieben. restorecon stellt sicher, dass der SELinux-Kontext für alle Dateien im .ssh-Verzeichnis korrekt ist.

user$ mv .google-authenticator .ssh/    (nur unter RHEL!)
user$ restorecon .ssh

In der Zeile auth required übergeben Sie nun als zusätzliche Option den geänderten Ort von .google-authenticator. Falls Sie die nullok-Option verwenden möchten, fügen Sie dieses Schlüsselwort ganz am Ende hinzu.

# am Ende von /etc/pam.d/sshd (RHEL & Co.)
...
auth required pam_google_authenticator.so secret=/home/${USER}/.ssh/.google_authenticator

Test und Fehlersuche

Passen Sie auf, dass Sie sich nicht aus Ihrem Server aussperren! Probieren Sie das Verfahren zuerst in einer virtuellen Maschine aus, nicht auf einem realen Server!

Vergessen Sie nicht, die durchgeführten Änderungen zu aktivieren. Vor ersten Tests ist es zweckmäßig, eine SSH-Verbindung offen zu lassen, damit Sie bei Problemen die Einstellungen korrigieren können.

sshd -T                   # Syntaxtest
systemctl reload sshd     # RHEL
systemctl reload ssh      # Debian + Ubuntu

Bei meinen Tests hat sich die Google-Authenticator-Konfiguration speziell unter RHEL als ziemlich zickig erwiesen. Beim Debugging können Sie client-seitig mit ssh -v, server-seitig mit journalctl -u sshd nach Fehlermeldungen suchen.

Die Anwendung von Google Authenticator setzt voraus, dass die Uhrzeit auf dem Server korrekt eingestellt ist. Die One-Time-Passwords gelten nur in einem 90-Sekunden-Fenster! Das sollten Sie insbesondere bei Tests in virtuellen Maschinen beachten, wo diese Bedingung mitunter nicht erfüllt ist (z.B. wenn die virtuelle Maschine pausiert wurde). Stellen Sie die Zeit anschließend neu ein, oder starten Sie die virtuelle Maschine neu!

Was ist, wenn das Smartphone verlorengeht?

Für den Fall, dass das Smartphone und damit die zweite Authentifizierungsquelle verlorengeht, zeigt das Kommando google-authenticator bei der Ausführung fünf Ziffernfolgen an, die Sie einmalig für einen Login verwendet können. Diese Codes müssen Sie notieren und an einem sicheren Ort aufbewahren — dann gibt es im Notfall einen »Plan B«. (Die Codes sind auch in der Datei .google_authenticator enthalten. Auf diese Datei können Sie aber natürlich nicht mehr zugreifen, wenn Sie keine Login-Möglichkeit mehr haben.)

Die App Google Authenticator synchronisiert die 2FA-Konfiguration automatisch mit Ihrem Google-Konto. Die 2FA-Konfiguration kann daher auf einem neuen Smartphone rasch wieder hergestellt werden. Schon eher bereitet Sorge, dass nur die Kenntnis der Google-Kontodaten ausreichen, um Zugang zur 2FA-Konfiguration zu erhalten. Die Cloud-Synchronisation kann in den Einstellungen gestoppt werden.

Auch Authy kann die 2FA-Konfiguration auf einem Server der Firma Twilio speichern und mit einem weiteren Gerät synchronisieren. Anders als bei Google werden Ihre 2FA-Daten immerhin mit einem von Ihnen zu wählenden Passwort verschlüsselt. Mangels Quellcode lässt sich aber nicht kontrollieren, wie sicher das Verfahren ist und ob es den Authy-Betreibern Zugriff auf Ihre Daten gewährt oder nicht. 2024 gab es eine Sicherheitspanne bei Twilio, bei der zwar anscheinend keine 2FA-Daten kompromittiert wurden, wohl aber die Telefonnummern von 35 Millionen Authy-Benutzern.

Sicherheits- und Privacy-Bedenken

Authenticator-Apps funktionieren prinzipiell rein lokal. Weder der beim Einrichten erforderliche Schlüssel bzw. QR-Code noch die ständig generierten Einmalcodes müssen auf einen Server übertragen werden. Die Apps implementieren den öffentlich standardisierten HMAC-based One-Time Password Algorithmus (OATH-HOTP).

Allerdings bieten einige OTP-Apps die Möglichkeit, die Account-Einträge über ein Cloud-Service zu sichern (siehe oben). Diese Cloud-Speicherung ist eine mögliche Sicherheitsschwachstelle.

Davon losgelöst gilt wie bei jeder App: Sie müssen der Firma vertrauen, die die App entwickelt hat. Der Code der App Google Authenticator war ursprünglich als Open-Source verfügbar, seit 2020 ist das leider nicht mehr der Fall. Wenn Sie weder Google Authenticator noch Authy vertrauen, finden Sie im Arch Linux Wiki Links zu Apps, deren Code frei verfügbar ist.

Quellen, Links

• https://de.wikipedia.org/wiki/Google_Authenticator
• https://de.wikipedia.org/wiki/HMAC-based_one-time_password
• https://www.authy.com/
• https://wiki.archlinux.org/title/Google_Authenticator
• https://9to5mac.com/2024/07/04/authy-hack/
• https://security.googleblog.com/2023/04/google-authenticator-now-supports.html
• https://futurezone.at/apps/google-authenticator-update-2-factor-authentification-cloud-synchronisierung-google-konto/402425360

Nach den erfolgreichen APELL-Konferenzen in Toulouse, Helsinki und Berlin lädt der europäische Open Source-Dachverband, in dem auch die OSBA Mitglied ist, zum ersten Mal nach Warschau ein.

Quelle

Die EU-Kommission plant eine Reform des EU-Vergaberechts, hierfür sollen die entsprechenden europäischen Vergabe-Richtlinien („Public Procurement Directives“) überarbeitet werden. In einem ersten Schritt hat die EU-Kommission die Öffentlichkeit dazu aufgerufen, im Rahmen eines Evaluationsverfahrens Stellungnahmen abzugeben. Die Working Group Beschaffung in der Open Source Business Alliance (OSBA) hat im Rahmen dieser Evaluation eine Stellungnahme abgegeben.

Quelle

Unter dem etablierten Markennamen Codex, unter dem zuvor für das Modell zur Code-Vervollständigung firmierte, das einst in GitHub Copilot verbaut war, veröffentlicht OpenAI nun als…

Die wenigsten Entwickler dürften die Unterschiede zwischen bestimmten Unicode-Zeichen zuverlässig erkennen. Gerade auf Github ist das ein Problem. (Softwareentwicklung, Sicherheitslücke)