Mozilla SSL Configuration Generator - Neue Version unterstützt Postfix, PostgreSQL, MySQL, Oracle und Caddy

Es ist lange her, als ich das erste Mal über den Mozilla SSL Configuration Generator geschrieben hatte (ganze 4 Jahre um genau zu sein).

Bereits damals hatte ich mir gewünscht, dass auch Server wie Postfix unterstützt werden. Dieser Wunsch wurde nun erfüllt, denn es gab ein umfangreiches Update  ( thx @ aprilmpls )

mozilla-logo

Mozilla SSL Configuration Generator

Wie der Überschrift bereits entnommen werden konnte, sind neben den üblichen Verdächtigen nun auch weitere Systeme dabei. Folgende SSL/TLS Sicherheitseinstellungen können nun via Generator erstellt werden:

  • Apache
  • Nginx
  • Lighthttpd
  • HAProxy
  • AWS Elastic Load Balancer
  • Caddy
  • MySQL
  • Oracle HTTP Server
  • Postfix
  • PostgreSQL 

Die einzelnen Kategorien modern, intermediate und old haben Beschreibungen erhalten und erschließen sich dem Laien somit etwas besser. So wird bei der modernen Variante explizit TLS 1.3 erwähnt und die nicht vorhandene Abwärtskompatibilität beschrieben.

Die Versionsauswahl bei Server oder SSL kann weiterhin händisch eingegeben werden. 

Mozilla_SSL_Configuration_Generator

Zusätzliche Optionen wie HSTS oder OCSP Stapling sind in den Standardeinstellungen aktiv. Hier muss nichts angepasst werden, da der Generator alte Server Versionen erkennt und die Optionen automatisch nicht in der generierten Datei auflistet (SSLUseStapling On).

Bei Konfigurationen für Mail- oder Datenbankserver sind diese Auswahlmöglichkeiten ohnehin ausgegraut.

Generator generiert

Die neu generierten Konfigurationen haben dazugelernt. So wird bei der Apache oder Nginx Konfiguration automatisch der HTTP zu HTTPS Rewrite mit aufgeführt. Auch werden das Erstelldatum, so wie die benötigten Module als Kommentar aufgeführt, was für viele sicherlich eine zusätzliche Hilfe darstellt.

Bei der Postfix wird keine TLS Verschlüsselung erzwungen, hier wird immer ein "Verschlüsselung wenn möglich" vorgeschlagen.

Unterstützung

Bereits beim älteren Generator wurden die unterstützten Browser aufgelistet. Diese wurden um Android und Edge ergänzt.

Fazit

Die neue Version des Mozilla SSL Configuration Generator hat im Vergleich zum Vorgänger viele kleine Verbesserungen erhalten, siehe der Kopierbutton am Ende der Konfigurationsdateien. Die Unterstützung für Postfix, PostgreSQL und Co erweitert die Breite ungemein. Mit der Unterstützung für TLS 1.3 wird das Tool auch in Zukunft praktisch sein. Sei es als Orientierung oder Beispiel für eigene Serverkonfigurationen.

https://ssl-config.mozilla.org

Distribution Release - Parrot 4.6, BlackArch Linux 2019.06.01 und Kali Linux 2019.2

In der Welt der Penetrationstest Distributionen hat sich in den letzten Wochen wieder etwas getan. Zeit einen kurzen Blick darauf zu werfen.

 

Parrot

Parrot 4.6 goes KDE

Bereits Ende April wurde Parrot 4.6 veröffentlicht. Die Distributionen ist nun als KDE Edition verfügbar (Mate wird ebenfalls weiter unterstützt).
Die Home und die Security Edition unterstützen beide Oberflächen.

Neben KDE hat sich das Design Team daran gemacht den Desktop und die Animationen frischer zu gestalten.

Technisch wurde HTTPS für den Paketmanager APT integriert. Ein Fallback auf HTTP ist den Mirror Servern vorbehalten.
Ein neuer Kernel darf ebenfalls nicht fehlen, dieser wurde auf Version 4.19 angehoben.

Viele Freunde hat das Paketformat Snap bisher noch nicht gefunden, dennoch wird es in Parrot nun im Anwendungsmenü angezeigt.

Auf der Softwareseite wurde mit Revolt ein Riot.IM Wrapper aufgenommen, dabei handelt es sich um einen Matrix Chatclient.

Reverse Engineering war die letzten Wochen durch das Release von Ghidra in aller Munde, das Parrot Team hat sich zunächst dagegen entschieden und Cutter, eine GUI für das radare2 Reverse Engineering Framework integriert.


Dazu kamen die üblichen Updates der vorhandenen Tools, auf die ich hier nicht weiter eingehen möchte

Download

Kali 2019.2 goes Android

Kali_Linux

Kali NetHunter, die Android Variante der Sicherheitsdistributionen hat einen großen Schritt nach vorne gemacht. Hier werden nun bis zu 50 Android Varianten unterstützt.

  •     Nexus 6 running Pie
  •     Nexus 6P, Oreo
  •     OnePlus2, Pie
  •     Galaxy Tab S4 LTE & WiFi, Oreo

 
Die Desktop Version hat einen neuen Kernel 4.19.28 erhalten, dazu wurden einige Bugs gefixt und Tools wie seclists, msfpc, und exe2hex aktualisiert.

Download

BlackArch 2019.06.01 goes new ISO

blackarch

BlackArch Linux hat mit dem neuen Release nicht nur ein neues Installationsmedium erhalten, sondern wurde auch um 150 neue Tools erweitert. Eine Übersicht ist hier zu finden.

Der Kernel wurde auf 5.1.4 angehoben, sowie der Installer.

Download

Übersicht 05/2019

 

Name Version Tools Besonderes Basis GUI
Autopsy 4.11.0 ??? The Sleuth Kit Windows  
BackBox 5.2 70+ AWS Ubuntu Xfce
BlackArch 2019.06.01 1750+ ArchLinux ArchLinux Gnome
CAINE 10 100+ WinUFO Ubuntu Mate
DracOS 3.0 100+ CLI LFS DWM
DEFT Zero 2018.2 250+ Mac Support Lubuntu 14.04 Lxde
Kali Linux 2019.2 300+ ARM fähig Debian Testing Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 28 ??? Server integriert Fedora  
NetSecL OS 6.0 50+   OpenSuse Lxde
Paladin 7.0 30+   Ubuntu  
Parrot Sec 4.6 700+ Cloud fähig Debian Buster MATE/KDE
Pentoo 2018.0 RC7.1 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

HowTo - Einen eigenen SuperTuxKart Server im LAN aufsetzen und gegen Freunde zocken

Vor kurzem wurde eine neue SuperTuxKart Version veröffentlicht.

Wie schon aus der Beta bekannt war, bringt diese neue Version neben diversen Verbesserungen eine Netzwerkunterstützung mit.

Daneben sorgen ca. 20 Rennstrecken und verschiedene Spielmodi für Abwechslung. Der Funracer ist natürlich OpenSource und so hat jeder die Möglichkeit seinen eigenen Server zu betreiben.

Alle Infos findet ihr in den Release Notes.

SuperTuxKart1
Genau diese Netzwerkunterstützung will ich im Folgenden näher anschauen, denn für einen eigenen Server reicht bereits ein RaspberryPi aus.


Eigenen SuperTuxKart Server fürs LAN bauen

Als Basis dient ein Ubuntu 16.04 LTS oder ein Raspbian System, der Vorgang ist jeweils gleich.

Zunächst müssen ein paar Pakete installiert werden, damit der Build auch gelingt.

sudo apt-get install build-essential cmake libbluetooth-dev \
libcurl4-openssl-dev libenet-dev libfreetype6-dev libfribidi-dev \
libgl1-mesa-dev libglew-dev libjpeg-dev libogg-dev libopenal-dev libpng-dev \
libssl-dev libvorbis-dev libxrandr-dev libx11-dev nettle-dev pkg-config zlib1g-dev git subversion

Als nächstes werden die Installationsdateien auf das lokale System geladen.

cd /opt
sudo mkdir stk-code
sudo mkdir stk-asset
git clone https://github.com/supertuxkart/stk-code stk-code
svn co https://svn.code.sf.net/p/supertuxkart/code/stk-assets stk-assets

Der letzte Schritt kann etwas Zeit benötigen, da mehrere 100MB geladen werden müssen.

cd stk-code
sudo mkdir cmake_build
cd cmake_build/
sudo cmake .. -DSERVER_ONLY=ON
sudo make -j$(nproc)

Nun heißt es etwas warten, denn je nach CPU Leistung, kann dies etwas dauern...

stk-server

Schwups ist der fertige Server erstellt, ihr könnt ihn nun bereits ausprobieren oder systemweit mit sudo make install installieren.

Danach findet ihr den installierten Server unter /usr/local/bin/supertuxkart.


In unserem Fall starten wir den Server testweise direkt.

cd bin/

./supertuxkart --lan-server=test --network-console

stk-server-start

[info   ] GrandPrixManager: Loading Grand Prix files from ../../data/grandprix/
[info   ] GrandPrixManager: Loading Grand Prix files from /home/xyz/.local/share/supertuxkart/grandprix/
Fri Apr 26 20:25:41 2019 [info   ] STKHost: Host initialized.
Fri Apr 26 20:25:41 2019 [info   ] STKHost: Server port is 2759
Fri Apr 26 20:25:41 2019 [info   ] main: Creating a LAN server 'test'.
Fri Apr 26 20:25:41 2019 [info   ] ServerLobby: Reset server to initial state.
Fri Apr 26 20:25:41 2019 [info   ] ProtocolManager: A 11ServerLobby protocol has been started.
Fri Apr 26 20:25:41 2019 [info   ] STKHost: Listening has been started.

Nun solltet ihr darauf achten, dass der Port 2759 im lokalen Netz erreichbar ist und Firewalls diesen nicht blockieren.

Ebenfalls ist es wichtig lokal einen Servernamen beim Start anzugeben, da der Server sonst nicht startet.

Zusätzlich wird unter /opt/stk-code/.config/supertuxkart/config-0.10/server_config.xml beim ersten Start eine Konfigurationsdatei angelegt, dort können weitere Einstellungen gesetzt werden.

Für unseren Server muss hier Nichts weiter angepasst werden.

Alternativ könnt ihr eure eigene Konfigurationsdatei beim Start auch gleich mitgeben

supertuxkart --server-config=your_config.xml --network-console

Ob der Server läuft lässt sich mit einem einfachen netstat -lnp oder via ss -ln herausfinden (Artikel).

SuperTuxKart auf eigenen Server spielen

Um auf dem eigenen Server gegeneinander zu spielen, müsst ihr euch zunächst das Spiel installieren, dieses findet ihr hier.


Nach dem Start müssen folgende Schritte durchgeführt werden, um auf den eigenen Server zu gelangen,

stk-server-gui

stk-server-lan

stk-server-findstk-server-test-srv

Alternativ kann auch ein Server direkt aus dem Programm heraus erstellt werden und somit quasi mit jedem PC. Ein kleiner RapsberryPi ist allerdings um einiges praktischer.

Sollte ein STK Server übers Internet erreichbar sein, muss zusätzlich ein STK Account angelegt werden. Dieser Account muss beim Serverstart angegeben werden. Weitere Tipps finden sich hier.

supertuxkart --init-user --login=your_registered_name --password=your_password

Viel Spaß

 

LibreELEC Kodi - Screenshot via SSH erstellen und System steuern

LibreELEC oder auch OpenELEC dürfte Fans von freien Medienplayern ein Begriff sein. Ich selbst habe LibreELEC im Einsatz und bin recht zufrieden damit.

Da ich LibreELEC direkt am Fernseher betreibe und lediglich über die Fernbedienung steuere, vermisse ich manchmal Funktionen die über die Tastatur kein Problem darstellen. Allerdings führen viele Wege nach Rom. Dieses gilt zum Beispiel für das Erstellen eines Bildschirm Fotos.

Screenshot via SSH erstellen

Normalerweise kann ein Screenshot mit Strg+s über die Tastatur erstellt werden. Ist allerdings keine vorhanden, geht dies auch fix via SSH.

Dazu muss der Dienst natürlich aktiv sein.

kodi-sshSobald SSH aktiv ist, kann auf der Konsole gearbeitet werden. Kodi bringt dazu den Befehl kodi-send mit. Dieser erlaubt es verschiedene Befehle an das System zu senden unter anderem auch den Bildschirm abzufotografieren:

kodi-send --host=127.0.0.1 -a "TakeScreenshot"

Der Host muss auf dem lokalen Prompt nicht zwingend angegeben werden. Ich habe es der Vollständigkeit mit angegeben.

Kodi via SSH steuern

Dieser wird erst relevant, wenn der Befehl über Netzwerk versendet wird, Beispiel:

ssh root@192.168.10.19 'kodi-send --action="PlayerControl(Stop)"'

SSH sollte somit zwingend mit einem neuen Passwort versehen werden, wenn es aktiv ist. Das Default Passwort wäre übrigens "libreelec"

Das Kommando erlaubt weitere Funktionen. Die Hilfe kann mit --help aufgerufen werden.

kodi-send

Weitere Kommandos wären beispielsweise:

Laufende Wiedergabe anhalten

kodi-send --action="PlayerControl(Start)"

System ausschalten

kodi-send --action="Quit"

Plugin installieren (Zuständiges Repository sollte aktiv sein)

kodi-send --action="InstallAddon(plugin.video.kikamediathek)"

Eine Liste aller möglichen Befehle findet ihr hier.

 

Viel Spaß beim Probieren

Sailfish 3.0 - neue Version der Android Alternative aus Finnland

Nachdem ich nun seit ca. einer Woche das neue Sailfish 3.0 auf einem Sony Xperia X betreibe, möchte ich ein paar Worte zum neuen Major Release der Finnen verlieren, denn seit kurzem ist das neue System 3.0.0.8 für alle unterstützen Geräte verfügbar.

Sailfish 3.0

Zunächst kann ich die angekündigte bessere Performance bestätigen, es macht richtig Spaß.

Es bedient sich deutlich flüssiger als die Vorgängerversion 2.2.1.18 (Nurmonjoki) und fühlt sich um einiges flotter an.

Das neugestaltete Top-Menü macht einen modernen Eindruck. Die Farben wirken insgesamt sehr frisch, was sicher auch den neuen Themes zu verdanken ist.
 
Lemmenjoki setzt noch mehr auf Wischgesten. So lassen sich offene Anwendungen durch eine Geste aus der oberen Ecke schließen. Die Tastatur kann via Geste gewechselt werden und bietet nun einen schnellen Zugang zu anderen Sprachen oder Emojis.

Die Kamera zeigt nun die letzten Bilder auf dem Sperrbildschirm direkt an.

Für Firmen wurde ein MDM Feature integriert, dieses habe ich mir allerdings nicht näher angeschaut. Auch USB On-The-Go wurde implementiert.

sailfish-3 sailfish-3-menu

Nicht so toll

Doch wo viel Licht ist, da ist auch Schatten. Beispielsweise der Browser, dieser wurde seit einer gefühlten Ewigkeit nicht aktualisiert. Glücklicherweise ist mit Fennec via F-Droid ausreichend Ersatz vorhanden.

Auch mit Bluetooth gab es so manche Probleme, so ließen sich manche Geräte einfach nicht verbinden. Hier wurde bereits in Version 2 viel nachgebessert, was in Zeiten von Deezer und Spotify essentiell ist.

Auch die NFC Unterstützung wurde bis heute noch nicht implementiert, welche allerdings eher zu verkraften sein sollte.

Unterstütze Geräte

Nachdem der Verkauf von eigenen Geräten aufgegeben werden musste, werden nun Sony Geräte unterstützt. Bisher wurde nur das Sony Xperia X supported, mit dem Sony XA2 und dem Sony XA2 Ultra sind zwei weitere Modelle hinzugekommen.

  •     XA2 single SIM H3113 (also H3123, H3133)
  •     XA2 dual SIM H4113 (also H4133)
  •     XA2 Ultra single SIM H3213 (also H3223)
  •     XA2 Ultra dual SIM H4213 (also H4233)
  •     XA2 Plus single SIM H3413
  •     XA2 Plus dual SIM H4413 (also H4493)
  •     X single SIM F5121
  •     X dual SIM F5122

sailfish-3-modelle

Schade ist, dass zum jetzigen Zeitpunkt Alien Dalvik noch nicht von den neuen XA2 Geräten unterstützt wird. Hier ist noch etwas Geduld gefragt.
    

Sailfish for free

Mit der neuen Version bietet Jolla das Betriebssystem umsonst an. Das heißt es werden nicht sofort 50 Euro fällig, sondern erst wenn Android und Update Support benötigt wird.

sailfish-preis

Fazit

Nach FirefoxOS und Jolla Phone J1, ist mit den Sony Modellen und SailfishOS 2 bzw. 3 endlich eine funktionale Alternative zu Google oder Apple Systemen vorhanden.

Das System lässt sich sehr gut bedienen, es ist performant und bietet Unterstützung für "wichtige" Apps wie Whatsapp, Facebook oder Instagram.

Doch auch wer diese nicht benötigt erhält ein ehrliches und schickes System, welches mit den großen sicher gut mithalten kann, bzw. auf einem sehr guten Weg dahin ist (und das mit einem Bruchteil an Entwicklern).


SailfishOS sei daher jedem ans Herz gelegt, dem der Begriff Datensparsamkeit geläufig ist, der ein funktionales Telefon ohne viel Schnickschnack benötigt und dessen Bedienkonzept besser ist als bei der Konkurrenz.

shop.jolla.com