Serverbackups mit duplicity

Von Mainboarder am 8.09.2014 veröffentlicht
Tags: ,

Wer Backups hat, schläft ruhiger. Da ich gerne schlafe, habe ich Backups. Und da der Code so noch nicht fertig im Internet zu finden war und bei mir funktioniert, stelle ich ihn frei zur Verfügung.

Download bei Github.

Zunächst war der Code gedacht um Webhosting Daten von Froxlor verschlüsselt auf einen externen Speicher zu schreiben. Das geschah mit SSH und Key-Authentifizierung. Danach wollte ich eine inkrementelle Funktion, sodass nur Änderungen zum letzten Backup gespeichert werden. Das spart Datenverkehr und Speicherplatz. Deswegen entschied ich mich für duplicity. Das gab vor das zu können und sah vom Manual her bedienbar aus. Nun wird nur noch einmal monatlich alles komplett gesichert.

Bei der Installation sei noch angemerkt, dass das Skript mit python-paramiko und python-gobject-2 genutzt wird. Die müssen mit installiert werden.

Dank duplicity sollte das Skript nun nicht nur mit Froxlor kompatibel, sondern generell anwendbar sein. Auch MySQL-Datenbanken kann man mit sichern.

Wenn ich mal mehr Lust habe, kann ich mir vorstellen die Dokumentation zu verbessern. Aber wer weiß was er macht, sollte das Skript zum laufen bekommen.


Behörden und unsicheres SSL

Von Mainboarder am 5.09.2014 veröffentlicht
Tags: , , , ,

Sicherlich weiß auch ein durchschnittlich technikinteressierter Mensch, dass Verbindungen zu Webservern verschlüsselt sind, wenn die Adressleiste im Browser grün leuchtet. Dabei gibt es aber sehr verschiedene Sicherheiten, ja nachdem welche Algorithmen verwendet werden. Auch Behörden haben Nachbesserungsbedarf.

Nachdem ich mir über den Bundesanzeiger ein paar Infos besorgen wollte, schaute ich einfach mal, welche Algorithmen dort eingesetzt werden. Chrome meldete RC4 und MD5. Für Leute die damit nichts anfangen können: man sollte da eigentlich mit Schaum vorm Mund zuckend auf dem Boden liegen. Das hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannt und rät von der Verwendung deutlich ab (RC4 Punkt 3.3.2, MD5 Punkt 3.2).

Darüber informierte ich den Bundesanzeiger und das übergeordnete BMJV am 1.9.
Am 5.9. erhielt ich dann Antwort von Bundesanzeiger. Man hat die Priorität des Loadbalancers überarbeitet. Dieser war aufgrund eines Fehlers so eingestellt. Statt MD5 nutzt man SHA1. Das ist derzeit akzeptabel (bis 2015), allerdings sollte nächste Zertifikat eher kein SHA1-Zertifikat sein (und Punkt 3.3.2 des PDF). Derzeit erhält der Bundesanzeiger ein “A-” des viel beachteten SSL Tests von SSLLabs.

Man teilte mir mit, dass RC4 aber nicht vollständig deaktiviert wird, nur herunterpriorisiert, da sonst kein Internet Explorer 8 (Windows XP) mehr darauf zugreifen kann. Ich selbst finde es fraglich, ob man für ein System, das der Hersteller nicht mehr unterstützt überhaupt noch Verschlüsselung anbieten will. Das könnte den Nutzer in falscher Sicherheit wiegen.

Aufgrund des starken Abratens des BSI und der Windows XP-Problematik habe ich daraufhin die Seite des BSI überprüft. Mein Fazit: Spezialexperten.

BSI SSL


Wie schlecht sind eigentlich Antiviren?

Von Mainboarder am 21.08.2014 veröffentlicht
Tags: , ,

Wenn man sich diese Analysen anschaut sehr schlecht:

Das sind Viren, die an Honeypots gesendet wurden. Teilweise sind die Spammails dort schon älter (vom 17.8.14), also fünf Tage alt. Da hätte ich eine wesentlich höhere Erkennungsrate erwartet. Aber es heißt nicht grundlos: Antiviren sind Schlangenöl.

Ein paar Dateien habe ich mal an einige Antivirenhersteller geschickt um deren Geschwindigkeit mal festzustellen.


Cyanogenmod auf Samsung S2g

Von Mainboarder am 11.08.2014 veröffentlicht
Tags: , ,

Da mich Handys nicht sonderlich interessieren, hab ich noch immer mein Samsung Galaxy S2g. Bislang lief das auch ok, jedoch stürtzte es in letzter Zeit häufig ab und ruckelte. Auch das Ausmisten von Apps hat nichts gebracht. Deswegen suchte ich einen Weg Cyanogenmod zu installieren, Garantie habe ich ohnehin keine mehr.

Eins vorweg: wer die Schritte nachvollzieht kann unter Umständen sein Telefon zerstören. Die Wahrscheinlichkeit ist sehr gering, besteht jedoch. Da der Hersteller nicht verpflichtet ist fremde Software zu unterstützen, ist dies dann auch kein Garantiefall.

Mir wurde schnell klar, dass es mehrere Wege zu geben scheint, eine wirklich aktuelle Anleitung fand ich zunächst nicht. Ich wollte eine möglichst simple Möglichkeit nutzen ohne viele Programme auf meinem Rechner installieren zu müssen. Deswegen entschied ich mich dafür mir eine MicroSD zu besorgen und mithilfe dieser die alternative Firmware, ausgehend vom Herstelleroriginal mit Android 4.1.2, zu installieren.

Sofern das Telefon den normalen Kernel installiert hat, muss zunächst ein angepasster installiert werden. Ich habe den Blazing Kernel V16 CMW6 MOD genommen.

Dieser Kernel wird als .zip-Datei auf der MicroSD-Karte gespeichert. Mit Lautstärke hoch + Home + Anschaltknopf wird das Telefon in einen speziellen Modus versetzt. Hier wählt man aus, dass von einer zip-Datei installiert werden soll und gibt die Kerneldatei an. Nach wenigen Sekunden kann man das Telefon neu starten. Dies ist auch notwendig um den Kernel abschließend zu installieren.

Ist das Telefon wieder an, kann man Cyanogenmod herunterladen. Es empfiehlt sich auch die Google Apps zu installieren. Nur so hat man den Google Play-Store. Hier war für mich die Datei “gapps-jb-20130812-signed.zip” zielführend. Zunächst habe ich versucht “gapps-jb-20130813-signed.zip” zu nutzen, damit stürzt aber die Android Tastatur immer ab.
Beide zips lädt man am besten auf den telefoninternen Speicher, die externe MicroSD-Karte kann wohl Probleme machen.

Nun startet man das Telefon wieder mit Lautstärke hoch + Home + Anschaltknopf und wählt wie im vorherigen Schritt zunächst die Cyanogenmod-Datei, danach gleich die Google Apps-Datei aus. Danach noch einen Factory Reset und unter den erweiterten Einstellungen den Dalvin-Cache leeren. Dann das Telefon neu starten und nach wenigen Minuten (bei mir waren es ca. 2-3 Minuten) ist die Software erfolgreich installiert.

Das war unerwartet leicht und jetzt kann ich auch ohne externe MicroSD-Karte andere Versionen installieren. Cyanogenmod ist jedoch ungewohnt flüssig – verglichen mit der Samsung Android Version – und hat ein paar nette Funktionen, wie den Datenschutzmodus für Apps. Dieser verhindert Zugriff auf persönliche Daten durch die App. Auch das Design gefällt mir besser.


Durch das Neuaufsetzen meines Telefons hatte ich auch die App für Zwei-Faktor-Authentifizierung verloren. Ein Backup hatte ich nicht angelegt, weil ich keine Informationen auf meine Telefon speichere, auf die ich nicht auch verzichten könnte. So dachte ich zumindest. Denn als ich mich bei Github einloggen wollte, fragte mich der Dienst nach dem aktuellen Zwei-Faktor-Code in dessen Besitz ich nicht mehr war. Für solche Fälle gibt es eine Art zweites Passwort, was Github einen mit Aktivieren der Zwei-Faktor-Version mitteilt. Doch diesen Code konnte ich ebenfalls nicht finden.

Daraufhin schaute ich in der FAQ nach, ob ich nicht einen weiteren Weg finden könnte. Normalerweise sollte es da etwas geben, denn sein Passwort kann man ja ebenfalls wiederherstellen. Doch: nichts. Eine Telefonnummer habe ich nicht hinterlegt. So langsam schrieb ich mir meinen Account ab. Den private Key für die Quelltextverwaltung habe ich zwar noch und kann Commits pushen, aber neue Repositories lassen sich so nicht anlegen und Tickets lassen sich auch nicht bearbeiten.

Ohne große Erwartungshaltung schrieb ich deswegen dem Support und schilderte, dass ich zwar keine Zwei-Faktor-Möglichkeit mehr habe, aber noch meinen private Key, vielleicht kann man da was machen: einen Commit mit einer vorher festgelegten Zeichenkette pushen zum Beispiel.

Nach dem Absenden dauerte es keine zwei Minuten, dann klingelte mein Mailprogramm. Github hat geantwortet. Ein Mitarbeiter schilderte mir, was ich zu tun habe um ihm zu beweisen, dass ich berechtigt bin. Danach würde er die Zwei-Faktor-Authentifizierung abschalten können.

Ich befolgte die Schritte und antwortete auf die Mail. Wieder erhielt ich sehr schnell eine Antwort (mein Mailprogramm piepte nach ca. 10 Minuten bei IMAP, die Mail war aber auf eine Minute nach meine Antwort datiert). Ich könne mich jetzt normal einloggen.

Das war dann doch etwas komisch, auf positive Weise. War es ein gut programmierter Supportbot der einfach nur Standardantworten versendet und Aktionen macht anhand von Textanalyse? Oder war es ein Mitarbeiter der einfach sehr schnell ist? Letzteres habe ich bisher nicht in Verbindung mit Kompetenz feststellen können. Wer auch immer mir da wirklich geholfen hat, das war der im Verhältnis zu aufgewendeten Zeit bisher absolut kompetenteste Support. Und das bei einem Dienst, den ich kostenlos nutze, da ich keine privaten Github-Repositories benötige. Wow!

[Update 05.08.14 8:35 Uhr]

Angestellte des Hosters meines Servers drohen damit, mich ein bis zweimal wöchentlich morgens anzufragen ob alles in Ordnung ist. Es sei an dieser Stelle erwähnt, dass netcup ebenfalls einen hervorragenden Support hat, der definitiv nicht auf Support Bots aufbaut. Dies nicht zu erwähnen war ein Versehen und keineswegs despektierlich gemeint. Lasst mich schlafen! ;)