- Installation Bind
- Konfiguration der Domaine
- dynamische Änderungen zulassen
- Erstellen eines Schlüssels.
- Definition das mit diesem Schlüssel bestimmte Einträge in Bind geändert werden dürfen.
- Testen
Asterisk: No compatible codecs
Falls Ihr diese Fehlermeldung auf der Konsole des Asterisk Servers seht
chan_sip.c:10479 process_sdp: No compatible codecs, not accepting this offer!
Dann schaltet man den Debug Modus von sip ein
sip set debug on
und ruft noch mal an. In dem wilden Strom von Meldung könnt Ihr dann sehen welche Codecs am Start sind
Capabilities: us - (gsm|ulaw|alaw|h263|testlaw), peer - audio=(alaw|g722)/video=(nothing)/text=(nothing), combined - (alaw)
Wenn dann welche fehlen solltet Ihr die in der SIP.conf des entsprechenden SIP Channels aufnehmen.
Die Friday for Future Demo in Aachen
Gestern war ich mit meinem Sohn in Aachen auf der internationalen FridayForFuture Demo.
Meine persönliche Erfahrung mit der Teilnahme an Demonstrationen ist noch recht überschaubar aber diese Demonstration war schon ein Erlebnis. Die Züge nach Aachen waren hoffnungslos überfüllt. Den ganzen Zug über hinweg gab es laute Sprechchöre und die Teilnehmer waren trotz des jungen Altersdurchschnitts sehr diszipliniert. Es war schön zu sehen wie sich hier eine richtig imposante Menge von Kindern und Jugendlichen für den Erhalt des Klimas und damit für die eigenen Zukunft einsetzen. Es ist für mir schwer zu glauben das das “vorbeigeht”.
Sie haben es sogar geschafft die Straßen und Plätze trotz zig tausend Menschen durch den Einsatz von Freiwilligen weitestgehend müllfrei zu hinterlassen. Pressemitteilung der Stadt Aachen
Zur positiven Bilanz der Stadtverwaltung Aachen zur Begleitung der Großdemonstration „Fridays for Future“ gehört auch noch eine Bilanz des Stadtbetriebs. Von dieser Seite gibt es ein Lob für die Demonstrantinnen und Demonstranten. Der Stadtreinigung machten die jungen Leute keine Arbeit, es fiel kein nennenswerter Müll auf den Demonstrationswegen und am Veranstaltungsort, dem Vorplatz des Tivoli, an.
Hoffentlich hört die Politik bald auf diesen Bürgerwunsch zu ignorieren.
Die Abschlußveranstaltung war mir von den Sprechern zu linkslastig. Hier sollten die Organisatoren aufpassen nicht zu stark von einer politische Richtung eingenommen zu werden.
Morgen Friday for Future Demo in Aachen
Morgens geht es nach Aachen. Was hält Euch davon ab eine der anderen FridayForFuture Demos zu begleiten?
Datenschutzhinweis - Dieser Link startet einen externen Abruf des Videos bei Youtube
Erste Hilfe Kursus
Letzte Woche hatte ich die Möglichkeit als Ersthelfer in meiner Arbeitgeberniederlassung wieder einen Erste Hilfe Kurs zu machen. Ich hatte dies in 2016 zum letzten mal gemacht.
Ich kann jedem nur raten solche Auffrischungskurse regelmässig zu machen. Auch dieses Mal gab es neben den rein fachlichen Anteilen wieder gute Anregungen über die ich in den nächsten Tagen noch schreiben werden.
Besonders wichtig fand ich die Auffrischung am Defibrillator und zum ersten mal hatte ich die Gelegenheit das sogenannte Heimlich-Manöver mit einem Übungsgerät zu testen.
Schaut wirklich mal ob Ihr nicht so eine Auffrischung in der nächste Zeit mal machen könntet.
Die Benq LED-Schreibtischlampe
Dieser Text muss als Werbung markiert werden da ich diese LED-Schreibtischlampe von BenQ zum Testen und Review gestellt bekommen haben. Wer mich und diesen Blog kennt wird wissen das hier nur meine ehrliche Meinung und Einstellung dokumentiert wird. Für die genaue Funktionsweise gibt es hier ein Video.
Ich finde das Gerät sehr gelungen. Die Positionierung an dem Bildschirm sorgt für eine blendfreie Beleuchtungn eines recht grossen Bereiches von ca 50x80cm vor dem Bildschirm ohne das einen das Licht selbst blendet. Ich kann damit einen zusätzlichen Lampenständer auf dem Schreibtisch vermeiden und bekomme einen schönen großen beleuchteten Bereich.
Ich konnte die Lampe an einen USB Port des Bildschirms anschliessen und spare mir damit auch einen weiteren Steckdosenplatz bei minimalem Stromverbrauch. Über Berührungen an der Leiste selbst kann ich gut aus einem Spektrum von unterschiedlichen Lichtwärmegraden und Helligkeitsabstuffungen für mich eine angenehme Beleuchtung einrichten.
Falls Ihr also über eine alternative Beleuchtung des “Bildschirmvorfelds” nachdenkt ist diese LED Schreibtischlampe auf jeden Fall mal einen Blick wert,
In dem Video ist leider keine gute Darstellung in der Dunkelheit. Die auf dem Bild erkennbare Spiegelung auf der Schreibtischplatte ist in der Realität so kaum sichtbar.
Wann darf man einen Personalausweis kopieren?
Ich wusste schon länger das man seinen Personalausweis nicht einfach so kopieren sollte oder darf.
Hier gibt es endlich mal eine verständliche Übersicht wann es zulässig ist und was eventuell geschwärzt werden sollte
Generell gilt
Grundsätzlich sind Sie nicht verpflichtet, eine Kopie Ihres Ausweises vorzulegen oder anderen zu überlassen. Nach § 20 Absatz 2 des Personalausweisgesetzes dürfen nur Sie selbst oder andere Personen mit Ihrer Zustimmung eine Ausweiskopie anfertigen. Diese muss eindeutig und dauerhaft als Kopie erkennbar sein. Mit Blick auf den Grundsatz der Datenminimierung ist aber immer zu fragen, ob es unbedingt einer Kopie des Ausweises bedarf.
Weltblutspendetag
Heute ist Weltblutspendetag
Wer noch nie gespendet hat kann hier gut die wichtigsten Infos finden.
Leben retten kann so einfach sein!
Ein kleiner Pieks. 30 Minuten entspannen. Fertig.
Es gibt keine Entschuldigung nicht zu spenden wenn Ihr könnt. Ablehnungen sind nur vom Blutspendedienst zulässig.
Bind DNS für Letsencrypt aufsetzen
Möchten man die Letsencrypt (LE) Zertifikate auch in einem internen Netzwerk hinter einer Firewall verwenden kann man die sogenannte HTTP Validation nicht nutzen. Bei dieser am meisten verwendeten Variante startet man den Prozess von dem Webserver aus und es wird von Letsencrypt über HTTP geprüft “ob man den Server auch kontrolliert”. Hinter einer Firewall geht das natürlich nicht. Hierfür gibt es die DNS Validierung.
Bei der DNS Validierung wird man beim Abruf eines Zertifikates aufgefordert im Domain Name System (DNS) einen bestimmten Eintrag hinzuzufügen. Hat man das gemacht und LE konnte diesen Eintrag prüfen bekommt man das Zertifikat. Natürlich kann man diese Einträge auch manuell über die DNS Administration hinzufügen aber das ist natürlich bei den regelmässigen Erneuerungen etwas mühselig. Deshalb gibt es verschiedene Methoden dies zu automatisieren. Diese hängen natürlich vom DNS Provider ab. Die grossen Provider bieten hierfür eine Schnittstelle an. Leider ist mein bisheriger nicht dabei. Da ich mich sowiso mal mit einem DNS Server beschäftigen wollte eine gute Begründung einen eigenen aufzusetzen. Und da dieser ja nur für eine interne Domaine “verantwortlich” ist und mein interner DNS Server ja auf meiner pfsense Firewall läuft braucht er nicht besonders mächtig und ausfallsicher sein.
Nach Rücksprache mit JP Mens (“I adore DNS..) fiel meine Wahl auf Bind 9 und der Prozess ist eigentlich recht einfach. In Anlehnung an dieses Dokument habe ich einen sogenannten “Authoritive Server” aufgesetzt und die dynamische Änderung der DNS Einträge eingerichtet
Im folgenden verwende ich den Namen “internal_domain” als Platzhalter der internen Domaine für die der DNS Server die LE Anfragen beantworten soll.
Installation
sudo apt-get update
sudo apt-get install bind9 bind9utils bind9-doc
Wir wollen keinen DNS Server “für die Welt” bereitstellen sondern nur für unsere eigene Domaine arbeiten
vi /etc/bind/named.conf.options
recursion no;
allow-transfer { none; };
Für welche Domaine “arbeiten wir” und wo liegen die Daten?
vi /etc/bind/named.conf.local
zone "internal-domain.net" {
type master;
file "/etc/bind/zones/db.internal-domain.net";
};
Wir starten mit einem Beispiel das wir leicht anpassen müssen
mkdir /etc/bind/zones
cp /etc/bind/db.local /etc/bind/zones/db.internal-domain.net
vi /etc/bind/zones/db.internal-domain.net
internal-net.net IN SOA ip-address.your-dns-server. your-mail.adresse.de. (
named-checkconf
named-checkzone internal-domain.net /etc/bind/zones/db.internal-domain.net
zone internal-domain.net/IN: loaded serial 3
OK
sudo service bind9 restart
Jetzt sollte man den neuen DNS Server etwas fragen können
dig internal-domain.net @ip-addres.your-dns-server
Jetzt gilt es das dynamische Ändern von DNS Einträgen zu konfigurieren. Von all den Beschreibungen fand ich diese hier am besten.
Die Schritte sind
Den Schlüssel erstellen und mal schauen was drin ist
dnssec-keygen -a HMAC-MD5 -b 512 -n HOST internal-domain-net
Kinternal-domain-net.+157+55477
ls -ls Kinternal-domain-net.+157+55477.*
4 -rw------- 1 root root 120 Jun 10 11:07 Kinternal-domain-net.+157+55477.key
4 -rw------- 1 root root 229 Jun 10 11:07 Kinternal-domain-net.+157+55477.private
more Kinternal-domain-net.+157+55477.private
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: bhqqXRXPygW/DF7.........................Jb64XfiRUqZA==
Dieser Key muss nun unserer Bind Konfiguration hinzugefügt werden und ich lege fest das mit diesem Key TXT Einträge für bestimmte acme_challenges geändert werden dürfen. Mit den Wildcard Zertifikaten bin ich erst mal zurückhaltend. Ob das sinnvoll ist weiß ich noch nicht aber ich plane für verschiedene Serverkategorien verschiedene Schlüssel verwenden zu können. Das kann man auch einfacher haben.
vi /etc/bind/named.conf.local
key "internal-domain.net" {
algorithm hmac-MD5;
secret "vqbhqqXRXPygW/DF7.........................Jb64XfiRUqZA====";
};
zone "internal-domain.net" {
type master;
file "/etc/bind/zones/db.internal-domain.net";
update-policy {
grant internal-domain.net name _acme-challenge.oneofyourserver.internal-domain.net. txt;
};
};
Damit wir gleich auch dynamisch updaten können müssen wir noch die rechte ändern
chown -R bind /etc/bind/zones
So nach einem Neustart von Bind können wir jetzt “von außen” DNS Einträge ändern. Am einfachsten kann man das mit nsupdate testen
nsupdate -v -k Kinternal-doamin-net.+165+53408.key
> server ipaddress.your-dns-server
> zone internal-domain.net
> update add _acme-challenge.oneofyourserver.internal-domain.net. 60 IN TXT "xa4I5BUsvkxYiIr9TRITOCt7yjlx8bftKuTwu23iHq8"
> send
im Logfile sehen wir dann ein
updating zone 'internal-domain.net/IN': adding an RR at '_acme-challenge.oneofyourserver.internal-domain.net' TXT "xa4I5BUsvkxYiIr9TRITOCt7yjlx8bftKuTwu23iHq8"
Ob das ganze auch angekommen ist kann man mit einem
dig '_acme-challenge.oneofyourserver.internal-domain.net TXT @ipaddress.your-dns-server
prüfen.
Als nächstes steht die Konfiguration der internen Server auf dem Plan.
Warum gibt es noch kein sicheres DNS?
Für alle die sich das (wie ich auch) immer schon mal gefragt haben und eine unterhaltsame Einführung in die Geschichte von DNS haben wollen sei dieser Talk von Bert empfohlen.
Datenschutzhinweis - Dieser Link startet einen externen Abruf des Videos bei Youtube
Wachsende Gefahr durch Verschlüsselungstrojaner
Wer glaubt das es “sicherer” im Internet geworden ist und das das mit dem Trojanern schon nicht so schlimm ist sollte diesem Artikel bei Heise mal folgen.
Dort wird aus eigene Erfahrung berichtet wie es aus Sicht der betroffenen Firma aussieht wenn man sich so ein Ding eingefangen hat.
Und der Zusammenfassung kann ich nur zustimmen.
Alle Zeichen deuten darauf hin, dass Emotet diese Aktivitäten in den nächsten Monaten noch weiter ausweiten wird. Das bedrohliche daran ist, dass das keineswegs nur Großkonzerne oder Banken trifft, sondern alle möglichen Firmen und Branchen: Autohändler und Verlage genauso wie Stadtverwaltungen und Krankenhäuser. Und viele davon sind auf Gefahren dieses Kalibers nur unzureichend vorbereitet.
Wachsende Gefahr durch Verschlüsselungstrojaner
Wer glaubt das es “sicherer” im Internet geworden ist und das das mit dem Trojanern schon nicht so schlimm ist sollte diesem Artikel bei Heise mal folgen.
Dort wird aus eigener Erfahrung berichtet wie es aus Sicht der betroffenen Firma aussieht wenn man sich so ein Ding eingefangen hat.
Und der Zusammenfassung kann ich nur zustimmen.
Alle Zeichen deuten darauf hin, dass Emotet diese Aktivitäten in den nächsten Monaten noch weiter ausweiten wird. Das bedrohliche daran ist, dass das keineswegs nur Großkonzerne oder Banken trifft, sondern alle möglichen Firmen und Branchen: Autohändler und Verlage genauso wie Stadtverwaltungen und Krankenhäuser. Und viele davon sind auf Gefahren dieses Kalibers nur unzureichend vorbereitet.
