byte-arts.NET

Wie erstellt man ein SSH-Zertifikat um sich sicher mit einem Linux-Server zu verbinden? Das geht ganz einfach – mit Abstrichen. Folgendes als root über die Konsole/Putty auf dem Server ausführen:

ssh-keygen -t rsa -b 2048

Damit werden der private und öffentliche Schlüssel mit RSA und 2048 Bit erzeugt. Für weitere Einstellungsmöglichkeiten siehe Handbuch. Jetzt wird zuerst gefragt, wo man die Dateien speichen möchte. Wenn nichts angegeben wird, werden die Dateien unter /root/.ssh/ als id_rsa und id_rsa.pub gespeichert. Wenn für einen anderen Nutzer SSH-Schlüssel angelegt werden sollen, dann muss man mit diesem die Schritte ausführen. Dabei werden die Dateien in dem entsprechenden Home-Verzeichnis (/home/$username/.ssh/) angelegt. Danach wird nach einer Passphrase gefragt, welche die Sicherheit natürlich nochmals erhöht – kann aber auch einfach leer gelassen werden.

Als nächstes muss die Datei authorized_keys im selben Verzeichnis angelegt werden. Dieser muss über folgenden Befehl der öffentliche Schlüssel hinzugefügt werden:

cat id_rsa.pub >> /root/.ssh/authorized_keys

Damit sind die Arbeiten, soweit man nicht die Konfigurationsdatei unter /etc/ssh/sshd_config weiter anpassen möchte, auf dem Server abgeschlossen. Weiter gehts auf dem PC. Doch zuvor muss der private Schlüssel auf diesen, bspw. über WinSCP, runtergeladen werden. Der öffentliche bleibt auf dem Server.

Wer jetzt denkt, dass man den Schlüssel einfach in Putty angibt, wird mit der Meldung begrüßt, dass Putty damit nichts anfangen kann. Man muss zuerst den Schlüssel in ein Format konvertieren, was Putty versteht.

Dazu braucht man PuttyGen. Zuerst muss der Schlüssel in das Programm geladen werden, dazu wird, falls bei der Generierung eine angegeben wurde, nach der Passphrase gefragt. Danach speichert man den privaten Schlüssel ab und gibt diesen dann in Putty an. Und schon klappt die sichere Verbindung zum Server.

Optional kann in der Konfigurationsdatei die Anmeldung per Passwort verboten werden, oder dass ein anderer Port verwendet wird, was Angriffe verringert.

Heute mal wieder etwas technisches. Wer einen Server sein eigen nennt und diesen, sei es als physischen Server oder als virtuellen Client, mit Linux/Debian bestückt hat, kennt das eventuell auch den Maildienst Exim. Bei Debian 5 ist die Version 4 des Daemons dabei. Einzurichten ist er relativ einfach über die Konsole, jedoch kann es passieren, dass trotzdem keine Mails verschickt werden können. Ein Blick in das Log (/var/log/exim4/) zeigt dann auch warum, nämlich:

… jon.do@example.com: Unrouteable address

Die Einrichtung also erneut über folgenden Befehl starten:

dpkg-reconfigure exim4-config

Soweit so gut, doch was hat man falsch gemacht? Typischer Fall von RTFM, denn bei Schritt 4 heißt es, dass man eine kommaseparierte Liste von Domains eingeben soll, um die sich Exim selbst kümmern soll. Wer da nun eine Domain eingetragen hat, wie bspw. Google.com, hat was falsch gemacht, denn nur, wenn der Server die Verteilung und Annahme als richtiger Mailserver übernehmen soll, dann müssen hier die entsprechenden Domains eingetragen werden. Wer also einfach nur möchte, dass Mails nach außen verschickt werden können, bspw. über ein Kontaktformular, welches auf einem Webserver läuft, dann muss dieses Feld leer bleiben.

Wenn die Konfiguration abgeschlossen ist, muss der Dienst nur neu gestartet werden und sollte funktionieren.

/etc/init.d/exim4 restart

Quelle & mehr: exim4 unrouteable address error: A Lesson in RTFM

Heute stelle ich euch Launchy, einen Schnellstarter vor. Das Programm ist Open Source und für Windows, Linux und Mac OS zu haben.

Was Launchy kann? Durch Drücken einer zuvor festgelegten Tastenkombination erscheint ein Fenster, wo man, wie bei einer Suchmaschine den Suchbegriff eingibt. Launchy bietet dann ebenfalls mehrere Ergebnisse zur Auswahl an, so dass mit der Enter-Taste das ausgewählte Programm gestartet wird.

Natürlich kann Launchy nicht nur Programme starten, sondern auch gespeicherte Dateien, Ordner und sogar Webseiten öffnen. Neben vielen weiteren Einstellungen kann man die Orte, welche Launchy in seinen Katalog aufnehmen soll bestimmen. Launchy merkt sich ebenfalls das bei einer Suche ausgewählte Programm/Datei/URL und bietet es beim nächsten mal mit dem gleichen Suchbegriff an erster Stelle an.

Eine Erweiterung von Launchy mittels Plug-ins, sowie das Wechseln des Erscheinungsbilds (Skin) ist auch möglich.

Kürzlich ist die Virtualisierungssoftware für Betriebssysteme VirtualBox in der Version 4 erschienen.

Neben einer überarbeiteten Benutzeroberfläche, die nun auch eine Vorschau des gespeicherten Stands der virtuellen Maschine zeigt, ist das wohl größte Feature dieser Version, dass Dateien nun direkt in das Gastsystem kopiert werden können. Jetzt können auch die virtuellen Festplatten dynamisch verkleinert oder vergrößert werden.

Zusätzlich hat man in dieser Version noch die Möglichkeit über Packages neue Funktionen hinzuzufügen, änlich wie Add-ons bei Browsern. Virtual Box kann von der Oracle-Seite für Windows (32/64 Bit), Linux und Mac heruntergeladen werden.

Letztens bei der Installation von Ubuntu 10.10 …

da hatte wohl einer der Entwickler einen Clown gefrühstückt .

Für Leute die ein Symbian Smartphone besitzten ist dieser Artikel vielleicht interessant. Die Synchronisation kann mit Boardmitteln (bspw. Symbian S60 5th) und mit einem Google Mail oder Apps Account durchgeführt werden. Zur Synchronisation wird SyncML verwendet. Man erstellt ein neues Synchronisationsprofil und macht folgende Einstellungen:

• Profilname: (frei wählbar)
• Serverversion: 1.2
• Server-ID: Google
• Übertragungskanal: Internet
• Netzwerkverbindung: (wählbar)
• Serveradresse: https://m.google.com/syncml
• Port: 443
• Benutzername: (Benutzername des Kontos)
• Passwort: (Passwort des Kontos)
• Sync-Anfragen erlauben: (wählbar)
• Netz-Benutzername: (leer lassen)
• Netz-Passwort: (leer lassen)
• Synchronisationsart: Beide Richtungen

Es können leider nur Kontakte synchronisiert werden, da Google das bspw. für Kalendereinträge nicht erlaubt.

Wer von euch verwendet die Bibliotheken die Windows 7 bereitstellt? Ich finde sie eher unnötig und nutze sie daher nicht. Nun wäre es schön, wenn sich der Arbeitsplatz anstatt der Bibliotheken öffnen würde, wenn man auf das Explorer-Icon in der Taskleiste klickt. Ein Trick geht so:

• Rechtsklick auf das Explorer-Icon
• Rechtsklick auf Windows Explorer
• Im Kontextmenü Eigenschaften auswählen
• Bei Ziel folgendes an den bereits bestehenden Text dranhängen:

Eigene Dokumente: /e
Arbeitsplatz: /e,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}

Zuerst einmal eine kleine Erläuterung was es mit der PCI Vendor ID auf sich hat. Vendor bedeutet übersetzt Anbieter/Veräußerer – kurzum Hersteller. Also ist eine PCI Vendor ID eine Nummer vom Hersteller für ein PCI Gerät, wie eine Grafik- oder Netzwerkkarte, die auch onBoard sein kann. Anhand dieser Nummer, welche man bspw. unter Windows in den Eigenschaften des Geräts über den Gerätemanager herausfinden kann, kann man feststellen um welches Gerät und welchen Hersteller es ich handelt. Das ist natürlich besonders nützlich wenn man alte Hardware wieder zum Laufen bringen möchte oder einem ein unbekanntes Gerät angezeigt wird.

Doch nur mit der ID kommt man nicht weit, denn man braucht genau wie bei einer Telefonnummer erst einmal das Telefonbuch um nachschlagen zu können, um wen oder was es sich handelt. Auf der Seite PCIDatabase.com kann man entweder nach der Vendor ID oder nach dem Gerät an sich suchen. Treiber kann man auf der Seite selber keine runterladen, aber dafür gibt es auf der Startseite weiterführende Links.

Standardfreigaben sind nützlich und sind keine Sicherheitslücke – zumindest wenn man dem Administratorkonto ein sicheres Passwort vergeben hat. Standardfreigaben ermöglichen einem über die Angabe des Laufwerksbuchstaben und dem Dollarzeichen ($), wie bspw. \\MeinPC\C$ auf das entsprechende Laufwerk zuzugreifen, ohne dass man es vorher freizugeben braucht. Diese Freigabe ist nur für Leute zugänglich die das Passwort des Administrators kennen! Wenn dieser natürlich kein Passwort besitzt ist es jedem möglich. Um diese Freigaben nun dauerhaft zu entfernen muss unter folgenden Registry-Eintrag ein DWORD mit der Bezeichnung “AutoShareWks” (bei normalen Arbeitsstationen) oder “AutoShareServer” (bei Servern) mit einer 0 als Wert angelegt werden. Eine 1 würde das ganze wieder aktivieren.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

Heutzutage kommt es immer öffters mal vor, dass man auf einen Ordner auf einem anderen PC, NAS, etc. zugreifen möchte. Wenn dieser jedoch geschützt ist, muss man sich zuerst mit einem Benutzernamen und dem dazugehörigen Passwort anmelden. Dumm nur, wenn man das gemacht hat, sich aber jetzt unter einem anderen Konto anmelden möchte. Windows speichert nämlich die Zugangsdaten im Cache und man hat, solange der Zugang noch funktioniert, keine Möglichkeit sich mit einem anderen Benutzer anzumelden. Unter folgendem Pfad in der Windows-Registry lässt sich das das Speichern des Passworts verhindern:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Dort legt man ein DWORD mit der Bezeichnung “DisablePasswordCaching” (ohne die Anführungszeichen) an. Eine 1 als Wert verhindert das Speichern, eine 0 erlaubt es wieder. Diese Einstellung sollte bei allen Windows-Versionen (mindestens jedoch bei Windows XP) funktionieren.