hagen-bauer.de
Archiv Impressum Datenschutz Suchen

    Mein privater S3 Backupserver im Keller

    Schon seit langem war ich auf der Suche nach einer einheitlichen Strategie um die Backups meiner Server im Internet zu realisieren. Ich verwende zwar schon seit langem restic als Werkzeug aber die Zielplattformen für die Backups waren lange nicht einheitlich. Die Kundendaten auf unserem Webshop würden zwar generell auch amerikanische Cloudanbieter zulassen aber ehrlich gesagt ist mir das bei der Formulierung der notwendigen DSGVO Dokumente zu kompliziert. Ich habe neben einem SFTP Backupserver beim unserem Hoster auch schon deutsche Cloudanbieter verwendet aber standardisiert war das noch nicht.

    Da ich

    • inzwischen eine performante und stabile Internetanbindung habe
    • mit der Firewall pfSense auch eine sichere DMZ einrichten kann
    • inzwischen ipv6 in einigen VLANs habe
    • mit FreeBSD und den Jails eine stabile “Virtualisierung” kennengelernt habe

    und vor allem etwas Zeit hatte wollte ich jetzt einen zentralen Server im meinem Keller aufbauen der mir Minio S3 Speicher für die Server bereitstellt.

    Folgende Risiken sind in diesem Ansatz gegenüber einem SAAS Ansatz enthalten:

    • Hardwarefehler: Billig Hardware. Könnte mit Resten temporär reagiert werden
    • Kurzer Ausfall der Internetleitung: Schon passiert aber verkraftbar. Risiko von Internetausfall und gleichzeitigem Backup wird eingegangen
    • Längerer Ausfall während Abwesenheit: Noch nicht vorgekommen. Risiko ist vorhanden und akzeptiert

    Rahmenbedingungen sind

    • Jeder Server bekommt einen eigenen S3 Minio Dienst mit separaten API Keys für den Zugriff und verschlüsselt sein restic Backup mit einem eigenen Schlüssel
    • Die Firewall lässt nur Verbindungen über ipv6 von dem Server auf “sein” S3 Minio Jail zu

    Damit sollte sichergestellt sein das

    • im Normalfall niemand unrechtmässig auf ein Minio Dienst kommt. (Firewall Internetgateway)
    • im Falle einer kompromittierten DMZ kein Zugriff auf die Backups in den Jails möglich ist (Jeder Server sein eigener API Key)
    • im Falle eines kompromittierten Backupservers kein Zugriff auf die Daten möglich ist (Der restic Backup Schlüssel liegt nicht auf Backupservern oder in den Jails)

    Die Einstellungen für das VLAN der DMZ habe ich versucht möglichst eng zu fassen. Rein dürfen nur die dedizierten Server auf das jeweilige Backup Jail auf dem angegebenen Port.

    Konfiguration incoming Request der pfSense in die DMZ

    Der Server innerhalb der DMZ darf eigentlich nur auf die IP Adressen von denen er Software bezieht.

    Konfiguration der pfSense Regeln auf der Firewall für die DMZ

    Eingerichtet und verwaltet wird das über ein Ansible Script das

    • den Backupserver selbst gemäss devsec.io absichert
    • die Parameter in /vars/main.yaml bereistellet
    minio_server:
- name: minio-server1
  ipv6: "2x.......219" 
  AWS_Key: !vault |
          $ANSIBLE_VAULT;1.1;AES256
          613131643766465........
  AWS_Secret: !vault |
          $ANSIBLE_VAULT;1.1;AES256
          373033656234627........
- name: minio-server2
....
....
....
    • den zfs pool einrichtet
    • für jeden Server der in den Variablen aufgeführt ist ein Minio Jail einrichtet wie hier beschrieben
    • den automatisch generierten Minio key gegen die vordefinierten Schlüssel austauscht (verschlüsselt über Ansible Vault)
    • Letsencrypt Zertifikate für die Jails erstellt und an die richtige Stelle kopiert damit das dortige Minio sie verwenden kann.
    • auf meinem externen DNs Server für mein internes Netzwerk die Jail Hostnamen extern abrufbar macht

    Jetzt muss ich nur noch in der Restic Konfiguration auf meinen externen Servern das Zieljail mit dem API Keys eintragen und schon kann ich “nach Hause sichern”. Dort verwende ich zusätzlich noch die zfs Replikation um die Backups von meinem Backupgateway auf eine ausfallsichereres ZFS Raidz2 zu hohlen.

    Das Gesamtbild sieht dann ungefähr so aus.

    Minio S3 Backup Server in einer pfSense DMZ
    18.5.2021 | Kategorie / FreeBSD / Truenas / iocage / Minio / pfSense /

    Das ZFS Filesystem aus dem Hetzner Rescue Boot mounten

    Während der Installation eines FreeBSD Servers bei Hetzner.com wollte ich auch einmal den Zugriff auf die Festplatte aus dem Rescue System testen. Eigentlich ist das hier beschrieben. Leider funktioniert die Beschreibung Stand Ende März 2021 so nicht.

    [root@rescue ~]# zpool import
   pool: zroot
     id: 6419568370362374379
  state: ONLINE
 action: The pool can be imported using its name or numeric identifier.
 config:
        zroot       ONLINE
          mirror-0  ONLINE
            ada0p3  ONLINE
            ada1p3  ONLINE
[root@rescue ~]# zpool import -o altroot=/mnt zroot
[root@rescue ~]# chroot /mnt
chroot: /usr/local/bin/bash: No such file or directory

    Das Mounten des Dateisystem scheint noch nicht vollständig zu sein. So geht es dann

    zfs set mountpoint=/a zroot/ROOT/default
zfs mount zroot/ROOT/default
chroot /mnt/a/
    17.5.2021 | Kategorie / FreeBSD / Hetzner /

    Festnahme im NSU 2.0 Verfahren

    In den letzten Tage ist ein Verdächtiger für die durchgeführten NSU 2.0 Drohbriefe festgenommen worden. Eine Pressemitteilung dazu ist hier zu finden. Die Polizei in Hessen steht seit langem unter Druck dar immer wieder auch polizeiinterne Informationen für die Drohbriefe verwendet worden sind. Es macht mich dann aber stutzig wenn nach den Erfahrungen des NSU die Polizei einen Einzeltäter präsentiert. Diese Pressemitteilung entspricht hoffentlich nicht der Professionalität der Polizei in diesem Fall. Sie liest sich wie ein schlechter 3 Groschenroman.

    Die Überschrift

    Festnahme des mutmaßlichen Verfassers der Drohschreiben im Ermittlungskomplex “NSU 2.0”

    weist erstmal mal auf einen Einzeltäter hin. Dann folgt eine Beschreibung wie die Polizei diesem gerissenen Typen auf die Spur gekommen ist:

    Im Rahmen der Ermittlungstätigkeit […] konnte durch Überwachung und Auswertung relevanter Blogs und rechtspopulistischer Foren im Internet auf der Plattform “PI-News” ein User festgestellt werden, dessen Beiträge in Form und Duktus der Äußerungen Ähnlichkeiten mit den Drohschreiben des sogenannten “NSU 2.0” aufwiesen.

    Ok man hat also in Foren mitgelesen und jemanden gefunden der einen Schreibtstiel wie der Drohbriefverfasser hat. Und Sprachwissenschaftler meinen das ist der Richtige.

    Linguistische Begutachtungen der Tatschreiben des “NSU 2.0” im Abgleich mit mehreren Kommentatoren auf der rechtspopulistischen Internetplattform “PI-News” durch das sprachwissenschaftliche Institut des Bundeskriminalamtes führten im Ergebnis zur Feststellung einer sehr hohen Wahrscheinlichkeit der Autorenübereinstimmung.

    Ok, schon stark aber ok. Und durch Googlesuche hat man in einem Schachforum einen Typen gefunden der den gleichen Avatar verwendet und ähnlich schreibt.

    Über Internetrecherchen konnte auf einer Schachplattform ein Profil festgestellt werden, welches namensgleich auch in dem rechtspopulistischen Forum “PI-News” aktiv ist. Auffällig war dabei, dass in beiden Foren als Profilbild dieselbe Comicfigur Verwendung fand.

    Der Typ ist auch schon mal verurteilt worden sich als Polizeibeamter ausgegeben zu haben und an polizeiinterne Informationen gelangt zu sein. Potzblitz.

    Hier nennt er fingierte Anrufe bei Behörden als angeblicher Behördenmitarbeiter. In diesem Zusammenhang ist erwähnenswert, dass der Beschuldigte sich im Jahre 1992 als Krimimalbeamter ausgab und insoweit auch wegen Amtsanmaßung rechtskräftig verurteilt worden ist.

    Das muss er sein. Solche Typen gibt es nicht zweimal. Alleine diese Beweiskette reicht aus um den Typen zu verhaften.

    Insgesamt ergibt sich aus den vorstehend skizzierten Erkenntnissen ein dringender Tatverdacht dafür, dass es sich bei dem Beschuldigten um den Verfasser und Absender der verfahrensgegenständlichen Drohschreiben handelt.

    Ich hoffe mal hier fehlt im Text irgendwo der Satz: Weitere Beweise können aus ermittlungstaktischen Gründen nicht bekannt gegeben werden. Warum ein Mensch der klever genug ist Polizeibeamte zur Herausgabe von polizeiinternen Informationen zu bewegen so doof ist sich über den gleichen Avatar in zwei Foren finden zu lassen finde ich schon interessant.

    Warum man in der heutigen Zeit immer noch erwähnen muss das in einer Wohnung umfangreiche Computer- und Datenträger sichergestellt worden sind kann ich mir nur durch den Mangel dieser Dinge im Polizeialtag erklären.

    Ich bin mal gespannt was hier noch kommt.

    Logo Polizei Hessen
    10.5.2021 | Kategorie / NSU20 / Polizei /

    Extreme Homeofficing

    Auch wenn jetzt noch nicht die richtige Stimmung für Urlaub und Reisen ist hier eine Anregung für alle Glücklichen die über die Möglichkeit einer Homeofficearbeit verfügen und vielleicht eine Affinität zum Campen haben.

    Letztes Jahr im Herbst habe ich einige Tage in der Bretagne verbracht. Dabei lag der Schwerpunkt der Zeit dort nicht auf “Urlaub” sondern auf richtiger normaler Homeofficearbeit.

    Ich hatte mir einen Campingplatz gesucht der über ein vernünftiges WLAN verfügt und als Fallback auch eine ausreichende mobile Datenberbindung mitgenommen. Anstatt also den ganzen Tag als Freizeit zu verbringen habe ich ganz normal mit Notebook gearbeitet oder mit Kollegen in Videokonferzenzen zusammengearbeitet. Natürlich war die Umgebung angenehmer und ich hatte meine Arbeit auch so geplant das viel zu lesen und lernen war. Ok, am Abend oder am Wochenende gab es natürlich die Gelegenheit für etwas Sightseeing.

    Als Bonus konnte ich diesen WLAN Extender an ein Batterypack anschliessen und damit auch vom Strand aus das WLAN auf dem Campingplatz nutzen.

    Das also als Anregung für alle die einen Homeofficearbeitsplatz haben. Vielleicht ergibt sich ja in der Vor- oder Nachsaison noch mal die Möglichkeit für Euch.


    8.5.2021 | Kategorie / Bretagne2020 / Homeoffice /

    PHP Mysql Verbindung testen

    Möchte man schnell die Verbindung von PHP auf eine MySQL Datenbank testen kann man das mit

    php -r 'var_dump(mysqli_connect("localhost", "user", "password", "db"));'

    erreichten Quelle

    Dabei habe ich gelernt das “localhost” und “127.0.0.1” in diesem Zusammenhang nicht dieselbe Bedeutung haben. Localhost geht wohl über einen Filesocket während 127.0.0.1 über die Netzwerkkarte geht

    7.5.2021 | Kategorie / MySQL / PHP /

    Puh: Vorerst keine Subventionen für die Zeitungen

    Anfang des Jahres gab es einen Beschluss aus dem Staatshaushalt 200 Millionen für Zeitungs- und Zeitschriftenverlage als Subvention bereitzustellen. Staatliche Förderung für eine Industrie die in vielen Bereichen es einfach verpennt hat. Die Digitalisierung ist ja schliesslich keine überraschendes Naturereignis.

    Das scheint fürs erste vom Tisch zu sein.

    Die geplante Presseförderung ist für diese Legislaturperiode gescheitert. Das teilte das Bundeswirtschaftsministerium (BMWi) den beteiligten Verbänden jetzt mit. Die Verlegerverbände fordern weiterhin eine nachhaltige Förderung der Pressezustellung ab der nächsten Legislatur.

    Ich bin mir sicher diese Geldverschwendung wird noch mal gefordert werden.

    Unknown author, Public domain, via Wikimedia Commons

    2.5.2021 | Kategorie / Subventionen /

    Deutschland: Unfähig in der Krise

    “Mütend” ist der Begriff der meine innere Verfassung inzwischen am besten beschreibt. Wir sind jetzt über ein Jahr in einer Pandemie und nach meiner Meinung haben wir inzwischen bewiesen, das wir in dieser Gesellschaft unfähig sind angemessen und schnell auf eine Kriese zu reagieren. Und zwar auf allen Ebenen.

    Der Bund verpennt es vorrausschauend Masken, Gesundheitsvorsorge und Strukturen bereit zu stellen obwohl ihm das expliziet als Aufgabe für “kommende Pandemien” vorhergesagt wird. Die Länder agieren planlos und unzuverlässig wenn es um den Gesundheitsschutz in Ihrem Aufgabenbereich geht. Die kommunale Ebene reagiert wie ein Kaninchen vor der Schlange und hofft das es schon irgendwer richten wird und das es nicht so schlimm kommen wird.

    So gut wie nirgendwo sind die notwendingen “Leadership” Fähigkeiten zu erkennen. Und als Kirsche auf dem Sahnekuchen leistet man sich noch einen Kanzlerkandidatenrennen.

    Das nächste Chaos wird entstehen wenn wir überraschend feststellen das wir für den Betrieb der Grundschulen aufgrund der fehlenden Impfungen für Kleinkinder Luftfilter in den Grundschulen brauchen werden. Da wird es dann zuwenig Geräte geben und die vorhandenen können dann wegen fehlender Stromleitungen nicht verwendet werden.

    Was heist das für den persönlichen Bereich? Die nächste Pandemie wird kommen und man muss selber Vorsorge treffen. Wenn es geht berufliche Entscheidungen treffen die einen in “pandemieresistente” Industriebereiche führen und die eigene Notfallvorsorge ausbauen.

    Dabei gibt es doch Beispiele wie es geht. Aber hier kommt die Standardausrede jedes “Süchtigen”: Das kann man ja nicht auf Deutschland übertragen.

    Corona Zahlen Anfang März

    Meine Hoffnung ist momentan einzig und allein das die Wirtschaftsverbände der Regierung irgendwann mal sagen das dieser Dauerlockdown schlecht für die Wirtschaft ist. Wenn das nicht passiert werden wir diesen “JoJo Lockdown” noch einige Wochen erleben. Aber damit rechne ich nicht.

    Nehmt euch mal Zeit für dieses Video mit führenden Spezialisten in der Pandemiebekämpfung. Aber Achtung: Teile der Informationen könnten Euch beunruhigen.

    Datenschutzhinweis - Dieser Link startet einen externen Abruf des Videos bei Youtube

    28.4.2021 | Kategorie / Covid19 / Krisenvorsorge /

    Truenas: automatisierte Backups der Konfiguration

    Heute war mal wieder ein guter Tag die Dokumentation von Backups zu prüfen und zu aktualisieren. Dabei kam mir das Thema der automatisierten Sicherungen der Konfigurationen selbst noch mal auf die Agenda.

    Wahrscheinlich bin ich der letzte aber zu meiner Überraschung habe ich gelernt das Truenas diese Konfigurationen schon selber täglich sichert

    TrueNAS automatically backs up the configuration database to the system dataset every morning at 3:45 (relative to system time settings). However, this backup does not occur if the system is shut down at that time. When the system dataset is stored on the boot pool and the boot pool becomes unavailable, the backup also loses availability.

    Wenn man also seine Konfiguration mal so richtig verhaut hat kann man darauf zurückgreifen. Wenn man allerdings USB Sticks als Bootlaufwerk verwendet ist das mit Vorsicht zu geniessen. Man sollte diese also immer noch an einer andere Stelle kopieren. Hier bietet sich also ein Cronjob an der das ganze Verzeichnis noch mal auf eins der ZFS Laufwerke kopiert.

    27.4.2021 | Kategorie / Truenas /

    Bafög Online immer noch Offline

    Letzte Woche bin über das Bafög Online Verfahren gestolpert das sich ein 14 tägiges Wartungsfenster bis heute Mittag gönnt. Heute wollte ich mal kurz schauen wie es da aussieht. Gegen 13:00 Uhr stand dort immer noch der Hinweis auf 12:00 Uhr. Inzwischen hat man das Wartungsfenster um eine Woche verlängert.

    Ist ja auch kein Problem. Auf der Startseite werden die Studenten ja auch nur gebeten nicht anzurufen und das Online Verfahren zu nutzen. Aktuell haben sind ja auch nur wenige Studenten in der Situtation finanzielle Unterstützung beantragen zu müssen. Das kann ruhig warten.

    Das muss dieses Neuland sein, in dem digitale Dienste vom Staat zuverlässig bereitgestellt werden.

    Bafög Online Wartungsfenster um eine Woche verlängert
    27.4.2021 | Kategorie / Digitale-Agenda /

    Glasklare Aufgabenverteilung in Deutschland

    Im Falle eines Hackerangriffs auf die eigene IT kann man sich Deutschland ja leicht alleine gelassen fühlen. Es gibt irgendwie keine klaren Verantwortlichkeiten.

    Aber Euch kann geholfen werden. [Hier](https://www.stiftung-nv.de/sites/default/files/snv-cybersicherheitspolitik_cyberverteidigungspolitik-5.2_auflage.pdf) gibt eine einfache Landkarte in der doch alles ganz klar erläutert wird. IT Sicherheitsarchitektur in Deutschland

    Quelle:Stiftung Neue Verantwortung e. V.CC BY-SA 4.0

    26.4.2021 | Kategorie / ITSicherheit / DigitaleAgenda /

    Bafög Offline

    Das muss dieses Neuland sein, in dem digitale Dienste vom Staat zuverlässig bereitgestellt werden. Ein Wartungsfenster von fast 2 Wochen für einen Online Antrag?????

    Ich mache mir bei meinem Onlineshop schon Stress wenn ein Betriebsystemupdate länger als 3 Stunden dauert.

    Bafög Online Wartungsfenster
    23.4.2021 | Kategorie / Digitale-Agenda /
Hagen Bauer
image/svg+xml image/svg+xml image/svg+xml image/svg+xml
Über diesen Blog

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


This blog is licensed under a Creative Commons License