Die SMLIGHT SLZB-06 Modelle werden auf Reddit und in Smart Home Foren sehr oft empfohlen. Anfang dieses Jahres hatte ich euch zwei der Modelle genauer vorgestellt. Im April hat SMLIGHT mit dem SLZB-MR1 die...
In den USA hat Mozilla mit dem Privacy Protection Plan ein neues Angebot gestartet, welches das Mozilla VPN, Mozilla Monitor Plus und Firefox Relay Premium für einen stark vergünstigten Preis bündelt.
Mozilla ist nicht nur Entwickler des kostenlosen Firefox-Browsers, sondern auch mehrerer Privatsphäre-Dienste: Mit dem Mozilla VPN bietet Mozilla ein Virtual Private Network an und verspricht neben einer sehr einfachen Bedienung eine schnelle Performance, Sicherheit sowie Privatsphäre. Mozilla Monitor prüft, ob die eigene E-Mail-Adresse Teil eines bekannten Datendiebstahls in der Vergangenheit war, und hilft beim Umgang damit. Nur in den USA gibt es mit Mozilla Monitor Plus ein kostenpflichtiegs Zusatzangebot, um persönliche Informationen von über 190 Personen-Suchmaschinen automatisch entfernen zu lassen. Mit Firefox Relay können sogenannte Masken als Alias-Adressen für die persönliche E-Mail-Adresse angelegt werden, die der Nutzer zum Beispiel für Newsletter-Anmeldungen und Website-Registrierungen angeben kann, um so die echte E-Mail-Adresse zu schützen. Die kostenpflichtige Version Firefox Relay Premium bietet zusätzliche Funktionen.
Statt die drei kostenpflichtigen Dienste Mozilla VPN, Mozilla Monitor Plus und Firefox Relay Premium (ohne den nur in den USA sowie Kanada verfügbaren Telefonnummer-Schutz) separat zu erwerben, haben Nutzer in den USA jetzt auch die Möglichkeit, den Privacy Protection Plan zu bestellen. Dieser bündelt alle drei Produkte. Dafür zahlt der Anwender 99,00 USD pro Jahr. Damit ist das Paket sogar günstiger als Mozilla Monitor Plus alleine, was bereits 107,88 USD pro Jahr kostet. Würde man alle drei Produkte einzeln erwerben, müsste man dafür 179,64 USD bezahlen. Dafür gibt es den Privacy Protection Plan ausschließlich für ein ganzes Jahr zu erwerben und anders als die Einzelprodukte nicht optional auch monatsweise.
Da es Mozilla Monitor Plus nur in den USA gibt, kann man mit Sicherheit davon ausgehen, dass es auch den Privacy Protection Plan nicht außerhalb der USA geben wird. Eine Bündelung nur vom Mozilla VPN mit Firefox Relay Premium wäre aber auch außerhalb der USA interessant. Entsprechende Pläne sind zu diesem Zeitpunkt allerdings nicht bekannt.
Der Beitrag USA: Privacy Protection Plan bündelt Mozilla VPN, Mozilla Monitor Plus und Firefox Relay Premium erschien zuerst auf soeren-hentzschel.at.
Der SSH-Dienst ist ein natürliches Angriffsziel jedes Servers. Klassische Abwehrmaßnahmen zielen darauf aus, den root-Login zu sperren (das sollte eine Selbstverständlichkeit sein) und mit Fail2ban wiederholte Login-Versuche zu blockieren. Eine weitere Sicherheitsmaßnahme besteht darin, den Passwort-Login mit einer Zwei-Faktor-Authentifizierung (2FA) zu verbinden. Am einfachsten gelingt das server-seitig mit dem Programm google-authenticator. Zusätzlich zum Passwort muss nun ein One-time Password (OTP) angegeben werden, das mit einer entsprechenden App generiert wird. Es gibt mehrere geeignete Apps, unter anderem Google Authenticator und Authy (beide kostenlos und werbefrei).
Es gibt verschiedene Konfigurationsoptionen. Ziel dieser Anleitung ist es, parallel zwei Authentifizierungsvarianten anzubieten:
Vorweg einige Worte zu Konfiguration des SSH-Servers. Diese erfolgt durch die folgenden Dateien:
Anmelden
/etc/ssh/sshd_config
/etc/ssh/sshd_config.d/*.conf
/etc/crypto-policies/back-ends/opensshserver.config (nur RHEL)
Verwechseln Sie sshd_config nicht mit ssh_config (ohne d) für die Konfiguration des SSH-Clients, also für die Programme ssh und scp! opensshserver.config legt fest, welche Verschlüsselungsalgorithmen erlaubt sind.
Beachten Sie, dass bei Optionen, die in den sshd-Konfigurationsdateien mehrfach eingestellt sind, der erste Eintrag gilt (nicht der letzte)! Das gilt auch für Einstellungen, die am Beginn von sshd_config mit Include aus dem Unterverzeichnis /etc/ssh/sshd_config.d/ gelesen werden und die somit Vorrang gegenüber sshd_config haben.
Werfen Sie bei Konfigurationsproblemen unbedingt auch einen Blick in das oft übersehene sshd_config.d-Verzeichnis und vermeiden Sie Mehrfacheinträge für ein Schlüsselwort!
Weil die Dateien aus /etc/ssh/sshd_config.d/ Vorrang gegenüber sshd_config haben, besteht eine Konfigurationsstrategie darin, sshd_config gar nicht anzurühren und stattdessen alle eigenen Einstellungen in einer eigenen Datei (z.B. sshd_config.d/00-myown.conf) zu speichern. 00 am Beginn des Dateinamens stellt sicher, dass die Datei vor allen anderen Konfigurationsdateien gelesen wird.
Überprüfen Sie bei Konfigurationsproblemen mit sshd -T, ob die Konfiguration Fehler enthält. Wenn es keine Konflikte gibt, liefert sshd -T eine Auflistung aller aktuell gültigen Einstellungen. Die Optionen werden dabei in Kleinbuchstaben angezeigt. Mit grep -i können Sie die für Sie relevante Einstellung suchen:
sshd -T | grep -i permitro
permitrootlogin yes
Änderungen an sshd_config werden erst wirksam, wenn der SSH-Server die Konfiguration neu einliest. Dazu führen Sie das folgende Kommando aus:
systemctl reload sshd # RHEL
systemctl reload ssh # Debian, Ubuntu
Google Authenticator bezeichnet zwei unterschiedliche Programme: einerseits die App, die sowohl für iOS als auch für Android verfügbar ist, andererseits ein Linux-Kommando, um die 2FA auf einem Linux-Server einzurichten. Während der Code für die Smartphone-Apps nicht öffentlich ist, handelt es sich bei dem Linux-Kommando um Open-Source-Code. Das resultierende Paket steht für RHEL-Distributionen in der EPEL-Paketquelle zur Verfügung, bei Ubuntu in universe.
dnf install google-authenticator qrencode # RHEL + EPEL
apt install libpam-google-authenticator # Debian, Ubuntu
Nach der Installation führen Sie für den Account, als der Sie sich später via SSH anmelden möchten (also nicht für root), das Programm google-authenticator aus. Nachdem Sie den im Terminal angezeigten QR-Code gescannt haben, sollten Sie zur Kontrolle sofort das erste OTP eingeben. Sämtliche Rückfragen können Sie mit y beantworten. Die Rückfragen entfallen, wenn Sie das Kommando mit den Optionen -t -d -f -r 3 -R 30 -W ausführen. Das Programm richtet die Datei .google-authenticator im Heimatverzeichnis ein.
user$ google-authenticator
Do you want authentication tokens to be time-based (y/n)
Enter code from app (-1 to skip): nnnnnn
Do you want me to update your .google_authenticator file? (y/n)
Do you want to disallow multiple uses of the same
authentication token? (y/n)
...
Das nächste Listing zeigt die erforderlichen sshd-Einstellungen. Mit der Methode keyboard-interactive wird PAM für die Authentifizierung verwendet, wobei auch eine mehrstufige Kommunikation erlaubt ist. Die ebenfalls erforderliche Einstellung UsePAM yes gilt bei den meisten Linux-Distributionen standardmäßig. Am besten speichern Sie die folgenden Zeilen in der neuen Datei /etc/ssh/sshd_config.d/00-2fa.conf. Diese wird am Beginn der sshd-Konfiguration gelesen und hat damit Vorrang gegenüber anderen Einstellungen.
# Datei /etc/ssh/sshd_config.d/00-2fa.conf
UsePAM yes
PasswordAuthentication yes
PubkeyAuthentication yes
ChallengeResponseAuthentication yes
# Authentifizierung wahlweise nur per SSH-Key oder
# mit Passwort + OTP
AuthenticationMethods publickey keyboard-interactive
Der zweite Teil der Konfiguration erfolgt in /etc/pam.d/sshd. Am Ende dieser Datei fügen Sie eine Zeile hinzu, die zusätzlich zu allen anderen Regeln, also zusätzlich zur korrekten Angabe des Account-Passworts, die erfolgreiche Authentifizierung durch das Google-Authenticator-Modul verlangt:
# am Ende von /etc/pam.d/sshd (Debian, Ubuntu)
...
# Authenticator-Zifferncode zwingend erforderlich
auth required pam_google_authenticator.so
Alternativ ist auch die folgende Einstellung mit dem zusätzlichen Schlüsselwort nullok denkbar. Damit akzeptieren Sie einen Login ohne 2FA für Accounts, bei denen Google Authenticator noch nicht eingerichtet wurde. Sicherheitstechnisch ist das natürlich nicht optimal — aber es vereinfacht das Einrichten neuer Accounts ganz wesentlich.
# am Ende von /etc/pam.d/sshd (Debian, Ubuntu)
...
# Authenticator-Zifferncode nur erforderlich, wenn
# Google Authenticator für den Account eingerichtet wurde
auth required pam_google_authenticator.so nullok
Wenn Sie RHEL oder einen Klon verwenden, sieht die PAM-Konfiguration ein wenig anders aus. SELinux verbietet dem SSH-Server Zugriff auf Dateien außerhalb des .ssh-Verzeichnisses. Deswegen müssen Sie die Datei .google-authenticator vom Home-Verzeichnis in das Unterverzeichnis .ssh verschieben. restorecon stellt sicher, dass der SELinux-Kontext für alle Dateien im .ssh-Verzeichnis korrekt ist.
user$ mv .google-authenticator .ssh/ (nur unter RHEL!)
user$ restorecon .ssh
In der Zeile auth required übergeben Sie nun als zusätzliche Option den geänderten Ort von .google-authenticator. Falls Sie die nullok-Option verwenden möchten, fügen Sie dieses Schlüsselwort ganz am Ende hinzu.
# am Ende von /etc/pam.d/sshd (RHEL & Co.)
...
auth required pam_google_authenticator.so secret=/home/${USER}/.ssh/.google_authenticator
Passen Sie auf, dass Sie sich nicht aus Ihrem Server aussperren! Probieren Sie das Verfahren zuerst in einer virtuellen Maschine aus, nicht auf einem realen Server!
Vergessen Sie nicht, die durchgeführten Änderungen zu aktivieren. Vor ersten Tests ist es zweckmäßig, eine SSH-Verbindung offen zu lassen, damit Sie bei Problemen die Einstellungen korrigieren können.
sshd -T # Syntaxtest
systemctl reload sshd # RHEL
systemctl reload ssh # Debian + Ubuntu
Bei meinen Tests hat sich die Google-Authenticator-Konfiguration speziell unter RHEL als ziemlich zickig erwiesen. Beim Debugging können Sie client-seitig mit ssh -v, server-seitig mit journalctl -u sshd nach Fehlermeldungen suchen.
Die Anwendung von Google Authenticator setzt voraus, dass die Uhrzeit auf dem Server korrekt eingestellt ist. Die One-Time-Passwords gelten nur in einem 90-Sekunden-Fenster! Das sollten Sie insbesondere bei Tests in virtuellen Maschinen beachten, wo diese Bedingung mitunter nicht erfüllt ist (z.B. wenn die virtuelle Maschine pausiert wurde). Stellen Sie die Zeit anschließend neu ein, oder starten Sie die virtuelle Maschine neu!
Für den Fall, dass das Smartphone und damit die zweite Authentifizierungsquelle verlorengeht, zeigt das Kommando google-authenticator bei der Ausführung fünf Ziffernfolgen an, die Sie einmalig für einen Login verwendet können. Diese Codes müssen Sie notieren und an einem sicheren Ort aufbewahren — dann gibt es im Notfall einen »Plan B«. (Die Codes sind auch in der Datei .google_authenticator enthalten. Auf diese Datei können Sie aber natürlich nicht mehr zugreifen, wenn Sie keine Login-Möglichkeit mehr haben.)
Die App Google Authenticator synchronisiert die 2FA-Konfiguration automatisch mit Ihrem Google-Konto. Die 2FA-Konfiguration kann daher auf einem neuen Smartphone rasch wieder hergestellt werden. Schon eher bereitet Sorge, dass nur die Kenntnis der Google-Kontodaten ausreichen, um Zugang zur 2FA-Konfiguration zu erhalten. Die Cloud-Synchronisation kann in den Einstellungen gestoppt werden.
Auch Authy kann die 2FA-Konfiguration auf einem Server der Firma Twilio speichern und mit einem weiteren Gerät synchronisieren. Anders als bei Google werden Ihre 2FA-Daten immerhin mit einem von Ihnen zu wählenden Passwort verschlüsselt. Mangels Quellcode lässt sich aber nicht kontrollieren, wie sicher das Verfahren ist und ob es den Authy-Betreibern Zugriff auf Ihre Daten gewährt oder nicht. 2024 gab es eine Sicherheitspanne bei Twilio, bei der zwar anscheinend keine 2FA-Daten kompromittiert wurden, wohl aber die Telefonnummern von 35 Millionen Authy-Benutzern.
Authenticator-Apps funktionieren prinzipiell rein lokal. Weder der beim Einrichten erforderliche Schlüssel bzw. QR-Code noch die ständig generierten Einmalcodes müssen auf einen Server übertragen werden. Die Apps implementieren den öffentlich standardisierten HMAC-based One-Time Password Algorithmus (OATH-HOTP).
Allerdings bieten einige OTP-Apps die Möglichkeit, die Account-Einträge über ein Cloud-Service zu sichern (siehe oben). Diese Cloud-Speicherung ist eine mögliche Sicherheitsschwachstelle.
Davon losgelöst gilt wie bei jeder App: Sie müssen der Firma vertrauen, die die App entwickelt hat. Der Code der App Google Authenticator war ursprünglich als Open-Source verfügbar, seit 2020 ist das leider nicht mehr der Fall. Wenn Sie weder Google Authenticator noch Authy vertrauen, finden Sie im Arch Linux Wiki Links zu Apps, deren Code frei verfügbar ist.
Ende letzten Jahres habe ich euch gezeigt, wie ihr die OpenThread RCP Firmware auf dem SMLIGHT SLZB-07 installiert. Neben den SLZB-07 Modellen gibt es von SMLIGHT noch die SLZB-06 Modelle, welche die im Home...
Seit einiger Zeit haben bei mir Bildschirme von Ubuntu 24.04 LTS Systemen einen komischen Effekt. Sie flackern gelegentlich.
Zunächst hatte ich den Verdacht, dass Grafiktreiber, Interferenzen oder gar Schadsoftware dafür verantwortlich sind. Beides konnte sich nicht bestätigen, also muss das Problem ein anderes sein.
Die Lösung war nicht so einfach zu finden, aber zumindest die Ursache. Es ist der Kernel. Die Kernel Config wurde aktualisiert, siehe UBUNTU: [Config] enable Intel DMA remapping by default.
Dabei wurde CONFIG_INTEL_IOMMU_DEFAULT_ON gesetzt. Wie du direkt siehst, betrifft der Flackerfehler wohl nur Intel Systeme und nur ältere.
IOMMU steht für Input-Output Memory Management Unit und soll für zusätzliche Sicherheit bei Speicherzugriffen führen oder eben zu flackern, wie du sicher bemerkt hast, wenn du diesen Artikel liest.
Doch was ist die Lösung für das Problem. Ganz einfach, schalte die Funktion einfach wieder ab und du hast wieder klare Sicht. Via CMDLINE kannst du das direkt umsetzen, nach einem Neustart sollte alles wieder korrekt funktionieren.
#grub editieren
sudo nano /etc/default/grub
#intel_iommu=igfx_off hinzufügen
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash intel_iommu=igfx_off"
sudo update-grub
#reboot
Mit diesem Befehl schaltest du IOMMU für die Intel Grafikkarte (iGPU) ab und die Effekte gehören der Vergangenheit an.
Wann Canonical mit einem offiziellen Fix für dieses Problem daherkommt, ist offen.
Du solltest mit dieser Lösung auf jeden Fall wieder normal arbeiten können.
Es gab schon diverse ziemlich übersichtliche Updates für Tails (The Amnesic Incognito Live System). Das Changelog für Tails 6.1 ist ebenfalls kurz. Der Screenshot fasst wirklich alle Änderungen und Neuerungen zusammen. Der Tor Browser wurde auf 13.0.13 aktualisiert und Thunderbird ist nun in Version 115.9.0 enthalten. Ende der Durchsage. Laut Changelog hat das Entwickler-Team allerdings auch einige Bugs ausgebessert, die ziemlich nervig klingen. Ich bin auf keinen dieser Bugs gestoßen, aber gut, dass das nicht mehr der Fall sein kann. […]
Der Beitrag Tails 6.1 – Update für Tor Browser ist von bitblokes.de.
Ab sofort kannst Du Tor Browser 13.0.12 für Linux, Android, Windows und macOS benutzen. Verwendest Du eine relativ aktuelle Version der Software, aktualisiert sie sich automatisch. Bei mir hat das jedenfalls funktioniert. Die neueste Version bringt wichtige Updates für Firefox. Der Mozilla Browser ist die Basis. Unter Linux, Windows und macOS basiert Tor Browser 13.0.12 auf Firefox 115.9esr. Unter Android wurde GeckoView auf 115.9.0esr aktualisiert. Entfernung der automatischen Priorisierung von .onion-Websites in Tor Browser 13.0.12 Das Tor-Projekt wurde kürzlich auf […]
Der Beitrag Tor Browser 13.0.12 ist veröffentlicht ist von bitblokes.de.
Am Welttag gegen Internetzensur (12. März) stellt das Anti-Zensur-Team des Tor-Projekts WebTunnel offiziell vor. Es ist eine neue Art Tor-Brücke, womit sich Nutzer in stark zensierten Regionen mit dem Tor-Netzwerk verbinden können. WebTunnel gibt es ab sofort in der stabilen Version des Tor-Browsers. Es ist eine weitere Option, womit Du Zensur umgehen kannst. Die Technologie wird vom Tor-Projekt entwickelt und natürlich auch gepflegt. Das Team gibt an, dass die Entwicklung verschiedener Arten von Brücken entscheidend ist, um Tor widerstandsfähiger gegen […]
Der Beitrag WebTunnel von Tor-Projekt vorgestellt – Zensur umgehen ist von bitblokes.de.
Ab sofort ist die finale Version von Tails 6.0 verfügbar. Es ist die erste Version, die auf Debian 12 Bookworm basiert und GNOME 43 als Desktop-Umgebung mit sich bringt. Bei Tails 6.0 wurde die meiste Software aktualisiert. Zudem gibt es diverse Verbesserungen bezüglich Sicherheit und Benutzerfreundlichkeit. Zu den neuen Funktionen gehört eine Fehlererkennung beim permanenten Speicher. Tails 6.0 warnt Dich, wenn beim Lesen von Daten oder Schreiben auf den USB-Stick Fehler auftrete. Damit kannst Du mögliche Hardware-Fehler auf dem USB-Stick […]
Der Beitrag Tails 6.0 ist veröffentlicht – basiert auf Debian 12 Bookworm ist von bitblokes.de.
DigitalOcean, ein Cloudservice Anbieter, bietet auf seiner Webseite eine kleine Toolsammlung an. Teil dieser Sammlung ist NGINXConfig, ein auf nodeJS basierendes Nginx Konfigurations-Tool.
Als Vorbild diente unter anderem der Mozilla SSL Config Generator, denn genauso wie das Mozilla Tool bietet NGINXConfig einige extra Optionen an.
Angefangen von PHP Unterstützung, bis zur Certbot Einbindung oder dem Reverse Proxy lassen sich granular Optionen setzen. Selbst Security Optionen wie Request Limiter oder Beschränkungen für GET/POST sind konfigurierbar.
Alleine als Übersicht für verfügbare Nginx Features ist das Tool sehr praktisch:
Nachdem du alle gewünschten Optionen gesetzt hast, kannst du die komplette Konfiguration herunterladen oder kopieren. Parallel dazu kannst du die Setup Routine durchlaufen, die dich Schritt für Schritt bis zum Anschalten deiner Konfiguration führt.
Praktischerweise ist NGINXconfig Open Source und du kannst es auf deinen eigenen Server packen oder verbessern und aktualisieren.
Zusätzlich findest du noch weitere praktische Tools in der Digital Ocean Sammlung:
Nachdem ich vor 2 Wochen schon über Pixlr und Sumopaint berichtet hatte, hat Photoshop.com inzwischen seinen Webauftritt überarbeitet und man kann ohne Anmeldung online Bilder bearbeiten.
Insgesamt stellt Adobe 4 Tools zur Verfügung, darunter einen Editor, einen Organizer, einen Uploader und ein Slideshow-Tool. Wobei der Editor die wichtigsten Funktionen für eine schnelle Bildbearbeitung bereitstellt, welche aber bei Weitem nicht an Pixlr oder Sumopaint heranreichen. Für die schnelle Bildbearbeitung ist der Express Editor jedoch dennoch praktisch, er ist selbsterklärend und bietet alles, was man für die kurze Fotooptimierung benötigt.
Unter den Hauptreitern "Edit" und "Decorate" sind diverse Funktionen untergebracht, die man aus klassischen Bildbearbeitungsprogrammen kennt. Also durchaus eine Empfehlung wert.
