Skip to content

Mozilla SSL Configuration Generator - Neue Version unterstützt Postfix, PostgreSQL, MySQL, Oracle und Caddy

Es ist lange her, als ich das erste Mal über den Mozilla SSL Configuration Generator geschrieben hatte (ganze 4 Jahre um genau zu sein).

Bereits damals hatte ich mir gewünscht, dass auch Server wie Postfix unterstützt werden. Dieser Wunsch wurde nun erfüllt, denn es gab ein umfangreiches Update  ( thx @ aprilmpls )

mozilla-logo

Mozilla SSL Configuration Generator

Wie der Überschrift bereits entnommen werden konnte, sind neben den üblichen Verdächtigen nun auch weitere Systeme dabei. Folgende SSL/TLS Sicherheitseinstellungen können nun via Generator erstellt werden:

  • Apache
  • Nginx
  • Lighthttpd
  • HAProxy
  • AWS Elastic Load Balancer
  • Caddy
  • MySQL
  • Oracle HTTP Server
  • Postfix
  • PostgreSQL 

Die einzelnen Kategorien modern, intermediate und old haben Beschreibungen erhalten und erschließen sich dem Laien somit etwas besser. So wird bei der modernen Variante explizit TLS 1.3 erwähnt und die nicht vorhandene Abwärtskompatibilität beschrieben.

Die Versionsauswahl bei Server oder SSL kann weiterhin händisch eingegeben werden. 

Mozilla_SSL_Configuration_Generator

Zusätzliche Optionen wie HSTS oder OCSP Stapling sind in den Standardeinstellungen aktiv. Hier muss nichts angepasst werden, da der Generator alte Server Versionen erkennt und die Optionen automatisch nicht in der generierten Datei auflistet (SSLUseStapling On).

Bei Konfigurationen für Mail- oder Datenbankserver sind diese Auswahlmöglichkeiten ohnehin ausgegraut.

Generator generiert

Die neu generierten Konfigurationen haben dazugelernt. So wird bei der Apache oder Nginx Konfiguration automatisch der HTTP zu HTTPS Rewrite mit aufgeführt. Auch werden das Erstelldatum, so wie die benötigten Module als Kommentar aufgeführt, was für viele sicherlich eine zusätzliche Hilfe darstellt.

Bei der Postfix wird keine TLS Verschlüsselung erzwungen, hier wird immer ein "Verschlüsselung wenn möglich" vorgeschlagen.

Unterstützung

Bereits beim älteren Generator wurden die unterstützten Browser aufgelistet. Diese wurden um Android und Edge ergänzt.

Fazit

Die neue Version des Mozilla SSL Configuration Generator hat im Vergleich zum Vorgänger viele kleine Verbesserungen erhalten, siehe der Kopierbutton am Ende der Konfigurationsdateien. Die Unterstützung für Postfix, PostgreSQL und Co erweitert die Breite ungemein. Mit der Unterstützung für TLS 1.3 wird das Tool auch in Zukunft praktisch sein. Sei es als Orientierung oder Beispiel für eigene Serverkonfigurationen.

https://ssl-config.mozilla.org

Raspberry Pi - Raspbian Update auf Buster und Kioskmodus mit Chrome anpassen

Nicht nur ein neuer Raspberry Pi 4 hat vor kurzem das Licht der Welt erblickt, auch die bekannte Distribution Raspbian, welche auf den Minirechnern gerne läuft, wurde auf Debian Buster umgestellt.

Das neue Betriebssystem hat ein neues Theme erhalten und die üblichen Softwareaktualisierungen.
Nicht mehr dabei ist der Legacy Grafiktreiber Stack, dafür wurde auf Mesa V3 Treiber umgeschwenkt.
Ein Update auf die neue Version ist schnell gemacht, aber auch mir Vorsicht zu genießen, es wird eine Neuinstallation empfohlen.

raspberrypi


Update auf Raspbian (Buster)

sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade
sudo sed -i 's/stretch/buster/g' /etc/apt/sources.list
sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade

Ich empfehle dringend ein Backup der wichtigen Daten zu ziehen.
Nach einem Testupdate konnte ich das System zwar noch booten, hatte außer einem Mauszeiger kein Bild. SSH funktionierte. Ich habe es allerdings nicht weiterverfolgt, da ich die Anzeigeneinstellungen händisch gesetzt hatte.

Da Debian Buster Tools mitbringt, welche nicht unterstützt werden, könnt ihr diese wieder deinstallieren.

sudo apt purge timidity lxmusic gnome-disk-utility deluge-gtk evince wicd wicd-gtk clipit usermode gucharmap gnome-system-tools pavucontrol


Kioskmodus unter Raspbian 

Was nach dem Update schnell klar war. Der Kiosk Modus mit Chromium ist defekt und muss repariert werden. Das geht allerdings schnell, denn es haben sich nur Pfade geändert.

Anders als noch bei den alten Raspbian Systemen ist das Verzeichnis /home/pi/.config/lxsession/LXDE-pi/autostart des Pi Nutzers nicht mehr vorhanden.
Alternativ kann einfach die globale Konfiguration unter /etc/xdg/lxsession/LXDE-pi/autostart angepasst werden, um den Vollbildmodus von Chromium 74 automatisch zu starten.

sudo nano /etc/xdg/lxsession/LXDE-pi/autostart

@lxpanel --profile LXDE-pi
@pcmanfm --desktop --profile LXDE-pi
# Bildschirmschoner deaktivieren
#@xscreensaver -no-splash
@point-rpi

@xset s off
@xset -dpms
@xset s noblank
#Autostart Chromium Vollbild-Kiosk
@chromium-browser --noerrordialogs --incognito --kiosk https://kiosk.itrig.de


 

Raccoon - APK aus dem Google Play Store herunterladen

Szenarien in denen Apps nicht via Playstore heruntergeladen werden gibt es viele.
So möchten einige keinen Google Account auf dem Smartphone verwenden, andere haben Systeme wie Sailfish OS oder ähnliches im Betrieb. 
Wieder andere möchten schlicht und einfach eine Android App lokal untersuchen.

raccoon

Im Netz gibts es viele Möglichkeiten APK Dateien via Drittanbieter herunterzuladen (zum Beispiel). 

Hier muss jedoch auf die Vertrauchlichkeit des Seitenbetreiber geachtet werden, zusätzlich lassen sich einige APKs schlicht und einfach nicht darüber herunterladen.

Raccoon

Raccoon stellt eine plattformüberreifende Open-Source Alternative zu APK Downloadern und Co dar. 

Das Tool basiert auf Java und lässt sich somit auf Linux, Windows und MacOS Systemen betreiben.

Raccoon-APK-Downloader


Während der Installation wird ein Google Account verlangt, die Software selbst emuliert danach ein Pseudogerät.

Sollte ein bereits verwendeter Google Play Account beim Login angegeben werden, lassen sich bereits gekaufte Apps herunterladen.

Ein eingebauter QR Code Generator in Verbindung mit ADB erlaubt den einfachen Transfer zu Mobilgeräten.

Alternativ dazu eignet sich jeder Dateimanager für das Kopieren einer APK Datei.

Fazit

Raccoon ist seit Jahren ein must have Tool, wenn man mit alternativen mobilen Systemen arbeitet oder ein Handy ohne Google Account betreibt.

Download Raccoon

Jitsi Videobridge und Jitsi Meet - eigene Web und Videokonferenzen via Browser

Vor ca.3 Jahren hatte ich bereits über Jitsi Meet berichtet. Mittlerweile ist das Thema WebRTC und Web Videokonferenzen ein alter Hut und es wird nicht mehr jeden Tag eine neue Sau durchs Dorf getrieben.

jitsi-meet-2018

Jitsi Meet

Jitsi wurde inzwischen von Atlassian übernommen und die Entwicklung an der Webkonferenzlösung still und heimlich weitergeführt.

Es wurden stets stabile Releases der Software veröffentlicht, diese waren bisher allerdings etwas schwerer zu erkennen, die hat sich nun geändert.

Die aktuellste stabile Version trägt die Nummer 2988 und der aktuelle Changelog kann auf Github eingesehen werden.

Installation unter Ubuntu

Zunächst möchte ich kurz zeigen, wie sich die neueste Version installieren lässt, dieser Vorgang wurde im Vergleich zu früher stark vereinfacht.

Ausgangsystem ist ein Ubuntu 16.04 (ja ich weiß 18.04 ist schon verfügbar)

wget -qO - https://download.jitsi.org/jitsi-key.gpg.key | sudo apt-key add 
sudo sh -c "echo 'deb https://download.jitsi.org stable/' > /etc/apt/sources.list.d/jitsi-stable.list"

sudo apt-get -y update
sudo apt-get -y install jitsi-meet

Ein Lets Encrypt Zertifikat kann nun ebenfalls automatisch erstellt werden:

/usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh

Aufrufen lässt sich die fertige Installation über https://meineServerAdresse.de

Die Software selbst hat einige Schritte nach vorne gemacht, nicht nur das Design ist besser, auch die Stabilität wurde um einiges verbessert. Neben dem eingebauten Chat lassen sich YouTube Videos oder der eigene Bildschirm teilen. Auch verschiedene Sprachen werden nun unterstützt.

jitsi-meet-2018Für Tastaturfreunde wurden ausreichend Kürzel implementiert.

jitsi-tastaturbefehle

Fazit

Wer einen eigenen Videokonferenzserver betreiben möchte, ist mit Jitsi Meet sicherlich gut bedient, die Software bietet genügend Funktionen für einen Jour fixe. 

Die schnelle und einfache Installation spricht für sich, sowie die Unterstützung für Lets Encrypt.

Falls kein Server zur Installation vorhanden ist, kann die offizielle Variante unter meet.jit.si verwendet werden.

Seit letztem Jahr wird zusätzlich auf Mobile Clients gesetzt, für Android oder für iOS stehen stabile Veröffentlichungen zur Verfügung.

Auch im Hinblick auf unsichere Programme, wie Skype und Co, bietet Jitsi Meet mit ZRTP und OTR Verschlüsselung die richtige und sichere Alternative für Videotelefonie an.

https://github.com/jitsi/jitsi-meet

CyberChef - Schweizer Messer für den Browser ?!

Die Web App CyberChef mit dem nicht ganz passenden Untertitel "Cyber Swiss Army Knife" ist nichts anderes als eine kleine Webanwendung, die Funktionen rund um Verschlüsselung, Datenanalyse, Datenformate, Hashing, Netzwerk und Komprimierung bereitstellt.

Funktionen

Daneben bietet der CyberChef Beautifier und Minifier für CSS, XML, JS, JSON, usw. an.

Auch logische Operatoren wie XOR, OR, NOT, AND oder ROT13 wurden in die einfach aufgebaute Oberfläche integriert.

Zugesagt haben mir diverse Formatoren, welche relativ einfach diverse Formate umwandeln, z.B. Base64 oder URL Encoding. Allerdings ist auch das schnelle Decodieren von AES oder DES von Vorteil.

Durch die Möglichkeit Favoriten zu hinterlegen, kann sich jeder ein Portfolio klicken, welches den eigenen Ansprüchen entspricht. Die Oberfläche unterstützt Drag and Drop und kann Einstellungen abspeichern, sowie laden.

CyberChef

Live Demo

Für den ersten Eindruck steht eine Live Demo (https://gchq.github.io/CyberChef) zur Verfügung. Gefällt diese, genügt es die ZIP Datei via Github zu laden. Die Anwedung selbst ist ein einfaches HTML Dokument, welches im Browser geöffnet wird.

Wo ist der Haken?

Wundert euch bitte nicht über den Download Link, dieser führt zum Github Account des britischen Geheimdienstes (GCHQ), der Dienst hat diese Tool-Sammlung bereits 2016 als OpenSource unter Apache Lizenz zur Verfügung gestellt.

Github Cyberchef

Fazit

Es stellt sich zunächst die Frage, ob Tools vom Geheimdienst wirklich sinnvoll sind, denn es könnte ja jederzeit Code versteckt werden, welcher Nichts Gutes im Schilde führt. Andererseits würde der GCHQ so etwas wahrscheinlich nicht über den offiziellen Account bereitstellen und OpenSource ist das Tool ebenfalls...

Schlussendlich bleibt ein teilweise echt praktisches Tool, welches auch offline verwendet werden kann, sollte die Angst vor Spionage groß sein.

Warum die Briten ihr Tool "Schweizer Messer" nennen, bleibt mir allerdings ein Rätsel. Immerhin haben sie ein "Cyber" davor gepackt.