Kategorie: Technik

Laptop absichern – Kapitel 1: Grundlagen – Abschnitt 1: Einleitung

Kapitel 1: Grundlagen

Quelle: openclipart.org
Quelle: openclipart.org

„Wer hohe Türme bauen will, muss lange beim Fundament verweilen.“
Anton Bruckner

Mit den folgenden Beiträgen dieser Artikelserie möchte ich einige grundlegende Tipps zusammenstellen, welche die Sicherheit bei der täglichen Arbeit mit dem Notebook bzw. Laptop erhöhen. Viele Tipps eigenen sich aber auch zur Nutzung mit stationären PCs. Eigentlich sollte das ganze mal in ferner Zukunft ein Buch (oder zumindest ein EBook) werden – und bezog sich explizit auf die Absicherung des MacBook. Mit dem Projekt wollte ich mich gleichzeitig in iBook Author einarbeiten. Irgendwie finde ich das Programm aber ziemlich schrecklich, so dass ich mit den Inhalten jetzt doch meinen Blog bespielen werde. Nach meinem Wiederumstieg auf GNU/Linux veröffentlich ich jetzt die bestehenden Kapitel noch einmal ohne direkt Mac-Bezug.

Ich wünsche viel Spaß beim Lesen und Umsetzen. Noch ein Hinweis vorweg: alles was folgt, richtet sich explizit an Einsteiger.

Abschnitt 1: Einleitung

„Beginne am Anfang“ sagte der König ernst, „und fahre fort, bis du ans Ende kommst: dann höre auf.“
Lewis Carroll

Zum Aufbau

Für die Artikelserie plane ich neben dieser Einleitung etwa zehn Kapitel. Jedes der Kapitel beleuchtet einen wichtigen Sicherheitsaspekt für Laptops. Die einzelnen Kapitel müssen nicht unbedingt in der veröffentlichen und nummerierten Reihenfolge gelesen oder die darin enthaltenen Sicherheitstipps in dieser Abfolge umgesetzt werden. Allerdings werde ich versuchen, die zusammengestellten Tipps in eine sinnvolle Reihenfolge zu bringen. Diese orientiert sich vor allem daran, wie einfach die Tipps umzusetzen sind. Außerdem werden ich zunächst ganz grundsätzliche Sicherheitshinweise geben. Es macht daher durchaus Sinn, der Artikelserie in der durch die Kapitelnummerierung vorgeschlagenen Reihenfolge zu folgen.

An einigen Stellen im Text werde ich, neben dem Fließtext und den erklärenden Grafiken zur Umsetzung der Sicherheitstipps, drei Arten von Hinweiskästen einbauen. Was die jeweilen Kästen bedeuten, kann im Folgenden nachgelesen werden.

!

Mit einem Ausrufezeichen und rotem Rand versehene Kästen enthalten Umsetzungshinweise. Diese Hinweise sollten bei der Umsetzung des Sicherheitstipps beachtet werden. Es könnte zum Beispiel der Fall sein, dass ein Sicherheitstipp neben der Erhöhung der Sicherheit noch andere, nicht intendierte oder unmittelbar erkennbare Folgen hat.

*

Ein blauer Kasten mit einem Stern weißt auf weiterführende Literatur und / oder interessante Links und Quellen hin.

?

Ein grauer Kasten mit Fragezeichen zeigt an, dass es sich bei dem Text im Kasten um eine weiterführende Erklärung handelt, die für die Umsetzung des Sicherheitstipps nicht unbedingt gelesen werden muss.

Auf jeden Fall sollte jeder rote Hinweiskasten zur Kenntnis genommen werden, bevor der dazugehörige Sicherheitstipp umgesetzt wird.

Zu den Sicherheitstipps

Alle Ausführungen zu den Sicherheitstipps versuch ich möglichst generell zu halten, so dass sie auf jedem Laptop, unabhängig vom Hersteller und theoretisch auch unter unterschiedlichen Betriebssystem (GNU/Linux, Windows, macOS), genutzt werden können. Wenn es um konkrete Software geht, werde ich wenn möglich auf solche FOSS-Projekte (Free and Open Source Software) setzen, die auf allen Betriebssystemen laufen (oder Alternativen für jedes Betriebssystem angeben).

Es kann sein, dass die Tipps bei einzelnen Laptops oder bestimmten Betriebssystemversionen nicht (mehr) funktionieren oder sich nicht mit genau den selben Schritten umsetzen lassen. Dementsprechende Hinweise können gerne in den Kommentaren angebracht werden.

?

Welche Version des Betriebssystems auf dem eigenen Laptop läuft, bekommt man wie folgt heraus:

GNU/Linux: welche Distribution läuft, sollte wohl jeder Nutzer wissen. Die aktuell genutzte Kernel-Version liefert „uname -r“ auf der Konsole/ im Terminal.

Windows: Die akutelle Build-Version (für Windows 7, 8 und 10) bekommt man angezeigt, wenn man „Windows-Taste + R“ drückt, dann „winver“ eintippt und mit Enter bestätigt. Wer noch Windows XP benutzt, muss sofort auf eine aktuelle Windows Version umsteigen, die noch mit Sicherheitspatches versorgt wird!

macOS: auf ihrem Mac aktuell läuft, können sie mit einem Klick auf das Apfel-Icon oben links in der Menübar herausfinden. Nach dem Linksklick auf das Icon wählen sie einfach „Über diesen Mac“ im Menü aus.

Weiter zu Abschnitt 2: Sicherheit

macOS App: AUMount

UPDATE: Diese App wird nicht mehr aktiv weiterentwickelt.

macOS App AUMountAUMount ist eine App für macOS, die über einen Klick – oder automatisch vor dem Wechseln des Mac in den Ruhezustand – gleichzeitig mehrere Speichermedien wie externe Festplatten, SD Karten oder USB-Sticks auswirft (ähnlich wie Jettison oder Mountain). Die App wird über ein Menü gesteuert, das über das AUMount Icon in der  Menüleiste aufgerufen wird.

AUMount Menue / MenüUnter dem Menüpunkt „Optionen“ erscheint ein Fenster, in dem die Pfade zu den auszuwerfenden Speichermedien eingetragen werden. Dabei darf nur jeweils ein Pfad pro Zeile stehen, wie auf dem folgenden Bild beispielhaft zu sehen ist.

Über den Menüpunkt „Alles auswerfen“ lassen sich dann alle zuvor im Optionsfenster eingetragenen Speichermedien mit einem Klick auswerfen.

AUMount Optionen / OptionsÜber die Optionen lässt sich auch einstellen, ob Nachrichten über das erfolgreiche und/ oder fehlgeschlagene Auswerfen von Speichermedien angezeigt werden sollen.

Ebenso kann in den Optionen eingestellt werden, ob AUMount alle Speichermedien automatisch auswerfen soll, bevor der Mac in den Ruhezustand wechselt (bei Aktivierung dieser Option sollten die Nachrichten für erfolgreich ausgeworfene Speichermedien deaktiviert werden, da diese sonst den Eintritt in den Ruhezustand unterbrechen oder verzögern).

AUMount is an App for macOS which unmounts several disks like external hard drives, SD cards, or usb-sticks with just one click. The App is controlled by a menu which is accessed via the AUMount icon in the menubar.AUMount is an App for macOS which unmounts several d

Under the menu item „Options“ a window appears where the paths to the disks which should be unmounted are entered. Only one disk-path per line is allowed.

With the menu item „Unmount all“ all disks entered in the options-window will be unmounted.

In the option-dialog you can enable/ disable to get a notification for every disk successfully and/ or unsuccessfully unmounted. There is also an option to automatically unmount all disks before the Mac goes to sleep (if this option is enabled the notification for a successfully unmounted disk should be disabled, otherwise those notifications may interrupt the sleep-state).

Aktuelle Version: 0.7 / Current Version: 0.7

Diese App befindet sich noch im Alpha-Status. Benutzung auf eigene Gefahr!

This App is still in alpha state. Use at your own risk!

Changelog: Version 0.7

2016-08-15

  • app is now signed with my Apple ID

Features added:

  • option to automatically unmount all disks before sleep

Changes:

  • option added to enable/ disable notification for a successfully unmounted disk
  • option added to enable/ disable notification with sound for a failed attempt to unmount a disk

Changelog: Version 0.6 (Download old version)

2016-08-14

Features added:

  • notification for a successfully unmounted disk
  • notification with sound for a failed attempt to unmount a disk

Changelog: Version 0.5 (Download old version)

2016-08-13

Features added:

  • add/ edit disks to unmount via textfield in the options-window

re:oyd (17): Baikal 0.4.6@Raspberry Pi an Unitymedia Connect Box mit IPv6

matriochkaWarum sollte man alle seine Termine und die Adressen, Telefonnummern und Geburtstage seiner Bekannten irgendeinem Konzern frei Haus liefern? Das sollte man natürlich nicht. Besser sind solche Daten auf dem eigenen Server Zuhause aufgehoben. Und selbst wenn man die Daten mit Notebook und Smartphone abgleichen will, braucht es dafür keinen Hightech-Server – ein Raspberry Pi und der CardDAV / CalDAV Server Baikal machen es möglich.

Ich gehe im Folgenden einfach mal davon aus, dass der Raspberry Pi schon mit Raspbian läuft.

Große Einschränkung vorweg: Mit der folgenden Einrichtung ist der Raspberry Pi nur aus IPv6 Netzen heraus erreichbar (also nicht über noch auf IPv4 setzende Mobilfunknetze oder eduroam).

1. IPv6 Portweiterleitung an der Unitymedia Connect Box

Damit unser Server auch von außen erreichbar ist, muss bei der Connect Box das Port Forwarding auf die IPv6 Adresse des Raspberry Pi eingerichtet werden. Dafür muss das Administrationsmenü der Connect Box über den Browser aufgerufen werden (etwa durch http://192.168.0.1). Zunächst rufen wir in der  linken Seitenleiste unter „Erweiterte Einstellungen“ den Punkt „DHCP“ auf. Wenn man nach unten scrollt erscheint die Überschrift „Reservierte IP Adressen“. Hier setzen wir in der Tabellenzelle einen Haken/Punkt vor dem Raspberry Pi. Damit wird automatisch dessen MAC Adresse unter „Reservierte Regel hinzufügen“ eingesetzt. Jetzt noch die IP Adresse festlegen (etwa 192.168.0.10) und auf „Regel hinzufügen“ und dann „Änderungen übernehmen“ klicken.

Ebenfalls in der Tabelle unter „Reservierte IP Adressen“ finden wir in der Zeile des Raspberry Pi in der Spalte „IP Adresse“ dessen IPv6 Adresse in der Form 1111:111:1111:111:1111:1111:1111:1111. Diese kopieren wir uns. Jetzt rufen wir in der  linken Seitenleiste unter „Erweiterte Einstellungen“ den Punkt „Sicherheit“ und dort den Unterpunkt „IP und Port Filter“ auf. Unter dem Punkt „IPv6 Port Filter“ muss „Eingehend“ angehakt sein. Dann auf „Eine neue Regel erstellen“ klicken. Im folgenden Fenster muss „Aktiviert“ und Traffic policy „Ja“ angehakt sein. Als Protokoll wählen wir „TCP“ aus, als Quell IP-Adresse „Alle“ und als Ziel IP-Adresse „Single“. Im das aufgehenden Feld „IPv6 Adresse“ kopieren wir die IPv6 Adresse des Raspberry Pi. Die Quell Port Range stellen wir auf „Manuell“, Start auf „80“, Ende auf „80“ – das gleiche für die Ziel Port Range. Zum Abschluss auf „Regel hinzufügen“ klicken. Im Hauptfenster von IP und Port Filter dann noch auf „Änderungen übernehmen“ klicken. Jetzt wiederholen wir das ganz und fügen eine zweite Regel hinzu, nur das alle Port Wert statt 80 jetzt 433 lauten. Danach sollten alle HTTP und HTTPS Anfragen von Außen an den Raspberry Pi durchgereicht werden.

2. DNS – Domain für Weiterleitung auf IPv6 Adresse einrichten

Theoretisch ist der später auf dem Raspberry Pi laufende Webserver auch allein über die IPv6 Adresse von außen erreichbar (also bspw. mit „http://[1111:111:1111:111:1111:1111:1111:1111]/index.php“ im Browser aufrufbar). Aber kaum jemand möchte sich wohl die lange IPv6 Adresse merken. Außerdem funktioniert der Aufruf zwar im Browser, wenn man die Adresse für die Verbindung zum CalDav/CardDav etwa unter macOS für Kontakte und Kalender nutzen möchte, akzeptieren die Appel Programme eine solche Adresse nicht als Serveradresse. Daher brauchen wir noch eine Domain, die auf die IPv6 Adresse verweist. Kostenlos gibt es die etwa bei freedns.afraid.org. Einfach auf der Seite einen Account anlegen. Dann im linken Menü auf „Subdomains“ klicken und eine neue Subdomain anlegen und mit der kopierten IPv6 Adresse verknüpfen. Dafür muss im Formular der Type auf „AAAA“ geändert werden. Dann noch einen Namen für die Subdomain eintragen (im Folgenden „SUB“) und die Domain auswählen (im Folgenden „DOMAIN.XYZ“). Als Destination wird dann die IPv6 Adresse des Raspberry eingetragen, das Captcha gelöst und auf „Save!“ geklickt. ACHTUNG: Bis der Raspberry Pi tatsächlich über SUB.DOMAIN.XYZ erreichbar ist, kann es einige Zeit – bis zu mehreren Stunden – dauern.

3. Webserver installieren und SSL Verschlüsselung einrichten

Jetzt brauchen wir zur Vorbereitung nur den schnellen, kleinen Webserver nginx, die Scriptsprache php und sqlite als ressourcensparende Datenbank installiert. Dafür melden wir uns zunächst mittels ssh auf dem Raspberry Pi an (etwa mit „ssh pi@192.168.0.10“) und rufen dann folgenden Befehl auf:

sudo apt-get install nginx php5 php5-fpm php-pear php5-common php5-mcrypt php5-mysql php5-cli php5-gd sqlite php5-sqlite

Bevor wir den Webserver starten, sind noch zwei Einstellungen anzupassen, damit er auf dem nicht ganz so potenten Raspberry Pi anständiger läuft: in der Daten „/etc/nginx/nginx.conf“ reduzieren wir die Zahl der „worker_processes“ von 4 auf 1 und die der „worker_connections“ von 768 auf 128.
Damit wir später unsere wertvollen Daten nicht ungesichert durchs Netz schicken – sonst hätten wir nicht viel gewonnen – , muss die Datenübermittlung mittels SSL gesichert werden. Dafür erzeugen wir uns nun zunächst ein eigenes Zertifikat mit entsprechendem Schlüssel, indem wir folgende Befehle hintereinander ausführen:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl
sudo openssl genrsa -out baikal.key 4096
sudo openssl req -new -sha256 -key baikal.key -out baikal.csr

Jetzt signieren wir das Zertifikat noch selber (daher moniert der Browser später auch unser Zertifikat, weil es nicht von einer „vertrauenswürdigen“ Institution signiert wurde – wir können ihm aber trotzdem beibringen, das Zertifikat dauerhaft zu akzeptieren). Bei den Abfragen braucht nur bei „Country Name“ „DE“ für Deutschland und bei „Common Name“ einfach SUB.DOMAIN.XYZ eingeben (oder wenn man keine will die IPv6 Adresse des Raspberry Pi).

sudo openssl x509 -req -sha256 -days 3650 -in baikal.csr -signkey baikal.key -out baikal.crt

Jetzt geht es daran, nginx richtig einzustellen, damit der Webserver unser Zertifikat kennt, die Verbindung immer verschlüsselt hergestellt und php genutzt wird. Dazu passen wir die Datei „/etc/nginx/sites-available/default“ wie folgt an:

server { 
    listen 80; 
    listen [::]:80 ipv6only=on;
    server_name SUB.DOMAIN.XYZ; # die IPv6Adresse muss in eckigen Klammern stehen, wenn der Domainname verwendet wird, keine Klammern benutzen
    rewrite ^ https://$server_name$request_uri? permanent; # immer https verwenden 
}
 
server {
    listen 443 ssl; 
    listen [::]:443 ssl ipv6only=on; 
    server_name SUB.DOMAIN.XYZ; # die IPv6Adresse muss in eckigen Klammern stehen, wenn der Domainname verwendet wird, keine Klammern benutzen
    ssl_certificate /etc/nginx/ssl/baikal.crt;  # unsere Zertifikat benutzen
    ssl_certificate_key /etc/nginx/ssl/baikal.key; # unseren Schlüssel benutzen

        root /var/www;
        index index.html index.htm index.php;

        location / {
                # First attempt to serve request as file, then
                # as directory, then fall back to displaying a 404.
                try_files $uri $uri/ /index.html;
                # Uncomment to enable naxsi on this location
                # include /etc/nginx/naxsi.rules
        }

        location /doc/ {
                alias /usr/share/doc/;
                autoindex on;
                allow 127.0.0.1;
                allow ::1;
                deny all;
        }

    location ~ ^(.+.php)(.*)$ { # damit PHP richtig genutzt wird
        try_files $fastcgi_script_name =404;
        fastcgi_split_path_info  ^(.+.php)(.*)$;
        fastcgi_pass   unix:/var/run/php5-fpm.sock;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        fastcgi_param  PATH_INFO        $fastcgi_path_info;
        include        /etc/nginx/fastcgi_params;
    }

    rewrite ^/.well-known/caldav /baikal/html/dav.php redirect;
    rewrite ^/.well-known/carddav /baikal/html/dav.php redirect;

    charset utf-8;

    location ~ /(.ht|Core|Specific) {
        deny all;
        return 404;
    }
}

Damit unsere Änderungen auch angenommen werden, starten wir alles neu:

sudo /etc/init.d/nginx restart
sudo /etc/init.d/php5-fpm restart

4. Baikal installieren

Als nächstes bereiten wir die Installation von Baikal vor (die aktuellste Fassung findet ihr unter https://github.com/fruux/Baikal/releases):

cd /var/www
sudo wget https://github.com/fruux/Baikal/releases/download/0.4.6/baikal-0.4.6.zip
sudo unzip baikal-*.zip
sudo rm baikal-*.zip
sudo chown -R www-data:www-data baikal/
cd baikal
sudo touch Specific/ENABLE_INSTALL
sudo chmod 755 Specific/
sudo chmod 755 Specific/db/

Um Baikal nutzen zu können, braucht der CalDAV / CardDAV Server jetzt nur noch unter „https://[IPv6Adresse]/baikal/html/admin/install/“ bzw. „https://SUB.DOMAIN.XYZ/baikal/html/admin/install/“ installiert werden. Damit unter Windows 10 die Anmeldung funktioniert, muss bei den Einstellung „WebDAV authentification type“ auf „Basic“ gestellt werden (außerdem muss beim Anlegen des Benutzers eine Mail-Adresse als Benutzername verwendet werden).

Nach Installation und der Einrichtung der Benutzer, Kalender und Telefonbücher können diese in den entsprechenden Programmen genutzt werden:
CalDav/CardDav (allgemein):

https://SUB.DOMAIN.XYZ/baikal/html/dav.php/calendars/BENUTZER/KALENDER/
https://SUB.DOMAIN.XYZ/baikal/html/dav.php/addressbooks/BENUTZER/TELEFONBUCH/

CalDav/CardDav (für iOS/macOS):

https://SUB.DOMAIN.XYZ/baikal/html/dav.php/principals/BENUTZER/

Weiterführende Links und Dank an:
Jan Karres
Andrew Oberstar
ruhezustand.net