SSH Passphrase unter KDE entsperren

Problemen beim Entsperren der SSH-Passphrase unter KDÈ auf der Spur

SSH Public Keys sind sehr praktisch, man kann damit wesentlich sicherer als mit einem Passwort auf entfernte Server zugreifen. Es wird empfohlen, den privaten SSH Schlüssel mit einer Passphrase zu schützen. Das verhindert, dass man den Schlüssel einfach auf einen anderen PC kopieren kann und dann von dort aus auf den Server zugreifen kann. Normalerweise wird diese Passphrase im Betriebssystem, genauer im ssh-agent abgelegt und bei der Anmeldung entsperrt. Dies klappt unter allen mir bekannten Desktopumgebungen außer in KDE.

HP iLO4 Fernwartung unter Linux benutzen

Update 09/2020:ILO4 2.75 bietet eine HTML5 Console, die wesenltich besser funktioniert als die Java Variante. Das ist wirklich stark von HP. Ich bin begeistert. Die Server von HP, also auch mein Microserver Gen 8 bieten eine Fernwartungsfunktion, die...

Update 09/2020:
ILO4 2.75 bietet eine HTML5 Console, die wesenltich besser funktioniert als die Java Variante. Das ist wirklich stark von HP. Ich bin begeistert.

Die Server von HP, also auch mein Microserver Gen 8 bieten eine Fernwartungsfunktion, die insbesondere dann praktisch ist, wenn der Server im Keller steht und das Betriebssystem nicht mehr bootet. Lange Zeit habe ich für diese Funktion ausschließĺich meinen Mac benutzt, auf dem es zuletzt auch nur noch unter Safari funktionierte. Nun habe ich herausgefunden, wie man die Fernsteuerung unter Linux benutzen kann.

HP bietet in iLO4 (integrated Lights Out) drei Möglichkeiten auf den Server zuzugreifen, um z.B. ein OS zu installieren:

  • .NET
  • JAVA Applet
  • JAVA Web Start

.NET stammt aus der Windows Welt und funktioniert nur im Internet Explorer. Bäh! Das Java Aplet tut bei mir überhaupt nichts, es passiert nichts, wenn man den Link anklickt. Das geht vermutlich nur, wenn man noch Java im Browser benutzt, was nicht mehr zeitgemäß ist.

Java Web Start lädt eine *.jlnp Datei herunter, die sich aber unter Ubuntu nicht einfach so ausführen lässt. Der Trick ist, dass es nur mit Oracle Java funktioniert! Das ist unter Ubuntu 18.04 nur per PPA verfügbar.

sudo add-apt-repository ppa:linuxuprising/java
sudo apt update
sudo apt install oracle-java10-installer icedtea-netx oracle-java10-set-default java -version

Danach sollte nicht mehr OpenJDK angezeigt werden, sondern Java von Oracle. Außerdem habt ihr das Programm javaws installiert, mit welchem sich nun einfach die jlnp File ausführen lässt.

javaws iLO-jirc.jnlp

Endlich macht die Fernsteuerung auch unter Linux Spaß! Eine Lizenz braucht ihr übrigens nicht unbedingt, wenn ihr nur ein OS installieren wollt. Die Lizenzen gibt es aber für wenig Geld auf eBay. Ich finde es ist eine lohnende Investition, denn so kann man sich drauf verlassen immer und jederzeit (vorallem beliebig lang) auf die Maschine zu kommen.

Korrekte Dateirechte für Plex Media Server

Lange habe ich mich selbst auf meinem Server damit herumgeschlagen, dass Plex manche Dateien nicht findet, obwohl sie da sind und man sie auch lesen kann. Dies dürfte in den meisten Fällen an den Permissions liegen. Es gibt zwar dazu eine Anleitung v...

Lange habe ich mich selbst auf meinem Server damit herumgeschlagen, dass Plex manche Dateien nicht findet, obwohl sie da sind und man sie auch lesen kann. Dies dürfte in den meisten Fällen an den Permissions liegen. Es gibt zwar dazu eine Anleitung von Plex, diese ist aber ziemlich verwirrend. Daher hier meine Vorgehendweise.

Zuerst einmal: Ich füge Dateien zu Plex hinzu, indem ich sie via NFS von meinem Linux Desktop auf den Server kopiere. Danach aktualisiere ich ggfs. Plex über den Punkt Mediathek aktualisieren. Dann sollten die neuen Titel direkt auftauchen.

Plex braucht keine Schreibrechte, da es die Metadaten in einer Datenbank ablegt und nicht in den Dateien. Plex hat die Gruppe plex. Der Medienordner liegt in meinem Hoe-Verzeichnis, somit bin ich Besitzer und kann als solcher auch Schreiben.

ACLs stören hier mehr als sie nutzen. Sie sind mächtiger als Linux-Dateirechte, aber auch schwer zu verstehen und sie können hier querschießen. Daher entfernen wie alle ACLs. Eine gute Einführung zu den Unix-Dateirechten findet sich bei Wikipedia. Sudo benötigen wir, falls irgendwelche Objekte kaputte Rechte haben, sodass der normale Benutzer sie nicht ändern kann.

sudo setfacl-Rb *

Unsere Rechte sehen für Dateien und Ordner unterschiedlich aus.

Ordner: rwxrws---
Dateien: rw-r-----

Beim s handelt es sich um das SetGid-Bit, dadurch erhalten neue Ordner auch die Gruppe plex und nicht die Gruppe users, wie das im Homeverzeichnis Standard wäre. Mit find setzen wir die unterschiedlichen Rechte für Dateien und Ordner um.

sudo find . -type d -exec chmod 2750 {} \;
sudo find . -type d -exec chown benutzer:plex {} \;

Nun die Dateien:

sudo find . -type f -exec chmod 640 {} \;
sudo find . -type f -exec chown benutzer:plex {} \;

Die Rechte sollten nun so aussehen

ls -lh
drwxr-s--- 2 benutzer plex 4,0K Sep 25 2015 Friends Of Mine
-rw-r----- 1 benutzer plex 3,7M Sep 23 2011 03 Jessica.mp3

Damit sollte Plex sämtliche Dateien lesen können. Möchte man, dass Plex auch schreiben kann, was z.B. bei der Erstellung optimierter Dateiversionen nötig ist, ersetzt man die Zahlen bei chmod durch 2770 und 660. Ich persönlich nutze dies aber nur bei Videos. Die Metadaten der Musikdatein schreibt Plex sowieso nie in die Dateien, sondern immer nur in die Datenbank. Die Dateien bleiben unangetastet.

Windows: Gründe für einen Umstieg zu Linux

Meldungen über Erpressungstrojaner, sog. Ransomware, überschlagen sich, folglich z.B. bei heise und Spiegel Online. Kriminelle schleusen dabei Schadsoftware auf den Rechner, die diesen dann komplett verschlüsselt und vom Anwender einen hohen Geldbetr...

Meldungen über Erpressungstrojaner, sog. Ransomware, überschlagen sich, folglich z.B. bei heise und Spiegel Online. Kriminelle schleusen dabei Schadsoftware auf den Rechner, die diesen dann komplett verschlüsselt und vom Anwender einen hohen Geldbetrag erpresst, damit seine Daten wieder entschlüsselt werden.

Seit längerer Zeit wundere ich mich schon, warum so viele Menschen so fest an einem Betriebssystem festhalten, das insecure by design ist. In diesem Blog möchte ich noch einmal Hintergrundwissen und damit Gründe für einen Umstieg zu Linux zusammenfassen.

Warum ist Windows so unsicher?

Windows ist nicht nur deshalb unsicher, weil es ale meistgenutztes OS auch am meisten Angreifer anzieht. Es ist insecure by design, zu deutsch unsicher von Grund auf. Ein Hauptproblem bei Windows ist, dass jede Software ihr eigenes Süppchen kocht, was Updates angeht. So hat man immer Update-Meldungen von Flash, Java, Browser, Emailprogramm, Windows selbst usw. Das ist nicht nur extrem ressourcenlastig, sondern auch nervig für den Anwender. Viele klicken solche Meldungen einfach weg.  Auch wenn viele Updates inzwischen automatisch im Hintergrund ablaufen, es bleibt viel Arbeit übrig.

Ein weiterer Grund: Windows kann Updates nicht wie Linux im laufenden Betrieb einspielen. Daher wird man ständig zum Neustart aufgefordert – auch das nervt Anwender. Und es ist nicht zeitgemäß, denn heute lassen viele Leute ihren PC immer laufen oder wechseln höchstens in den Ruhezustand.

Virenscanner

Virenscanner machen Windows zwar ein Stück weit sicher, aber sie beheben nur Symptome. Sie versuchen Schadsoftware an ihrem Verhalten und ihren Dateien zu erkennen. Auch das ist extrem ressourcenlastig, weil jeder Schreib- und Lesezugriff erst mal untersucht und bewertet werden muss. Gegen brandneue Schädlinge wie Locky, die auch noch häufig ihr Verhalten ändern, sind Virenscanner auf verlorenem Posten, weil es viel zu lange dauert, bis sie die Signatur des neuen Schädlings kennen.

In der Firma haben wir auch Windows

Ein Argument, das ich sehr oft höre. Leider ist es wertlos. In der Firma kümmert sich in der Regel ein Administrator um die Sicherheit. Emailanhänge werden vorher gefiltert und die Benutzer mit Policies stark eingeschränkt. Das ändert aber nichts an der Tatsache, dass manchmal etwas durchrutscht. Dann geht eine Mail in der Firma herum, dass man doch bitte nicht auf den Anhang betriebsausflug.jpg.exe klicken soll.

Beim Bundestags-Hack hat das alles leider nichts geholfen – die Email war zu gut gemacht und wurde zu spät als Phishing erkannt.

Windows wird in Firmen künstlich am Leben erhalten, weil man die Kosten für eine Umschulung auf Linux sparen möchte. Zudem sind häufig Spezialanwendungen vorhanden, die nur unter Windows laufen. Dafür bietet sich aber  eine virtuelle Maschine an, die auch im Netzwerk zentral bereitgestellt werden kann. Und uralte Spezialanwendungen haben allerdings oft auch ebenso alte Sicherheitslücken. Dagegen bietet dann auch eine VM keinen wirksamen Schutz mehr.

Eine solche Anwendung ist auch Outlook. Viele Anwender glauben, ohne Outlook nicht arbeiten zu können. Dabei ist das Programm endlos überladen mit Features, die kein Mensch braucht und die nicht standardkonform implementiert wurden. Mit der freien Alternative Thunderbird hat man in der Regel weit weniger Ärger und es ist über Add-Ons flexibel erweiterbar.

Der Anwender

Windows ist natürlich auch deshalb so unsicher, weil die Anwender oft nicht so technikaffin wie typische Linux-Anwender sind. Das zeigt sich dann z.B. daran, dass Update-Meldungen weggeklickt werden und zum Surfen Browser-Urgesteine wie der Internet Explorer benutzt werden. Viele Anwender weigern sich auch, Windows XP aufzugeben. Dafür gibt es seit zwei Jahren keinerlei Updates mehr. Das System ist also offen wie ein Scheunentor.

Man kann sich übrigens problemlos ohne Zutun mit einem einzigen Besuch auf einer großen Nachrichtenseite infizieren, denn Viren werden auch manchmal über Werbebanner verbreitet.

Das Arbeiten ohne Administratorrechte hilft übrigens fast nichts (mehr). Die meisten Schadprogramme können sich inzwischen auch so fest in ein System einnisten.

Häufig werden Viren auch per USB-Stick vom Heimarbeitsplatz eingeschleppt, auf dem vielleicht unbemerkt ein ganzes Virenzoo lebt. Ein Problem, das insbesondere Schulen betrifft.

Windows 8 und 10

Mit Windows 8 hat Microsoft versucht, eine neue Bedienoberfläche einzuführen, die sowohl per Touch als auch per Tastatur/Maus gesteuert werden kann. In Windows 10 wurde dieses Konzept weiter ausgebaut. Leider sind diese neuen Oberflächen nicht jedermans Sache, sie sind quietschbunt und die neuen Bedienkonzepte sind noch nicht durchgängig etabliert. Einen Touch-Bildschirm hat kaum jemand zu Hause. Meiner Meinung nach hat sich Microsoft mit dieser Entscheidung ins eigene Fleisch geschnitten.

Die Hardwareunterstützung von Windows 7/8 wird nicht mehr verbessert, daher kann man bei einem aktuellen Rechner nur noch zu Windows 10 oder einem aktuellen Linux greifen.

Linux

Ist deshalb so sicher, weil es schnelle Updates bietet, die im Laufenden Betrieb eingespielt werden können. Schwachstellen werden zeitnah geschlossen, oft innerhalb von Tagen. Durch das OpenSource-Konzept werfen auch immer mehrere unterschiedliche Entwickler ihren Blick auf den Code, was Flüchtigkeitsfehler minimiert.

Der Upgrade-Prozess ist unter Linux für das gesamte Betriebssystem inklusive aller installierten Programme zuständig. Dadurch ist es viel einfacher, sein System im Ganzen aktuell zu halten.

ubuntu updates

Nicht unerheblich ist auch folgender Grund: Die Virenprogrammierer haben sich auch auf Windows eingeschossen, es wird Jahre dauern, bis sie so viel Know-How unter Linux gesammelt haben. Zur Zeit gibt es praktisch keine ernstzunehmenden Schädlinge für Linux. Ein Windows-Schädling kann unter Linux in aller Regel überhaupt nicht ausgeführt werden.

Zudem ist Linux in der Regel deutlich schneller, weil die Ressourcenlast von Update-Prozessen und Virenscanner wegfällt. Das spürt man auch als Anwender.

Konkrete Praxistipps zur Vermeidung von Schädlingsbefall habe ich bereitshier  und hier gesammelt.

Linux hat eine an der klassische Windows 7 angelehnte und zurückhaltende Optik und Benutzerführung. Man ist bei Linux aber generell sehr flexibel, was die Oberfläche angeh, es gibt viele verschiedene Oberflächen, z.B. KDE, Gnome und Cinnamon zur freien Wahl. Mit XFCE und LXDE gibt es auch Oberflächen für ältere Hardware, die weniger Ressourcen brauchen.

Wer jetzt Lust bekommen hat, Linux mal auszuprobieren, der findet meinen Erfahrungsbericht sicher interessant. Einen Überblick über verschiedene Geschmacksrichtungen (Distributionen) liefere ich hier.  Für Einsteiger ist aber in der Regel Ubuntu oder Linux Mint die beste Wahl. Mint ist dabei (beim Cinnamon Desktop) noch stärker an der Startmenü-Optik von Windows orientiert.

Distrowatch gibt einen Überblick über die populärsten Linuxe. Das Ausprobieren ist völlig unverbindlich, ohne Installation möglich. Einfach von einer CD oder einem USB Stick booten. Bei einer Installation erkennt Linux von selbst ein installiertes Windows und installiert sich selbst parallel dazu.Mit Unetbootin erstellt man bootfähige USB Sticks.

Viel Spaß beim Probieren! Fragen zu Linux beantworte ich euch gern!

Auch in der aktuellen c’t findet sich eine interessante Artikelreihe zum Umstieg.

Erfahrungsbericht Heimserver (NAS)

Nach reiflicher Überlegung habe ich mir letzte Woche einen Heimserver von HP bestellt. In diesem Artikel möchte ich die nicht ganz triviale Auswahl des Server-Betriebssystems beschreiben. Zur Wahl standen FreeNAS, NAS4Free, OpenMediaVault und Amahi....

Nach reiflicher Überlegung habe ich mir letzte Woche einen Heimserver von HP bestellt. In diesem Artikel möchte ich die nicht ganz triviale Auswahl des Server-Betriebssystems beschreiben. Zur Wahl standen FreeNAS, NAS4Free, OpenMediaVault und Amahi. Außerdem möchte ich einige Probleme beschreiben, die es bei der Einrichtung zu umschiffen gilt.

Die Hardware

Die Entscheidung viel auf den HP ProLiant MicroServer Gen8
mit Celeron DualCore 2.3 Ghz Prozessor und 2 GB RAM. Die Entscheidung fiel mir leicht, denn mit 220 € war der Server ein Schnäppchen, sogar billiger als viele fertige NAS-Boxen und dafür mit vier Festplattenslots, deutlich mehr RAM und einem flotten Prozessor. Die meisten NAS-Boxen in dem Preissegment haben nur 512 MB RAM und einen Atom Prozessor. Bestückt wird mein MicroServer erst einmal mit zwei WD Caviar Green 1 TB.

Update: Inzwischen habe ich den MicroServer aufgerüstet mit einem Xeon Prozessor, 4 GB RAM und RAID-5. Dadurch hat der Server erheblich mehr Power, unter anderem für Owncloud und Piwik.

 

Der einzige Kritikpunkt an diesem Server ist die Festplatten-montage. Nur damit die Festplatten vorne einen Griff bekommen, muss man jede Platte in ein wackeliges Blechgestell schrauben (Torx, liegt bei). Mit diesem Rahmen passen die Platten dann nicht mehr in den Wechselschacht am PC, was gerade das Erstbackup verlangsamt. Hot-Swap wäre bei diesem Rahmen sowieso nutzlos, denn pro Platte braucht man mindestens 15min für die Schrauben. Der Server unterstützt aber eh kein Hot-Swap.

Betriebssystem: BSD-basiert

FreeNAS deklassifizierte sich leider sofort, da es aufgrund des ZFS-Dateisystems mindestens 8 GB RAM braucht. Dieses OS ist also eher auf den professionellen Bereich ausgerichtet. In einem Heimserver ist so viel Speicher reine Verschwendung, da maximal eine Handvoll Leute gleichzeitig darauf zugreifen.

Das wie FreeNAS auf BSD basierende NAS4free machte einen sehr guten Eindruck, es lässt sich in der embedded Variante auch auf einen USB Stick (oder eine µSD) installieren, ohne diesen dann durch intensive Schreibzugriffe (Logfiles, Swap, Temporäre Dateien) innerhalb kurzer Zeit zu schrotten. Das Betriebssystem wird beim Start in den RAM entpackt. Updates und auch Erweiterungen sind dadurch relativ umständlich, man muss die Firmware auf dem USB Stick austauschen. Eigentlich ist das eine prima Idee, denn USB-Sticks sind sehr energiesparend und bieten auch mit USB 2 eine recht hohe Zugriffsgeschwindigkeit. Die Zeit für das Entpacken in die RAMdisk ist vernachlässigbar, denn einen Server bootet man in der Regel nicht ständig. Der Speicherbedarf ist dadurch ein  wenig höher als bei anderen Systemen.

NAS4free unterstützt auch das ZFS Dateisystem, lässt sich aber auch mit UFS betreiben. Moderne Linux-Dateisysteme wie EXT3 und 4 werden übrigens nicht unterstützt, auch wird vor dem Einbinden von NTFS gewarnt. Ob da was dran ist kann ich schwer beurteilen.

Leider ist BSD so garnicht mein Fall. Mir gelang es nicht mal mit einer Anleitung eine frisch formatierte Platte zu mounten. Das liegt neben meiner Stupidizität auch an der nicht vorhandenen Benutzerführung. Man muss wirklich alles selber machen, auch die Auswahl des Dateisystems und Bootsektor-Typs beim Mounten. Fehlermeldungen erhält man oft nur wenn man per SSH arbeitet. Dann muss man aber die BSD-Syntax beherrschen.

Betriebssystem: Linux-basiert

Als nächstes probierte ich dann OpenMediaVault. Dieses System basiert auf Debian, Weshalb ich mich als Ubuntu-Anwender sofort zu Hause fühlte. Viele Sachen gehen per SSH auf dem Terminal doch viel flotter. Updates spielt man einfach per

$ apt-get update
$ apt-get upgrade

ein – sehr angenehm! Es lassen sich auch viele Pakete installieren, die man von Ubuntu kennt, z.B. lm-sensors (Temperatursensoren auslesen) und discus (Festplattenbelegung). Zahlreiche Erweiterungen lassen das Nerd-Herz höher schlagen. Weitere Plugins gibt es durch die Installation von OMV Extras.

Mein Kritikpunkt bei OpenMediaVault ist, dass man keine benutzerdefinierte Partitionierung machen kann. Das System belegt immer die gesamte Platte. Wenn man eine Partitionierung machen möchte, kann man zuerst Debian installieren und anschließend die OMV-Pakete. Debian bietet dann eine normale Partionierung an. Ich habe es jetzt übergangsweise auf einem USB-Stick installiert, später wird dann eine stromsparende 2,5″ Festplatte im 3,5″-Rahmen eingebaut, weil ich auf lange Sicht Angst um meinen Stick habe.

Update März 2015
Der USB Stick hat nach vier Wochen Dauerbetrieb das Zeitliche gesegnet. Die Installation eines normalen Betriebsystemsauf einem USB Stick für den Dauerb etrieb in einem Server ist daher nicht empfehlenswertEs gibt inzwischen ein experimentelles Plugin bei OMV-Extras, welches die Migration auf einen Flash-Speicher erlaubt und dann weniger Schreibzugriffe erzeugt. Das ist aber nicht so praktikabel wie eine Out-of-the-Box Lösung.

Probiert habe ich auch noch Amahi, das als Einsteiger-tauglich angepriesen wird. Es basiert auf Fedora. Leider passt es mir überhaupt nicht, dass man einen (kostenlosen) Installationsschlüssel braucht. Dieser wird dann angeblich für einen DynDNS Dienst und Fernkonfiguration benutzt. Dadurch ist man aber auch perfekt für NSA und Co. verfolgbar. Abwählen kann man diesen Schritt am Ende der Installation nicht.

Fazit

Das getestete BSD basierte System ist für mich zu fummelig. Ich habe zwar als Informatiker das Know-How, mich in BSD einzuarbeiten, aber ich möchte nicht noch mehr meiner knappen Freizeit vor dem PC hocken. Zumal die Linux basierten Systeme für mich deutlich einfacher zu handhaben sind. Zwar gelingt auch in OpenMediaVault nicht alles auf Anhieb, man muss oft herumprobieren, aber im Großen und Ganzen ist OMV ein sehr gutes OS für Leute, die sich bereits etwas mit Linux auskennen.