Skip to content

Mozilla SSL Configuration Generator - Neue Version unterstützt Postfix, PostgreSQL, MySQL, Oracle und Caddy

Es ist lange her, als ich das erste Mal über den Mozilla SSL Configuration Generator geschrieben hatte (ganze 4 Jahre um genau zu sein).

Bereits damals hatte ich mir gewünscht, dass auch Server wie Postfix unterstützt werden. Dieser Wunsch wurde nun erfüllt, denn es gab ein umfangreiches Update  ( thx @ aprilmpls )

mozilla-logo

Mozilla SSL Configuration Generator

Wie der Überschrift bereits entnommen werden konnte, sind neben den üblichen Verdächtigen nun auch weitere Systeme dabei. Folgende SSL/TLS Sicherheitseinstellungen können nun via Generator erstellt werden:

  • Apache
  • Nginx
  • Lighthttpd
  • HAProxy
  • AWS Elastic Load Balancer
  • Caddy
  • MySQL
  • Oracle HTTP Server
  • Postfix
  • PostgreSQL 

Die einzelnen Kategorien modern, intermediate und old haben Beschreibungen erhalten und erschließen sich dem Laien somit etwas besser. So wird bei der modernen Variante explizit TLS 1.3 erwähnt und die nicht vorhandene Abwärtskompatibilität beschrieben.

Die Versionsauswahl bei Server oder SSL kann weiterhin händisch eingegeben werden. 

Mozilla_SSL_Configuration_Generator

Zusätzliche Optionen wie HSTS oder OCSP Stapling sind in den Standardeinstellungen aktiv. Hier muss nichts angepasst werden, da der Generator alte Server Versionen erkennt und die Optionen automatisch nicht in der generierten Datei auflistet (SSLUseStapling On).

Bei Konfigurationen für Mail- oder Datenbankserver sind diese Auswahlmöglichkeiten ohnehin ausgegraut.

Generator generiert

Die neu generierten Konfigurationen haben dazugelernt. So wird bei der Apache oder Nginx Konfiguration automatisch der HTTP zu HTTPS Rewrite mit aufgeführt. Auch werden das Erstelldatum, so wie die benötigten Module als Kommentar aufgeführt, was für viele sicherlich eine zusätzliche Hilfe darstellt.

Bei der Postfix wird keine TLS Verschlüsselung erzwungen, hier wird immer ein "Verschlüsselung wenn möglich" vorgeschlagen.

Unterstützung

Bereits beim älteren Generator wurden die unterstützten Browser aufgelistet. Diese wurden um Android und Edge ergänzt.

Fazit

Die neue Version des Mozilla SSL Configuration Generator hat im Vergleich zum Vorgänger viele kleine Verbesserungen erhalten, siehe der Kopierbutton am Ende der Konfigurationsdateien. Die Unterstützung für Postfix, PostgreSQL und Co erweitert die Breite ungemein. Mit der Unterstützung für TLS 1.3 wird das Tool auch in Zukunft praktisch sein. Sei es als Orientierung oder Beispiel für eigene Serverkonfigurationen.

https://ssl-config.mozilla.org

Raspberry Pi - Raspbian Update auf Buster und Kioskmodus mit Chrome anpassen

Nicht nur ein neuer Raspberry Pi 4 hat vor kurzem das Licht der Welt erblickt, auch die bekannte Distribution Raspbian, welche auf den Minirechnern gerne läuft, wurde auf Debian Buster umgestellt.

Das neue Betriebssystem hat ein neues Theme erhalten und die üblichen Softwareaktualisierungen.
Nicht mehr dabei ist der Legacy Grafiktreiber Stack, dafür wurde auf Mesa V3 Treiber umgeschwenkt.
Ein Update auf die neue Version ist schnell gemacht, aber auch mir Vorsicht zu genießen, es wird eine Neuinstallation empfohlen.

raspberrypi


Update auf Raspbian (Buster)

sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade
sudo sed -i 's/stretch/buster/g' /etc/apt/sources.list
sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade

Ich empfehle dringend ein Backup der wichtigen Daten zu ziehen.
Nach einem Testupdate konnte ich das System zwar noch booten, hatte außer einem Mauszeiger kein Bild. SSH funktionierte. Ich habe es allerdings nicht weiterverfolgt, da ich die Anzeigeneinstellungen händisch gesetzt hatte.

Da Debian Buster Tools mitbringt, welche nicht unterstützt werden, könnt ihr diese wieder deinstallieren.

sudo apt purge timidity lxmusic gnome-disk-utility deluge-gtk evince wicd wicd-gtk clipit usermode gucharmap gnome-system-tools pavucontrol


Kioskmodus unter Raspbian 

Was nach dem Update schnell klar war. Der Kiosk Modus mit Chromium ist defekt und muss repariert werden. Das geht allerdings schnell, denn es haben sich nur Pfade geändert.

Anders als noch bei den alten Raspbian Systemen ist das Verzeichnis /home/pi/.config/lxsession/LXDE-pi/autostart des Pi Nutzers nicht mehr vorhanden.
Alternativ kann einfach die globale Konfiguration unter /etc/xdg/lxsession/LXDE-pi/autostart angepasst werden, um den Vollbildmodus von Chromium 74 automatisch zu starten.

sudo nano /etc/xdg/lxsession/LXDE-pi/autostart

@lxpanel --profile LXDE-pi
@pcmanfm --desktop --profile LXDE-pi
# Bildschirmschoner deaktivieren
#@xscreensaver -no-splash
@point-rpi

@xset s off
@xset -dpms
@xset s noblank
#Autostart Chromium Vollbild-Kiosk
@chromium-browser --noerrordialogs --incognito --kiosk https://kiosk.itrig.de


 

Distribution Release - Parrot 4.6, BlackArch Linux 2019.06.01 und Kali Linux 2019.2

In der Welt der Penetrationstest Distributionen hat sich in den letzten Wochen wieder etwas getan. Zeit einen kurzen Blick darauf zu werfen.

 

Parrot

Parrot 4.6 goes KDE

Bereits Ende April wurde Parrot 4.6 veröffentlicht. Die Distributionen ist nun als KDE Edition verfügbar (Mate wird ebenfalls weiter unterstützt).
Die Home und die Security Edition unterstützen beide Oberflächen.

Neben KDE hat sich das Design Team daran gemacht den Desktop und die Animationen frischer zu gestalten.

Technisch wurde HTTPS für den Paketmanager APT integriert. Ein Fallback auf HTTP ist den Mirror Servern vorbehalten.
Ein neuer Kernel darf ebenfalls nicht fehlen, dieser wurde auf Version 4.19 angehoben.

Viele Freunde hat das Paketformat Snap bisher noch nicht gefunden, dennoch wird es in Parrot nun im Anwendungsmenü angezeigt.

Auf der Softwareseite wurde mit Revolt ein Riot.IM Wrapper aufgenommen, dabei handelt es sich um einen Matrix Chatclient.

Reverse Engineering war die letzten Wochen durch das Release von Ghidra in aller Munde, das Parrot Team hat sich zunächst dagegen entschieden und Cutter, eine GUI für das radare2 Reverse Engineering Framework integriert.


Dazu kamen die üblichen Updates der vorhandenen Tools, auf die ich hier nicht weiter eingehen möchte

Download

Kali 2019.2 goes Android

Kali_Linux

Kali NetHunter, die Android Variante der Sicherheitsdistributionen hat einen großen Schritt nach vorne gemacht. Hier werden nun bis zu 50 Android Varianten unterstützt.

  •     Nexus 6 running Pie
  •     Nexus 6P, Oreo
  •     OnePlus2, Pie
  •     Galaxy Tab S4 LTE & WiFi, Oreo

 
Die Desktop Version hat einen neuen Kernel 4.19.28 erhalten, dazu wurden einige Bugs gefixt und Tools wie seclists, msfpc, und exe2hex aktualisiert.

Download

BlackArch 2019.06.01 goes new ISO

blackarch

BlackArch Linux hat mit dem neuen Release nicht nur ein neues Installationsmedium erhalten, sondern wurde auch um 150 neue Tools erweitert. Eine Übersicht ist hier zu finden.

Der Kernel wurde auf 5.1.4 angehoben, sowie der Installer.

Download

Übersicht 05/2019

 

Name Version Tools Besonderes Basis GUI
Autopsy 4.11.0 ??? The Sleuth Kit Windows  
BackBox 5.2 70+ AWS Ubuntu Xfce
BlackArch 2019.06.01 1750+ ArchLinux ArchLinux Gnome
CAINE 10 100+ WinUFO Ubuntu Mate
DracOS 3.0 100+ CLI LFS DWM
DEFT Zero 2018.2 250+ Mac Support Lubuntu 14.04 Lxde
Kali Linux 2019.2 300+ ARM fähig Debian Testing Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 28 ??? Server integriert Fedora  
NetSecL OS 6.0 50+   OpenSuse Lxde
Paladin 7.0 30+   Ubuntu  
Parrot Sec 4.6 700+ Cloud fähig Debian Buster MATE/KDE
Pentoo 2018.0 RC7.1 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

HowTo - Einen eigenen SuperTuxKart Server im LAN aufsetzen und gegen Freunde zocken

Vor kurzem wurde eine neue SuperTuxKart Version veröffentlicht.

Wie schon aus der Beta bekannt war, bringt diese neue Version neben diversen Verbesserungen eine Netzwerkunterstützung mit.

Daneben sorgen ca. 20 Rennstrecken und verschiedene Spielmodi für Abwechslung. Der Funracer ist natürlich OpenSource und so hat jeder die Möglichkeit seinen eigenen Server zu betreiben.

Alle Infos findet ihr in den Release Notes.

SuperTuxKart1
Genau diese Netzwerkunterstützung will ich im Folgenden näher anschauen, denn für einen eigenen Server reicht bereits ein RaspberryPi aus.


Eigenen SuperTuxKart Server fürs LAN bauen

Als Basis dient ein Ubuntu 16.04 LTS oder ein Raspbian System, der Vorgang ist jeweils gleich.

Zunächst müssen ein paar Pakete installiert werden, damit der Build auch gelingt.

sudo apt-get install build-essential cmake libbluetooth-dev \
libcurl4-openssl-dev libenet-dev libfreetype6-dev libfribidi-dev \
libgl1-mesa-dev libglew-dev libjpeg-dev libogg-dev libopenal-dev libpng-dev \
libssl-dev libvorbis-dev libxrandr-dev libx11-dev nettle-dev pkg-config zlib1g-dev git subversion

Als nächstes werden die Installationsdateien auf das lokale System geladen.

cd /opt
sudo mkdir stk-code
sudo mkdir stk-asset
git clone https://github.com/supertuxkart/stk-code stk-code
svn co https://svn.code.sf.net/p/supertuxkart/code/stk-assets stk-assets

Der letzte Schritt kann etwas Zeit benötigen, da mehrere 100MB geladen werden müssen.

cd stk-code
sudo mkdir cmake_build
cd cmake_build/
sudo cmake .. -DSERVER_ONLY=ON
sudo make -j$(nproc)

Nun heißt es etwas warten, denn je nach CPU Leistung, kann dies etwas dauern...

stk-server

Schwups ist der fertige Server erstellt, ihr könnt ihn nun bereits ausprobieren oder systemweit mit sudo make install installieren.

Danach findet ihr den installierten Server unter /usr/local/bin/supertuxkart.


In unserem Fall starten wir den Server testweise direkt.

cd bin/

./supertuxkart --lan-server=test --network-console

stk-server-start

[info   ] GrandPrixManager: Loading Grand Prix files from ../../data/grandprix/
[info   ] GrandPrixManager: Loading Grand Prix files from /home/xyz/.local/share/supertuxkart/grandprix/
Fri Apr 26 20:25:41 2019 [info   ] STKHost: Host initialized.
Fri Apr 26 20:25:41 2019 [info   ] STKHost: Server port is 2759
Fri Apr 26 20:25:41 2019 [info   ] main: Creating a LAN server 'test'.
Fri Apr 26 20:25:41 2019 [info   ] ServerLobby: Reset server to initial state.
Fri Apr 26 20:25:41 2019 [info   ] ProtocolManager: A 11ServerLobby protocol has been started.
Fri Apr 26 20:25:41 2019 [info   ] STKHost: Listening has been started.

Nun solltet ihr darauf achten, dass der Port 2759 im lokalen Netz erreichbar ist und Firewalls diesen nicht blockieren.

Ebenfalls ist es wichtig lokal einen Servernamen beim Start anzugeben, da der Server sonst nicht startet.

Zusätzlich wird unter /opt/stk-code/.config/supertuxkart/config-0.10/server_config.xml beim ersten Start eine Konfigurationsdatei angelegt, dort können weitere Einstellungen gesetzt werden.

Für unseren Server muss hier Nichts weiter angepasst werden.

Alternativ könnt ihr eure eigene Konfigurationsdatei beim Start auch gleich mitgeben

supertuxkart --server-config=your_config.xml --network-console

Ob der Server läuft lässt sich mit einem einfachen netstat -lnp oder via ss -ln herausfinden (Artikel).

SuperTuxKart auf eigenen Server spielen

Um auf dem eigenen Server gegeneinander zu spielen, müsst ihr euch zunächst das Spiel installieren, dieses findet ihr hier.


Nach dem Start müssen folgende Schritte durchgeführt werden, um auf den eigenen Server zu gelangen,

stk-server-gui

stk-server-lan

stk-server-findstk-server-test-srv

Alternativ kann auch ein Server direkt aus dem Programm heraus erstellt werden und somit quasi mit jedem PC. Ein kleiner RapsberryPi ist allerdings um einiges praktischer.

Sollte ein STK Server übers Internet erreichbar sein, muss zusätzlich ein STK Account angelegt werden. Dieser Account muss beim Serverstart angegeben werden. Weitere Tipps finden sich hier.

supertuxkart --init-user --login=your_registered_name --password=your_password

Viel Spaß

 

LibreELEC Kodi - Tastenbelegung einer Fernbedienung (HDMI CEC) anpassen

Ich möchte die kleine LibreELEC Serie fortsetzen und heute zeigen, wie sich eine Fernbedienung für die Steuerung von Kodi anpassen lässt.

In unserem Szenario wird LibreELEC über den TV verwendet und somit über die normale TV Fernbedienung angesteuert.

Was ist eine Keymap

Jede Kodi Variante hat sogenannte Keymaps auf dem System hinterlegt. Dabei handelt es sich um XML Dateien in denen Tastenbelegungen verschiedener Eingabegeräte hinterlegt sind.

Diese lassen sich auf das eigene Setup anpassen. (In meinem Fall vermisse ich auf den meisten Fernbedienungen beispielsweise den Rechtsklick bzw. das Kontextmenü, welches ich auf einer extra Taste einrichte.)

Übersicht der Keymap Pfade auf den einzelnen Systemen

Android Android/data/org.xbmc.kodi/files/.kodi/userdata/ (see note)
iOS /private/var/mobile/Library/Preferences/Kodi/userdata/
Linux ~/.kodi/userdata/
Mac /Users/<your_user_name>/Library/Application Support/Kodi/userdata/ (see note)
LibreELEC /storage/.kodi/userdata/keymaps/
Windows Start - type %APPDATA%\kodi\userdata - press <Enter>
   

 

 

 

 

 

 

Unter LibreELEC befinden sich die original Keymaps unter /usr/share/kodi/system/keymaps

Weitere Informationen finden sich hier.

Keymap manuell anpassen

Eine angepasste Keymap würde in unserem Szenario unter /storage/.kodi/userdata/keymaps/gen.xml abgelegt werden.

Ein Eintrag für das Kontextmenü kann ungefähr wie folgt aussehen, wobei der Aufbau immer gleich ist:

<keymap>
    <virtualkeyboard>
        <keyboard>
            <key id="221">contextmenu</key>
        </keyboard>
    </virtualkeyboard>
    <global>
        <keyboard>
            <key id="221">contextmenu</key>
        </keyboard>
    </global>
</keymap>

Hier stellt sich recht schnell die Frage wie man auf die IDs kommt. Diese lassen sich beispielweise über das debug.log herausfinden, was aber Aufwand darstellt, daher würde ich beim Anpassen einer Fernbedienung den Weg über den Keymap Editor wählen.

Keymap mit dem Keymap Editor anpassen

Um sich Arbeit zu sparen, für Schritte wie Tastenbelegung erkunden und XML File anlegen wurde bereits ein einfaches Addon programmiert.

Installation Keymap Editor

Der Keymap Editor erlaubt es mit wenigen Schritten eine CEC Fernbedienung nach euren Wünschen zu programmieren. Praktischerweise ist dieser auch im System bereits vorhanden.

kodi-keymap-editor

Sollte unter den Programm-Addons kein Keymap Editor zu finden sein, dann installiert das Addon manuell über den Download Button weiter unten.

kodi-keymap-editor

Nach der Installation lassen sich Tasten einfach anpassen oder zusätzliche Funktionen auf freie Tasten legen.

kodi-keymap-editor

Fazit

Wie ihr seht ist es relativ einfach sich sein eigenes Bedienkonzept zu erstellen. Wobei die Variante über den Keymap Editor sicherlich die schnellste und einfachste dafür darstellt.

Download Keymap edito