hagen-bauer.de
Archiv Impressum Datenschutz Suchen

    2FA mit Authy

    Ich bin schon lange ein Fan der Zwei Faktor Authentifizierung mit der App Authy.

    Gerade konnte ich noch mal meine Hauptgrund für diese Empfehlung geben, die Backupfunktionen.

    Der Transfer aller Accounts von einem Smartphone auf eine Neues ist innerhalb von Minuten erledigt. Am längsten dauerte bei mir die Eingabe meines 20 Zeichen langen Backupkennworts.

    Screenshot Authy
    18.6.2021 | Kategorie / 2FA / Security / Apps /

    Die Herzensretter-App

    Noch eine App die auf keinem Handy fehlen sollte. Für den Notfall bei einer Deiner nächsten oder einem Unbekannten.

    Enthält Anweisungen wie man mit oder ohne Beatmung die Wiederbelebung angehen kann.

    Screensho Herzensretter App
    15.6.2021 | Kategorie / Gesundheit / Apps /

    STIKO empfiehlt allgemeine Impfung für Schüler ab 12 Jahren

    hä???? werden jetzt einige denken. Die Stiko hat doch empfohlen:

    Der Einsatz von Comirnaty bei Kindern und Jugendlichen im Alter von 12 – 17 Jahren ohne Vorerkrankungen wird derzeit nicht allgemein empfohlen, ist aber nach ärztlicher Aufklärung und bei individuel-lem Wunsch und Risikoakzeptanz des Kindes oder Jugendlichen bzw. der Sorgeberechtigten möglich.

    Ja, aber eine Zeile darüber steht:

    Eine berufliche Indikation aufgrund eines arbeitsbedingt erhöhten Expositionsrisikos besteht für Jugendliche entsprechend den beruflichen Impfindikationsgruppen im Stufenplan.

    Ok, das heist Kinder die zur Schule gehen erfüllen aus meiner Sicht den Tatbestand eines beruflichen Risikos von Angstellten in den Schulen und damit den gleichen Risiko wie Lehrer. Und die finden sich im Stufenplan in Prio 4.

    Oder warum sollte es eine Empfehlung für eine 15 Jährige Auszubildende im Kindergarten geben aber nicht eine 15 Jährige die 7 Stunden im Klassenraum sitzt?

    Stiko Empfehlung
    11.6.2021 | Kategorie / Covid19 / Pandemien /

    Präventiver Einsatz von Staatstrojaner

    soll heute beschlossen werden. Ich bin langsam etwas ratlos das so ein wichtiges Thema keine Öffentlichkeit findet.

    Die Einführung einer Befugnis zur präventiven Telekommunikationsüberwachung ist kriminaltaktisch insbesondere bei der Bekämpfung der Schleusungskriminalität sowie bahnpolizeilich relevanten banden- und gewerbsmäßig begangenen Straftaten geboten. Regelmäßig werden etwa Personen durch Schleuserorganisationen unter bewusster Inkaufnahme von Gefahren für Leib und Leben nach Deutschland geschleust, z. B. in geschlossenen Behältnissen. Die Bundespolizei enthält in etwa 20 Fällen pro Jahr Hinweise auf derartige Behältnisschleusungen. Ferner kommt es jährlich zu durchschnittlich etwa 70 Ankündigungen von Anschlägen gegen Anlagen der Eisenbahnen oder von Flughäfen. Hier kommt einem schnellen Erkennen sowie einer zügigen Intervention entscheidende Bedeutung bei der Abwehr dieser Gefahren zu. Die präventive Telekommunikationsüberwachung soll hier eine Erkenntnislücke der Bundespolizei schließen und sich gegen Personen richten, gegen die noch kein Tatverdacht begründet ist und daher noch keine strafprozessuale Maßnahme nach § 100a StPO angeordnet werden kann

    Im Klartext: man möchte in der Lage sein “spontan” mal eben eine Trojaner Software auf die Geräte von Personen zu installieren bei denen man noch nicht mal das Recht auf eine Telefonüberwachung hätte da der Verdacht nicht ausreichend begründet ist.

    Ich greife einfach mal die Stellungnahmen des Bundesbeauftragten für den Datenschutz heraus:

    Das beschädigt den Rechtsstaat. Aufgrund der mangelhaften Umsetzung meiner Befugnisse in nationales Recht halte ich ein Vertragsverletzungsverfahren der EU-Kommission gegen die Bundesrepublik Deutschland für möglich.

    Was kann da schon schief gehen. Oh wait, haben wir nicht gerade eine Folge von Einzelfällen von rechtsradikalen Netzwerken in der Polizei?

    Gesetzesänderung für einen Staatstrojaner
    10.6.2021 | Kategorie / Bundestrojaner /

    Tag der Organspende - schon eine Entscheidung getroffen?

    Gestern war Tag der Organspende. Und wie ich schon einmal vor Jahren geschrieben habe:

    Egal wie man persönlich zur Organspende steht. Man sollte auf jeden Fall eine Entscheidung treffen und sie im Organspendeausweis dokumentieren. Sonst werden die Angehöigen oder Liebsten gezwungen sein die Entscheidung zu treffen.

    Also hierinformieren und hier bestellen. Egal ob man sich für Ja oder Nein entscheidet.

    Organspendeausweis
    6.6.2021 | Kategorie / Organspende /

    Nur ein Bild

    1.6.2021 | Kategorie / Covid19 /

    Kundgebung sichere Schulen vor NRW Landtag

    Je älter ich werde desto häufiger finde ich mich auf Kundgebungen. Gestern gab es vor dem Landtag in Düsseldorf eine Kundgebung für sichere Schulen. Von der Politik haben sich nur die Grünen blicken lassen.

    Wir haben dort einmal Stühle in den normalen Schulabständgen aufgestellt. Hätten wir uns darauf gesetzt wäre das Ordnungsamt gekommen. Unseren Kinder “dürfen” dort aber ohne Abstand viele Stunden in schlecht gelüfteten Räumen ohne Luftfilter sitzen. Es war zwar keine Massenkundgebung aber es waren deutlich mehr Personen dort als auf dem Bild erkennbar.

    In den Reden ist mal wieder deutlich geworden

    • Die Lehrer sind überfordert
    • Viele Kinder sind überfordert aufgrund der Unsicherheit vor Ansteckungen
    • Vorerkrankte Kinder werden total vergessen
    • Viele Hilfsangebote werden von der Ministerin Gebauer ignoriert.

    Wir können nur hoffen das uns die Mutationen nicht noch einmal voll erwischen.

    Kundgebung sichere Schulen am Landtag in Düsseldorf 31.5
    31.5.2021 | Kategorie / Covid19 / Demonstration /

    Ist das der Begin der 4. Welle für die Schüler?

    Meine Phase der Frustration habe ich jetzt hinter mir. Ich erwarte einfach nichts verantwortungsvolles mehr von den Politikern wenn es um die Gesundheit unserer Schüler geht. Ich verfolge die aktuellen Covid19 Fällen bei den Schülern regelmässig und es kam im März genauso wie es jeder erwarten konnte. Wir haben voll in die Ausbreitung der englischen Variante unsere Schulen für den Wechselunterricht geöffnet und das kann man auch eindeutig in den Zahlen bei den Schülern erkennen. Wer jetzt immer noch von “Die Schulen sind keine Treiber der Pandemie” faselt ist ein Lügner.

    Und was passiert jetzt wo die Zahlen auf dem richtigen Weg aber noch weit von einem guten Wert entfernt sind? Wir öffnen die Schulen in den vollen Präsenzunterricht. Damit zwingen wir die Schüler über mehrere Stunden in einem Raum einen Abstand zu halten für den man draussen an der freien Luft ein Ordnungsgeld bekomment.

    Natürlich hat man sich auch keine Mühe gegeben diesen Unterricht durch Luftfilter abzusichern. Das ist eindeutig eine Durchseuchungsstrategie.

    Es ist ja toll das die Inzidenzen (getürkt um die nicht gezählten täglichen Nachmeldungen) endlich nach unten gehen. Aber gerade die ungeimpften Jahrgänge der Schüler haben die höchsten Zahlen. Hauptsache die große Zahl der Rentner hat sich vor den Wahlen wieder beruhigt weil sie wieder in die Geschäfte und reisen dürfen.

    Wir machen also den gleichen Schritt wie im März. In die neue Welle der indischen Variante die gerade in England gerade bei den Schülern wütet zwingen wir unsere Kinder in die Schule.

    Das ist kein Fehler mehr. Das ist Absicht. Und das ganze nur für die kurze Zeit bis zu den Sommerferien.

    Sobald auch nur ein Fall der indischen Variante hier in der Nähe in einer Schule auftaucht wird hier wieder eine Entscheidung getroffen.

    Ich hoffe ich habe Unrecht mit meiner Befürchtung.

    Corona Zahlen Ende Mai
    30.5.2021 | Kategorie / Covid19 /

    Was für eine Missachtung der Hausärzte

    Durch den Bericht über den möglichen Betrug bei den Testzentren für Covid19 Tests habe ich etwas über einen viel grösseren Skandal gelernt.

    Die Testcentren bekommen für jeden Test 18 Euro, ein Arzt bekommt für eine Covid19 Impfung mit Beratungsgespräch 20 Euro.

    Die Leistung umfasst die Aufklärung und Impfberatung, die symptombezogene Untersuchung zum Ausschluss akuter Erkrankungen oder Allergien, die Verabreichung des Impfstoffs, die Beobachtung in der sich unmittelbar anschließenden Nachsorgephase und die medizinische Intervention im Fall von Impfreaktionen.

    Wir lernen einfach nicht. Da wird ständig betont wie wichtig die Berufe im Gesundheitswesen sind und wie wichtig die Hausärzte bei der Impfung sind.

    Gleichzeitig vermittelt man einem Artz mit Hochschulstudium das seine fachliche Beratungsleistung und Praxisorganisation bei einer Impfung (Zeitaufwand geschätzt midestens 30 Minuten) die gleiche Belohnung bekommt wie eine schnell geschulter Mirarbieter in einem Containertestzentrum der 3 Minuten einen Abstrich nimmt und 5 Minuten Aufwand für die Auswertung hat. Den Aufwand für den Papierkram habe ich dabei einfach mal fallengelassen.

    Man kann kaum effektiver seine tiefe Missachtung gegenüber einer so wichtigen Berufsgruppe zum Ausdruck bringen.

    Mittelfinger
    30.5.2021 | Kategorie / Covid19 / Impfung /

    Deutschland bei Pisa Studie zu Lernplattformen weit abgeschlagen

    Das wir in Deutschland schlecht darstehen wenn es um die digitale Ausstattung der Schulen geht ist ja allgemein bekannt.

    Das wir allerdings in der Liga mit Armenien und dem Libanon spielen überrascht dann schon. Eine Pisa Studie hat den Zustand der Lernplattformen in den Ländern untersucht. Selbst Kazachstan, Slovenien oder Montenegro stehen deutlich besser da.

    Eigentlich sollte ein Aufschrei durch das Land gehen.

    Pisa Studie zu Online Lernplattformen vor Corona
    21.5.2021 | Kategorie / COVID19 / Schulen /

    Mein privater S3 Backupserver im Keller

    Schon seit langem war ich auf der Suche nach einer einheitlichen Strategie um die Backups meiner Server im Internet zu realisieren. Ich verwende zwar schon seit langem restic als Werkzeug aber die Zielplattformen für die Backups waren lange nicht einheitlich. Die Kundendaten auf unserem Webshop würden zwar generell auch amerikanische Cloudanbieter zulassen aber ehrlich gesagt ist mir das bei der Formulierung der notwendigen DSGVO Dokumente zu kompliziert. Ich habe neben einem SFTP Backupserver beim unserem Hoster auch schon deutsche Cloudanbieter verwendet aber standardisiert war das noch nicht.

    Da ich

    • inzwischen eine performante und stabile Internetanbindung habe
    • mit der Firewall pfSense auch eine sichere DMZ einrichten kann
    • inzwischen ipv6 in einigen VLANs habe
    • mit FreeBSD und den Jails eine stabile “Virtualisierung” kennengelernt habe

    und vor allem etwas Zeit hatte wollte ich jetzt einen zentralen Server im meinem Keller aufbauen der mir Minio S3 Speicher für die Server bereitstellt.

    Folgende Risiken sind in diesem Ansatz gegenüber einem SAAS Ansatz enthalten:

    • Hardwarefehler: Billig Hardware. Könnte mit Resten temporär reagiert werden
    • Kurzer Ausfall der Internetleitung: Schon passiert aber verkraftbar. Risiko von Internetausfall und gleichzeitigem Backup wird eingegangen
    • Längerer Ausfall während Abwesenheit: Noch nicht vorgekommen. Risiko ist vorhanden und akzeptiert

    Rahmenbedingungen sind

    • Jeder Server bekommt einen eigenen S3 Minio Dienst mit separaten API Keys für den Zugriff und verschlüsselt sein restic Backup mit einem eigenen Schlüssel
    • Die Firewall lässt nur Verbindungen über ipv6 von dem Server auf “sein” S3 Minio Jail zu

    Damit sollte sichergestellt sein das

    • im Normalfall niemand unrechtmässig auf ein Minio Dienst kommt. (Firewall Internetgateway)
    • im Falle einer kompromittierten DMZ kein Zugriff auf die Backups in den Jails möglich ist (Jeder Server sein eigener API Key)
    • im Falle eines kompromittierten Backupservers kein Zugriff auf die Daten möglich ist (Der restic Backup Schlüssel liegt nicht auf Backupservern oder in den Jails)

    Die Einstellungen für das VLAN der DMZ habe ich versucht möglichst eng zu fassen. Rein dürfen nur die dedizierten Server auf das jeweilige Backup Jail auf dem angegebenen Port.

    Konfiguration incoming Request der pfSense in die DMZ

    Der Server innerhalb der DMZ darf eigentlich nur auf die IP Adressen von denen er Software bezieht.

    Konfiguration der pfSense Regeln auf der Firewall für die DMZ

    Eingerichtet und verwaltet wird das über ein Ansible Script das

    • den Backupserver selbst gemäss devsec.io absichert
    • die Parameter in /vars/main.yaml bereistellet
    minio_server:
- name: minio-server1
  ipv6: "2x.......219" 
  AWS_Key: !vault |
          $ANSIBLE_VAULT;1.1;AES256
          613131643766465........
  AWS_Secret: !vault |
          $ANSIBLE_VAULT;1.1;AES256
          373033656234627........
- name: minio-server2
....
....
....
    • den zfs pool einrichtet
    • für jeden Server der in den Variablen aufgeführt ist ein Minio Jail einrichtet wie hier beschrieben
    • den automatisch generierten Minio key gegen die vordefinierten Schlüssel austauscht (verschlüsselt über Ansible Vault)
    • Letsencrypt Zertifikate für die Jails erstellt und an die richtige Stelle kopiert damit das dortige Minio sie verwenden kann.
    • auf meinem externen DNs Server für mein internes Netzwerk die Jail Hostnamen extern abrufbar macht

    Jetzt muss ich nur noch in der Restic Konfiguration auf meinen externen Servern das Zieljail mit dem API Keys eintragen und schon kann ich “nach Hause sichern”. Dort verwende ich zusätzlich noch die zfs Replikation um die Backups von meinem Backupgateway auf eine ausfallsichereres ZFS Raidz2 zu hohlen.

    Das Gesamtbild sieht dann ungefähr so aus.

    Minio S3 Backup Server in einer pfSense DMZ
    18.5.2021 | Kategorie / FreeBSD / Truenas / iocage / Minio / pfSense /
Hagen Bauer
image/svg+xml image/svg+xml image/svg+xml image/svg+xml
Über diesen Blog

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


This blog is licensed under a Creative Commons License