Die TP-Link Archer T2U Plus AC600 ist eine leistungsfähige USB-Wlankarte mit integrierter Antenne. Sie kann sowohl mit 2,4 GHz als auch mit 5 GHz senden und erreicht dabei eine beachtliche Maximalgeschwindigkeit. Durch die integrierte Antenne hat sie eine sehr gute Reichweite. Leider wird die Karte nicht von Debian unterstützt und selbst das inoffizielle Netinstall mit propritärer Firmware bringt keine Treiber für die Karte mit.
Linux
USB-Speichstick unter Linux neu formatieren
Die Aufgabe klingt eigentlich ganz trivial aber letztens hatte ich da ein echtes Problem bei einem Stick mit einem OpenMediaVault-Image. Alles was ich versucht habe ist mit einer Fehlermeldung ausgestiegen. Auch unter Windows 7, was ich dann widerwillig ausprobiert habe, war da nichts zu machen – auch Fehlermeldung und abgebrochen. Ich habe dann aber tatsächlich eine Lösung für das Problem gefunden.
Einen Rasperry Pi mit Pi-hole für DNS-Over-HTTPS konfigurieren
DNS ist einer der wenigen Dienste für die es lange keine verschlüsselte Variante gab. DNS ist jedoch ein zentraler Dienst im Internet und für datensammelnde Firmen von großen Interesse. Google stellt wahrscheinlich mit 88.88.88.88 und 88.88.44.44 nicht umsonst einen öffentlichen DNS-Server zur Verfügung. Aus DNS-Anfrage und IP-Adresse, die immer übertragen werden, lassen sich prima virtuelle Bewegungsprofile erstellen. Das Internet wurde seinerzeit nicht in Hinblick auf Sicherheit entworfen sondern auf Funktionalität. Heute ist das Internet, im Gegensatz zu damals, ein Tummelplatz von Datenkraken, Werbetreibende und anderen geworden die daran interessiert sind möglichst viel über die meist ahnungslosen Benutzer heraus zu bekommen um sie mit mehr oder minder unerwünschter Werbung zu beglücken. Heute sind viele Seiten, z.B. die Seiten für Online-Banking aber auch die meisten anderen – wie diese hier auch – per SSL/TLS verschlüsselt. Das heißt der Inhalt des Abrufes ist nicht mehr so ohne weiteres einsehbar. Der DNS-Aufruf, d.h. wenn man in seinen Browser in der Adresszeile „www.example.com“ eingibt und das dann direkt in eine IP-Adresse aufgelöst wird, ist unverschlüsselt und für den Internetprovider sowohl mitlesbar als auch fälschbar. So liefern manche Internetprovider, die deutsche Telekom zum Beispiel, eine ihrer Seiten aus in der sie ihre Werbung platzieren wenn man einen Tippfehler in der Adresszeile hat und eine Domain nicht aufrufbar ist.
Der unbekannte Befehl – „umask“ der Maskierer
umask führt eigentlich sehr zu unrecht ein Schattendasein auf den meisten Rechnern denn umask ist ein Sicherheitsfeature was die Rechteverwaltung des Filesystems bestimmt. umask bestimmt wo und wann welche Besitzer- bzw Gruppenrechte gesetzt werden.
Bekanntlich hat unter Linux/Unix jede Datei einen Besitzer und gehört zu einer Gruppe. Unter Debian ist häufig für einen Benutzer auch der Name als Gruppe gesetzt. So gehört der Benutzer max dann der Gruppe max an. Weitere Gruppen wie floppy oder cdrom oder games können folgen. Jeder Benutzer der weder der Besitzer einer Datei ist noch der Gruppe angehört der gehört im Rechtesystem zu other.
Die wichtigsten Rechte werden in jeweils drei Bit beschrieben:
$ ls -l .bashrc -rw-r--r-- 1 max max 3667 Jul 10 18:00 .bashrc $ ls -ld . drwxr-xr-x 77 max max 12288 Aug 25 23:02 .
Dabei symbolisiert die Ausgabe rwxrwxrwx die Rechte für den Besitzer, Gruppe und other (also alle anderen) und dahinter dann den Besitzer und die Gruppe zu der die Datei oder das Verzeichnis (Verzeichnisse sind unter Linux/Unix eigentlich auch nur eine besondere Art Datei) gehört.
Der unbekannte Befehl – „tee“ das T-Stück
tee ist ein Befehl der praktisch nie alleinstehend benutzt wird sondern immer in Kombination mit anderen Befehlen und einer Pipe. Der Name tee leitet sich tatsächlich aus dem T-Stück bei Rohren ab. Normalerweise kennt Linux/Unix einen stdin, stdout und stderr als drei Kanäle. stdin ist der Eingabekanal, stdout der Ausgabekanal und stderr der Fehlerkanal. Im Zusammenhang mit tee spielt das eine wichtige Rolle denn tee ist sozusagen ein T-Stück für die Ausgabekanäle stdout und stderr. Normalerweise liest ein Befehl über den stdin ein und gibt über die beiden Ausgabekanäle aus welche oft der Bildschirm ist. Durch eine Pipe | kann die Ausgabe an weitere Befehle umgeleitet werden. So wird z.B. oft eine unübersichtliche Anzeige von ls an den Pager more weitergeleitete:
$ ls | more
und man erhält eine bildschirmseitenabhängige Ausgabe. Wenn man zwei Ausgabekanäle bedienen möchte dann kommt tee ins Spiel.
Geschützte Dateien mit vi als normaler Benutzer abspeichern
Es ist sicher vielen schon passiert die normalerweise ohne root-Rechte arbeiten. Man öffnet eine Konfigurationsdatei, übersieht die Warnung beim öffnen und bearbeitet diese.
Beim Abspeichern stellt man dann fest, dass man keine Schreibrechte für die Datei hat weil man das sudo oder su vor dem Aufruf von vi vergessen hat. Besonders ärgerlich ist das wenn die Änderungen umfangreich sind.
Screenshot mit Gimp erstellen
Screenshots sind oft recht nützlich um Sachverhalte zu illustrieren und zu verdeutlichen. Ein Screenshot ist unter GNU/Linux mittels der Druck-Taste leicht erledigt. Leider ist da das komplette Desktop abgebildet was einerseits vom Wesentlichen ablenkt aber andererseits unerwünschte Details offen legt. Idealerweise bildet ein Screenshot nur den relevanten Bereich ab und nichts anderes.
Pi-hole die Tonne für Werbung
Pi-hole ist ein Softwareprojekt, ursprünglich für den Raspberry Pi begonnen, welches auf Basis von dnsmasq einen Werbeblocker für das komplette lokale Netzwerk zur Verfügung stellt. Pi-hole funktioniert so, dass es als lokaler DNS-Server funktioniert und Anfragen zur Namensauflösung von Werbe-IP-Adressen so manipuliert das sie nicht ausgeliefert werden. Die DNS-Anfrage verlässt so niemals das lokale Netzwerk.
Zur Installation wird ein Raspberry Pi mit Raspbian benötigt. Eine detaillierte Installationsanleitung von Raspbian auf einem Raspberry Pi habe ich bereits verfasst (hier und hier).
Installiert wird Pi-hole recht einfach. Das Installationsscript wird mit:
wget -O basic-install.sh https://install.pi-hole.net
herunter geladen und
bash basic-install.sh
wird es gestartet.
Der unbekannte Befehl – „patch“ das Flickwerk
patch ist ein Befehl der sicher von den wenigsten Benutzern benutzt wird denn normalerweise übernimmt das Einspielen der Paketbetreuer der Distribution und man installiert das bereits kompilierte Paket. Mit Hilfe von Patches werden Programmversionen oder Sicherheitspatches eingespielt. Jedoch sind auch alle möglichen anderen Szenarien denkbar. Der Vorteil einer Patchdatei ist, sie ist für Menschen lesbar da es eine reine ASCII-Datei ist, sie ist sehr viel kleiner als ein neues Programmpaket und der Patch lässt sich rückgängig machen. Patchdateien besitzen oft die Dateiendung .diff oder .patch. patch ist gewissermaßen das Gegenstück zum Befehl diff.
GnuPG-Schlüsseldaten veröffentlichen
In dem vorhergegangen Tutorial wurde gezeigt wie man einfach und mit Hilfe einer GUI mit Thunderbird/Enigmail einen Yubikey für GnuPG vorbereitet. Die Schlüssel helfen nichts wenn man nicht seine öffentliche Schlüssel veröffentlicht. Dies kann man zunächst einmal auf den Schlüsselservern und man erhält dann einen Link der folgendermaßen aussehen kann: https://keys.openpgp.org/vks/v1/by-fingerprint/46761780D7F5D4ED744CD286684A0B0B03A1960E
Dies ist ein auf einem Keyserver abgelegter Schlüssel. Dieser Link sollte sich bereits auf dem Yubikey unter URL befinden.
Für das Veröffentlichen des öffentlichen Schlüssels werden oft folgende Formate angeboten:
- Key-ID (obsolet)
- Fingerprint
- Öffentlicher Schlüssel