De B ian

Was ich auch an einem Debian 7 mit Apache 2.2 zu drehen versuche, mehr als ein B hole ich bei SSLLabs nicht raus. Apache 2.2 kennt

nicht und damit scheint man am Ende.

Wer einen moderneren Apachen fährt, dem sollte ein

zumindest nicht nur meiner Denke nach weiterhelfen.

Unter Ubuntu 14.04 mit Apache 2.4 reicht auch das

meinen Versuchen nach für ein A Rating, sofern die Schlüssel lang genug sind.

Es ist ein Gewürge …

XMPP

Ich habe meine Metadaten gerne unter Kontrolle und mir deswegen einen XMPP Server unter Prosody gegönnt. Hier einige Notizen rund um die Installation.

Basis

Prosody Paketquellen einbinden um von der trägen Paketverwaltung in den Ubuntu Repos unabhängig zu werden:

Den Key der Paketquelle holen und in APT werfen:

Prosody installieren:

Einstellungen für den Benutzer prosody in /etc/passwd kontrollieren, der nur /bin/false als Shell erhalten darf:

Prosody Konfiguration anpassen – unter Lua ist ein doppeltes Minus ein Kommentarzeichen:

Die Konfigurationsdatei ist gut strukturiert und weitgehend selbsterklärend, so dass beim Lesen kaum Fragen offen bleiben. Im Zweifel alle Restfragen über die sauber strukturierte Dokumentation bei https://prosody.im klären.

In der Konfiguration

  1. den Admin für den XMPP Server festlegen
  2. die Sektion Module durchsehen und z.B. version sowie uptime deaktivieren, damit wir nach Außen hin nicht gleich alle Angriffspunkte verraten.

Ebenfalls kontrollieren, ob Registrierungen über Clients abgelehnt werden. Das scheint nötig zu sein, damit man nicht mit Konten zugespamt wird:

Wir wollen die Verbindung zwischen Client und Server Zwangsverschlüsseln:

Das geht im Prinzip auch für s2s (Server to Server) Verbindungen. Hier liegt auch der Grund, warum wir dringend OTR Verschlüsselung haben wollen, wenn wir nicht auf der eigenen Domain chatten.

Die Passwörter der Benutzer verschlüsselt speichern, auch wenn die Nebenwirkung ist, dass manche Clients länger brauchen, um sich anzumelden:

SSL Key einbinden. Hierbei für Zwischenzertifikate ein PEM basteln wie für Dovecot und Freunde ebenfalls üblich.

Siehe zu intermediären Zertifikaten auch: https://prosody.im/doc/certificates?s[]=pem#certificate_chains

Unser Zertifikatsspeicher für Prosody verwendet schlicht Symlinks, um sich die Arbeit einfacher zu machen, wenn Zertifikate erneuert werden:

Die Hosts einrichten:

Prosody neu starten:

Nach Fehlern suchen:

Einen Fehler finden und wohl erst einmal schlicht hinnehmen:

Siehe hierzu auch https://prosody.im/doc/depends#luaexpat und den Hinweis, dass man in diesem Fall auf compression verzichten sollte (das ist der Default).

Die Benutzer anlegen – den oben eingetragenen Admin hierbei nicht vergessen:

Jetzt mit den ersten Clients eine Verbindung aufbauen und den Verbindungen zusehen, wie sie reinkommen:

Einen Blick in den Benutzerkontenbereich werfen:

Dort nachsehen, ob die *.dat Dateien auch wirklich nur verschlüsselte Passwörter enthalten.

Am Ende den gesamten Server auf den Prüfstand stellen: https://xmpp.net/

Sicherheit

Siehe zum folgenden Abschnitt: https://code.google.com/p/prosody-modules/wiki/mod_log_auth und auch https://jabber.lqdn.fr/securing-our-jabber-server-with-fail2ban-securisation-du-serveur-jabber-avec-fail2ban/

Im Modules Verzeichnis von Prosody ein weiteres Modul hinterlegen:

Das Modul umbenennen, damit es läuft:

Das Modul in der Konfiguration einschalten

Prosody neu starten und kontrollieren, ob nun die Connects mitgeschrieben werden:

Einen Filter für fail2ban anlegen:

Inhalt:

In der jail.local hinterlegen:

Die Dienste neu starten:

In Check_MK die Service discovery für den XMPP-Server-Host neu anschubsen, damit man auch dort sieht, was passiert.

Die nächsten Schritte: Für meine Schule muss das auch noch eingerichtet werden – dann allerdings mit LDAPs Anbindung, damit es jeder gleich nutzen kann und die Benutzerverwaltung einfacher wird.

Tunnelbau

Die OMD steht in der Schule hinter der Dom0, die für diesen Rechner gleichzeitig das Gateway ins Netz ist:

Die Ausgabe muss jeweils 1 lauten.

Zwei iptables Regeln sorgen dafür, dass die Ports und der Traffic zur OMD durchgereicht werden:

Ein Aufruf von https://domnullundgateway.tld:9393/checkmk/ sorgt so dafür, dass Anfragen an die OMD, die intern unter https://192.168.0.2 zu erreichen ist, weiter geleitet werden.

Damit man diese Regeln nicht immer wieder neu setzen muss, stehen sie in /etc/network/interfaces am Ende der Konfiguration der Netzwerkkarte eth0 jeweils nach einem up.

Warmtal

IMG_20150425_164422

Im Warmtal bei Langenenslingen befindet sich der Hohle Fels. Da wollte ich mal vorbei schauen, in der Hoffnung, hier eine der Selemannsküche vergleichbare Formation zu finden. War aber nix.

IMG_20150425_165852

Direkt im Warmtal liegt die Höhle nicht, sondern in einem kleinen Seitental und dort hinter viel Gebüsch verborgen.

IMG_20150425_170008

Und so richtig spannend ist sie auch nicht. Der Eingang ist evtl. 1,5m hoch und 4m breit. Von dort aus geht aus ca. 3m weit in eine schmucklose Halle, an deren Ende Verzweifelte versuchten, ein wenig mehr Länge mit einem Spaten zu gewinnen.


Größere Karte anzeigen

Wer länger graben würde, würde sicherlich noch ein wenig mehr Hohlraum finden – aber warum sich hier die Mühe machen?

Ich hab das Löchlein nun in OSM verortet und noch ein paar Wege dazu gepackt, ein paar andere der Realität angepasst und ein Naturschutzgebiet eingezeichnet, bei dem es wohl um Pflanzen auf extrem mageren Böden geht.

Arch Dovevot Postfix

Auf allen meinen Laptops schleppe ich eine Kopie des lokalen Mailservers meiner Workstation mit mir herum – inzwischen eine Mail-Sammlung die rund 7 Jahre zurück reicht und mehrere GB umfasst. Hier einige Notizen zur Installation von Dovecot und Postfix unter Arch für die ausschließlich lokale Nutzung. Sicherheit ist nur dadurch gegeben, dass dieser Mailserver von Außen nicht zu erreichen ist – auch weil noch eine Firewall die Zugriffe blockiert.

Die aktiven Zeilen in der /etc/postfix/main.cf

Die aktiven Zeilen in der /etc/dovecot/dovecot.conf

Damit die Anmeldung als lokaler Benutzer funktioniert, noch die /etc/pam.d/dovecot:

Man könnte nun die Dienste jeweils aktivieren

und somit permanent auf den lokalen Mailserver zugreifen – muss man aber nicht. Da diese Konfiguration bei mir auf einem MSI Wind U 100 läuft, spare ich mir die Ressourcen lieber und starte den Mailserver per Bash-Script, wenn ich auf mein lokales Mail-Archiv wirklich zugreifen muss. So lange man den Server localhost.localdomain im Thunderbird nicht anklickt, funktioniert dieser ja auch so für alle anderen IMAP Konten – und wenn man aus Versehen doch klickt, dieser aber nicht gestartet wurde, dann motzt Thunderbird halt, dass der Server nicht zu erreichen sei.

Rossberghöhlensystem

rbh1

Die bei uns übliche Nebelhöhlen – Sommerrodelbahn – Rossberghöhlen-Tour für jüngere Besucher musste heute unser französischer Austauschschüler über sich ergehen lassen.

Ich finde den Rossberg auch heute noch [1, 2, 3] super. Das Rossberghöhlensystem mit den zwei im Binder benannten Höhlen (Rossberghöhle 1 und 2), einigen sehr schönen Dolinen, einer dritten Kleinhöhle und am gleichen Hang auch einigen Bohnerzgruben macht Lust auf mehr.


Größere Karte anzeigen

Ich habe heute versucht die Höhlen mit Hilfe von OSM Tracker genauer einzumessen. Irgendwie … am Ende habe ich das Gefühl, bei der Positionierung dann doch mehr geschätzt zu haben, als dass ich exakte Daten eingetragen hätte. Der Kontakt zu den Satelliten war relativ bescheiden – oder meine Hardware taugt nix.

Schön war es in der RBH 1 vor allem auch deswegen, weil die Sonne den Boden erhitzte und der Wasserdampf in Schwaden durch die Höhle zog. Sah richtig cool aus.

rbh3

Im Eingang zur kleinsten, von uns heute Rossberghöhle 3 genannten, Höhle am Hang steht ein Baum. Nach dem niedrigen Schlupf folgt eine kleine Halle, in der Kinder aufrecht stehen können.

rb-doline

Der gesamte der Sonnenmatte gegenüberliegende Hang bis vor zur Hardtstraße ist ein einziges Dolinenfeld. Teilweise wünscht man sich einen Spaten, weil der Geruch der Senken sehr stark an Höhle erinnert und viele kleine Spalten nach mehr Hohlraum dahinter aussehen.

rbh2

Der Einstiegsschacht in die RBH 2 verlangt nach einer Strickleiter. Seit viel zu vielen Jahren ist hier Ende für uns.

Bambus

Die Meldungen rund um Maas gewandeltes Verhältnis zur Vorratsdatenspeicherung gleichen sich. Entweder wird der schnelle Meinungswechsel seit Dezember hervor gehoben oder es steht die Umfallerpartei SPD ganz Allgemein im Zentrum. Es läuft darauf hinaus: Herrn Maas scheint seine Partei, seine Karriere oder ein Mit-mir-wird-es-nicht-ganz-so-schlimm wichtiger zu sein.

“Schade” wäre bei diesem Thema nun das falsche Wort, auch wenn es wenigstens noch Verständnis dafür mitbringt, dass viele KritikerInnen wohl unter derart massivem Druck ebenfalls nicht bestehen würden.

Widerstandsfähigkeit ist es jedoch genau die Eigenschaft, die ich mir wünschen würde. Die Standhaftigkeit einer Frau Leutheuser-Schnarrenberger [1] gepaart mit ihrer Intelligenz und ihrem Einsatz für die Menschen- und Bürgerrechte kommt mir in den Sinn.

Ich fürchte: Auch was Diskriminierung und Verfolgung von Minderheiten, Krieg, Folter oder die Todesstrafe … angeht [2], würden jederzeit die gleichen Mechanismen greifen können. Heute. In Deutschland. Da hilft auch kein “das ist doch was ganz anderes”-Geheul, denn es ist Teil von uns, lieber mitzumachen, als für unsere Werte einzustehen und damit isoliert zu sein.

Maas ist eben auch nur Bambus.

PS: Ich habe Frau Leutheuser-Schnarrenberger deswegen heute eine Dankes-E-Mail geschrieben und den Landesverband von Herrn Maas auf CC genommen.

Erpfingen I

IMG_20150412_141357

Janis zwang ich heute von seiner Englisch und NWT-GFS ins Freie nach Erpfingen. Ich wollte mir das Guppenloch einmal näher ansehen. Wenn ein Hügel schon so heißt, dann muss es dort ja auch ein Loch zur Guppe geben.

Das gibt es auch. Aber leider passt da nicht jeder rein. Der Eingang ist ca. 30cm breit und verschlankt sich nach oben. Platz nach oben wäre ja genug vorhanden – ca. 3m hoch ist die Kluft am Eingang zur Höhle, nutzt aber nix. Wer sich wirklich hinein quälen will, muss sich auf die Seite legen und schlufen bzw. schlängeln. Selbst für den dürren Janis war da kein aufrechtes Weiterkommen möglich und für mich damit erst recht nicht. Ich sollte aber wieder hier her kommen, bevor der Bauch zu groß wird.


Größere Karte anzeigen

Auf dem Weg zur Guppenloch Höhle (der ganze Berg nennt sich so, da wird die Bezeichnung des Lochs im Guppenloch schwer) kamen wir noch an einer der Erpf-Quellen vorbei, die bei OSM nach fehlte.


Größere Karte anzeigen

Das im Binder erwähnte Brechlöchle ist das nicht. Ob es die eigentliche Erpfquelle ist – weiß ich nicht genau.

Die Geotop-DB und auch das PDF des Landkreises Reutlingen zu deren Geotopen machen klar: es handelt sich hier um das Brechlöchle – eine der intermittierenden Quellen der Erpf.

Muetesloch

CIMG5013

Heute wollte mal wieder keiner Löcher suchen – also bin ich allein auf die Alb zum Muetesloch / Heilenbergschacht / Ha[n]smutterlesgsta[n]k … Die Höhle war absolut perfekt in OSM eingemessen, wenn auch der Pfad zur Höhle auf Grund von Waldarbeiten nicht mehr zu erkennen ist.

CIMG5011

Das Einstiegsloch ist beeindruckend: Ich vermute 2m Breite und 3m Länge – groß genug, um den rund 8m entferntem Boden der Höhle etwas Licht zu gönnen. Dort sieht man vor allem Äste liegen – und nicht die in allen möglichen Quellen erwähnten Knochen :-)


Größere Karte anzeigen

Die Geschichten rund um den Namen der Höhle – sofern nicht Heilenbergschacht verwendet wird – sind etwas verworren. Ich konnte nicht herausfinden, wie “Hans” dazu gekommen ist. Muete verweist auf Muote / Muoti verweist auf Wodan oder Wotan … und letzten Endes handelt es sich wohl um die Vorstellung, dass aus diesem Loch irgendwelche bösen Geister steigen würden (Details sind zu finden in: Wilhelm Schneider, Die Erpfinger Höhle – ein vor- und frühgeschichtlicher Opferplatz, Tübingen, 1999 der selbst wiederum Walther Keinath und Hermann Fischer zitiert). Der Namensteil Gestank / Gestak wird immer wieder damit erklärt, dass hier die Menschen der Umgebung ihre Tierkadaver (oder auch Pestleichen) entsorgten. Bei der prallen Sonne heute roch es nur noch Wald, Harz, Moos und Gras.

Kobelhöhle

IMG_20150407_164815

Die Kobelhöhle über Stetten unter Hohlstein war weniger schwer zu finden. Sie ist am in der Geotop-DB angegebenen Ort.

Was dort allerdings nicht steht ist, dass es sich um eine Schachthöhle handelt.

IMG_20150407_164826

Geschätzte 10m geht es vom vergitterten Einstiegsloch aus abwärts. Was dann unten folgt … Binder (der zu dieser Höhle überhaupt keine Informationen vorhält) wie auch Geotop-DB schweigen sich hierzu aus.


Größere Karte anzeigen

Und damit ist das Loch im Wald erst einmal ein Fall für Einseiltechniker.