Der Spezialist für Enterprise-File-Sharing ermöglicht Ende-zu-Ende-Verschlüsselung mit Hardwareunterstützung. Das E2EE-Plug-in verschlüsselt und entschlüsselt direkt im Webbrowser. Das Outlook-Plug-in vereinfacht den Versand verschlüsselter Dateien.
Das von der NSA entwickelte Reverse-Engineering-Tool Ghidra ist auch bei der CIA und anderen US-Behörden im Einsatz. Seine Existenz wurde 2017 durch die von Wikileaks veröffentlichte Dokumentensammlung Vault7 bekannt.
re:ClaimID steht als Open-Source-Software bereit. Der Dienst ist über den Standard OpenID Connect in Webseiten zu integrieren. Die dezentrale Architektur vermeidet die Risiken, die mit der Nutzung zentraler Identitätsprovider verbunden sind.
Letzte Woche kam ein Kollege auf mich zu, der ein paar individuelle Anpassungen für seinen Rechner im Klassenraum haben wollte. Es waren alles Dinge, die man recht schnell in den Systemeinstellungen einstellen konnte, doch wenn man das nach jedem Start machen muss, stört es schon. Es musste also eine Lösung her, wie man diese Dinge über die Kommandozeile lösen kann, damit wir die gewünschten Änderungen in ein Skript packen können, welches dann bei Anmelden ausgeführt wird. Deshalb hier ein paar kleine Tipps für die Kommandozeile.
In unserem Ubuntu-Image ist der Ton standardmäßig stumm geschaltet. Das macht in den meisten Fällen Sinn – v.a. im Computerraum. In manchen Räumen, z.B. im Musikraum oder auch allgemein an den Lehrkraftrechnern, wäre es benutzerfreundlicher, wenn der Ton automatisch eingeschaltet wird. Das geht mit folgendem Befehl:
# Ton einschalten $ pactl set-sink-mute 0 0
Möchte man den Ton wieder stumm schalten, muss die letzte Null durch eine „1“ ersetzt werden:
# Ton stumm schalten $ pactl set-sink-mute 0 1
In den meisten Räumen wird standardmäßig der Bildschirm gespiegelt, sobald ein Beamer oder Bildschirm über den HDMI-Switch angeschlossen wird. Im konkreten Fall nutzt der Kollege den Rechner in „seinem“ Raum mehr oder weniger allein und er wollte gern ein Setup mit einem erweiterten Bildschirm. Ubuntu platziert allerdings den Launcher / Starter standardmäßig auf dem Bildschirm mit der größeren Auflösung. Hier brauchten wir eine Lösung, wie man den primären Bildschirm per Kommandozeile umstellen kann, sodass der Hauptbildschirm der Monitor am Lehrertisch ist. Das lässt sich leicht mit xrandr lösen.
$ xrandr --output DVI-0 --primary
DVI-0 ist der Ausgang, an dem der Monitor auf dem Lehrertisch hängt. Über xrandr -q kann man sich alle verfügbaren Anschlüsse anzeigen lassen.
Eigentlich geht es weniger um die Geschwindigkeit, als um die Beschleunigung des Mauszeigers. Wie kann man die Geschwindigkeit des Mauszeigers per Kommandozeile einstellen? Es gibt verschiedene Wege z.B. mit xset oder xinput. Wir haben uns über den Weg mit xinput entschieden. Allgemein kann man die Eigenschaften eines Eingabegerätes wie folgt einstellen:
$ xinput --set-prop Geräte-ID Eigenschafts-ID Wert
Die Geräte-ID bekommen wir indem wir xinput ohne Parameter oder mit --list ausführen. Hier im Beispiel ist eine kabellose Maus angeschlossen.
Als nächstes brauchen wir noch die richtige Eigenschaft-ID. Diese bekommen wir über folgenden Befehl heraus („9“ ist unsere Geräte-ID):
$ xinput --list-props 9
Um die Beschleunigung der Maus einzustellen, müssen wir den Wert bei Accel Speed (Eigenschaft-ID ist 290) verändern. Es sind Werte zwischen -1 und +1 zugelassen. Um z.B. die Mausbeschleunigung zu verlangsamen, können wir das mit diesem Befehl tun:
$ xinput --set-prop 9 290 -1
Alle diese kleinen Änderungen haben wir in ein Skript gepackt und dann per Postsync an den entsprechenden Rechner verteilt. Diese Flexibilität, die Ubuntu oder in unserem Fall linuxmuster.net bietet, ist eines der Hauptargumente, warum wir es einsetzen.
Welche netten und nützlichen Tipps für die Kommandozeile kennst du?
Der Beitrag Stumm schalten, Maus und primärer Bildschirm – Tipps für die Kommandozeile erschien zuerst auf .:zefanjas:..
pfSense hat seit einigen Versionen eine völlig überarbeitete Oberfläche. Damit lassen sich alle Einstellungen i.d.R. gut erreichen und einstellen. Das frei konfigurierbare Dashboard ist ebenfalls eine feine Sache. Trotz allem gibt es manchmal den Fall, dass man Einstellungen gern über eine API oder die Kommandozeile vornehmen möchte. pfSense hat aktuell keine API, diese soll erst in einer der kommenden Versionen integriert werden. Bis dahin kann man sich über die pfSense Entwickler-Shell behelfen, auch pfSsh.php genannt.
Am schnellsten kommt man in die Entwickler-Shell, wenn man sich per SSH mit pfSense verbindet oder direkt einen Bildschirm an die Firewall anschließt. Wenn SSH noch nicht aktiviert ist, kann man das in der Weboberfläche unter System → Advanced nachholen.
Besser ist es, wenn man das Einloggen mit Passwort verbietet und nur das Anmelden mit Zertifikat erlaubt.
Ist der SSH-Zugang aktivert, kann man sich nun mit dem Admin-Benutzer anmelden (IP anpassen):
$ ssh admin@192.168.1.254
Unter Punkt 12 findet man die Entwickler-Shell, die im Grunde eine PHP-Shell ist.
Hier einige Beispielbefehle, die zeigen sollen, wie man die Shell verwenden kann. Jede Eingabe ist normaler PHP Code und muss mit exec; abgeschlossen werden.
AnmeldenpfSense shell: print_r($config["dhcpd"]);
pfSense shell: exec;
Array
(
[lan] => Array
(
[range] => Array
(
[from] => 10.0.1.7
[to] => 10.0.255.245
)
)
)
pfSense shell: $config['system']['domain'] = 'mydomain.com'; pfSense shell: write_config(); pfSense shell: exec;
Innerhalb der PHP Shell kann man auch normale Shell-Befehle ausführen, indem man ein „!“ davor setzt:
pfSense shell: ! cat /etc/version pfSense shell: exec; 2.4.3-RELEASE
Mit pfSsh.php kann man auch mehrere Befehle „aufnehmen“ und später „abspielen“. Diese sogenannten Sessions sind für wiederkehrende Aufgaben nützlich. Ein Beispiel:
pfSense shell: record echoTest Recording of echoTest started. pfSense shell: echo "Das\n"; pfSense shell: echo "ist\n"; pfSense shell: echo "ein\n"; pfSense shell: ! echo "Test\n" pfSense shell: exec; pfSense shell: stoprecording Recording stopped.
Die Eingaben werden unter /etc/phpshellsessions/ gespeichert und können dort bei Bedarf verändert werden.
Die „Aufnahme“ kann man nun wie folgt wiedergeben:
pfSense shell: playback echoTest Playback of file echoTest started. Das ist ein Test pfSense shell:
oder auch direkt von der root-Shell mit:
$ pfSsh.php playback echoTest
pfSsh.php ist ein nützliches Werkzeug, um pfSense mit Skripten zu automatisieren oder Anpassungen vorzunehmen. Gerade, wenn man mehrere Instanzen verwaltet oder ein bestimmtes Setup immer wieder braucht, ist pfSsh.php eine große Hilfe. Man kann z.B. alle Einstellung (sprich PHP-Code) in eine Datei packen, unter /etc/phpshellsessions/ speichern und dann ausführen oder direkt die Ausgabe an pfSsh.php weiterleiten:
$ ssh admin@192.168.1.254 '/usr/local/sbin/pfSsh.php' < MeineConfig.txt
Der Beitrag pfSense automatisieren mit pfSsh.php erschien zuerst auf .:zefanjas:..
An unserer Schule haben wir ein offenes WLAN mit einem Captive Portal sowie ein weiteres WLAN-Netz (WPA Enterprise, 802.1X), welches nur für Lehrkräfte gedacht ist. Für beide Netze nutzen wir einen RADIUS-Server für die Authentifizierung. Freeradius ist der am weitesten verbreitete OpenSource RADIUS-Server, der auch bei uns zum Einsatz kommt. In diesem Artikel wollen wir einen Freeradius-Server und Zertifikate für eine verschlüsselte Verbindung einrichten. Im Besonderen möchte ich auf die Anbindung an Linuxmuster 6.2 eingehen und die Authentifizierung mit einem LDAP-Server beschreiben.
Ein RADIUS-Server kümmert sich im Allgemeinen um 3 Dinge: Authentifizierung, Autorisierung und Accounting (oft auch als Triple-A oder AAA bezeichnet). Wir werden uns nur mit den ersten beiden „As“ beschäftigen, d.h. ob die Zugangsdaten korrekt sind und ob der Benutzer berechtigt ist, einen Zugang zu erhalten (zum WLAN z.B.).
Die Installation führen wir auf einer aktuellen Linux-Installation (hier Ubuntu 18.04 Server) durch, z.B. in einem LXD Container oder einer virtuellen Maschine.
$ apt install freeradius freeradius-ldap freeradius-utils
Um unseren freeradius Server zu testen, kommentieren wir folgende Zeile in /etc/freeradius/3.0/users aus oder fügen sie zu Beginn der Datei ein:
# Das Kommentarzeichen "#" vor dieser Zeile entfernen steve Cleartext-Password := "testing"
Standardmäßig sollte in der Datei /etc/freeradius/3.0/clients.conf der localhost als Client eingerichtet sein:
client localhost {
ipaddr = 127.0.0.1
secret = testing123
}
Nun können wir einen ersten Test durchführen. Dazu stoppen wir den freeradius-Service und starten ihn manuell im Debug-Modus neu:
$ systemctl stop freeradius.service $ freeradius -X ... Ready to process request
Wichtig ist, dass am Ende „Ready to process requests“ steht.
Als nächstes überprüfen wir, ob unser Test-Benutzer „Steve“ sich am RADIUS-Server anmelden kann (am besten in einem neuen/zweiten Terminal):
$ radtest steve testing 127.0.0.1 10 testing123
Falls alles passt, sollten wir folgende Antwort bekommen:
Sent Access-Request Id 234 from 0.0.0.0:40302 to 127.0.0.1:1812 length 75
User-Name = "steve"
User-Password = "testing"
NAS-IP-Address = 10.18.10.60
NAS-Port = 10
Message-Authenticator = 0x00
Cleartext-Password = "testing"
Received Access-Accept Id 234 from 127.0.0.1:1812 to 0.0.0.0:0 length 20
Wichtig ist, dass wir ein „Received Access-Accept“ bekommen. Hat diese Anfrage geklappt ist der freeradius-Server grundlegend eingerichtet und die folgenden Authentifizierungsverfahren sollten ohne weitere Probleme klappen:
Diese Verfahren sind unterschiedliche Protokolle, die verschieden „sicher“ sind. Alle verwenden einen Benutzernamen und Passwort zur Authentifizierung. Die Bedeutung der (P)EAP Verfahren kann man hier nachlesen. MS-CHAPv1 und v2 sind Verfahren aus dem Hause Microsoft.
Hinweis: Die Zeile mit unserem Benutzer „Steve“ sollten wir jetzt wieder kommentieren oder löschen!
Wir werden im Folgenden das LDAP-Modul konfigurieren und neue Zertifikate für EAP-TTLS erstellen.
Die Konfiguration des LDAP-Servers nehmen wir in der Datei /etc/freeradius/3.0/mods-enabled/ldap vor. Falls diese Datei nicht existiert, müssen wir vorher noch einen symbolischen Link erstellen.
$ cd /etc/freeradius/3.0/mods-enabled/ $ ln -s ../mods-available/ldap ./
Ziemlich an Anfang der Datei konfigurieren wir unseren LDAP-Server:
server = "ldaps://linuxmuster.internal.example.com"
identity = "cn=admin,dc=internal,dc=example,dc=com"
password = superSecretPassword
base_dn = "ou=accounts,dc=internal,dc=example,dc=com"
...
group {
...
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
...
}
Es muss sichergestellt sein, dass alle nötigen Ports für die Kommunikation zwischen dem RADIUS und LDAP-Server offen sind.
Hinweis: Wenn man Freeradius 3.0 zusammen mit linuxmuster.net v6.2 verwenden möchte, müssen noch folgende Zeilen angepasst werden, damit die Authentifizierung mit Windows klappt (sign…):
update {
control:Password-With-Header += 'userPassword'
control:NT-Password := 'sambaNTPassword'
...
}
Nachdem der LDAP-Server in Freeradius konfiguriert ist, müssen wir ihn einmal neustarten und können anschließend testen, ob sich ein Benutzer aus dem LDAP am RADIUS-Server anmelden kann.
$ systemctl restart freeradius.service
$ radtest testuser password localhost 10 testing123
Sent Access-Request Id 213 from 0.0.0.0:46425 to 127.0.0.1:1812 length 73
User-Name = "testuser"
User-Password = "password"
NAS-IP-Address = 10.18.10.60
NAS-Port = 10
Message-Authenticator = 0x00
Cleartext-Password = "password"
Received Access-Accept Id 213 from 127.0.0.1:1812 to 0.0.0.0:0 length 20
Wenn wir wieder ein „Received Access-Accept“ als Antwort erhalten, klappt die Verbindung zwischen RADIUS und LDAP-Server. Falls es nicht klappt, sollten wir den RADIUS Server manuell starten und schauen, welche Fehler uns der RADIUS-Server ausgibt.
$ systemctl stop freeradius.service $ freeradius -X ... Ready to process request
Standardmäßig verwendet Freeradius sogenannte Snake-Oil-Zertifkate, die natürlich nicht für den produktiven Einsatz gedacht sind. Deshalb erstellen wir in den folgenden Schritten eine neue Root-CA und ein Zertifikat für den Server. Die Zertifikate und die dazugehörigen Konfigurationsdateien befinden sich unter /etc/freeradius/3.0/certs/. Zuerst öffnen wir die Datei ca.cnf und ändern ein paar wenige Einstellungen:
... [ CA_default ] ... default_days = 3650 ... default_md = sha256 ... [ req ] .... default_bits = 2048 input_password = supersecretandlongpassword output_password = supersecretandlongpassword ... [certificate_authority] countryName = US stateOrProvinceName = My State localityName = My Town organizationName = My School emailAddress = admin@my-school.org commonName = "CA Freeradius" ...
Ähnliche Einstellungen nehmen wir nun der Datei server.cnf vor:
... [ CA_default ] ... default_days = 3560 ... default_md = sha256 ... [ req ] ... default_bits = 2048 input_password = supersecretandlongpassword output_password = supersecretandlongpassword [server] countryName = US stateOrProvinceName = My State localityName = My Town organizationName = My School emailAddress = admin@my-school.org commonName = "Freeradius Server Certificate"
Das Passwort muss jetzt auch in der Datei /etc/freeradius/3.0/mods-enabled/eap geändert werden:
tls-config tls-common {
private_key_password = supersecretandlongpassword
...
}
Die Zertifikate erstellen wir mit einem einfachen make:
$ cd /etc/freeradius/3.0/certs/ $ make
radtest unterstützt leider keinen Test für eine EAP-TTLS Authentifizierung. Dazu brauchen wir das Tool eapol_test, welches Teil des wpa_supplicant Pakets ist. Leider wird dieses Tool standardmäßig nicht von wpa_supplicant gebaut, deswegen müssen wir das selbst machen. Wir laden den Quellcode herunter, entpacken ihn und müssen noch einige Abhängigkeiten installieren.
$ wget https://w1.fi/releases/wpa_supplicant-2.7.tar.gz $ tar -xzvf wpa_supplicant-2.7.tar.gz $ apt install build-essential pkg-config libnl-3-dev libssl-dev libnl-genl-3-dev $ cd wpa_supplicant-2.7 $ cp defconfig .config
Danach müssen wir die Datei .config öffnen und die Zeile #CONFIG_EAPOL_TEST=y finden und das Kommentarzeichen entfernen.
$ nano .config # Kommentarzeichen "#" entfernen CONFIG_EAPOL_TEST=y
Mit dem folgenden Befehlen bauen wir nun das Programm und kopieren es noch an die richtige Stelle:
$ make eapol_test $ cp eapol_test /usr/local/bin
Um EAP-TTLS zu testen, brauchen wir für eapol_test eine kleine Config-Datei, die folgendermaßen aussehen kann:
$ nano eapol_test.conf
network={
ssid="example"
key_mgmt=WPA-EAP
eap=TTLS
identity="mustermann"
anonymous_identity="anonymous"
password="strenggeheim"
phase2="auth=PAP"
}
Nun können wir eapol_test aufrufen:
$ eapol_test -c eapol_test.conf -a 127.0.0.1 -p 1812 -s testing123
Wenn man am Ende diese Ausgabe erhält, war alles erfolgreich:
MPPE keys OK: 1 mismatch: 0 SUCCESS
Bisher haben wir immer nur direkt auf dem RADIUS-Server getestet. Im Normalfall wird die Anfrage für die Authentifizierung aber von einem Accesspoint, Captive Portal oder einem Wireless Controller kommen. Diese müssen auf dem RADIUS-Server als Clients eingerichtet werden. Wir öffnen dazu die Datei /etc/freeradius/3.0/clients.conf und fügen am Ende alle Accesspoints etc. mit ihrer IP und einem Passwort / Secret ein:
$ nano /etc/freeradius/3.0/clients.conf
client AP1 {
ipaddr = 10.0.0.10
secret = supersecretsecret
}
Nun kann man auf dem Accesspoint ein WPA Enterprise (802.1X) Netzwerk einrichten und den RADIUS-Server mit seiner IP, den Port (1812) und dem eben festgelegten Passwort/Secret konfigurieren. Nun sollte man sich mit seinem mobilen Gerät im WLAN anmelden können.
An unserer Schule haben nur Mitarbeiter und Lehrkräfte sowie die Oberstufenschüler Zugang zum WLAN an der Schule. In linuxmuster.net ist das über die Gruppe p_wifi gelöst. Alle, die in dieser Gruppe sind, sollen Zugang bekommen. Bisher ist unser RADIUS-Server aber so konfiguriert, dass jeder Benutzer im LDAP Zugang erhält. Um den Zugang einzuschränken, fügen wir noch folgende Zeilen in der Datei /etc/freeradius/3.0/users hinzu:
DEFAULT Ldap-Group == "cn=p_wifi,ou=groups,dc=internal,dc=example,dc=com" DEFAULT Auth-Type := Reject Reply-Message = "Your are not allowed to access the WLAN!"
Die Installation von Freeradius für linuxmuster.net 6.2 ist in der Dokumentation beschrieben. Bis auf ein paar wenige Details ist die Konfiguration sehr ähnlich. In Freeradius 2.0 sind die Standardeinstellungen für die Zertifikate nicht mehr zeitgemäß, sodass es zu Verbindungsproblemen mit einigen Clients kommen kann (z.B. mit einem aktuellen macOS). Hier sollte man unbedingt die Vorgaben von Freeradius 3.0 verwenden (siehe oben)!
An unserer Schule haben wir ein Captive Portal für Gäste und Schüler, sowie ein WPA 802.1X (Enterprise) Netz für Mitarbeiter und Lehrkräfte. Während sich am Captive Portal alle anmelden können, die in der Gruppe p_wifi sind, sollen sie im WPA 802.1X Netzwerk nur Lehrkräfte und Mitarbeiter anmelden dürfen. Die Anfragen vom Captive Portal kommen von einer anderen IP (pfSense) als die für das WPA Enterprise Netzwerk. In der Datei /etc/freeradius/sites-enabled/inner-tunnel haben wir deshalb eine Abfrage eingebaut, die überprüft, von welcher IP die Anfrage kommt und entsprechend entscheidet, ob jemand Zugang bekommt oder nicht:
post-auth {
...
#Only allow Teacher&Staff on WPA 802.1X Teacher and Staff network
if (NAS-IP-Address == 10.0.0.10) {
if (LDAP-Group == "cn=teachers,ou=groups,dc=internal,dc=example,dc=com" || LDAP-Group == "cn=staff,ou=groups,dc=internal,dc=example,dc=com") {
noop
} else {
reject
}
}
...
}
Dieser Artikel beschreibt nur eine von vielen Möglichen Konfigurationen. Ein RADIUS-Server ist komplex, aber dank der guten Standardkonfiguration von Freeradius (v.a. in Version 3) kommt man recht schnell zum Erfolg. Lange Zeit hatten wir nur das Captive Portal im Einsatz und es hat auch gut funktioniert, doch die Benutzerfreundlichkeit und Sicherheit ist mit einem WPA 802.1X (Enterprise) Netzwerk nochmal gestiegen. Ohne den RADIUS-Server wäre das aber nicht möglich gewesen.
Der Beitrag Wie man sein WLAN-Netzwerk mit Freeradius absichern kann erschien zuerst auf .:zefanjas:..
Schulnetzwerke werden mit wachsenden Anforderungen komplexer. Ein Schulserver, schulweites WLAN, Einsatz von Tablets und Laptops im Unterricht, eine Schulcloud, einheitliche Logins für alle Dienste – die Anforderungen an einen Netzwerkbetreuer oder Dienstleister in der Schule sind vielfältig. Wenn alles funktioniert, ist meist auch alles gut. Aber was ist, wenn der Server, die Firewall oder ein Switch ausfällt? Die Konsequenzen können sehr unterschiedlich sein. Wie schnell kann der Normalbetrieb wiederhergestellt werden? Wie wichtig ist Hochverfügbarkeit in einem Schulnetzwerk?
Laut Wikipedia definiert sich Hochverfügbarkeit folgendermaßen
Hochverfügbarkeit (englisch high availability, HA) bezeichnet die Fähigkeit eines Systems, trotz Ausfalls einer seiner Komponenten mit einer hohen Wahrscheinlichkeit (oft 99,99 % oder besser) den Betrieb zu gewährleisten.
Es geht also darum, dass ein System („das Schulnetzwerk“) einsatzfähig bleibt, auch wenn eine oder mehrere Komponenten einmal ausfallen sollten. Dabei kann es durchaus zu Unterbrechungen kommen. Je nachdem wie lang so eine Unterbrechung ist, teilt man die Hochverfügbarkeit in verschiedene Klassen ein. Ein Schulnetzwerk muss vor allem an Schultagen einsatzfähig sein (ca. 180-200 Tage pro Jahr). Auch wenn eine 99,999% Verfügbarkeit in den wenigsten Schulen absolut notwendig ist, ist der reibungslose Betrieb für den Unterrichtsalltag sehr wichtig.
Um Hochverfügbarkeit herzustellen, müssen sogenannte „Single Point of Failures“ reduziert werden. Es handelt sich dabei um Komponenten bei deren Ausfall das ganze Schulnetzwerk still stehen würde. Was können solche „Single Point of Failures“ sein?
Kurze Geschichte am Rande:
Letzte Woche ist unsere Firewall ausgefallen (aufgrund des Atom C2000 Bugs). Das Netzwerk lag still, wir waren offline. Ein erster Versuch die Firewall zu virtualisieren scheiterte, sodass wir auf einen kleinen Minicomputer mit 2 Netzwerkkarten ausgewichen sind. Es waren ein paar zusätzliche Konfigurationen an unserem Hauptswitch nötig um alle WANs und VLANs auf zwei Netzwerkkarten aufzuteilen. Nach einigen Stunden lief das Netzwerk dann wieder (wir konnten das Backup der Konfiguration mit wenig Änderungen problemlos wiederherstellen).
Es gibt mehrere Möglichkeiten, wie man die Ausfallsicherheit erhöhen und das System „Schulnetzwerk“ besser gegen Ausfälle schützen kann. Allgemein geht es darum, dass man möglichst wenige (am besten keine) „Single Point of Failures“ hat und kritische Komponenten bei einem Ausfall fehlertolerant sind. Wie bereits oben erwähnt, hängen die Anforderungen an ein hochverfügbares Schulnetzwerk sehr von den Gegebenheiten und Wünschen des Schulträgers ab. Zum einen ist es eine Frage des Geldbeutels, zum anderen muss auch nicht jedes Netzwerk innerhalb weniger Minuten wieder verfügbar sein.
Hier einige Ideen, wie man die Ausfallsicherheit erhöhen kann:
Ein Schulnetzwerk ist sicher kein hochkritisches System, aber mit der fortschreitenden Digitalisierung der Schulen wird es immer wichtiger, dass die IT-Infrastruktur möglichst ohne Ausfälle erreichbar bleibt. An manchen Schulen wiegt ein Ausfall des Internets so schwer, dass kaum weiter gearbeitet werden kann (Onlinesysteme zur Verwaltung, Schulclouds, Online-Lernsysteme, Student Information Systems). Um die Ausfallsicherheit zu erhöhen, muss man nicht immer viel Geld in die Hand nehmen. Viel wichtiger ist, dass man auf einen Ausfall vorbereitet ist (v.a. bei den Single Point of Failures).
Der Beitrag Wie wichtig ist Hochverfügbarkeit in einem Schulnetzwerk? erschien zuerst auf .:zefanjas:..
Digital Signage oder „Digitale Beschilderung“ bietet auch für Schulen neue Möglichkeiten. Was früher mit Aushängen an sogenannten „schwarzen Brettern“ oder Informationstafeln gelöst wurde, wird zunehmend von Monitoren übernommen. Egal ob Hinweise zu kommenden Veranstaltungen, Vertretungspläne, Raumbeschilderung oder sonstige wichtige Informationen – vieles lässt sich flexibler auf Monitoren darstellen. Aktualisierungen kann man von zentraler Stelle aus vornehmen bzw. auch automatisieren (z.B. beim Vertretungsplan). Welche Open Source Digital Signage Lösungen gibt es? Was könnten Anforderungen sein, die man als Schule hat? Ich möchte heute einige Lösungen auflisten, die in späteren Artikeln noch einmal genauer beleuchtet werden sollen.
Die Anforderungen werden sicher von Schule zu Schule verschieden sein, aber es gibt doch ein paar wesentliche Eigenschaften, die von einer Open Source Digital Signage Lösung erfüllt sein sollten:
Wenn man sich nach Open Source Digital Signage Lösungen umschaut, wird man schnell fündig. Allerdings sind viele von den sogenannten „Open Source“ Lösungen eher Freemium – Lösungen bzw. nur teilweise Open Source. Ich habe keine dieser Lösungen bisher selbst im Einsatz gehabt. In den kommenden Monaten werde ich mir aber einige dieser Lösungen anschauen, da wir als Schule noch auf der Suche nach einem passenden Digital Signage System sind.
Wenn auf Github nach Digital Signage schaut, ist Screenly OSE mit Abstand das populärste System. Screenly OSE ist für den Raspberry Pi konzipiert. Es bietet grundlegende Features, allerdings muss beim Einsatz mehrerer Geräte, jeder Raspberry Pi einzeln verwaltet werden. Die Unterschiede zur Bezahlversion sind hier aufgelistet.auch
Direkt hinter Screenly OSE folgt Xibo, wenn man nach der Anzahl der Sterne auf Github geht. Xibo gibt es schon eine ganze Weile. Im Gegensatz zu Screenly gibt es keine Pro vs. Open Source Version, sondern alle Features sind für alle verfügbar. Xibo besteht aus einem CMS, welches man auch in einem Docker-Container installieren kann und den zugehörigen Player, die auf den Anzeigegeräten selbst installiert werden. Der Player für Windows ist kostenfrei und Open Source, für alle anderen Player müssen Lizenzgebühren bezahlt werden. Es gibt den Xibo Player für Windows, Android und webOS. Ein Player für Linux ist wohl geplant, aber noch nicht verfügbar.
Ebenfalls schon länger am Markt ist Concerto. Concerto bietet viele Features und kann selbst gehostet werden. Technisch basiert es auf Ruby. Wenn man sich in dem Projekt auf Github etwas umschaut, scheint die Entwicklung etwas zu stocken. Dem Webinterface sieht man sein Alter auch schon etwas an. Insgesamt aber eine 100% Open Source Lösung.
LibreSignage ist noch recht neue Open Source Lösung und zu 100%, Browser basiert. Es braucht also keine speziellen „Player“, sondern kann über den Browser benutzt werden. Grundlegende Features und auch Mehrbenutzerbetrieb sind vorhanden.
Foyer ist ein WordPress-Plugin. Man kann damit verschiedene Seiten erstellen, Kanäle und verschiedene Displays diesen Kanälen zuweisen. Es ist wie LibreSignage Browser basiert und braucht deshalb keinen besonderen Player.
Tabula.info ist die einzige Lösung, die ich gefunden habe, die speziell für Schulen entwickelt wurde. Es bietet viele nette Features, die in man in einer Schule braucht und ist auf die Anzeige von Vertretungsplänen, HTML-Seiten und zusätzlichen Infos spezialisiert.
Infobeamer ist nur für den privaten, nicht öffentlichen Gebrauch kostenfrei. Sonst ist wohl eine der leistungsstärksten und flexibelsten Lösungen. Die Hardware eines Raspberry Pi’s wird maximal ausgenutzt (z.B. Hardwarebeschleunigung – ein Nachteil, den alle Browser basierten Lösungen haben).
Display Monkey ist ebenfalls eine Open Source Lösung, die allerdings einen Windows Server voraussetzt. Die einzelnen Displays brauchen nur einen Browser.
Eine weitere Lösung für Digital Signage ist piSignage. Der Server ist OpenSource und kann auch selbst gehostet werden. Für die einzelnen Displays / Players müssen aber Lizenzen gekauft werden (einmalig). Wie der Name vermuten lässt, verwendet piSignage Raspberry Pi’s als Player. Der Code dafür ist nicht Open Source.
Auf den ersten Blick gibt es scheinbar viele Open Source Lösungen. Welche kennst du noch, die hier fehlen? Mit welchem Systemen hast du gute Erfahrungen gemacht? Der Praxistest wird zeigen, welche Lösung für unsere Situation am besten geeignet ist.
Der Beitrag Open Source Digital Signage für Schulen erschien zuerst auf .:zefanjas:..
An unserer Schule verwenden wir Citrix Hypervisor (ehemals XenServer) (bald xcp-ng) für die Virtualisierung unseres Schulservers und anderer Anwendungen. Citrix liefert mit XenCenter ein Verwaltungstool für Windows. Damit kann man bequem alle virtuellen Maschienen verwalten und Einstellungen am Citrix Hypervisor vornehmen. Eine andere Möglichkeit ist Xen Orchestra. Es ist ein webbasiertes Tool, was noch einiges mehr als XenCenter kann. Auf der Website kann man sich eine fertig eingerichtete Appliance herunterladen. Diese ist allerdings von den Features stark eingeschränkt (man hat ca. 2 Wochen Zeit alle Features zu testen). Deshalb möchte ich einen kleinen Tipp weitergeben, wie man Xen Orchestra installieren kann – mit allen Features der Enterprice und Premium Edition.
Xen Orchestra ist eine Open Source Projekt, deshalb kann es sich jeder selbst den Quellcode nehmen und installieren. Die Anleitung dazu findet man in der offiziellen Dokumentation. Auf Github findet man auch ein Installationsskript, welches die Installation automatisch durchführt. Damit kann man Xen Orchestra in wenigen Schritten installieren. Auf einem frischen Ubuntu LTS Server muss man nur die folgenden Befehle ausführen:
$ sudo bash $ curl https://raw.githubusercontent.com/Jarli01/xenorchestra_installer/master/xo_install.sh | bash
Das war es auch schon 🙂 Xen Orchestra kann man nun unter IP des Servers erreichen. Der Standard-Benutzername ist admin@admin.net, das Password admin.
Wenn man Xen Orchestra fertig eingerichtet hat und sollte man es natürlich aktuell halten, um alle Sicherheitsupdates und neue Features zu bekommen. Eigentlich bringt jede Version einige neue Features mit, welche die Arbeit mit dem XenServer (bzw. xcp-ng) erweitern oder erleichtern. Der Autor des Installationsskript stellt ein weiteres Skript für die Aktualisierungen bereit. Zu finden ist es ebenfalls auf Github.
Das Aktualisierungsskript bietet verschiedene Optionen an. Zum einfachen Aktualisieren reicht der folgende Aufruf:
$ sudo bash $ sudo curl https://raw.githubusercontent.com/Jarli01/xenorchestra_updater/master/xo-update.sh | bash
Nach wenigen Minuten ist Xen Orchestra wieder auf den aktuellen Stand!
Wer sich unwohl dabei fühlt ein Skript aus dem Netz als root laufen zu lassen, kann sich das Skript natürlich vorher noch genau anschauen, was es macht bzw. nicht macht 🙂
Xen Orchestra ist ein tolles Projekt. Unser XenServer lässt sich damit leicht verwalten. Backups sind schnell angelegt (seit neustem auch Backups der Konfiguration von Xen Orchestra) inklusiver Benachrichtigungen (eMail oder nach Slack / Mattermost). Diese beiden Skripts haben uns das Leben sehr erleichtert. Ein großes Dankeschön an Jarli01!
Der Beitrag Xen Orchestra installieren und aktualisieren (Vollversion) erschien zuerst auf .:zefanjas:..
Laut der US-Firma Finite State befinden sich in 55 Prozent der Firmware-Images mindestens eine schwere Sicherheitslücke. Die Ursache dafür seien veraltete Source-Komponenten wie OpenSSL.
Seit einigen Jahren verwenden wir Zammad als Support- bzw. Helpdesk-Software in unserer Schule. Wir sind damit sehr zufrieden, denn Zammad bietet viele Features und ein angenehm zu bedienende Benutzeroberfläche. Vor einiger Zeit mussten wir unseren Server umziehen und somit auch unsere Zammad-Installation. In diesem Artikel möchte ich kurz zeigen, wie man Zammad sichern und wiederherstellen kann.
Zammad bietet von Haus aus ein Backup-Skript, welches aber standardmäßig deaktiviert ist. Man kann das Skript dazu benutzen, um regelmäßige Backups anzulegen. Es befindet sich unter /opt/zammad/contrib/backup/. Das Backup-Skript greift auf eine Konfigurationsdatei zu, in der alle wichtigen Einstellungen vorgenommen werden. Diese Datei muss man zuerst umbenennen:
$ mv /opt/zammad/contrib/backup/config.dist /opt/zammad/contrib/backup/config
Anschließend öffnet man die Datei und kann einige wenige Dinge einstellen:
$ nano /opt/zammad/contrib/backup/config ... BACKUP_DIR='/var/tmp/zammad_backup' HOLD_DAYS='10' DEBUG='no'
BACKUP_DIR legt fest, wohin die Backups gespeichert werden sollen. Das Verzeichnis muss existieren! HOLD_DAYS gibt an, wie lange ein bzw. wie viele Backup(s) aufbewahrt werden sollen.
Nun kann man das Backup-Skript ausführen:
$ cd /opt/zammad/contrib/backup $ ./zammad_backup.sh
Das Skript legt zwei Archive an (Datenbanksicherung und Zammad-Ordner), die sich nun im konfigurieren Backup-Ordner befinden.
Hinweis: Wenn man eine Installation migrieren möchte, ist es sinnvoll, Zammad vorher anzuhalten und erst dann das Backup zu erstellen. Das spielt aber nur bei größeren Installationen eine Rolle.
Wenn man ein Backup auf dem gleichen Host wiederherstellen möchte, kann man das mit dem Wiederherstellungsskript erledigen:
$ cd /opt/zammad/contrib/backup $ ./zammad_restore.sh
Fertig 🙂
Wenn man allerdings eine Zammad-Installation umziehen möchte (Migration, Neuinstallation), gibt es einige Dinge zu beachten:
Wenn alle Bedingungen erfüllt sind, muss man zuerst die Konfiguration auf dem Zielsystem aktivieren:
$ mv /opt/zammad/contrib/backup/config.dist /opt/zammad/contrib/backup/config
Danach die Backupdateien in den konfigurierten Backup-Ordner kopieren (mit cp oder wenn man LXD-Container verwendet mit lxc file push/pull) und letztendlich das Wiederherstellungsskript laufen lassen:
$ cd /opt/zammad/contrib/backup $ ./zammad_restore.sh
Weitere Informationen finden sich in der offiziellen Dokumentation.
Zammad bringt einen einfachen Sicherungs- und Wiederherstellungsmechanismus mit, der zuverlässig funktioniert. Wer seine Zammad-Installation nicht anderweitig sichert, kann für das Backup-Skript auch einen Cron-Job einrichten, um regelmäßig ein Backup zu erstellen.
Der Beitrag Zammad sichern und wiederherstellen erschien zuerst auf .:zefanjas:..
linuxmuster.net ist eine Open Source Schulserverlösung für Schulen jeglicher Art und Größe. Aktuell ist die Version 7 in Entwicklung und der Start der Beta-Phase steht unmittelbar bevor. In den letzten Monaten ist einiges passiert und ich möchte in diesem Artikel kurz einen Überblick über die aktuellen Entwicklungen geben.
Ein Open Source Projekt lebt von der Mitarbeit vieler – nicht anders ist das bei linuxmuster.net. Wenn du also mithelfen möchtest, findest du hier eine gute Übersicht, in welchen Bereichen, das Projekt noch Hilfe braucht. Egal ob Entwicklung, Dokumentation, Fehler finden, Support – in jedem Bereich gibt es die Möglichkeit sich einzubringen.
Wir setzen linuxmuster.net seit 3 Jahren bei uns in der Schule ein und sind wirklich sehr zufrieden damit. Die vielen Möglichkeiten zur Erweiterung oder individuellen Anpassung sind großartig und mit LINBO gibt es ein sehr praktisches Tool, um viele Rechner mit wenig Aufwand in einer Schule zu verwalten. Aktuell planen wir den Umstieg auf linuxmuster.net v7. Dies wird ein größeres Update sein, da sich viele Dinge geändert haben.
Für jeden, der sich für die Schulserverlösung interessiert und vielleicht in den Sommerferien damit erste Erfahrungen sammeln möchte, empfehle ich die linuxmuster.net v7. Es gibt viele hilfsbereite Schuladmins und auch einen offiziellen Support von Seiten des Projekts, wo man seine Fragen loswerden und in jedem Fall eine Antwort bekommen kann (und dazu meist sehr schnell).
Der Beitrag linuxmuster.net – Neuigkeiten zur Schulserverlösung erschien zuerst auf .:zefanjas:..
An unserer Schule verwenden wir Zammad als Support-Plattform bzw. Helpdesk. Zammad ist eine wirklich tolle Software, die mit jedem Release neue Features mitbringt. Mittlerweile gehört auch ein Wissensdatenbank (aka Knowlegdebase) zum Angebot von Zammad. Mit Zammad bekommt alles man (und mehr), was man sich von einer Support-Plattform in der Schule wünscht. Zammad bietet verschiedene Supportkanäle an. Neben eMail, Chat, SMS, Twitter oder Facebook gibt es auch die Möglichkeit über Telegram Supporttickets zu erhalten. Heute möchte ich zeigen, wie man Telegram in Zammad integrieren kann.
Hinweis: Die Integration von Telegram klappt nur, wenn Zammad öffentlich per HTTPS erreichbar ist!
Um über Telegram Supportanfragen erhalten zu können, muss man zuerst einen Telegram-Bot erstellen. Telegram-Bots sind Telegram-Konten, die von Computern bedient werden (Roboter-Accounts), oft in Verbindung mit künstlicher Intelligenz. Wie man einen Bot erstellt, steht hier.
Zuerst sucht man den „Vater aller Bots“ – Botfather und gibt folgenden Befehl ein:
/newbot
Man muss nun einen Namen für den Bot angeben und einen Benutzernamen, der
Am Ende erhält man einen Link zum Bot und den API Key, den wir gleich brauchen werden.
In Zammad befinden sich die Einstellungen zu Telgram unter Admin → Kanäle → Telegram. Mit einem Klick auf Bot hinzufügen kann nun der eben erstellte Bot hinzugefügt werden. Dazu gibt man den API Key ein und kann bei Bedarf noch die Willkommensnachricht und die Gruppe anpassen, der die Tickets zugeordnet werden sollen.
Nach dem Klick auf Übermitteln ist der Bot nun einsatzbereit und neue Tickets können per Telegram erstellt werden.
Um ein neues Ticket zu erstellen, muss der Benutzer bzw. Kunde nur den Telegram-Bot suchen. In unserem Fall heißt er myschool_support_bot.
Wenn man den Bot ausgewählt hat, muss man nur unten einmal auf Starten klicken und schon begrüßt einen Zammad mit der Willkommensnachricht, die wir vorher festgelegt haben:
Sobald man nun eine weitere Nachricht schreibt, erstellt Zammad daraus ein Ticket.
Eine entsprechende Benachrichtigung erscheint nun in Zammad.
In Zammad kann man nun direkt auf das Ticket antworten. Wichtig ist, das man nicht einfach in das Textfeld unten schreibt, sondern vorher auf antworten klickt. Neben dem Textfeld erscheint nun auch das Telegram-Symbol.
Mit einem Klick auf Aktualisieren wird die Nachricht an den Kunden bzw. Telegram-Benutzer geschickt.
Die Integration Telegram in Zammad funktioniert zuverlässig. Trotzdem ist die bisherige Implementation nur rudimentär. Folgende Features finde ich wünschenswert:
Tickets zu melden (so meine Erfahrungen aus dem Schulumfeld) ist für viele eine Herausforderung. Früher hatten wir ein Webformular, dass nur wenige genutzt haben. Dann haben wir mit Zammad einen eMail-Kanal eingerichtet. Die Hürde ein Ticket zu erstellen wurde dadurch niedriger. Mit der Integration von Telegram in Zammad ist diese Hürde noch einmal geringer geworden – zumindest für alle die diesen Messenger benutzen.
Der Beitrag Wie man Telegram in Zammad integrieren kann erschien zuerst auf .:zefanjas:..
Octotree ist eine Erweiterung, welche den fehlenden Dateibrowser auf Github nachliefert. Mithilfe einer in die Webseite eingeblendete Sidebar lässt es sich einfach via Baumansicht durch das Repository navigieren. Ich nutze die Grundversion, da ich die in der Proversion (70 €) … Weiterlesen →
Der Beitrag Schnelleres Navigieren auf Github mit Octotree erschien zuerst auf Got tty.
In den letzten Wochen habe ich eine Software ausprobiert, die schon lange auf meiner Liste stand: Wekan. Wekan ist eine Open Source Alternative für Trello, einer Kanban-Software. Mit ihr lassen sich mit der Kanban-Methode Projekte oder Abläufe managen. Manche verwenden es auch als Aufgabenmanagementsystem. Es gibt verschiedene Open Source Alternativen zu Trello – Wekan ist eine, die dem Original am nächsten kommt. Ich möchte heute zeigen, wie man Wekan installiert und einrichtet.
Wekan kann man auf verschiedene Art und Weise installieren (manuell, Docker, snap, …). Wir werden es heute in einem LXD Container (Ubuntu 18.04) einrichten (LXD Container waren hier schon mehrmals Thema im Blog). Als erstes erstellen wir einen Container für Wekan:
$ lxc launch ubuntu:b wekan
Nachdem der Container erstellt und gestartet ist, loggen wir uns im Container ein:
$ lxc exec wekan bash
Wir werden Wekan als Snap installieren. In den Ubuntu LXD Container ist snapd schon installiert. Wir können also direkt Wekan installieren mit
$ snap install wekan
Nun legen wir die Haupt-URL und den Port für Wekan fest:
$ snap set wekan root-url="http://wekan.example.com" $ snap set wekan port="80"
Optional kann man noch einstellen, das Updates automatisch installiert werden:
$ snap set core refresh.schedule=02:00-04:00
Fertig 🙂
Nun können wir unter der IP unseres LXD Containers Wekan aufrufen. Wenn man LXD nicht lokal, sondern auf einem Server betreibt, kann es unter Umständen hilfreich sein eine Netzwerkbrücke für den Container einzurichten. Alternativ kann man auch Nginx als Reverse Proxy verwenden. Hinweise zur Einrichtung findet man im Wiki von Wekan.
Hinweis: Der erste Benutzer, den wir einrichten, ist Administrator für Wekan.
Wir klicken als auf Registrieren und legen einen neuen Benutzer an.
Wenn wir nun auf Registrieren klicken, erscheint eine Fehlermeldung („Internal Server Error“). Das liegt daran, weil wir noch keinen EMail-Server eingerichtet haben.
Wekan funktioniert aber auch ohne einen EMail-Server, deswegen öffnen wir einfach wieder unsere Hauptseite (wekan.example.com bzw. die IP des Containers) und können uns mit den eben angelegten Benutzer anmelden.
Nun können wir neue Boards in diesen neue Listen und Karten erstellen. Die Funktionsweise ist dem von Trello sehr ähnlich.
Wer nach einer Open Source Alternative für Trello sucht, die man selber hosten kann, findet in Wekan einen guten Ersatz. Ich habe bisher oft Trello verwendet. Mit Wekan habe ich endlich einen Ersatz gefunden, der so ziemlich ein 1:1 Ersatz für Trello ist.
Der Beitrag Wekan – eine Open Source Trello Alternative erschien zuerst auf zefanjas.
Knapp vier Jahre nach dem letzten Release wurde heute die neue Version 7 von linuxmuster.net veröffentlicht. Damit ist ein weiterer wichtiger Meilenstein in der Geschichte der freien Open Source Schulserverlösung erreicht.
Zum Release wird es heute (17.04.) um 15:00 Uhr (MESZ) eine kleine Präsentation der LMN 7 geben (virtuell über BigBlueButton): https://bz-pfinztal7.dynalias.org/b/gad-tnt-hdg. Das Passwort für den Raum wird ca. 15min vorher hier veröffnetlicht. Jeder ist herzlich eingeladen.
Mit Version 7 haben sich einige Dinge im Vergleich zu den Vorversionen geändert. Hier die wichtigsten Änderungen im Überblick:
Neben den oben genannten Veränderungen bringt linuxmuster.net noch weitere Features mit, die bereits in den vorhergehenden Versionen enthalten waren.
Wir verwenden aktuell noch Version 6.2 bei uns an der Schule. In den nächsten Wochen werden wir aber den Umstieg vorbereiten und Version 7 installieren, testen und einen neuen Linuxclient einrichten. Bisher haben wir noch Ubuntu 16.04 auf den Rechnern, welches aber durch ein aktuelles OS (Ubuntu? Kubuntu? Xubuntu?) ersetzt werden soll.
Alle, die bisher eine andere Schulserverlösung einsetzen, sollten meiner Meinung nach mal den Blick über den Tellerrand wagen und sich mit linuxmuster.net auseinandersetzen. Es ist ein System, welches von vielen engagierten Lehrkräften weiterentwickelt wird und somit nah an Schule ist. Die Community (https://ask.linuxmuster.net) ist sehr hilfbereich und man bekommt Hilfe zu allen Themen rund um Schul-IT.
Der Beitrag Schulserverlösung linuxmuster.net Version 7 veröffentlicht erschien zuerst auf zefanjas.
Im vorherigen Tutorial habe ich gezeigt, wie die adminForge Jitsi Meet Instanz via Docker/Docker-Compose aufgesetzt wurde. Tutorial: Eigene Jitsi Meet Instanz installieren (Docker / Ubuntu / Nginx) Was ist Jitsi Meet?: Videokonferenzen mit Jitsi...
by adminForge.
Ihre Zahl verdoppelt sich von 2018 zu 2019. Viele Anfälligkeiten landen zudem erst mit einer großen Verzögerung in der National Vulnerability Database. Das gibt Hackern die Möglichkeit, Schwachstellen aktiv auszunutzen, bevor sich Unternehmen auf die Lücken einstellen können.
An unserer Schule haben wir in den letzten Jahren keine BIOS Passwörter vergeben. Das war bisher auch kein Problem (v.a. für Linbo), da wir eigentlich nur nette Schüler und Schülerinnen haben 🙂 Seit einiger Zeit haben sich dann aber doch einige den Spaß erlaubt und Passwörter im BIOS vergeben, sodass wir keine Einstellungen mehr ändern konnten. Nicht nur das: Es gibt ja noch weitere Passwörter, die man im BIOS vergeben kann… Das Problem wurde leider auch nicht sofort festgestellt, sodass wir jetzt ein paar Laptops haben, die mit einem BIOS- / Setup- / Admin-Passwort versehen sind. Was nun? Wie können wir nun unser gesperrtes BIOS entsperren?
Zum Glück sind wir nicht die ersten mit diesem Problem – vielen anderen Menschen auf dieser Welt begegnet dieses Phänomen jahrein und jahraus. Eine Lösung sollte also nicht so schwierig sein, oder?
Nein, ist sie auch nicht. In unserem Fall haben wir unsere Laptops mit Hilfe der folgenden Website entsperrt: https://bios-pw.org/
Auf der Website gibt man seinen Code ein (bei unseren Dell-Laptops eine Seriennummer, die erscheint, wenn man auf UNLOCK im BIOS klickt) und erhält dann ein Passwort mit dem das BIOS entsperren kann.
WICHTIG: Auch wenn eine deutsche Tastatur verbaut ist, geht das BIOS von einer US-Tastaturbelegung (QWERTY) aus! Bei uns hat der Code nur geklappt, wenn man STRG + ENTER gedrückt hat. Nur ENTER allein hat nicht gereicht.
Sicher gibt es noch andere Wege, wie man das BIOS Passwort zurücksetzen kann. Manchmal gibt es Standardpasswörter für bestimmte BIOS Arten bzw. Hersteller, manchmal kann man das BIOS auch über Jumper auf dem Mainboard zurücksetzten (bei Laptops i.d.R. nicht so einfach möglich). Oder die Supporthotline des Herstellers kann in einigen Fällen sicher auch weiterhelfen. (Das trifft eher auf die großen Hersteller zu, man sollte auch beweisen können, dass man der rechtmäßige Eigentümer des Geräts ist).
Fazit: BIOS Passwörter machen Sinn – vor allem in einer Schule 🙂
Der Beitrag Wie man ein gesperrtes BIOS entsperren kann erschien zuerst auf zefanjas.
WordPress ist ein Content-Management-System (CMS), das sich sehr weit verbreitet hat. Die Einfachheit der Installation und Bedienung hat stark dazu beigetragen, dass sich WordPress im Internet zu einer starken Größe etabliert hat. Viele Webseiten sind damit ausgestattet.
Kleine Firmen nutzen für ihre erste Webseite dieses CMS, denn mit nur wenigen Klicks ist die Internetseite erstellt und mit den vielen Plugins lässt sich der Funktionsumfang stark erweitern.
Die große Verbreitung von WordPress macht die Software interessant für Angreifer. Hacker freuen sich regelrecht auf so weit verbreitete Systeme. Wenn dort eine Sicherheitslücke bekannt wird, lassen sich gleich viele Webseiten angreifen und vielleicht sogar übernehmen. Umso wichtiger ist es, solchen Angriffen aus dem Internet vorzubeugen und zu wissen, wie sicher die eigene WordPress-Installation ist.
Um die eigene Webseite vor Angreifern zu schützen, gibt es verschiedene Wege. Der wichtigste Punkt ist es, die Software aktuell zu halten und regelmäßig die Updates zu installieren. Außerdem sind schwierige Passwörter wichtig für das Sicherheitskonzept. Die besten Sicherheitsmaßnahmen nützen nichts, wenn die Passwörter leicht zu erraten sind.
Um die Sicherheit auf der eigenen Webseite zu erhöhen, muss man zunächst die Schwachstellen kennen. Die Sicherheitslücken von WordPress kann man mit dem Programm wp-Scan aufdecken. Das kleine Tool untersucht WordPress-Installationen und zeigt Sicherheitslücken auf. Solche Scans sollte man von Zeit zu Zeit durchführen, um den Überblick zu behalten.
Um einen Angreifer entgegentreten zu können, sollte man seine Werkzeuge kennen. Wenn man diese Werkzeuge kennt, kann man sie selbst einsetzen und kämpft mit gleichen Waffen. wpscan ist dann schon der erste wichtige Schritt. Denn diese Software wird gerne verwendet, um verwundbare WordPress-Seiten zu finden.
Es gibt viele Plugins, die einem höhere Sicherheit für WordPress versprechen. Es gibt zum Beispiel Erweiterungen, die die WordPress-Version der Webseite verschleiern sollen. Außerdem können angeblich Benutzernamen versteckt werden. Auch den Namen „admin“ sollte man vermeiden.
Diese Sicherheitsmaßnahmen sind sehr gut, doch ihre Wirksamkeit kann man nicht einfach überprüfen. Mit wpscan kann man es, denn das versucht über verschiedene Wege, Infos aus der Webseite zu crawlen. Die Sicherheitsmaßnahmen der Plugins kann man sofort feststellen, indem man seine Seite mit wpscan überprüft.
Wpscan ist ein Projekt für UNIX und ist leider nicht auf Windows lauffähig. Um es unter Windows nutzen zu können, könnt ihr euch in einer Virtuellen Box eine Linuxdistribution installieren und von dort aus mit der Anleitung fortfahren.
Schritt 1: Die Installation der Abhängigkeiten von wpscan könnte ihr unter Ubuntu mit folgendem Befehl tun. Das Projekt läuft über git, daher wird es mit installiert.
sudo apt-get install git libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev
Schritt 2: Das Programm selbst installiert man mit folgenden Befehlen in der Kommandozeile:
git clone https://github.com/wpscanteam/wpscan.git cd wpscan sudo gem install bundler && bundle install --without test
Schritt 3: Ausführen kann man das Program mit folgenden Befehlen. Es gibt jetzt eine Liste mit interessanten Meta-Informationen über die WordPress-Seite aus: Welche Version ist installiert, welches Theme, welche Plugins und welche Versionen jeweils. Es zeigt sogar an, ob es die aktuelle Version ist, oder ob es Updates davon gibt.
ruby wpscan.rb --update ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate p
Die Ausgabe sieht danach etwa so aus.
Gleiches Prinzip gilt für die Suche nach installierten Themes
ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate t
oder nach Benutzern
ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate u
Das Programm ist sehr mächtig und zeigt einem erstmal, wie verwundbar eine WordPressseite eigentlich ist. Dadurch wird es offensichtlich: man sollte seine Installation sauber halten. Je mehr Plugins man installiert, desto angreifbarer wird die Seite. Jedes Plugin birgt potentielle Sicherheitslücken, die mit wpscan offensichtlich werden.
Es ist wichtig, die Webseite abzusichern. Wenn die Webseite übernommen wird, können Kriminelle ihre verbotenen Daten über den Server verteilen. So wird man schnell zum Mittäter, was sehr gefährlich werden kann.
Ein Schritt gegen Brute-Force Attacken ist der Schutz der wp-login.php, der Schlüsseldatei beim regulären Login auf WordPress. In einem Artikel zu diesem Thema erläutere ich, wieso es so wichtig ist, diese Datei zu schützen. Außerdem zeige ich, wie man mit der .htaccess-Datei die Schutzfunktion von Apache nutzt, um die wp-login.php vor Brute-Force-Angriffen zu schützen.
Weitere Sicherheitsmaßnahmen sind wichtig. Diese kann man mit wpscan direkt testen, was die Wirksamkeit sofort zeigt. Um die Sicherheit von WordPress zu verbessern, sollte man sich mit wpscan befassen.
The post WordPress Sicherheitslücken finden first appeared on bejonet.
WordPress ist ein weit verbreitetes Content-Management-System. Eine sehr große Anzahl an Webseiten weltweit werden damit erstellt. Früher war es rein für Blogs gedacht, doch der weite Umfang der Funktionen, die einfache Handhabbarkeit und die Vielzahl an Erweiterungen hat dazu geführt, dass auch vollwertige Webseiten auf WordPress aufbauen.
Viele der Administratoren sind Laien und lassen sich von der Einfachheit der Software überzeugen. Leider werden so auch oft Updates vernachlässigt und sich auch sonst sehr wenig um die Sicherheit gekümmert. Diese Faktoren – starke Verbreitung, laienhafte Admins, Vielzahl an Plugins – macht WordPress auch attraktiv für Angreifer.
Bruteforce-Angriffe sind bei WordPress-Admins sehr bekannt. Unbekannte versuchen, häufig mit osteuropäischen IPs, durch plumpes Raten die Passwörter zu erhalten. Dabei setzen sie Bots ein, die selbstständig lange Listen an Passwortvorschlägen abarbeiten und so hoffen, das richtige Passwort zu erraten. Der Schutz der wp-login.php über .htaccess ist zumindest der erste Schritt, dieses Verfahren einzudämmen. Doch es gibt noch ein weiteres, sehr großes Fenster, über das Angreifer Eintritt suchen: die xmlrpc.php.
Unter XML-RPC (Extensible Markup Language Remote Procedure Call) versteht man eine Schnittstelle zwischen einem System (hier WordPress) und externen Funktionen. Sie kümmert sich beispielsweise um Pingbacks, also ein- und ausgehende Mitteilungen von anderen Webseiten. Außerdem greifen verschiedene Plugins (wie beispielsweise Jetpack) oder Apps darauf zu. Es ist sozusagen die Schnittstelle zur Außenwelt.
Das wird uns Betreibern nur dann zum Verhängnis, wenn jemand versucht sie zu missbrauchen. Denn abgesehen von den gewollten Funktionen kann man diese Schnittstelle auch für Bruteforce Methoden verwenden. Hier können Angreifer gleich eine Vielzahl an Passwörtern ausprobieren, um das richtige zu erraten.
Seit WordPress 3.5 ist die Datei standardmäßig aktiviert. Vorher musste man im Admin-Panel die Funktion aktivieren.
Die xmlrpc.php hat die primäre Funktion, WordPress zu vernetzen und Funktionen von außerhalb des Admin-Panels zu verwenden. Etliche Plugins brauchen diese Funktion, doch lange nicht jeder Benutzer verwendet solche Erweiterungen. Gerade wer WordPress eher als statische Seite verwendet, kann in der Regel auf die Funktionen der xmlrpc.php verzichten. In diesem Fall bietet sie Angreifern eine potentielle Zielscheibe und macht damit die Seite unsicher.
Es gibt zwei Wege, wie man die Datei sinnvoll deaktiviert. Der erste davon beschreibt, wie man die Funktion „von innen heraus“ deaktiviert. Dazu editiert man die functions.php des aktuellen Themes und fügt dort folgenden Codeschnipsel hinzu.
/* Disable XMLRPC */ add_filter( 'xmlrpc_enabled', '__return_false' );
Die zweite Variante verhindert den Zugriff auf die Datei grundsätzlich. Hierzu ergänzt man die .htaccess-Datei, die man schon zur Beschränkung der wp-login.php verwendet hat, um folgende Textzeilen.
<Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
Jetzt ist intern die Dateifunktion deaktiviert und auch von außen kann niemand mehr darauf zugreifen. Um seinen Erfolg zu überprüfen, kann man mit wpscan seine WordPress-Installation auf Sicherheitslücken überprüfen und so sehen, ob die xmlrpc.php noch zugänglich ist.
Die wichtigsten Schutzmaßnahmen für WordPress sind die gleichen wie für jede andere Anwendung auch: Verwendet sichere Passwörter und haltet die Software auf dem neuesten Stand, vor allem wenn sicherheitsrelevate Updates erschienen sind.
The post WordPress xmlrpc.php deaktivieren first appeared on bejonet.
Die Sicherheit einer Webseite ist ein sehr wichtiges Thema. Man muss sich stets darum kümmern, auch wenn es lästig sein kann. Wer seine Webseite mit WordPress betriebt hat es auf der einen Seite sehr einfach, auf der anderen Seite aber auch wieder schwierig.
WordPress ist sehr weit verbreitet. Millionen von Webseite laufen über diese Software. Die Entwicklung findet in einer sehr aktiven Community statt. Darin sind viele Sicherheitsexperten, die sich um das Beheben von Sicherheitslücken kümmern. Da diese Software so stark entwickelt wird, bleiben Sicherheitslücken nicht lange offen sondern werden zeitnah geschlossen.
Durch die Popularität von WordPress wird es für Angreifer aber auch wieder attraktiv, die Software zu knacken. Denn hat man einmal eine Lücke gefunden, kann man sie bei vielen Webseiten verwenden. Und schon sind wir beim typischen Katz-und-Maus-Spiel zwischen Hackern und Sicherheitsexperten.
Mit den folgenden Artikeln habe ich Möglichkeiten gezeigt, wie man typische Eintrittstore von WordPress ausfindig macht und wie man wieder schließen kann. Die Goldene Regel der Sicherheit für jegliche Software lautet: Updates installieren, Updates installieren und Updates installieren. Alles weitere habe ich in einzelnen Artikeln zusammengefasst.
Mit der Datei .htaccess auf dem Webserver kann man WordPress serverseitig absichern. Die Angreifer möchten mit ihren Botnetzen das Passwort der Benutzer erraten. Wenn wir unsere Anmeldeseite von WordPress einfach hinter die abschließbare Tür unseres Servers packen, erhöhen wir die Eintrittshürde für Angreifer erheblich. Wie das geht und wie man das ganz genau Installiert, habe ich in einer Schritt-für-Schritt-Anleitung zusammengefasst.
Bei Softwareentwicklern und auch bei Angreifern ist die xmlrpc.php von WordPress sehr beliebt. Sie ist eine Schnittstelle für die Entwickler, worüber sie auf viele Funktionen von WordPress zurückgreifen können. Für Hacker ist das ein gefundenes fressen, denn sie können die Datei verwenden, um massenhaft Passwortanfragen zu stellen. In dieser Anleitung erkläre ich, warum die xmlrpc.php so gefährlich ist und wie man sie deaktivieren kann.
Die Goldene Regel der Sicherheit lautet Updates, Updates, Updates. Doch manchmal verliert man den Überblick über die Software, die in WordPress so eingebunden wird. Dazu zählen natürlich die Plugins, aber auch die Themes von WordPress. Man kann nicht nur im Backend von WordPress erkennen, welche Softwareversion die Plugins haben. Auch über das Frontend bzw. Schnittstellen vom Server kann man die Softwareversionen, und damit den Sicherheitsstatus, erkennen. Was man mit dem Programm wpscan so alles sieht und wie man es verwendet, wird in dieser Anleitung erklärt.
The post WordPress Sicherheit erhöhen: Schritt für Schritt first appeared on bejonet.
Logo: Bits & Bäume (© Bits & Bäume)
Am Samstag und Sonntag, den 17. und 18. November 2018 nimmt Do-FOSS an der Bits und Bäume, der Konferenz für Digitalisierung und Nachhaltigkeit teil. Christian Nähle wird für Do-FOSS einen Vortrag zur Konferenz am Samstag um 15:00 Uhr auf Bühne 4 beitragen. Der Vortrag wird der Frage nachgehen, wie die Vorteile von Freie Software im praktischen Verwaltungshandeln Fuß fassen können. Wie sich Freie Software in Verwaltungsstrukturen implementieren lässt, wird am Beispiel der Stadt Dortmund vorgetragen. Außerdem wird es einen Ausblick auf die angestrebte Verknüpfung von Digitalisierung und Nachhaltigkeit im Dortmunder-Freien-Software-Prozess geben – zwei Schlüsselthemen unserer Zeit. Do-FOSS freut sich auf die Konferenz Bits und Bäume und ist den Organisatorinnen und Organisatoren dankbar, dass sie die Themen Digitalisierung und Nachhaltigkeit zusammen denken und damit einen hochrelevanten Schmelztiegel für viele engagierte Menschen bieten.
Im Folgenden findet sich der Ankündigungstext des Vortrags, wie er im Programm steht.
Freie Software in Kommunen: Vom Sollen zum Wollen
Um den Einsatz von Freier Software in der öffentlichen Verwaltung zu fördern, setzt Do-FOSS auf eine Vielzahl unterschiedlicher Wege zur Thematisierung und Umsetzung von Freier Software. Unter anderem arbeitet Do-FOSS zusammen mit der Stadt Dortmund an einer Potenzialanalyse eines systematischen Freien-Software-Einsatzes.
Welchen Weg hat Do-FOSS genommen? Wie können die Erfahrungen und Ergebnisse für andere Kommunen genutzt werden? Wie kommen wir beim kommunalem Freien-Software-Einsatz vom Sollen zum Wollen?
Dortmunder Zielvorstellungen zu Freier Software
Das Lizenzierungsmodell von Freier Software gewährt gegenüber proprietärer Software weitergehende Handlungsspielräume. Deshalb hat sich die Stadt Dortmund aufgemacht, um das Potenzial von Freier Software in Bezug auf die IT der Stadtverwaltung systematisch erfassen. Zum Potenzial von Freier Software gehört eine Reihe weiterer technischer und nicht-technischer Aspekte. Die Stadt Dortmund verknüpft mit der Untersuchung der Potenziale einer Freien-Software-Strategie folgende Überlegungen:
- Reduzierung der Herstellerabhängigkeit
- Umsetzung des E-Government-Gesetzes NRW im Rahmen von offenen und standardisierten Dateiformaten
- Erhöhung der Flexibilität und Steuerungsfähigkeit beim Softwareeinsatz
- Erhöhung der Interoperabilität (z.B. durch den Einsatz von Offenen Standards für eine herstellerübergreifende Anwendungskopplung) [Erhöhung der digitalen Anschlussfähigkeit – Anm. d. Verf.]
- Sicherstellung des Datenschutzes [s. auch Transparente Software – eine Voraussetzung für datenschutzfreundliche Technologien vom 26.09.2000 des Arbeitskreises Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder – Anm. d. Verf.]
- Gewährleistung der IT-Sicherheit
- steuerbare Kostenstrukturen durch erhöhte Flexibilität bei der Anbieterwahl, Stärkung der Verhandlungsposition gegenüber Anbietern proprietärer Software und Wegfall von Skalierungskosten durch Lizenzgebühren
- Erhöhung der Archivierbarkeit digitaler Dokumente durch Offene Standards
- Ermöglichung neuer Synergien und Abbau von lizenzrechtlichen Hemmnissen in der interkommunalen Zusammenarbeit
- eine erhöhte Technikneutralität
- eine Erhöhung der funktionalen Transparenz
Freie Software: global denken, lokal handeln
Do-FOSS hat sich bislang vor allem intensiv in lokale Fragen von Softwareeinsatz eingebracht. Jedoch ist eine lokale Softwarestrategie nicht von einer globalen Entwicklung zu trennen. Freie Software entfaltet ihre Wirksamkeit durch die Möglichkeit globales Know-How mit örtlicher Kompetenz zu verbinden. Während Freie-Software-Projekte zum wesentlichen Teil international verfügbar sind und häufig auf internationalen Kooperationsstrukturen basieren, ist der Nutzen Freier-Software-Projekte gerade in lokalen kleineren Strukturen deutlich erkennbar. Der freie Zugang zu softwaretechnischem Wissen ermöglicht den Aufbau lokaler Kompetenzstrukturen und den Einbezug kleinerer Softwareanbieter in die Anpassung solcher Software an lokale Gegebenheiten. Der barrierefreie Zugang zu dem Know-How verhindert global wie lokal daher die Einhegung von Wissen und eine digitale Spaltung. Daher kann ein technologischer Wissenstransfer hervorgehoben werden, welcher durch Freie Software u.a. für das Nord-Süd-Gefälle ermöglicht wird (vgl. Nachhaltigkeitsentwicklungsziel 12 „Verantwortungsvoller Konsum / technological capacity“ und Nachhaltigkeitsentwicklungsziel 17 „Partnerschaften, um die Ziele zu erreichen / Technology“ & „Systematic issues“ der Agenda 2030). Daru?berhinausgehend schafft Freie Software durch die Nachvollziehbarkeit ihrer Funktionalität (u?berpru?fbar durch unabha?ngige Sachverständige) wichtiges Vertrauen, um die Digitalisierung des Lebensraumes bei uns vor Ort – wie z.B. durch das Projekt Smart City Dortmund angestrebt wird – zu ermo?glichen.
Freie Software und Nachhaltigkeit
Freie Software hat eine umfassende Nachhaltigkeitsdimension. In der Publikation des Umweltbundesamtes mit dem Titel Nachhaltige Software werden u.a. Zusammenhänge mit dem Energieverbrauch von Software (Green Software Engineering), den Hardwareanforderungen, der Wiederverwendbarkeit von Software (und damit der Einsparung von Entwicklungsressourcen), dem gesellschaftlich zugänglichem Wissen (in Form von Gemeingütern), Modularität (und der damit verbundenen Anpassbarkeit von Softwarelösungen), sowie zahlreiche weitere positive Auswirkungen auf soziale und wirtschaftliche Organisationsformen beschrieben. In der Publikation wird deutlich, dass eine Grundvoraussetzung für die Nachhaltigkeit von Software ist, dass sie unter einer Freien Lizenz veröffentlicht wird. Freie Software kann daher auch als Beitrag zu den derzeitigen Green-IT-Bestrebungen der Stadt Dortmund verstanden werden.
Do-FOSS möchte für die Nachhaltigkeit Freier Software sensibilisieren und einen Überblick über den Diskussionsstand von Dortmund als einer möglichen Freien-Software-Kommune geben, sowie gemeinsam weitere Strategieüberlegungen anstellen.
The post Veranstaltungshinweis: Bits & Bäume – Die Konferenz für Digitalisierung und Nachhaltigkeit appeared first on Do-FOSS.
Logo: Heinrich-Böll-Stiftung Nordrhein-Westfalen (© Heinrich-Böll-Stiftung Nordrhein-Westfalen)
Kommenden Sonntag, den 2. Dezember 2018, findet ab 11:30 Uhr im Rahmen des Grünen Salons Paderborn der Heinrich-Böll-Stiftung Nordrhein-Westfalen eine Vortragsveranstaltung mit anschließendem World Café statt. Do-FOSS ist Impulsgeber am Thementisch Smart City und wurde u.a. für die bisherige Arbeit zu diesem Thema eingeladen. Der Einladungstext der Veranstaltung ist hier und der Flyer ist hier zu finden. In diesem Kontext möchte Do-FOSS die folgenden Blogbeiträge besonders hervorheben:
Die smarte Welt ökologisch zu gestalten, ist für Do-FOSS ein essentielles Anliegen. In diesem Zusammenhang nahm Do-FOSS zuletzt am Samstag und Sonntag, den 17. und 18. November 2018, an der Bits und Bäume, der Konferenz für Digitalisierung und Nachhaltigkeit, teil. Hier brachte Do-FOSS eigene erste Ansätze zu Nachhaltigkeitsaspekten des Softwareeinsatzes ein. Diese finden sich u.a. in den Überlegungen Freie Software: global denken, lokal handeln und Freie Software und Nachhaltigkeit wieder. Do-FOSS beabsichtigt diese Betrachtungen auch in die Potentialanaylse einer Freien-Software-Strategie der Stadt Dortmund eingehen zu lassen.
Zwischen der Bits & Bäume Konferenz und dem Grünen Salon Paderborn gibt es noch weitere Überschneidungen. Der Hautreferent des Grünen Salongs Paderborn, Dr. Steffen Lange, war mit dem Vortrag Digitale Suffizienz: wie kann die smarte Welt auch grün werden? ebenfalls auf der Bits und Bäume vertreten. In diesem Vortrag wurden digitale Möglichkeiten aber auch ökologische Grenzen einer smarten Welt gezeichnet. Herr Dr. Lange ist Co-Autor des Buchs Smarte grüne Welt? Digitalisierung zwischen Überwachung, Konsum und Nachhaltigkeit.
Wer sich für die Diskussion beim Grünen Salon Paderborn vorab ein Bild vom Anwendungsangebot der Smart City Paderborn machen möchte, kann dies auf der Webseite der Stadt Paderborn tun.
Do-FOSS freut sich auf den gemeinsamen Tag mit der Heinrich Böll Stiftung NRW und weist im Folgenden gerne im Wortlaut auf die Veranstaltung hin.
SMARTE GRÜNE WELT? – Klima und Nachhaltigkeit in Zeiten der Digitalisierung
Drei sogenannte Megatrends bestimmen Wirtschaft, Staat und Gesellschaft: der Klimawandel, die Digitalisierung und die wachsende Ungleichheit – national sowie international. Für viele ist die Digitalisierung eine der zentralen Antworten auf die Zukunftsfragen der Menschheit, der Schlüssel zum guten Leben für alle.
Ist das wirklich so? Wie sieht die Praxis aus – Energie und Ressourcenverbrauch, Arbeitsplätze, Verteilung der Einkommen? Wie wirkt sich die immer vernetztere und schnellere Kommunikation von Menschen, Dingen und Maschinen auf unser Zusammenleben aus?
Wo liegen die Chancen, wo liegen die Risiken der zunehmenden Digitalisierung vieler unserer Lebens- und Wirtschaftsbereiche für eine soziale und ökologische Transformation der Gesellschaft?
Wir stehen am Beginn einer großen Umwälzung. Durch die Konferenz wollen wir Digitalisierung mitbestimmen und mitgestalten. Konkret in Paderborn, beim Projekt „Digitale Stadt“ und in globalen Zusammenhängen.
SMARTE GRÜNE WELT? – Klima und Nachhaltigkeit in Zeiten der Digitalisierung
Der Grüne Salon Paderborn lädt ein zur Digitalisierungskonferenz:
Sonntag, 2.12.2018, ab 11:30 Uhr
Gasthaus Haxterpark, Haxterhöhe 2Referent:
Dr. Steffen Lange
Co-Autor „Smarte grüne Welt“Leitung:
Gudrun Oevel, Klaus SchüsslerEintritt frei
Ablauf:
11:30 – 13:30 Uhr: Vortrag und DiskussionDr. Steffen Lange: „Smarte grüne Welt? – Digitalisierung zwischen Überwachung, Konsum und Nachhaltigkeit“
Mittagsimbiss
Ab 14:15 Uhr World Café – zwei Runden an den Thementischen:
Energie + Industrie 4.0 + Konsum und Handel + Verkehr + Digitale Stadt + Teilhabe und Gestaltung
16:15 – 17:00 Uhr: Zusammenführung
Die Heinrich Böll Stiftung NRW beschreibt sich selbst und den Grünen Salon Paderborn wie folgt:
In Zeiten medialer Überflutung und der stärker werdenden Orientierung an schlagzeilenträchtiger Rhetorik, gerät ein Wesensmerkmal der Demokratie zunehmen in den Hintergrund: Die freie Meinungs- und Willensbildung, die auf dem Austausch unterschiedlicher Argumente beruht.
Der Grüne Salon Paderborn will als Ort der politischen Debatte und Reflexion entgegenwirken, der den Austausch der Meinungen fördert und sachliche Kontroversen zulässt, jedoch ohne reflexhafte Zuspitzung und Verkürzung.
Der Grüne Salon ist ein Debattenformat der Heinrich Böll Stiftung NRW. Gemäß deren Statuten versteht sich auch der Grüne Salon Paderborn als unabhängig, jedoch grün-nah. Mehr über das Selbstverständnis …
Alle Debatten des Grünen Salons Paderborn enden nach zwei Stunden. Die Themen und Orte wechseln. Der Eintritt ist frei.
Die Handreichung zur Vorbereitung des Grünen Salons Paderborn beschreibt den Ablauf des World Cafés wie folgt:
1. Grundlegende Idee
An 6 Tischen werden in zwei Runden à 45 Minuten Anwendungsfelder der Digitalisierung in Hinblick auf Nachhaltigkeit diskutiert. Je zwei Impulsgeber*innen an den Tischen geben Impulse aus ihrem Feld und stehen für Rückfragen zur Verfügung. Zielsetzung ist es in den Austausch zu kommen und zu sehen, wo gibt es im Publikum viele Fragen, welche Themen sind besonders interessant und wo müsste evtl. eine Nachfolgeveranstaltung konzipiert werden. An manchen Tischen sind 2 Impulsgeber*innen mit unterschiedlichen Kompetenzen vorhanden. Hier bietet es sich an, dass in jeder Runde nur eine Person einen kurzen Impuls macht und die andere Person sich jeweils nur vorstellt. Die Tische und ihre Impulsgeber*innen werden vor der Mittagspause direkt nach dem Vortrag von den Moderatoren*innen im Plenum vorgestellt.2. Rolle und Aufgaben der Impulsgeber*innen
Die Impulsgeber*innen stellen sich an den Tischen mit einem Impuls von etwa 5 Minuten selbst vor. Sie erläutern wie sie aus ihrem beruflichen/persönlichen Kontext mit dem Thema (Digitalisierung und Nachhaltigkeit in dem Anwendungsfeld) in Berührung stehen und wo sie persönlich Chancen und Risiken bzgl. Nachhaltigkeit sehen. Anschließend sollen die Besucher*innen an den Tischen Fragen stellen, die die Impulsgeber*innen beantworten oder kommentieren oder als Herausforderung sammeln (lassen).3. Methode zur Diskussion
Das Orga-Team schlägt vor die Diskussion und Fragen in der Form des Lean World Café zu organisieren. Nach dem Impuls werden die Tischbesucher*innen gebeten ihre Fragen auf ausliegenden Themenkarten aufzuschreiben (ca 5 Minuten). Diese werden gesammelt, sortiert und priorisiert (Impulsgeber*innen und Begleiter*innen). Es wird anschließend immer ein Themenblock diskutiert, um eine Hin-und-Her-Springen zu vermeiden. Diskutierte Themen werden am Ende der Veranstaltung durch die Begleiter*innen kurz präsentiert. Schon diskutierte Themen im ersten Block können in den zweiten Block übernommen werden, wenn das sinnvoll erscheint.
Der Veranstaltungsflyer des Grünen Salons Paderborn kann hier heruntergeladen werden.
The post Veranstaltungshinweis: SMARTE GRÜNE WELT? – Klima und Nachhaltigkeit in Zeiten der Digitalisierung appeared first on Do-FOSS.
