14 Nov

Deine Daten gehören dir!

Dieser Beitrag könnte mal ein wenig länger werden und hat nicht so richtig was mit den Code-Schnipseln zu tun, die ich hier eigentlich sammle.

Was für einen Wert haben deine Daten für dich?

Millionen Menschen geben ganz freizügig sehr viele Informationen über ihr Privatleben auf den großen Plattformen wie Facebook (und seinen beteiligten Firmen wie Instagram und WhatsApp), Twitter oder den Berufsnetzwerken Linkedin oder Xing für alle preis. Man hat ja schließlich auch nichts zu verbergen. Google und seine kostenlosen Tools für Fotos, E-Mail und Kalender oder Microsofts outlook.de Plattform sind weitere Beispiele für einfach zu nutzende und scheinbar kostenlose Dienste.

Scheinbar kostenlos? Ja, wir akzeptieren undurchsichtige Nutzungsbedingungen und geben unser Eiverständnis für das Tracking via Cookies und die automatisierte Analyse der von uns hinterlegten Daten oder im schlimmsten Fall auch den von uns dort gespeicherten E-Mails.

Die Datensammelwut dieser Unternehmen kennt keine Grenzen und die Speicherdauer dieser Daten auch nicht. Die Undurchsichtigkeit, wo diese Daten überall landen macht es schwer das ganze Ausmaß wirklich zu überblicken.

Datenschutzfreundliche Unternehmen – Deine Daten gehören dir!

Ein Slogan den Apple in letzter Zeit immer mehr forciert und in seiner Werbung und Aussagen immer wieder betont darauf hinweist, dass die Daten auf den Apple Geräten sicher verstaut sind und nur du selbst an diese Daten gelangst macht doch einen super Eindruck, oder? Zusätzlich will man den Nutzer seiner Geräte vor dem Tracking der bösen (siehe oben) Firmen schützen.

Spätestens mit dem großen Ausfall vieler Apple-Dienste am 12.11.2020 kann man diese Aussage nicht mehr so richtig glauben. Entwickler stellten fest, dass der langsame Start diverser Programme mit einer Verbindung zum Apple Server ocsp.apple.com zu tun hatte. Sperrt man diese Verbindung mit einem kleinen Hilfsprogramm wie Little Snitch starten die Programme wieder wie gewohnt.

Der Sicherheitsexperte und Hacker Jeffry Paul hat das weiter analysiert und dabei festgestellt, dass mit jedem Start eines Programmes unter MacOS eine ganze Menge an Informationen an Apple gesendet werden:

Date, Time, Computer, ISP, City, State, Application Hash

Apple oder auch jeder andere kann natürlich solche Hashes für bekannte Programme (aus dem App-Store, Creative Cloud, Tor Browser, Cracking-Tools, Reverse-Engineering Tools) errechnen und dementsprechend zuordnen.

Daraus lässt sich leicht Rückschlüsse darüber erzielen, wann man zu Hause oder im Büro welche Programme geöffnet hat.

Ich höre schon die Stimmen derer, die fragen: „Wen interessiert’s?“

Es ist nicht nur Apple. Die o.g. Informationen bleiben nicht bei Apple alleine.

  1. Die OCSP Anfragen werden unverschlüsselt übertragen. Jeder im eigenen Netzwerk, im öffentlichen WLAN, dein Provider und die Organisationen die den Provider angezapft haben können diese Daten ebenfalls sehen.
  2. Diese Daten gehen an eine dritte Firma. Einem „Content-Delivery-Netzwerk“ namens Akamai.
  3. Seit Oktober 2012 ist Apple Partner im US PRISM Programm, welches allen US Behörden und deren Partnern uneingeschränkten Zugang zu diesen Daten gibt.

Bis zur vorherigen Version von MacOS lassen sich diese Datenweitergaben leicht unterbinden. In der aktuellen Version von MacOS (Big Sur) hat Apple das verhindert. Die OCSP Server laufen hier dann an den normalen Netzwerkregeln vorbei und gehen auch bei vorhandener VPN Verbindung unverschlüsselt an der VPN Verbindung vorbei.

Zeit die Kontrolle zurückzuerlangen!

Es gibt Alternativen! Man muss sie nur nutzen. Lokale E-Mail Provider die klein genug sind um nicht unter die Telekommunikations-Überwachungsverordnung zu fallen. Mastodon-Server statt Facebook. Pixelfeed statt Instagram und diverse sichere Messenger statt WhatsApp.

Die Bequemlichkeit hält einen davon ab. Die Unternehmen freut es und sie sammeln fleißig weiter.

Die EU gibt sich derweil alle Mühe um ebenfalls der Datensammelwut (in dem Falle der Behörden) behilflich zu sein. Siehe hier!

31 Okt

HP Instant Ink

Eigentlich so ziemlich seit Beginn von HP Instant Ink nutze ich diesen praktischen Service von HP um immer rechtzeitig wieder neue Tinte zu bekommen. Das nutze ich für den Hauptdrucker hier im Wohnzimmer, aber auch für den Drucker der im Gartenhaus steht.

Bisher gab es bei Instant Ink auch immer eine geniale Option für solche „Nebendrucker“ – nämlich ein kostenloser Tarif bei dem nur 15 Seiten im Monat gedruckt werden durften. Aber, wie schon gesagt: kostenlos

Heute kam dann eine Mail von HP die ich beinahe achtlos archiviert hätte in der mir folgendes angekündigt wird:

Damit gibt es dann kein kostenloses Angebot mehr aber mit 0,99 EUR im Monat ist das immer noch ein faires Angebot. Nicht gedruckte Seiten lassen sich 45 Stück sammeln, so dass man auch mal bisschen mehr ausdrucken kann, wenn man das in den Wintermonaten nicht brauchen konnte. Hier die neue Liste:

18 Feb

Ofizielles nginx auf Ubuntu 18.04.LTS

Auch das wird immer wieder benötigt:

apt install curl gnupg2 ca-certificates lsb-release
echo "deb http://nginx.org/packages/ubuntu `lsb_release -cs` nginx" | tee /etc/apt/sources.list.d/nginx.list
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
apt update
apt install nginx
17 Feb

Docker auf Ubuntu 18.04 LTS

Weil ich es immer wieder brauche:

apt-get install apt-transport-https ca-certificates curl software-properties-common
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
apt-get install docker-ce

09 Feb

mySQL einzelne Tabelle aus Dump wiederherstellen

Problem: Eine sehr große Datenbank, ein nächtliches mySQL-Backup in dem diese Datenbank in eine SQL-Datei gespeichert wird. Nun muss aus dieser Datenbank aber nur eine einzelne Tabelle wiederhergestellt werden.

sed -n -e '/CREATE TABLE.*`TABELLENNAME`/,/CREATE TABLE/p' DATENBANKDUMP.SQL > TABELLE.SQL

Achtung: Die Datei danach noch mal im Text-Editor anschauen und das Ende prüfen, ob da nicht noch was zu editieren ist.

07 Jan

CentOS Ziel-IP/Port umleiten

Wenn die App sich nicht sofort umstellen lässt macht es eben die Firewall vorab:

firewall-cmd --direct --add-rule ipv4 nat OUTPUT 0 -d <alte IP-Adresse> -p tcp --dport 25 -j DNAT --to-destination <neue IP-Adresse>:25

Im Beispiel für den SMTP-Port (25)

06 Jan

Wechsel der Monitoring-Software

Seit dem Wochenende setze ich jetzt auf eine neue Monitoring-Software statt bisher Icinga 2 nutzen wir ab sofort das auf Nagios basierende CheckMK.

Auf Nagios basierend ist vielleicht nicht 100% korrekt, denn nur die RAW Edition setzt darauf. Ich würde gerne die Enterprise (Standard) Version nutzen allerdings sind mir die mind. 600 EUR (zzgl. MwSt.) dafür (aktuell) doch noch ein wenig zu hoch. Der CheckMK Micro Core statt dem Nagios Core würde mich aber dennoch brennend interessieren.

06 Jan

Sonderroute für einzelne IP-Adressen

Aus aktuellem Anlass. Eine IP aus meinem IPv4 Subnetz ist auf einen virtuellen Server in einem anderen Subnetz umgezogen. Auf dem Host-Server und den zugehörigen VMs war dieser dann mit der gewohnten IP-Adresse nicht mehr erreichbar, weil in einem anderen Layer 2 Segment.

ip ro add 62.216.1xx.xxx/32 via 62.216.1xx.1xx dev vmbr0

Wobei die zweite Adresse das Gateway des neuen Netzes ist.

29 Dez

LVM

Die meisten Projekte laufen aktuell nur noch auf virtuellen Servern. Die Plattengrößen sind entsprechend klein gehalten und je nach Projekt lege ich eine oder mehrere LVM-Partitionen an.

Erst mal durch initialisieren auf der iscsi disk die zuvor freigegeben wurde:

pvcreate /dev/disk/by-id/scsi- ....

Danach wird eine Volume-Group angelegt (in meinem Fall TMKIS):

vgcreate TMKIS /dev/disk-by-id/scsi- ....

Anschließend noch ein logisches Volume, damit das dann auch im Dateisystem richtig eingebunden werden kann (in dem Fall HOME):

lvcreate -l +100%FREE -n HOME TMKIS
mkfs.ext4 /dev/TMKIS/HOME

Durch das „-l +100%FREE“ wird die gesamte verfügbare Größe genutzt. Das kann man auch mit „-L100G“ zum Beispiel auf 100 GB beschränken. Macht in meinen Anwendungsfällen aber keinen Sinn.
Mittels mkfs.ext4 wird dieses logische Laufwerk dann mit dem ext4 Dateisystem formatiert und kann anschließend in der /etc/fstab eingebunden werden.

/dev/TMKIS/HOME /home ext4 discard,nofail,defaults 0 0

Wird später ein weiteres Laufwerk hinzugefügt kann das LVM problemlos erweitert und damit das Dateisystem vergrößert werden:

vgextend TMKIS /dev/disk/by-id/scsi- ....
lvextend --resizefs -l +100%FREE /dev/TMKIS/HOME
29 Dez

Hallo Welt!

Private Code-Schnipsel um mir die Arbeit zu erleichtern und Dinge wieder zu finden, über die ich mir schon einmal den Kopf zerbrochen habe. Die Welt darf natürlich daran teilnehmen, sofern es von Interesse ist.