Rootkit- & Exploit-Jäger ‚rkhunter‘ installieren

Zum installieren einfach auf der Shell

apt install rkhunter

eingeben.

Anschließend die Datenbank von rkhunter mit folgendem Befehl installieren

rkhunter --update

Natürlich müssen die Logfiles von rkhunter regelmäßig überprüft werden. Automatische Benachrichtigungen können u. a. mit Hilfe des Pakets ‚mailutils‘ eingerichtet werden. Aber dazu kommen wir später

Linux Webserver einrichten und betreiben

Hier beschreibe ich eine Möglichkeit wie Ihr Euren eigen Webserver mit Linux einrichten und einigermaßen sicher betreiben könnt.

Wichtig ist, sich darüber im Klaren zu sein, dass die Installation des Servers das Wenigste ist. Wichtiger ist den Server im laufenden Betrieb regelmäßig zu überprüfen und zu warten! Wer dazu keine Lust hat, sollte am Besten gar nicht erst einen eigenen Server betreiben, weil er über kurz oder lang ein Sicherheitsrisiko für sich, seine Benutzer und alles anderen Im Internet darstellt.

Ich beschreibe im Folgenden kurz die Schritte zur Installation unseres Webservers und verweise in den entsprechenden Absätzen auf die jeweilige Detailbeschreibung. Wer es eilig hat oder schon weiß was er will, kann auch im nebenstehenden Kasten direkt auf den Artikel klicken.

Nun fangen wir aber mit der Installation an. Ich gehe davon aus, Ihr habt Euch irgendwo bei einem Hoster einen Server gemietet und bereits ein Ubuntu 16.04 oder 18.04 installieren lassen. Wollt Ihr zuhause einen Server installieren, installiert halt den Minimalen Ubuntu Server mit SSH.

Bitte nehmt für einen Server nur die geraden Ubuntu-LTS-Versionen mit Langzeitsupport!

Nun aber los!

1. ‚root‘ Passwort ändern.

Falls Ihr das Betriebssystem (hier Ubuntu Server 16.04/18.04) selber installiert habt, werdet Ihr schon ein eigenes Passwort vergeben haben. Falls Ihr den Server vorinstalliert vom Hoster übernommen habt, ist der erste Schritt die Einrichtung eines eigenen ‚root‘ Passworts. Wie das geht erfahrt Ihr im Artikel ‚Passwort für Benutzer ‚root‘ ändern

2. Administrative Benutzer einrichten.

Auch dieser Schritt ist wahrscheinlich nicht erforderlich, wenn Ihr Euren Server selber installiert habt. Dann habt Ihr bei der Installation schon einen Hauptbenutzer angelegt, der die Erlaubnis hat mittels ’sudo‘ auch mit ‚root‘ Rechten zu arbeiten. Habt Ihr den Server vom Hoster ist meist nur der Benutzer ‚root‘ vorinstalliert und Ihr solltet einen ‚Administrativen Hauptbenutzer einrichten mit dem Ihr bei Bedarf ‚root‘ Rechte mittels sudo ausüben dürft. Der direkt Zugang von außen (z. B. via SSH) wird für den Hrrn ‚root‘ später aus Sicherheitsgründen gesperrt.

Und hier erfahrt Ihr wie Ihr einen ‚administrativen Hauptbenutzer einrichtet‚.

3. Zertifkatsbasierter Login Hauptbenutzer

Einfach weil es sicherer und komfortabler ist, richten wir den Zugang des Hauptbenutzers so ein, dass ein Zertifikat (= elektronischer Ausweis) mit einem Passwort zur Anmeldung und eindeutigen Identifikation ausreicht.

Wie das im Detail funktioniert erfahrt Ihr im Artikel ‚Zertifikatsbasierten Login für Hauptbenutzer einrichten‚.

4. SSH Server konfigurieren

So, nun ist es Zeit den SSH Server so einzustellen, dass eine direkte Anmeldung des Benutzers ‚root‘ verboten wird und gleichzeitig der Login nur noch über Zertifkate erfolgen darf. Wie das geht, wird im Artikel ‚SSH Server / Deamon konfigurieren‚ beschrieben.

5. System aktualisieren

Nun haben wir ja schon eine einigermaßen sichere Ausgangskonfiguration. Zeit um das ‚System zu aktualisieren‚.

6. Rootkit-Jäger ‚rkhunter‘ installieren

Die Software ‚rkhunter‘ ist eine Art Anti-Schadsoftware-Scanner die sich spezielle auf sogenannte ‚root kits‘ und andere lokale Exploits (Exploits = Sicherheitslücken) prüft. Da die Ausgaben des Programms z. T. techn. Hintergrundwissen verlangt, ist es eigentlich eher etwas für gestandene Admins, aber wir werden uns dem Schritt für Schritt annähern. Zunächst einmal wollen aber den ‚Rootkit- & Exploit-Jäger ‚rkhunter‘‚ installieren.

7. SSH Angriffe ausbremsen mit ‚fail2ban‘

Wer Server im Internet betreibt, kennt das. Täglich hunderte (oder mehr?) Versuche sich auf dem Server per SSH anmelden. Das nervt und müllt die Logfiles voll :-). Dagegen bietet ‚fail2ban‘ das richtige Mittel!

Wird sich von einer IP-Adresse mit einem falschen Passwort angemeldet, wird dieser Versuch von ‚fail2ban‘ registriert. Finden nun 3 Versuche mit falschem Passwort statt, wird diese IP-Adresse für eine Weile gesperrt. Damit werden sogenannte ‚Brute Force Attacken‘ ( = das automatisierte Ausprobieren von vielen, vielen Passwörtern) zwar nicht verhindert aber ganz gewaltig ausgebremst und damit mehr oder minder sinnlos.

Ein schöner Nebeneffekt ist, dass auch nciht mehr soviele Einträge über falsche Anmeldeversuche in der Logdatei auftauchen.

Wie Ihr diese kleine aber feine Software installiert steht im Artikel ‚fail2ban installieren‚.

8. Die Firewall ’shorewall‘ installieren

Okay, die Sache mit der Firewall. Eigentlich ist so eine Firewall bei einem sauber konfigurierten Server nicht wirklich nötig. Wer – wie ich – grundsätzlich prüft, dass auf dem Server wirklich nur die Ports geöffnet sind die ich brauche, braucht so eine Firewall nicht wirklich. Schließĺich prüft die auch nur ob die Nutzung eines Ports erlaubt ist oder nicht.

Aber! Mir ist es schon mehrfach passiert, dass ich beim herum konfigurieren am Server doch versehentlich (und meist nur vorübergehend) einen Port freigeschaltet habe. Schließlich basteln wir hier an sehr komplexen Konfigurationen und da macht man auch schon mal Fehler….

Hier finde ich dann eine Firewall als zweiten „Schutzwall“ ganz hilfreich. Schalte ich nun versehentlich mal einen nicht benötigten Port frei, passiert gar nichts, weil die Firewall diesen Port sperrt solange ich in der Firewall nichts anderes konfiguriere.

Allerdings sollte man hier im Artikel ‚Shorewall – Firewall installieren und einrichten‚ beschrieben Firewall Konfiguration wirklich vorsichtig, langsam und gründlich arbeiten.

Repair Café Gallerie

Repair Café am 20.07.2018

LUG wERKelenz Treffen

Du hast Interesse an Linux? Dann solltest Du das Treffen der Linux Anwender Gruppe „LUG wERKelenz“ auf keinen Fall verpassen. Also, bis bald!

Du hast überhaupt keine Ahnung was Linux überhaupt ist? Kein Problem, lies einfach unseren Beitrag „Was ist eigentlich Linux“? Aber Vorsicht! Es besteht akute Gefahr sich mit dem Linux-ist-cool-Virus anzustecken!

Kontaktformular

Mit dem Klick auf "Senden" erkläre ich mein Einverständnis, dass folgende Daten dieser Nachricht von werkelenz.de gespeichert und verarbeitet werden: Name, E-Mail Adresse, Betreff, Nachricht, IP-Adressse. Du kannst der Speicherung widersprechen! Aber das macht, wenn Du die Nachricht absenden willst, keinen so rechten Sinn. Mehr zu Deinen in Rechten steht in der Datenschutzerklärung
Wir geben aber grundsätzlich keine Daten weiter! Auch zwingen wir keinen dazu seinen echten Namen hier einzutragen! Aber im Sinne eines offenen, freundlichen und respektvollen Umgangs miteinander finden wir richtige Namen schöner!

wERKelenz.de – Was ist das?

Fangen wir doch mal – ausnahmsweise – damit an was wERKelenz nicht ist:

  • wERKelenz.de ist keine Gruppe
  • wERKelenz ist kein Verein (Du musst also nirgendwo Mitglied werden 🙂
  • wERKelenz ist auch keine Werkstatt

wERKelenz.de ist eine Idee!

wERKelenz.de ist nichts anderes als eine Idee unter der sich alle zusammen finden die etwas in und für Erkelenz tun wollen.  Dabei steht das „Werken“  – im Sinne von ‚praktisch tätig sein‘ für uns im Vordergrund.

Gemeinsam basteln, bauen, nähen, schrauben, sägen, konstruieren, reparieren – eben einfach zusammen etwas praktisches tun. Das ist die Idee von wERKelenz.de!

Als erstes Projekt habe wir im Juni 2017 das Repair Cafe in Erkelenz in den Räumen des JACK, Johannismarkt 5, 41812 Erkelenz gegründet. Das Repair Cafe ist für Euch jeden 3. Samstag in Monat geöffnet. Mehr erfahrt Ihr auf unserer Repair Cafe Seite.

Anet A8: Ist das der Drucker für’s Repair Café?

Im Repair Café  überlegen wir ja gerade, ob wir uns einen 3D Drucker Bausatz zulegen. Es gibt ja inzwischen beim China-Mann ein Menge Auswahl, die auch für unser sehr begrenztes Budget infrage kommen.

Aus einer großen Produktpallete ist mir ein Drucker aufgefallen, den ich ganz attraktiv finde.  Der ANET A8 (z. B. von  gearbest). Der Drucker wird regelmäßig bei verschiedenen Händlern in der Preislage 100-120,–€ angeboten.

Es gibt auch im Netz schon verschiedenes Material über den ANET A8. Mir hat der Bericht von selbstgedruckt.de ANET A8 – eine ehrliche Meinung gut gefallen.

Gründe die aus meiner Sicht für den ANET A8 sprechen:

  • Gerät ist vielfach erprobt und es gibt eine breite Community
  • Bausatz ist anscheinen zumindest hinreichend dokumentiert
  • Druckqualität wird als mäßig bis gut beschrieben
  • Druckqualität ist zumindest ausreichend um Teile für einen  verbesserten Drucker herzustellen
  • Es gibt schon fertige Teile bzw. Beschreibungen zur Optimierung

Natürlich gibt es auch Gründe die dagegen sprechen:

Läuft  nicht ‚out of the box‘, ohne Veränderungen (Stichwort: Stromversorgung)

Man muss Zeit und Kosten für Verbesserung von vorne herein mit ein kalkulieren

braucht Geduld und Übung in der Einstellung / Kalibrierung

Mein Fazit:

Ja, der ANET A8 hat Macken. Aber er druckt! Und – bei richtiger Kalibrierung – ganz ordentlich.  Und die Macken haben aber auch ihren Charme: Wir werden uns recht genau mit den einzelnen Komponenten beschäftigen müssen (Stromversorgung, Entlastung der Steuerung, mech. Stabilität usw.) und wie lernt man schneller als mit Fehlersuche (OK, ist vielleicht auch ’ne Berufskrankheit aus der IT …)?

Wir sind alle Bastler, mit Wissen und praktischer Erfahrung. Liegen also deutlich über dem Level, an dem sich der ANET A8 („Einsteiger mit etwas Geschick“) richtet. Also, wenn nicht wir, wer dann?

Der Drucker ist günstig und sollte dazu dienen, zu verstehen wie das Ganze tickt und wir sollten in der Lage sein einfache Objekte mit etwas Zeit zu drucken.

Und was kostet es jetzt wirklich?

Ich denke wir brauchen:

120,00 € für den ANET A8 Drucker-Bausatz vom China-Mann
0,00 € für ein oder auch zwei ATX Netzteil(e) (alte PCs gibt’s ja genug….)
10,00 € Moseft (Steuerung von den hohen Strömen  entlasten)
30,00 € Filament, 2 x 1 kg versch. Farben)
160,00 € Gesamt (für den Einstieg)

An Optimierungen könnte man noch mal ca. 100€ investieren. Oder man plant direkt den zweiten, verbesserten Drucker. Vorhandene Teile wie z. B.  Extruder können ja wieder verwendet werden.

Laufende Kosten für Material muss man auch berechnen.

 

 

Entwurf eines Konzepts für die FabLab wERKelenz.de

FabLab? Was ist das?

„Da stelle mer uns janz dumm und fragen: Wat is ene FabLab?“

Ich denke viele von Euch kennen diesen Satz so ähnlich. (Wenn nicht, müsst Ihr das Buch „Feuerzangenbowle“ von Hermann Spoerl unbedingt mal lesen – gut für´s Gemüt :-).

Aber was ist eine FabLab denn jetzt? Ich mache es mir mal einfach und zitiere aus Wikipedia:

Ein FabLab (engl. fabrication laboratory – Fabrikationslabor), manchmal auch offene Werkstatt oder MakerSpace, ist eine offene, demokratische Werkstatt mit dem Ziel, Privatpersonen den Zugang zu Produktionsmitteln und modernen industriellen Produktionsverfahren für Einzelstücke zu ermöglichen. … FabLabs erlauben die unkomplizierte Anfertigung von hoch individualisierten Einzelstücken oder nicht mehr verfügbaren Ersatzteilen (Rapid Manufacturing). Es gibt große Überlappungen und Kooperation mit der Open-Hardware-, Open-Source- und der DIY-Bewegung.“ (Wikipedia, Artikel: FabLab, Abruf 01.02.2018)

Uff, heafy stuff! Ich gebe zu, diese Definition hat‘s in sich! Eine Sammlung ziemlich dicker Wörter! Aber gehen wir es der Reihe nach an:

 

FabLab, Offenen Werkstatt, MakerSpace

In einer FabLab werden Geräte wie 3D Drucker, CNC-Maschinen, 3D Scanner, Computer zur Erstellung von 3D Modellen usw. der Öffentlichkeit zur Verfügung gestellt. Also darf jeder der will, diese Geräte nutzen!

Dies soll dazu beitragen, modernste Produktionsverfahren auch Privatleuten und kleinen Firmen zugänglich zu machen. Die FabLab verfügt also mindestens über einen 3D Drucker und Computer zur Modellierung von 3D Objekten und zur Steuerung der 3D Drucker.

Es können Einzelstücke und Kleinserien hergestellt werden, zunächst nur auf Basis der Kunststoffe PLA und ABS. Interessant ist die Benutzung der FabLab beispielsweise für Menschen, die

  • ein spezielles Ersatzteil (Kunststoff) suchen, aber es nicht mehr beschaffen können
  • ein individuell produziertes Werkstück haben wollen, z. B.
  • zur Deko für besondere Anlässe wie runde Geburtstage
  • wg. des individuellen Designs,
  • DIY Make, Bastler, Schrauber, Modellbauer
  • Designer die gerne Unikate fertigen wollen
  • einfach Spaß daran haben, was im 3D zu machen

 

Offen und demokratisch

ich mag jetzt hier nicht theoretisch über Demokratie philosophieren (vielleicht fehlt für so was auch noch ein Ort in Erkelenz…..). Daher versuche ich mal ein paar Ideen zu skizzieren, wie ich mir die offenen und demokratischen Strukturen vorstellen könnte. Vielleicht müssen auch einige Punkte nochmal unter den mitMACHERN diskutiert werden.

Die Regeln sollen – finde ich – dazu dienen uns möglich wenig vom MACHEN abzuhalten. Alles was Schreibkram und ähnliches Unbill verursacht, sollte vermieden werden. Hält uns nur vom MACHEN ab!

In der FabLab wERKelenz.de ist jeder willkommen. (Mir fällt wirklich kein sinnvoller Grund ein, warum man bei Menschen zwischen Alter, Hautfarbe, Herkunft, Sprache oder was auch immer unterscheiden sollte!). Dennoch wird es Regeln geben müssen, die z. B. festlegen wer und wann welche Teile der FabLab nutzen darf. Fände z. B. Arbeitsschutzanweisungen, -einweisungen wichtig (z. B. „Man darf erst an die Maschine XY wenn Arbeitsschutzanweisung erfolgt ist“ – oh, ich sehe Unbill 😉 ).

Die FabLab wERKelenz.de versteht sich weder als Verein noch als Institution (aber das kann sich auch ändern), sondern als ein Gruppe von MACHERN die einfach MACHEN wollen. Jeder der mitmachen möchte, registriert sich bitte hier auf der Seite oder meldet sich bei einem mitMACHER.  Dann gibt’s auch auch eine Einladung (Email) zu Treffen und Du bist Teil des FabLabs wERKelenz.de.

Für Entscheidungen gilt, dass die jeweils bei einer Abstimmung (online oder offline) Anwesenden entscheiden. Dabei ist zu beachten, dass Entscheidungen nicht dazu führen sollen, dass Einzelne das Projekt verlassen. Ziel sollte sein, das man sich einigt. Oder notfalls die überstimmte Minderheit zumindest mit der Entscheidung leben kann. (@Michael, falls Du das liest: Du hattest mir mal den neuen Fachbegriff dazu genannt. Tu‘s bitte nochmal 🙂 )

Soviel zu den“dicken“ Wörtern „modernen industriellen Produktionsverfahren“ und „demokratische Werkstatt“ aus der Wikipedia Definition. Aber da wären noch zwei kleine Punkte dies sich anzusprechen lohnen, die Finanzierung und die Location.

 

Finanzierung

Die FabLab wERKelenz.de ist ein gemeinnütziges Angebot und soll sich von Spenden finanzieren. Evtl. sollte noch das gedruckte Material bezahlt werden (z. B. nach Gewicht des fertigen Objektes).

Auf Zuschüsse der öffentlichen Hand oder ähnlich aufwändig agierender Institutionen (Stichwort: Unbill 🙂 ) möchten wir gerne verzichten.

Denkbar wäre für mich noch Sponsoring durch Firmen. Als Dankeschön für die Unterstützung könnte der Firmenname auf der Homepage und in der Öffentlichkeitsarbeit (Facebook, Youtube, Presse) dankbar erwähnt werden. (und ich kenne da ‘ne kleine Computerklitsche die gerade ihren besten Mann sponsored – 😉 )

Ach ja, irgendwer wird sich opfern müssen um die Spendenkassen zu führen… . Nun, bleibt noch ein Thema offen, die Räume!

 

WICHTIG: Die FabLab sucht Räume!!!

Die FabLab sucht Räume! Denkt daran, wir sind ein gemeinnütziges Projekt dass keine Miete zahlen kann. Ich fände es schön, wenn der Raum öffentlich einfach zugänglich wäre und auch per ÖPNV gut erreichbar ist.

Wenn ich mir was wünschen dürfte, wären die Räume möglichst in der Erkelenzer Innenstadt. Wenn man auch noch mit Auto dem ranfahren könnte,wäre das die perfekte Lage! Für den Anfang reicht, glaube ich, ein Raum ca. 45-60 m². Wenn das Ganze wächst, muss man sehen, ob man umziehen muss oder sich auf mehrere Locations verteilt.

Wer also etwas weiß, oder gehört hat von jemanden der etwas weiß, oder vermutet er könne schon mal was gehört haben, von dem er vermutet, dass er etwas wissen könnten…

Egal: Wenn Ihr wisst wo etwas frei ist oder vielleicht sogar einen freien nutzbaren Raum habt, sagt mir bitte, bitte Bescheid.

Vielleicht wäre es auch ein denkbares Konzept, dass man die FabLab so mobil gestaltet, dass man zumindest einfach umziehen kann. Vielleicht wären dann einfach leer Ladenlokale für die Zeit des Leerstandes zu haben (muss man eben öfter umziehen….).

Soweit, so gut. Kommentare, Verbesserungsvorschläge, Interessenten ausdrücklich erwünscht!

 

 

Und los geht’s!

Heute morgen hatte ich ein Treffen mit Achim und wir haben beschlossen, die Idee „Ein FabLab für Erkelenz“ nun in die Tat umzusetzen.

Da wir beide noch viel zu lernen haben über Elektronik, 3D Fertigungstechnik, 3D Modellierung usw. fangen wir mit einer Kategorie „Lernen und Infos“ an. Hier werden wir Links und vielleicht auch kurze Bewertungen zu Videos, Artikeln und anderen Inhalten sammeln, die uns bei der Einarbeitung in diese Themen geholfen haben.

Darüber hinaus wollen wir die Entstehung der FabLab hier dokumentieren.

In den nächsten Wochen starten wir voraussichtlich mit dem Bau eines 3D-Drucker-Bausatzes. Hier wählen wir ein sehr günstiges Modell aus China. Das ist dann zwar kein High End Gerät, sollte bei richtiger Einstellung aber ausreichende Qualität liefern um damit einen besseren 3D Drucker zu konstruieren.

Wie es dann weiter geht, wissen wir noch nicht. Schaut einfach mal regelmäßig vorbei!