Froscon 14: Mein Vortrag zu BSI Grundschutz und DSGVO

Hier gibt es meinen Vortrag von der Froscon. Für alle die Argumente für Ihr Management suchen sich intensiver mit dem Thema Informationssicherheit zu beschäftigen.

Tägliches Meditieren

Vor mehr als 5 Jahren habe ich mich aufgrund des TED Talks zum ersten Mal mit dem Thema Meditation beschäftigt. Ich meine ich hätte es mit der App Headspace damals auch ein paar Wochen regelmässig praktiziert. Irgendwie ist das aber wieder eingeschlafen.

Im Mai diesen Jahres wahr für mich erkennbar das ich mich für die zweite Jahreshälfte auf eine schwierige Situation vorbereiten sollte.

Inzwischen meditiere ich seit ca 3 Monaten täglich ein oder zweimal jeweils 15 Minuten (ganz früh morgens und am Abend). Die App begleitet den Zuhörer in meheren Schritten zu einem recht langen “sitzen in der Stille”. Inzwischen verwende ich diesen Meditation Timer.

Ich sach mal so. Es ist für mich klar eine Veränderung erkennbar die ich nicht mehr vermissen möchte.

Versucht es einfach mal. Es könnte sich lohnen.

Froscon 14: LoRaWAN

Das Thema LoRaWAN hat mich schon länger mal interessiert. Eins von den vielen spannenden Themen für das dann doch die Zeit fehlt. Wenn man wissen will was man damit machen kann ist der erste Teil von diesem Vortrag eine gute Einführung.

Froscon 14: wieder eine tolle OSS Konferenz

Auch dieses mal hatte ich das Vergnügen an der Froscon teilnehmen zu können.

Wie die letzten Jahre auch sehr professionell organisiert. Da können sich manche Herstellerkonferenzen einiges abschauen.

In den nächsten Tage werde ich noch Beiträge zu einigen Vorträgen schreiben die ich besonders gut fand.

Falls Ihr die Konferenz noch nicht kennt dann solltet Ihr im nächsten Jahr vielleicht mal schauen ob Ihr da nicht hinkommen könnt.

FreeBSD: auf ein Neues

Es war mal wieder so weit, ich wollte versuchen mich FreeBSD zu nähern. Der Installationsworkshop auf der Froscon war ein guter Anlass. Der Workshop selbst war super nur leider konnte ich keine Installation auf meiner SSD durchführen. (Das klappte aber später auf einer anderen Platte.)

Auch wenn es auf meinem Arbeitsnotebook nicht geklappt hat werde ich trotzdem mal einen noch zu bestimmenden kleineren Server auf FreeBSD installieren.

Praktische Vorteile die ich durch den klasse Workshop für mich sehe:

• bootenvironments: springe nach einem Update zu einer älteren Konfiguration zurück aber verwende die neuen Nutzerdaten in Home oder in der Datenbank
• zfs: snapshots
• jails: abgeschlossene Systeme ohne Zugriff auf den Host.

Den Ansatz mit Freebsd auf meinem Notebook zu starten verschiebe ich erstmal.

Wurzeln und Flügel

Wieder so ein einschneidender Tag. Unser Sohn geht für 10 Monate mit dem Parlamentarisches Patenschafts-Programm (PPP) des Bundestages in die USA.

Über eine längere Auswahl wurde er von unserem Bundestagsabgeordneten ausgewählt und wird nun den amerikanischen way of life in einem kleinen Ort in Iowa kennen lernen.

Die letzten Tage waren bestimmt von den letzten Vorbereitungen und von sehr gemischten Gefühlen.

Und wie schon vor 9 Jahren geschrieben:

Das Wichtigste, was Eltern ihren Kindern mitgeben können, sind Wurzeln, solange sie klein sind, und Flügel, wenn sie größer werden” (J.W.v.Goethe)

Es hört sich einfach an. Ist aber dann doch schwer und wird nicht leichter

DNS Validierung mit Letsencrypt

Ich möchte für meine internen Server auch die Letsencrypt Zertifikate verwenden. Da eine normale Validierung über den Webserver nicht geht kann man eine DNS basierende Validierung verwenden. Einen DNS Server der das unterstützen kann habe ich hier aufgesetzt. Ausgangspunkt ist ein Raspberry Pi mit Debian 10. Ich bin im wesentlichen mit dieser Beschreibung klar gekommen.

Auf dem Bind Server erweitere ich zuerst die Regel für welche Server Einträge geändert werden dürfen

vi /etc/bind/named.conf.local

         update-policy           {
             grant internal-domain.net  name _acme-challenge.neuerserver.internal-domain.net txt;

Ich plane die internen Zertifikate auf eine Server zu erzeugen und zu erstellen und von dort aus zu verteilen. Der “Server” ist in einem internen Admin VLAN.

Damit wird alles auf einmal installiert

 apt install python3-certbot-dns-rfc2136

Die Konfigurationsdatei für LE sieht dann so aus

vi  rfc2136.ini

# Target DNS server
# als IP!! 
dns_rfc2136_server = 482.87.186.27
# Target DNS port
dns_rfc2136_port = 53
# TSIG key name
dns_rfc2136_name = internal-domain-net
# TSIG key secret
dns_rfc2136_secret = bhqqXxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxfiRUqZA==
# TSIG key algorithm
dns_rfc2136_algorithm = HMAC-MD5

Und dann geht es los. Komischerweise hat es einige Male erst beim zweiten oder dritten Mal geklappt. Ich vermute das liegt an DNS Laufzeiten.

certbot certonly --dns-rfc2136 --dns-rfc2136-credentials /root/letsencrypt/rfc2136.ini --dns-rfc2136-propagation-seconds 30 -d server.internal-domain.net
Plugins selected: Authenticator dns-rfc2136, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for server.internal-domain.net
Waiting 30 seconds for DNS changes to propagate
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/server.internal-domain.net/fullchain.pem
   Your key file has been saved at:

Parallel kann man dann prüfen ob die Änderungen temporär im DNS eingetragen wurden

dig _acme-challenge.server.internal-domain.net @dein.dns.server TXT
....
;; ANSWER SECTION:
_acme-challenge.server.interna-domain.net. 120IN TXT"W-WoR9kfcduftmuv5WiCS4wXMFdZbJH8N8zMNT5K2_A"
.....

Da bei Debian 10 standardmässig Apparmor mit ausgeliefert wird gab es am Anfang Problme mit folgender Fehlermeldung:

iapparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/etc/bind/zones/db.internal-domain.net.jnl" pid=9868 comm="isc-worker0000" requested_mask="w" denied_mask="w" fsuid=122 ouid=0

Das habe ich durch folgende Erweiterung von Apparmor ermöglicht:

 vi /etc/apparmor.d/local/usr.sbin.named 

       /etc/bind/zones/db.internal-domain.net.jnl rw,

Erste Urlaubstage in der Bretagne

Den Norden Frankreichs habe ich bisher eigentlich immer vermieden. Das Wetter war mir immer zu unsicher.

Dieses Jahr hatte wir auch eigentlich etwas anderes geplant aber die Aussicht auf die angekündigten hohen Temperaturen haben uns bewogen diesen Flecken Frankreichs einfach mal auszuprobieren. Die vorhergesagten Temperaturen waren attraktiv. Wir haben sogar noch einen Platz auf dem recht gut bewerteten Camping Cap de Bréhat / Le Cap Horn am Meer gebucht bekommen.

Wie auch im letzten Jahr in Dänemark hatten wir wirklich Glück mit dem Wetter und bei gutem Wetter ist das hier wirklich ein schönes und sehenswertes Stückchen von Frankreich. Wie das aussieht wenn man mal eine Reihe von Tagen mit schlechtem Wetter hat kann ich noch nicht sagen.

Dafür das auch hier gerade Hochsaison ist finde ich es angenehm ruhig. Da ist man von den Städten im Süden zu dieser Zeit andere Menschenmassen gewöhnt.

Den Campingplatz bewerte ich mit “gut”. Auf dem oberen Teil sind die sanitären Anlagen etwas knapp bemessen. Aber man kann auch gut auf die unteren Anlagen ausweichen was nur mit etwas Treppensteigen verbunden ist.

Empfehlen kann ich eine Küstenwanderung von Port Lazo nach Paimpol. Man geht ca 2,5 Stunden direkt am Meer entlang an der alten Abtei l’Abbaye de Beauport vorbei mit schönem Blick auf das klare blaue Meer.

Wenn man in die lokalen Galette essen möchte kann ich die Creperie le Dundee in der Nähe des Hafens empfehlen.

Richtig gut ist auch die Felsenküste in Ploumanac’h. Tolle rote Steinformationen an einem netten kleinen Ort.

Erziehungsauftrag

Es gibt Dinge die man können muss :-)

Wenn das mit dem Messer klappt eskalieren wir auf ein Feuerzeug.

Guten Morgen aus der Bretagne

Einen schönen guten Morgen.

Type ahead der Mailadressen in Mutt

Ich versuche gerade auf den Terminal Mail Client mutt umzusteigen. Ein Problem was man schnell hat sind die fehlenden Mailaddressen. Eine Möglichkeit ist die Nutzung der Funktion “alias”. Anhand dieses Beitrages konnte ich mir das aber schön bauen.

Zuerst brauchen wir ein Script das eine Mail nimmt, die Adressen ausliest und in eine alias Datei schreibt

vi .config/mutt/create-alias.sh

#!/bin/sh

MESSAGE=$(cat)

NEWALIAS=$(echo "${MESSAGE}" | grep ^"From: " | sed s/[\,\"\']//g | awk '{$1=""; if (NF == 3) {print "alias" $0;} else if (NF == 2) {print "alias" $0 $0;} else if (NF > 3) {print "alias", tolower($(NF-1))"-"tolower($2) $0;}}')

if grep -Fxq "$NEWALIAS" $HOME/.config/mutt/aliases.txt; then
     :
  else
     echo "$NEWALIAS" >> $HOME/.config/mutt/aliases.txt
  fi

echo "${MESSAGE}" 

chmod +x .config/mutt/create-alias.sh 

Dann sagen wir mutt das es dieses Script aufrufen soll wenn eine Mail angezeigt wird.

vi .config/mutt/muttrc
   set alias_file=~/.config/mutt/aliases.txt
   source ~/.config/mutt/aliases.txt
   set display_filter="~/.config/mutt/create-alias.sh"

Jetzt können wir beim erstellen einer Mail bei der Frage nach “To:” auf Tab drücken und bekommen eine Lister aller Mailadressen die uns in letzter Zeit eine Mail gesendet haben