Lese-Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.

[Lösung] Bildschirm flackert mit Ubuntu

Seit einiger Zeit haben bei mir Bildschirme von Ubuntu 24.04 LTS Systemen einen komischen Effekt. Sie flackern gelegentlich.
Zunächst hatte ich den Verdacht, dass Grafiktreiber, Interferenzen oder gar Schadsoftware dafür verantwortlich sind. Beides konnte sich nicht bestätigen, also muss das Problem ein anderes sein.

Die Lösung war nicht so einfach zu finden, aber zumindest die Ursache. Es ist der Kernel. Die Kernel Config wurde aktualisiert, siehe UBUNTU: [Config] enable Intel DMA remapping by default.
Dabei wurde CONFIG_INTEL_IOMMU_DEFAULT_ON gesetzt. Wie du direkt siehst, betrifft der Flackerfehler wohl nur Intel Systeme und nur ältere.

IOMMU steht für Input-Output Memory Management Unit und soll für zusätzliche Sicherheit bei Speicherzugriffen führen oder eben zu flackern, wie du sicher bemerkt hast, wenn du diesen Artikel liest.

flickering-ubuntu

Lösung - Ubuntu flackernden Bildschirm abschalten

Doch was ist die Lösung für das Problem. Ganz einfach, schalte die Funktion einfach wieder ab und du hast wieder klare Sicht. Via CMDLINE kannst du das direkt umsetzen, nach einem Neustart sollte alles wieder korrekt funktionieren.

#grub editieren
sudo nano /etc/default/grub

#intel_iommu=igfx_off hinzufügen
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash intel_iommu=igfx_off"
sudo update-grub

#reboot

Mit diesem Befehl schaltest du IOMMU für die Intel Grafikkarte (iGPU) ab und die Effekte gehören der Vergangenheit an.

ubuntu-flickering-cmdline

Wann Canonical mit einem offiziellen Fix für dieses Problem daherkommt, ist offen.
Du solltest mit dieser Lösung auf jeden Fall wieder normal arbeiten können.

Was ist neu in Postfix 3.9

Anfang März wurde eine neue Postfix Version 3.9 veröffentlicht. Nach fast einem Jahr Entwicklungszeit löst diese Version gleichzeitig den alten stabilen Zweig 3.5 ab, welcher aus dem Jahr 2020 stammt.

Postfix

Abschaltungen

Mit dieser neuen Major Version wurden alte Zöpfe abgeschnitten und alte, wirklich alte, MySQL Versionen < 4.0. MySQL werden nicht mehr unterstützt.

Auch Features wie "permit_naked_ip_address", "check_relay_domains" und "reject_maps_rbl" wurden entfernt. Die Funktionen "disable_dns_lookups" und "permit_mx_backup" wurden als überholt markiert und werden entfernt.

Änderungen

Daneben wurden die angekündigten Sicherheitsfeatures implementiert, um unter anderem gegen SMTP Smuggling vorzugehen.
So müssen SMTP Clients nun <CR><LF>.<CR><LF> senden, um das Ende eines Datenstroms zu signalisieren.
Die Funktion "smtpd_forbid_unauth_pipelining" trennt ab sofort SMTP-Clients, die gegen RFC 2920 (oder 5321) Befehlspipelining-Beschränkungen verstoßen.
Zusätzlich gab es Formatierungsänderungen im Mailheader. Postfix verwendet jetzt zweistellige Tagesformate. Heißt, einstelligen Nummern wird eine Null vorgestellt.

Neuerungen

Natürlich gab es auch einige Neuerungen in Postfix 3.9, die dich sicher interessieren werden.

  1. MongoDB: Postfix spricht MongoDB, was es dir erlaubt, Daten wie aliases oder canonical dort abzulegen
  2. ID Weiterleitung: IDs können nun via ENVID (Envelope ID) weitergeleitet werden
  3. MySQL and PostgreSQL Verbesserungen: Solltest du MySQL oder PSQL einsetzen, werden die Parameter "idle_interval" und "retry_interval" ab sofort unterstützt. Das erleichtert dir das Verbindungsmanagement
  4. Raw Public Key Support: Erlaubt dir die Verwendung eines selbst signierten Zertifikats anstatt eines x509.
  5. OpenSSL Konfiguration: Postfix unterstützt jetzt eigene OpenSSL Konfigurationsdateien "tls_config_file" und "tls_config_name"

Security

Auf Seiten der Sicherheit gab es ebenfalls Neuerungen.
Das weiter oben bereits erwähnte "smtpd_forbid_unauth_pipelining = yes" gegen Blind Angriffe (SSRF Angriffe) und das ebenfalls genannte Signaling zum Ende des Datenstroms (SMTP Smuggling) zählen hier mit rein. Letzteres hat mit "smtpd_forbid_bare_newline = normalize" eine weitere Sicherheitsfunktion erhalten. Gleiches gilt für das neue "cleanup_replace_stray_cr_lf = yes"
Als Maßnahme gegen Amplification Angriffe wurden die Abfragen des DNS Clients auf 100 reduziert, gewissermaßen ein Rate Limiter am oberen Ende.

Vollständige Release Notes

Was ist Ubuntu Pro und wie schalte ich es ab?

Ubuntu Pro ist eine Updateerweiterung für bestimmte Pakete der bekannten Distribution.
Ubuntu LTS soll so 10 Jahre Abdeckung für über 25.000 Pakete erhalten. Zusätzlich erhältst du Kernel Livepatching, Telefonsupport und Pakete fürs Hardening (NIST-certified FIPS crypto-modules, USG hardening mit CIS and DISA-STIG Profilen und Common Criteria EAL2).

Leider wird für dieses kostenpflichtige Produkt Werbung gemacht, auf dem Terminal und im Ubuntu Update Manager.
Sollte dich das stören, kannst du diese Meldungen mit wenigen Befehlen abschalten.
Alternativ kannst du dich auch einfach für Ubuntu Pro anmelden, denn der Zugang ist für Privatanwender für bis zu fünf Installationen umsonst.

Ubuntu Pro Nachrichten abschalten

sudo pro config set apt_news=false 

Das Abschalten der APT News reicht nicht ganz aus, um dir die Werbeeinblendung zu ersparen.
Du musst zusätzlich eine Datei editieren und deren Inhalt auskommentieren

nano /etc/apt/apt.conf.d/20apt-esm-hook.conf

ubuntu-pro-werbung-abschalten

Ubuntu Advantage deaktivieren oder deinstallieren

Optional kannst du das Ubuntu Advantage Paket entfernen, bzw. die Expanded SecurityMaintenance (ESM) abschalten, wenn du magst.
Ubuntu Advantage war der Vorgänger von Ubuntu Pro
Dieses beinhaltet wie die Pro-Variante Kernel Livepatching, Unterstützung für Landscape oder Zugriff auf eine Wissensdatenbank. Alles Dinge, die für Privatanwender nur bedingt interessant sind.

sudo systemctl disable ubuntu-advantage
#oder
sudo apt remove ubuntu-advantage-tools
# esm hook deaktivieren
sudo mv /etc/apt/apt.conf.d/20apt-esm-hook.conf /etc/apt/apt.conf.d/20apt-esm-hook.conf.disabled

Unterschied Ubuntu Advantage und Ubuntu Pro

Solltest du nun maximal verwirrt sein, was zu welchem Supportmodell gehört und wie es unterstützt wird, hier ein Vergleich von endoflifedate. Ubuntu Pro (Infra-Only) steht in der Tabelle für das alte Ubuntu Advantage.

ubuntu-lts-vs-ubuntu-pro

 

Firefox - Cookie-Dialog-Blocker aktivieren

Firefox – Cookie-Dialog-Blocker

Vor kurzem ist der neue Firefox 120 erschienen, er bringt eine nützliche Cookiedialog Blockfunktion mit.
Du kennst nervige Pop-ups zur Genüge, diese haben in den vergangenen Jahren das Internet zu einem Klicknet gemacht.

Praktischerweise bringt der neue Firefox eine Funktion mit, um diese automatisch abzulehnen. Heißt, sie werden nicht einfach ausgeblendet, sondern sie werden beantwortet.

Leider ist diese Funktion bisher nur deutschen Nutzer und dem privaten Modus vorbehalten. Das kannst du allerdings einfach über about:config ändern.

firefox-cookie-banner-dialog-aktivieren

Du musst lediglich nach den Variablen cookiebanners.service.mode suchen und die Werte auf 1 setzen.

Sollten Cookie-Banner weiterhin nicht verschwinden, kannst du auch den Wert 2 setzen. Dieser sorgt dafür, dass Cookie Dialoge, die nicht abgelehnt werden können, automatisch akzeptiert werden.

  • 0 Cookie-Banner Blocker deaktiviert
  • 1 Cookie-Banner Blocker lehnt ab, sofern möglich
  • 2 Cookie-Banner Blocker lehnt ab, sofern möglich und akzeptiert den Rest

Kontrollieren kannst du die Funktion in den Privacy Einstellungen about:preferences#privacy.

Natürlich kannst du die neue Surffreude ebenfalls auf Webseiten mit Cookie-Banner testen, so etwas wie chip.de oder dergleichen. Hier hat bei mir das Ablehnen nicht funktioniert, sondern nur Wert 2 mit Ablehnen, wenn möglich, und den Rest akzeptieren.

Fingerabdruck ade

Eine weitere praktische Funktion, um den Fingerabdruck beim Surfen zu reduzieren, bietet der neue Fingerprinting-Schutz in der Canvas API, welcher allerdings auch nur im privaten Modus aktiv ist.

Links ohne Tracking kopieren

Eine ebenfalls hervorragende neue Funktion ist das Kopieren eines Links über das Kontextmenü ohne Trackinginformationen.

firefox-link-ohne-tracking

Alle weiteren Neuerungen von Firefox 120 findest du bei Mozilla.

Linux Script - Postfix Mail Server Logauswertung mit dem Postfix Log Entry Summarizer

Wer sich schon einmal mit MTAs (Mail Transfer Agent) auseinandergesetzt hat, dem wird Postfix sicherlich ein Begriff sein. Postfix zählt zu den bekanntesten Mailservern im Linuxbereich, ist schnell und recht einfach zu konfigurieren, eine gewisse Grundkenntnis vorausgesetzt. Für einen sicheren Mailverkehr möchte ich hier noch einmal auf das Crypto Handbuch verweisen.

Letzte Woche war ja ein wenig Exchange Server im Programm, heute soll es aber um eine Auswertung des Mailverkehrs, welcher täglich über einen Postfix Server rauscht, gehen. 

Postfix Log Entry Summarizer

Hierfür gibt es sicherlich einige Monitoring Tools, eines davon ist Pflogsumm (Postfix Log Entry Summarizer), welches eine ausführliche Auswertung bietet, ohne, dass der Anwender viel konfigurieren muss.

Unter Ubuntu ist dieses Tool recht schnell konfiguriert und im Optimalfall erhaltet ihr am Ende eine Übersicht aller Nachrichten, egal ob gesendet, empfangen oder geblockt. Auch der Traffic, die Menge oder die Mailadressen werden ausgewertet. Bis zu dieser Statistik ist aber noch ein wenig Vorarbeit zu leisten.

Pflogsumm installieren (Ubuntu)

sudo apt-get install pflogsumm 

Postfix Log Entry Summarizer konfigurieren

Ihr habt nun die Möglichkeit das Tool direkt aufzurufen und euch eine Liveauswertung geben zu lassen, um zu sehen was gerade auf dem Mailserver passiert. Pflogsumm macht nichts anderes, als auf die Logfiles des Postfix Server zurückzugreifen und diese auszuwerten. Mit einem Einzeiler lässt sich so eine Statistik in eine Datei schreiben oder per Mail versenden.

sudo pflogsumm -u 5 -h 5 --problems_first -d today /var/log/mail.log >> test oder

sudo pflogsumm -u 5 -h 5 --problems_first -d today /var/log/mail.log | mail -s "Postfix Mail Report" info@example.com

Vorarbeit zur regelmäßigen Postfix Analyse

Eine IST Auswertung mag zwar interessant sein, die regelmäßige Auswertung der letzten Tage ist jedoch um einiges interessanter. Realisierbar ist dies mit den Logs des Vortages, diese werden Mittels logrotate gepackt und können danach ausgewertet werden. Zunächst muss logrotate angepasst werden, damit täglich neue Logs geschrieben werden.

sudo nano /etc/logrotate.conf

/var/log/mail.log {
    missingok
    daily
    rotate 7
    create
    compress
    start 0
    }
sudo nano /etc/logrotate.d/rsyslog

    #/var/log/mail.log

Wenn gewünscht ist, dass die Logrotation pünktlich zu einer gewissen Uhrzeit laufen soll, sagen wir um 2 Uhr Nachts , ist es nötig crontab zu editieren und dort die Laufzeit anzupassen.

sudo nano /etc/cron.daily anzupassen 0 2 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

Skript zur Postfix Analyse 

Nun können wir unser eigenes Script zusammen stellen, welches am Schluss eine Auswertung versendet. 

sudo nano mailstatistiken.sh

#!/bin/bash
#
###############
# mailstats   #
###############

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

# Log Archive entpacken
gunzip /var/log/mail.log.1.gz

#Temporaere Datei anlegen
MAIL=/tmp/mailstats

#Etwas Text zum Anfang
echo "Taeglicher Mail Stats Report, erstellt am $(date "+%H:%M %d.%m.%y")" > $MAIL
echo "Mail Server Aktivitaeten der letzten 24h" >> $MAIL

#Pflogsumm aufrufen
/usr/sbin/pflogsumm --problems_first /var/log/mail.log.1 >> $MAIL

# Versenden der Auswertung
cat /tmp/mailstats | mail -s "Postfix Report $(date --date='yesterday')" stats@example.com

#Archiv wieder packen, damit alles seine Ordnung hat
gzip /var/log/mail.log.1

Insgesamt eine leichte Übung. Das fertige Skript noch mit "chmod +x" ausführbar machen und am besten via "crontab -e" zu einem gewünschten Zeitpunkt ausführen.

Am Ende solltet ihr jeden Tag per Mail eine ausführliche Zusammenfassung der E-Mails Statistiken erhalten.

Grand Totals

------------

messages

   4321   received

   1234   delivered

      5   forwarded

      1   deferred  (3  deferrals)

      0   bounced

      0   rejected (0%)

      0   reject warnings

      0   held

      0   discarded (0%)

   1234m  bytes received

   1234m  bytes delivered

    123   senders

    321   sending hosts/domains

   1234   recipients

    123   recipient hosts/domains

message deferral detail

-----------------------

  smtp (total: 3)

         3   invalid sender domain 'example.de' (misconfigured ...

message bounce detail (by relay): none

message reject detail: none

message reject warning detail: none

message hold detail: none

message discard detail: none

smtp delivery failures: none

Warnings: none

Fatal Errors: none

Panics: none

Master daemon messages: none

Per-Hour Traffic Summary

------------------------

    time          received  delivered   deferred    bounced     rejected

    --------------------------------------------------------------------

    0000-0100           0          0          0          0          0 
.....

 

Linux Command Library App - Linux Befehle für die Hosentasche

Linux Command Library App

Egal, ob du einen Einstieg in Debian, Ubuntu und Co suchst, für ein LPIC Zertifikat Wissen aneignen willst oder schlicht und einfach nur ein Nachschlagewerk benötigst, die Linux Command Library ist ein guter Begleiter für Linux Menschen.

Die Sammlung umfasst ca. 5000 Handbuchseiten, mehr als 22 grundlegende Kategorien und eine Reihe allgemeiner Tipps für Terminals. Die passende App dazu funktioniert zu 100 % offline, benötigt keine Internetverbindung und hat keine Tracking-Software.

Simon Schubert hat die Online-Lernplattform für Linux Kommandos ins Leben gerufen. Neben der App kann das Nachschlagewerk klassisch im Browser genutzt werden.

Linux-Command-Library

 

Folgende Kategorien stehen dir zum Abrufen von zig Kommandos zur Verfügung:

  1. One-liners
  2. System Information
  3. Systemkontrolle
  4. Nutzer und Gruppen
  5. Dateien und Nutzer
  6. Input
  7. Drucken
  8. JSON
  9. Netzwerk
  10. Suchen und Finden
  11. Git
  12. SSH
  13. Video & Audio
  14. Paketmanager
  15. Hacking Tools
  16. Terminal Games
  17. Kryptowährungen
  18. VIM Texteditor
  19. Emacs Texteditor
  20. Nano Texteditor
  21. Pico Texteditor
  22. Micro Texteditor

Ein Cheatsheet mit praktischen Befehlen kannst du ebenfalls abrufen.

Die Linux Command Library ist Open Source und auf GitHub verfügbar. Die passende App dazu bekommst du auf im Play Store oder auf F-Droid.

NGINXConfig - performanten, sicheren und stabilen NGINX-Server automatisch konfigurieren

DigitalOcean, ein Cloudservice Anbieter, bietet auf seiner Webseite eine kleine Toolsammlung an. Teil dieser Sammlung ist NGINXConfig, ein auf nodeJS basierendes Nginx Konfigurations-Tool.

nginxconfig

Als Vorbild diente unter anderem der Mozilla SSL Config Generator, denn genauso wie das Mozilla Tool bietet NGINXConfig einige extra Optionen an.

Angefangen von PHP Unterstützung, bis zur Certbot Einbindung oder dem Reverse Proxy lassen sich granular Optionen setzen. Selbst Security Optionen wie Request Limiter oder Beschränkungen für GET/POST sind konfigurierbar.

Alleine als Übersicht für verfügbare Nginx Features ist das Tool sehr praktisch:

  • HTTPS
  • HTTP/2
  • IPv6
  • certbot
  • HSTS
  • security headers
  • SSL profile
  • OCSP
  • resolvers
  • caching
  • gzip
  • brotli
  • fallback
  • routing
  • reverse
  • proxy
  • www/non-www
  • redirect
  • CDN
  • PHP (TCP/socket WordPress, Drupal, Magento, Joomla)
  • Node.js support
  • Python (Django) server
  • etc.

Nachdem du alle gewünschten Optionen gesetzt hast, kannst du die komplette Konfiguration herunterladen oder kopieren. Parallel dazu kannst du die Setup Routine durchlaufen, die dich Schritt für Schritt bis zum Anschalten deiner Konfiguration führt.

Praktischerweise ist NGINXconfig Open Source und du kannst es auf deinen eigenen Server packen oder verbessern und aktualisieren.

Zusätzlich findest du noch weitere praktische Tools in der Digital Ocean Sammlung:

  • SPF Explainer
  • DNS Lookup
  • Bandwidth Calculator
  • JavaScript Minify Tool

https://github.com/digitalocean/nginxconfig.io

 

[Lösung] Flameshot unter Ubuntu 22.04 LTS defekt

In der Vergangenheit hatte ich Flameshot als Screenshot Tool vorgestellt. Leider sorgt Flameshot, beziehungsweise Screenshottools im Allgemeinen für Verwirrungen bei Ubuntu 22.04 Nutzern.
Ubuntu 22.04.1 LTS (Jammy Jellyfish) wurde bereits im August 2022 veröffentlicht. Der neue Ubuntu Desktop auf Basis von Gnome Shell 42 sieht mit dem Yaru Theme zwar schick aus, mag aber nicht mehr so richtig mit Flameshot zusammenarbeiten.

Das Problem

Flameshot startet, bietet aber auf den ersten Blick keine Möglichkeit eine Auswahl für den Screenshot zu treffen, bzw. blendet überhaupt keine Auswahlliste ein.

Das Problem ist hier nicht Flameshot selbst, sondern Gnome ab Version 41. Dieses Verhalten betrifft alle dritten Screenshot Tools. Dieser neue Weg war eine aktive Entscheidung der Entwickler und wurde bereits vor einiger Zeit beschrieben, siehe:

  •     https://github.com/flameshot-org/flameshot/issues/2186
  •     https://gitlab.gnome.org/GNOME/gnome-shell/-/merge_requests/1970
  •     https://gitlab.gnome.org/GNOME/gnome-shell/-/issues/4895
  •     https://github.com/flatpak/xdg-desktop-portal/issues/649


Es gab bereits viel Diskussionen dazu, daher lest euch gerne die verlinkten Kommentare durch, sollte es euch interessieren.

Flameshot hat inzwischen eine eigene Hilfeseite dazu geschaltet, da relativ häufig Fragen dazu kommen.
 

gnome_share_permission_window

Die Lösung

Wie lässt sich Flameshot ab Ubuntu 22.4 LTS bzw. Gnome 41 weiterhin mit dem üblichen Auswahlmenü verwenden?

  1. Die simpelste Lösung ist, einfach auf den Share Button zu drücken (siehe Screenshot), danach öffnet sich das bekannte Auswahlmenü.
  2. Eine weitere Lösung wäre, in den Einstellungen Wayland zu deaktivieren. Passt dazu die Konfiguration an:
    sudo nano /etc/gdm3/custom.conf
    WaylandEnable=false
    sudo systemctl restart gdm3
  3. Nutzt das Gnome eigene Screenshot Programm, damit habt ihr leider nicht mehr so viel Funktionen, dafür aber auch weniger Klickarbeit.

Salt Grafana - freies Dashboard für Saltstack Master

Saltstack ist ein Infrastructure as Code Tool zur Automatisierung der Infrastruktur. Je größer die damit automatisierte Infrastruktur, desto schwerer ist es den Überblick über gelaufene oder fehlerhafte States zu behalten oder gar Performancedaten auszuwerten.

Salt Grafana

Mit Salt Grafana ist ein neues freies Tool zur grafischen Darstellung der Abläufe auf dem Salt Master erschienen. Das neue Tool macht bereits vorhandenen Auswertungstools wie Alcali, SaltGUI oder Molton nur teilweise Konkurrenz, da es einen anderen Ansatz nutzt.

Wie der Name schon sagt, steck Grafana mit Loki, Prometheus, Tempo und PostgreSQL dahinter. Dies ermöglicht ein reichlich geschmücktes Dashboard mit verschiedensten Werten vom Salt Master.

dashboard-salt-grafana

Die Architektur dahinter sieht dahingehend auf den ersten Eindruck etwas komplex aus und die Installationsanleitung hat ein paar mehr Punkte zum Abarbeiten.

Dafür steht am Ende eine Reihe an Features zur Verfügung, die unabhängig vom Salt Master genutzt und konfiguriert werden können, egal ob bestimmte Überwachungsmetriken oder Alarmmeldungen.

 

salt-grafana-architecture

Anders als in der Grafik dargestellt, kann natürlich auch Grafana on premise verwendet werden.

Was Salt Grafana noch nicht auswerten kann, sind salt-call Aufrufe mit state.apply oder highstate. Dies könnte aber in kommenden Releases nachgereicht werden. Bis dahin ist das Tool auf jeden Fall einen Blick bzw. eine Testinstallation wert.

 

Download

Ubuntu 10.10 Beta erschienen "Maverick Meerkat"

Heute ist die erste Beta der neuen Ubuntu Version 10.10 "Maverick Meerkat" erschienen.

Das System wurde nicht nur beim Bootvorgang optimiert, sondern hat auch Updates bei GNOME (2.31), KDE(4.5.0), Xfce(4.6.2) und MythTV(0.23.1) erfahren.

Zusätzlich wurde das Softwarecenter überarbeitet, es soll schneller geworden sein und bietet eine History an. Das ganze läuft auf dem Linux Kernel 2.6.35-19.28.

Viel Spaß beim Testen.

ubuntu

Ubuntu 10.04 Einsteigerhandbuch

Viele, die den Einstieg in Linux noch nicht gewagt haben und es eventuell ausprobieren möchten, für die ist Ubuntu oft die erste Wahl. Diese Linuxdistribution hat sich quasi zum Standard für Anfänger gemausert. Sie ist schnell installiert, der Umstieg von Windows geht leicht von der Hand und es gibt eine große Nutzergemeinde im Netz, die für Fragen und Antworten zur Verfügung steht. Ubuntu muss nicht einmal installiert werden, sondern kann zum Testen auch direkt von CD gestartet werden oder, wie vor ein paar Tagen schon geschrieben, direkt von einem USB-Stick. So spart man sich "teure" Rohlinge. 

Auf der Chip Homepage kann man nun ein kleines aber praktisches Handbuch (auf Deutsch) für Anfänger bzw. Einsteiger herunterladen. Dort wird Schritt für Schritt erklärt, was Ubuntu so zu bieten hat. Wer es etwas ausführlicher mag, der ist bei Galileo Computing bestens aufgehoben. Dort steht ein über 1000-seitiges Buch online zum Schmökern zur Verfügung. Natürlich gibt es auch jede Menge Foren im Netz, wobei es jedem selbst überlassen ist, welches einem am besten liegt.

Windows Programme unter Linux

Wine 1.2 ist erschienen. Nach langer Entwicklung gibt es eine neue finale Version des Programms. Wine ermöglicht es Programme, die eigentlich nur für Windows geschrieben wurden, auch unter Linux laufen zu lassen.

Wichtigste Neuerung ist wohl die 64Bit Unterstützung. Der komplette Changelog ist auf der Homepage zu finden. Auf der Downloadseite sind diverse Pakete für die verschiedenen Distributionen zu finden. Sollte eigentlich für jeden Geschmack was dabei sein.

Mac OS X Alle Dateien anzeigen

Da ich mich heute mal wieder mit Macs beschäftigen musste und Probleme mit dem neuen Mac OS X v.10.6.4 und Safari 5 lösen sollte, hier mal auf die schnelle ein kleiner Tipp, wie man versteckte Dateien unter Mac OS anzeigt. 

Zuerst öffnet man über "Gehe zu/Programme/Dienstprogramme/Terminal" eine Konsolensitzung, in der Konsole gibt man Folgendes ein:

Systemdateien anzeigen:

defaults write com.apple.finder AppleShowAllFiles -boolean true;killall Finder und Return

 

Um die Systemdateien nach dem Bearbeiten wieder auszublenden:

defaults write com.apple.finder AppleShowAllFiles -boolean false;killall Finder und Return

Icinga 1.2.0 stable erschienen

Ende Juni berichtete ich schon über den Nagios Fork Icinga. An diesem Open Source Monitoring System wurde inzwischen fleißig weiterentwickelt und gestern konnte die erste stabile Version 1.2.0 veröffentlicht werden.

Icinga

In der neuen Version wurde die GUI komplett überarbeitet, das Interface ist nun zoom und scrollbar und kann individuell verändert werden, um Gruppen anzulegen oder Filter zu konfigurieren. Auch wurden erste Plugins integriert. So ist inzwischen PNP4Nagios mit an Bord. Es ist auch eine Demo online, dort kann man erkunden kann, was Icinga alles so drauf hat.

Vinux 3.0 - Linux für Sehbehinderte

Vinux 3.0 - Linux für Sehbehinderte

Die Linux-Distribution Vinux für Sehbehinderte setzt in ihrem dritten Release auf Ubuntu 10.04 LTS auf. Als Deb-Paket will die Softwaresammlung bestehende Distributionen auf Knopfdruck barrierefrei machen.

An Bord hat die Vollversion von Vinux 3.0 spezielle Accessibility-Software wie mehrere Screenreader, Vollbild-Vergrößerer und Unterstützung für USB-Braille-Displays. Das Besondere ist, dass alles bereits fertig eingestellt ist: Die Arbeit des Einrichtens und Zurechtklickens nimmt das Projekt Blinden und Sehbehinderten bereits ab. Erstmalig liegt das Betriebssystem neben der Live-Version auch als Paket-Version vor, das bestehende Distributionen automatisch für Blinde und Sehbehinderte ummodeln soll. Das Projekt hat jetzt auch ein eigenes Repository, in dem es seine angepasste Software zur Verfügung stellt.

 

Mehr via Linux Magazin

 

Screens via vinux.org.uk

 

Linux Partitionen unter Windows lesen

Seit dem Siegeszug von Ubuntu benutzen einige zwei Systeme auf einem Rechner. Auch auf einem meiner Rechner läuft Windows und Ubuntu.

Das Problem dabei ist, dass es von Windows aus nicht möglich ist, auf die Linux Partitionen zuzugreifen. Dafür gibt es jetzt eine einfache Abhilfe.

Ext2read

Das Programm nennt sich "Ext2read" und bietet die Möglichkeit ext2, ext3, ext4 Partitionen zu durchsuchen und Dateien lokal auf dem Windows-PC abzuspeichern. Das Programm gibt es auf SourceForge zum Downloaden. Da es nicht installiert werden muss, sollte es in der Toolsammlung auf dem USB-Stick nicht fehlen.

Informationen über neue Programmversionen sowie Changelogs können auf der Ext2read Homepage nachgelesen werden.

Auf den ersten Blick erinnert mich das Tool an den guten alten Ghost Explorer, mit dem man damals die einzelnen Ghost Images durchforsten konnte.

Beim Programmstart sucht Ext2read automatisch nach Linux Partitionen und zeigt diese auch sofort an. Man kann sich nun durch die Dateien klicken und einzelne bei Bedarf lokal abspeichern. Laut Homepage werden auch USB-Sticks und Images unterstützt, leider konnte ich das nicht testen.

Fazit

Ein praktisches Tool, welches in keiner Sammlung fehlen sollte

Lösung: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead

Was ist apt-key?

Die Man Pages beschreiben apt-key wie folgt:

apt-key is used to manage the list of keys used by apt to authenticate packages. Packages which have been authenticated using these keys will be considered trusted.

apt-key wird verwendet, um die Liste der Schlüssel zu verwalten, die von apt zur Authentifizierung von Paketen verwendet werden. Pakete, die mit diesen Schlüsseln authentifiziert wurden, werden als vertrauenswürdig eingestuft.

Der Vollständigkeit halber hier der Punkt zur "deprecated" Meldung:

update (deprecated)
Update the local keyring with the archive keyring and remove from the local keyring the archive keys which are no longer valid. The archive keyring is shipped in the archive-keyring package of your distribution, e.g. the ubuntu-keyring package in Ubuntu.

Note that a distribution does not need to and in fact should not use this command any longer and instead ship keyring files in the /etc/apt/trusted.gpg.d/ directory directly as this avoids a dependency on gnupg and it is easier to manage keys by simply adding and removing files for maintainers and users alike.

Was bedeutet apt-key is deprecated?

In der Fehlermeldung "apt-key is deprecated. Manage keyring files in trusted.gpg.d" sind zwei Meldungen versteckt:

Bisher wurden Schlüssel in trusted.gpg verwaltet. In Zukunft sollten die Schlüssel einzeln unter trusted.gpg.d verwaltet werden. Der Grund für das Abschaffen des alten Vorgangs ist die schlicht die Sicherheit.

Zusätzlich wird apt-key als veraltet eingestuft. Da es sich hier nur um eine Warnung handelt, kann diese bis jetzt auch einfach ignoriert werden. Im Prinzip möchte sie den Nutzer weg von apt-key hin zu gpg schubsen und genau das möchte ich hier zeigen.

Bei einem apt update wirft ein Ubuntu beispielsweise folgenden Warnungen in Bezug auf nodejs und yarn Repositorys

reading package lists... Done
W: https://deb.nodesource.com/node_16.x/dists/jammy/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.
W: https://dl.yarnpkg.com/debian/dists/stable/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.

Lösung -  Schlüssel aus trusted.gpg in trusted.gpg.d umziehen

Die Lösung für die oben aufgeführte Problematik ist das bereits erwähnte Umschichten von trusted.gpg zu trusted.gpg.d.

Zunächst werden die betreffenden Schlüssel aufgelistet:

sudo apt-key list
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2014-06-13 [SC]
      9FD3 B784 BC1C 6FC3 1A8A  0A1C 1655 A0AB 6857 6280
uid           [ unknown] NodeSource <gpg@nodesource.com>
sub   rsa4096 2014-06-13 [E]

pub   rsa4096 2016-10-05 [SC]
      72EC F46A 56B4 AD39 C907  BBB7 1646 B01B 86E5 0310
uid           [ unknown] Yarn Packaging <yarn@dan.cx>
sub   rsa4096 2016-10-05 [E]
sub   rsa4096 2019-01-02 [S] [expires: 2023-01-24]
sub   rsa4096 2019-01-11 [S] [expires: 2023-01-24]


Schlüssel in eine eigene Datei verschieben

Danach die letzten 8 Zeichen der zweiten Zeile unter pub kopieren. In diesem Fall ist das 6857 6280. Das Leerzeichen zwischen den Zahlen muss entfernt werden.
Der zukünftige Name kann beliebig gewählt werden, es liegt allerdings nahe, ihn nach dem installierten Paket bzw. Repository zu benennen:

sudo apt-key export 68576280 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/nodejs-key.gpg
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

sudo apt-key export 86E50310 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/yarn-key.gpg
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

sudo apt-get update

Nun sollten die Warnungen der Vergangenheit angehören.

Neue Schlüssel hinzufügen

Sollte ein neuer Schlüssel hinzugefügt werden, wird in Zukunft nicht mehr mit apt-key gearbeitet, sondern gpg verwendet werden.

Früher

curl -sS https://download.spotify.com/debian/pubkey_5E3C45D7B312C643.gpg | sudo apt-key add -


Heute

curl -sS https://download.spotify.com/debian/pubkey_7A3A762FAFD4A51F.gpg | sudo gpg --dearmor --yes -o /etc/apt/trusted.gpg.d/spotify.gpg

 

OSINT - Analyse Tools fürs Netzwerk

Der Begriff OSINT (Open Source Intelligence) ist nicht erst seit 2022 ein allgemein bekannter Begriff, hat allerdings durch den Krieg in der Ukraine, Krisen und dem Durst nach Informationsgewinnung, viel Aufschwung erfahren. Das erste Mal wurde die Öffentlichkeit durch Bellingcat im Jahr 2012 darauf aufmerksam.

Der Begriff steht für die Informationsgewinnung aus öffentlichen Daten. Dabei helfen Tools, diese Daten zu analysieren, zu interpretieren und zu sortieren. Gerade im Netzwerkbereich finden sich hier spannende Programme.

Ich selbst nutze für persönliche Zwecke diverse öffentliche bzw. freie Tools, sei es zur Netzwerkanalyse, für verdächtige E-Mailheader oder zum DNS Check. Möglichkeiten gibt es sehr viele.

Dabei ist eine kleine Liste zusammen gekommen, welche ich euch gerne zur Verfügung stellen möchte.

Eine dauerhaft aktualisierte Liste findet ihr in Zukunft unter osint.itrig.de.

Browser User Agent & Bot Analyse (online)
  • https://whatmyuseragent.com
  • https://robotsdb.de/robots-verzeichnis
  • https://www.cimtools.net/en/extra/bots_list.php
Domain Certificates SSL Check (lokal)
  • https://github.com/drwetter/testssl.sh
Domain Certificates SSL Check (online)
  • https://ciphersuite.info
  • https://crt.sh
  • https://www.ssllabs.com/ssltest
  • https://observatory.mozilla.org
  • https://ciphersuite.info
Domain DNS Tools (lokal)
  • https://github.com/darkoperator/dnsrecon
Domain DNS Tools (online)
  • https://dnsdumpster.com
  • https://www.whatsmydns.net
  • https://toolbox.googleapps.com/apps/dig
  • https://viewdns.info
Domain URL Tools (online)
  • https://osint.sh
  • https://urlscan.io
  • https://www.brightcloud.com/tools/url-ip-lookup.php
  • https://unshorten.me
  • https://securitytrails.com
  • https://www.maxmind.com/en/locate-my-ip-address
Firmen Analyse (online)
  • https://www.bundesanzeiger.de
  • https://www.insolvenzbekanntmachungen.de
  • https://www.northdata.de
Git Search Tools (online)
  • https://grep.app
IP Search & Scan Tools (lokal)
  • https://github.com/robertdavidgraham/masscan
IP Search & Scan Tools (online)
  • https://www.shodan.io/explore
  • https://search.censys.io
  • https://fullhunt.io

Mail Analyse Tools (lokal)

  • https://github.com/ninoseki/eml_analyzer
  • https://github.com/cyberdefenders/email-header-analyzer
  • https://thatsthem.com/reverse-email-lookup
 
Mail Analyse Tools (online)
  • https://hunter.io
  • https://emailrep.io
  • https://eml-analyzer.herokuapp.com
  • https://www.spf-record.de
  • https://toolbox.googleapps.com/apps/messageheader
Malware & File Analyse (lokal)
  • https://github.com/mandiant/capa
  • https://github.com/horsicq/Detect-It-Easy
Malware & File Analyse (online)
  • https://labs.inquest.net
  • https://www.virustotal.com/gui/home/search
  • https://www.filescan.io/scan
Messenger Analyse (online)
  • https://telemetr.io (telegram)
Multitools (lokal)
  • https://github.com/pyhackertarget/hackertarget
  • https://github.com/laramies/theHarvester
Multitools Browser Add-ons
  • https://github.com/ninoseki/mitaka
  • https://addons.mozilla.org/de/firefox/addon/hacktools
Network BGP / ASN Tools (online)
  • https://bgp.he.net
  • https://www.peeringdb.com
  • https://bgp.tools
  • https://bgpstream.crosswork.cisco.com
Sammlungen - Collections
  • https://github.com/jivoi/awesome-osint
  • https://github.com/cipher387/osint_stuff_tool_collection
  • https://osintframework.com

Schwachstellen - CVE (online)

  • https://www.cvedetails.com
  • https://www.cve.org
  • https://www.opencve.io
Sonstiges
  • https://iknowwhereyourcatlives.com (Katzen)
  • https://intelx.io (Darkweb)
  • https://github.com/secdev/scapy (Traffic Tests)
  • https://locust.io (Traffic Tests)

Website Traffic

  • https://www.similarweb.com/de
Webtech Analyse (online)
  • https://www.wappalyzer.com
  • https://osint.sh/stack
  • https://website.informer.com
  • https://builtwith.com
  • https://www.whatruns.com

Portmaster - OpenSource Application Firewall mit Adblocker

Das Tool Portmaster ist eine Endbenutzerfirewall, welche dem Anwender die volle Kontrolle über aus und eingehende Internetverbindungen zurückgibt. Im Oktober wurde Version 1.x der Firewall Portmaster veröffentlicht.

Für Windows Nutzer dürfte dieses Tool Gold wert sein, denn freie Tools mit guter Usability wie Portmaster sind im Microsoft Universum rar gesät. Linux Nutzer kommen ebenfalls nicht zu kurz, denn die Firewall kann auch von Debian/Ubuntu oder Fedora Anwendern installiert werden. Selbst für mobile Geräte stehen APKs bereit.

portmaster

Blocklisten und Secure DNS

Neben den üblichen Firewallfunktionen mit detaillierter Traffic Darstellung und Auflistung einzelner Verbindungen beherrscht das Tool Blocklisten. Diese können über die Einstellungen in der Funktionsleiste angepasst werden. Beim ersten Start werden diese mit der Ersteinrichtung automatisch aktiviert.

Die Tracker Blocklisten sorgen für die Verbindungsunterdrückung zu Werbe-Netzwerken oder anderen Inhalten. Portmaster ersetzt somit quasi Tools wie Pi-Hole oder diverse Browser-Add-ons. Die genannten Filtereinstellungen sind unter Global Settings/Privacy Filter zu finden.

Portmaster verwendet zur DNS Auflösung DNS-over-TLS, dies geschieht in den Standardeinstellungen über Cloudflare, kann aber auf Quad9 oder AdGuard umgestellt werden. Die DNS-Server werden via URL-Scheme konfiguriert und bieten daher auch die Möglichkeit Community Settings zu hinterlegen

Unter Global Settings/Secure DNS können diese DNS-Server jederzeit angepasst, beziehungsweise entfernt werden. Ist nichts hinterlegt, werden die DNS-Server des Systems verwendet.

portmaster-programme

Features

Nachdem die Firewall das erste Mal in Betrieb genommen wurde, sollte der Einfachheit halber auf „Allow All und Prompt“ gestellt werden, sonst kann es durchaus zu viel Klickarbeit kommen, gerade unter Windows Systemen. Abseits davon bietet Portmaster alles, was sicherheitsbewusste Anwender mögen.

  • Kontrolle über das Verhalten der installierten Programme

  • Fliegender Wechsel zwischen den Standard-Netzwerkaktionen: Zulassen, Sperren, Nachfragen

  • Statistiken über alle Verbindungen

  • Adblocker und Trackerblocking

  • Auflistung der geblockten Anfragen

  • DNS-over-TLS

  • P2P Verbindungen blockieren

  • Quellcodekontrolle via github

Fazit

Als Application Firewall ist Portmaster auf jeden Fall eine Installation wert, alleine schon wegen der Vielzahl an Einstellungsmöglichkeiten und der Vielfalt des Monitorings.

Features wie SPN (Secure Private Network) lassen sich die Entwickler zwar bezahlen, allerdings sollte nicht jeder Nutzer verschiedene Länder IPS zu einzelnen Programmen zuweisen wollen, daher ist dieses nicht vorhandene Feature verkraftbar.

Portmaster hat auf meinem Windows System Windows Firewall Control inzwischen abgelöst.

Download

truffleHog3 – Passwörter und Zugangsdaten in Git, Github, Gitlab oder AWS finden und entfernen

Bereits im April dieses Jahres wurde Version 3 des Repository-Security-Tools Trufflehog veröffentlicht. Zeit, einen eigenen Artikel über das bekannte Kali Tool zu verfassen.

Was ist Trufflehog

Leaked credentials oder secret keys sollten nicht in Github Repositorys zu finden sein, dennoch passiert dies öfters als gedacht. Genau hier setzt das Tool truffleHog3 an, es scannt Repositorys und mehr auf Geheimnisse wie Zugangsdaten, API Keys usw.

Das Security-Tool durchläuft dabei die gesamte Commit-Historie jedes Branches, prüft jedes diff von jedem commit und sucht nach Geheimnissen.

Möglich wird dies unter anderem durch die Verwendung von regulären Ausdrücken und Entropie.

Mit der Version 3 unterstützt truffleHog inzwischen mehr als 700 verschiedene Key Types von AWS, Azure, Confluent oder Facebook. Eine Übersicht der Detektoren ist hier zu finden.

Folgende Code Quellen werden momentan unterstützt:

  • git
  • github
  • gitlab
  • S3
  • filesystem
  • syslog

Installation

Die Trufflehog Installation erfordert eine funktionierende GO Installation. Alternativ kann auch auf Python Pip zurückgegriffen werden, allerdings wird via Pip momentan keine aktuelle Version angeboten. Für einen Test bietet sich die Docker Variante an.

#Aktuellste Version
git clone https://github.com/trufflesecurity/trufflehog.git
cd trufflehog
go install oder go build

#Via Python Pip (allerdings steht hier nur Version 3.0.x zur Verfügung)
pip3 install trufflehog3

#Die aktuellste Version via Docker Paket laufen lassen

docker run -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest github --org=trufflesecurity

Anwendungsbeispiele

#Hilfe
trufflehog --help

#github scan mit Optionen
trufflehog github --repo=https://github.com/trufflesecurity/trufflehog

trufflehog github --repo=https://github.com/trufflesecurity/trufflehog --json --only-verified

#AWS scan
trufflehog s3 --bucket=<bucket name> --only-verified

#Dateisystem
trufflehog filesystem --directory=/home/guenny/ansible/repository

Da die aktuellste Version momentan nur via Source/Docker zur Verfügung steht, können Gitlab, S3 und Co nur darüber gescannt werden

  git [<flags>] <uri>
    Find credentials in git repositories.

  github [<flags>]
    Find credentials in GitHub repositories.

  gitlab --token=TOKEN [<flags>]
    Find credentials in GitLab repositories.

  filesystem --directory=DIRECTORY
    Find credentials in a filesystem.

  s3 [<flags>]
    Find credentials in S3 buckets.

  syslog [<flags>]
    Scan syslog

trufflehog


Passwörter und andere Geheimnisse aus Git-Repositories entfernen

Was tun, wenn ein Passwort gefunden wurde?

Git Filter Branch bietet eine Möglichkeit, um dieses Problem zu beheben.

Beispielsweise:

git filter-branch --prune-empty --index-filter "git rm --cached -f --ignore-unmatch löschdatei" -- --all

Git Filter Branch ist ein sehr mächtiges Tool, daher verweist Github selbst auf den BFG Repo Cleaner und git filter-Repo

Mit ersterem lassen sich relativ einfach sensitive Dateien löschen oder ersetzen.

bfg --delete-files id_{dsa,rsa}  my-repo.git
bfg --replace-text passwords.txt  my-repo.git
git push --force

Wenn ein Passwort im letzten Commit vorhanden ist, würde übrigens auch amend ausreichen:

git commit --amend

Fazit

Vergessene Zugangsdaten in Repositorys schaffen unnötige Sicherheitslücken. Diese lassen sich mit TruffleHog einfach aufspüren. Das Tool unterstützt inzwischen weit mehr als nur Github. So lässt sich der gesamte Software Development Life Cycle/SDLC bei Bedarf überwachen.

Mit TruffleHog Enterprise bietet der Hersteller inzwischen eine GUI in der Cloud an, allerdings lässt er sich diese auch bezahlen. Für eine automatisierte Überwachung der eigenen Repositorys lassen sich alle Aufgaben via Kommandozeile erledigen.

Download



Ähnliche Artikel

Security Tools: Trivy – Docker Container auf Sicherheitslücken durchsuchen

Nuclei - schneller Schwachstellen Scanner mit praktischen Vorlagen

Security: GVM 21.04 - mit Docker in 15 Minuten zum OpenVAS Schwachstellen Scanner

❌