ITrig

Auch 2016 gibt es eine neue SuperGrub Disk. Sie hört auf die Version 2.02s4.

Zu den Neuerungen der "Erste Hilfe Boot CD" zählt eine Verbesserung der Windows Erkennung.

Systeme wie Windows 7 oder XP werden nun ohne installiertes GNU/Linux erkannt und lassen sich booten.

Das Team, welche auch das Rescatux Live System entwickelt, bittet um Rückmeldung falls sich Systeme nicht booten lassen oder es zu anderen Problemen kommt.

Super Grub2 Disk hat wohl auch in diesem Jahr seine Daseinsberechtigung auf Rettungsdatenträgern und Co verdient.

Das Auditing Tool Lynis hat ein Major Update erhalten und ist bei Version 2.2.0 angelangt.

Ich hatte diesen Sicherheitscheck für Linux Systeme bereits im Blog vorgestellt.

Lynis prüft auf unsichere Einstellungen, Konfigurationsfehler und gibt Tipps zur Absicherung des Systems.

Alle Schritte können im Prinzip auch händisch vorgenommen werden. Für einen schnellen und automatisierten Audit, bietet sich das Tool aber durchaus an.

Die Version 2.2.0 unterstützt nun Debian 8 Installationen und erkennt VMware Umgebungen. Die Überprüfung von FreeBSD wurde verbessert, sowie weitere Prüfbereiche (z.B. NTP oder USB) ergänzt. Hier geht es zum Changelog.

Lynis - Installation und Anwendung

Die Installation ist wie so oft recht einfach.

wget https://cisofy.com/files/lynis-2.2.0.tar.gz

sha256sum lynis-2.0.0.tar.gz

Hash Summe auf der Homepage gegenprüfen und dann entpacken

tar -xvf lynis-2.2.0.tar.gz

cd lynis

./lynis

Beim Ausführen ohne Parameter werden alle Zusatz- Kommandos angezeigt über die das Programm verfügt. Die üblichen zur Überprüfung des Systems wären beispielsweise:

./lynis --check-all

./lynis --check-all --quick (kein Enter notwendig)

./lynis audit dockerfile datei (Docker Container prüfen)

./lynis update release      (Update Lynis Version)

./lynis --cronjob

 

Fazit

Die Alternativen im Bereich des automatisierten Sicherheitsaudit auf Linux Systemen stellen meines Wissen Bastille oder Tiger dar. Beide sind leider etwas veraltetet und stellen somit wenig Konkurrenz dar. Vergleichbares ist eventuell noch beim Linux Security Auditing Tool (LSAT) zu finden. Dieses Tool habe ich allerdings noch nicht getestet. Schlußendlich bleibt, neben der Handarbeit, für einen freien Systemschnellcheck wenig anderes außer Lynis übrig.

XMPP Client-Server Strukturen sind immer noch häufig zu finden. Dies gilt nicht nur für den privaten Bereich , auch im Firmenumfeld wird XMPP, früher bekannt als Jabber, zur Kommunikation eingesetzt.

Bekannte Clients in diesem Bereich sind sicherlich Pidgin, Jitsi oder Gaim. Da der Trend in den letzten Jahren jedoch in Richtung Webclients geht, wirkt XMPP im Vergleich zu Slack, Hipchat, Mattermost wie aus den 90ern.

Ein XMMP Server lässt sich mit relativ einfachen Mitteln um ein schickes Web Frontend erweitern.

Viele setzten bisher wahrscheinlich auf jappix.org. Dieses XMPP Web Frontend funktionierte mit Hilfe von Plug-Ins auf gängigen Servern wie Prosody, Ejabbered oder Openfire. Auch Candy ist in diesem Zusammenhang vielen sicherlich ein Begriff. Doch solle es heute nicht um diese Varianten gehen.

Kaiwa - XMPP im Browser Tab

Eine weitere Möglichkeit ein Web Frontend für XMPP umzusetzen bietet Kaiwa. Das Frontend ist ein Fork von OTalk.

Es hat einen modernen Look und bietet mit Funktionen wie Gruppenchats, privaten Unterhaltungen, Desktop Notifikationen, LDAP oder Multimedia Einbettung, alles was ein grundsolider Webclient benötigt.

Zusätzlich zum Web Frontend, lässt sich Kaiwa auch als normaler Desktop Client installieren.

Doch vor der Anwendung muss zunächst das System an sich installiert werden.

Installation Kaiwa Frontend bei vorhandenem XMPP Server

Voraussetzung für einen funktionalen Chat ist NodeJS. Der Installationsvorgang sollte aus vergangenen Artikeln bekannt sein.

curl --silent --location https://deb.nodesource.com/setup_4.x | sudo bash -

apt-get install nodejs

Darauf folgenden die nötigen Pakete, so wie der Git Download.

sudo apt-get install uuid-dev

git clone https://github.com/digicoop/kaiwa.git

cd kaiwa/

cp dev_config.example.json dev_config.json

npm install

Als nächstes erfolgt der Start des Servers. Dieser kann mit einfachen Mitteln auch als Dienst im Hintergrund laufen (z.B. Script unter /etc/init), dies wäre aber Thema für einen eigenen Artikel, darum hier nur der Server Start.

node server

Startet der Server ohne Probleme kann unter http://xmppserver:8000/login die Weboberfläche aufgerufen werden.

Da bie dieser Konfiguration noch auf der laufende bzw. vorhandene Server eingetragen werden muss, sollte zunächst ein Blick in die Konfig geworfen werden.

Installation mit Openfire XMPP Server

Bei einem Betrieb mit Openfire müssen folgende Schritte unternommen werden.

Zum einen die Aktivierung des Websocket Plugins über die Oberfläche (Port 7443)

Zum anderen, sollten selbstsignierte Zertifikate im Einsatz sein, muss der Websocket Adresse noch vertraut werden.

Dazu einfach im Browser aufrufen und das Zertifikat als vertrauenswürdig einstufen (https://xmppserver:7443/ws/)

Die Kaiwa Konfiguration unter dev_config.json sollte je nach XMPP Server wie folgt gestaltet werden.

Openfire

{
    "isDev": true,
    "http": {
        "host": "localhost",
        "port": 8000
    },
    "session": {
        "secret": "geheimgeheim"
    },
    "server": {
        "name": "Kaiwa",
        "domain": "xmppserver",
        "wss": "wss://xmppserver:7443/ws/",
        "muc": "",
        "startup": "",
        "admin": ""
}

Installation mit ejabberd XMPP Server

Ist ein ejabberd Server im Einsatz werden folgende Konfigurations Zeilen benötigt.

ejabberd

{
   "isDev": true,
   "http": {
       "host": "localhost",
       "port": 8000
   },
   "server": {
       "domain": " xmppserver.de",
       "wss": "wss:// xmppserver :5280/websocket/"
   }
}

Fazit

Durch eine moderne Oberfläche wirkt manch altbackener Client gleich viel frischer.  Die hier gezeigte Methode mit Kaiwa in Verbindung mit NodeJS bietet eine schnelle Möglichkeit vorhandene Strukturen zu modernisieren.

Auch neue Strukturen lassen sich schnell Aufbauen. Kaiwa steht als fertiges Docker Image mit Prosody und NodeJS zur Verfügung und bietet somit einen leichten Einstieg.

Ich bin die Tage zufällig auf deutsche Sprachansagen für asteriskbasierte Telefonanlagen gestoßen. Diese möchte ich euch nicht vorenthalten.

Über Google werden seit Langem viele Quellen für deutsche Sprachdateien gelistet (Stadt Pforzheim, usw.), diese sind aber leider veraltet, bzw. nicht mehr verfügbar.

Asterisk Sound ist dagegen online, aktuell und lässt sich einfach via wget installieren.
Unter www.asterisksounds.org/de lassen sich deutsche Ansagen für die TK Anlage umsonst herunterladen.

Die Installation geht, wie bereits erwähnt recht einfach von der Hand

mkdir -p /var/lib/asterisk/sounds/de

cd /var/lib/asterisk/sounds/de

wget -O core.zip http://www.asterisksounds.org/de/download/asterisk-sounds-core-de-sln16.zip

wget -O extra.zip http://www.asterisksounds.org/de/download/asterisk-sounds-extra-de-sln16.zip

unzip *.zip

chown -R asterisk: /var/lib/asterisk/sounds/de

find /var/lib/asterisk/sounds/de -type d -exec chmod 0775 {} \

Danach muss die neue Sprache in der Konfiguration hinterlegt werden, dazu genügt es eine Zeile in der sip Config Datei einzufügen.

nano /etc/asterisk/sip.conf

language=de

Damit die Einstellungen greifen muss die Anlage neu gestartet werden.

amportal restart 

Danach sollten alle Ansagen der Telefonanlage auf Deutsch sein.

HTTPS

Wie angekündigt ist ITrig nun auch via HTTPS erreichbar. Das Zertifikat stammt von Lets Encrypt und sollte somit von jedem Browser erkannt werden.
Diese Zertifikate sind momentan nur 90 Tage gültig und müssen danach erneuert werden.

Mit Hilfe eines Script lässt sich die Aktualisierung leicht automatisieren. Es gibt von offizieller Seite eine Hilfestellung für Nginx Server, siehe Nginx Blog.

#!/bin/sh

cd /opt/letsencrypt/
./letsencrypt-auto --config /etc/letsencrypt/configs/my-domain.conf certonly

if [ $? -ne 0 ]
 then
        ERRORLOG=`tail /var/log/letsencrypt/letsencrypt.log`
        echo -e "The Let's Encrypt cert has not been renewed! \n \n" \
                 $ERRORLOG
 else
        nginx -s reload

fi

exit 0

Weitere Varianten für Apache und Co sind bei letsencrypt im Forum zu finden (Link).

PHP 7 und Serendipity

Seit Ende letzten Jahres steht PHP7 zur Verfügung. Aus diesem Grund habe ich vor einigen Tagen testweise auf die neuen PHP Version umgestellt. Nach der Umstellung gab es Probleme mit dem Cache_Lite Plugin. Die letzte stabile Version (1.7.16) stammt aus dem Jahr 2014 und hat mit PHP7 so seine Probleme.

Durch das Anpassen der Datei lite.php zu finden unter "/serendpity/bundled-libs/" konnte ich die entstehenden Fehler mit der s9y JavaScript Library beheben.

Fehlermeldung s9y PHP7

<script>
if(typeof errorHandlerCreateDOM == "function") {
var fragment = window.top.errorHandlerCreateDOM("Error redirect: == SERENDIPITY ERROR == <p>Methods with the same name as their class will not be constructors in a future version of PHP; Cache_Lite has a deprecated constructor in /home/www/blog/bundled-libs/Cache/Lite.php on line 29</p>");
document.body.insertBefore(fragment, document.body.childNodes[0]);
}
</script>
<noscript> == SERENDIPITY ERROR == <p>Methods with the same name as their class will not be constructors in a future version of PHP; Cache_Lite has a deprecated constructor in /home/www/blog/bundled-libs/Cache/Lite.php on line 29</p></noscript>
/ Dynamically fetched templates/2k11/admin/serendipity_editor.js.tpl on , called from: include/plugin_api.inc.php:external_plugin /

Lösung

Anpassen der Funktion in der lite.php

function Cache_Lite($options = array(NULL))

zu

function __construct($options = array(NULL))

Danach konnte das s9y Backend mit PHP 7.0.3 ohne Probleme geladen werden. Details sind im s9y Forum zu finden.