HowTo: Privatsphaere in Firefox verbessern

In diesem Blogeintrag sind verschiedene Punkte zusammengefasst, die helfen die Privatsphaere im Webbrowser Firefox zu verbessern.

Firefox native Einstellungen

  • In den Firefox-Einstellungen unter „Datenschutz“ die Option waehlen „Websites mitteilen, meine Aktivitaeten nicht zu verfolgen“. Das aktiviert die Do-Not-Track Option.
  • In den Firefox Einstellungen unter Erweitert im Reiter „Datenuebermittlung“ die beiden Haken entfernen
  • In den Firefox Einstellungen unter Erweitert im Reiter „Update“ die automatische Aktualisierung der Suchmaschinen deaktivieren.
  • Im Addon-Manager auf „Plugins“ klicken und fuer die Plugins auswaehlen das „Nachfragen, ob aktiviert werden soll“.
  • Google Safebrowsing deaktivieren. Auch wenn es eine tolle Sicherheitseinstellung ist, steht es im krassen Gegensatz zum Schutz der eigenen Privatsphaere. Safebrowsing sendet jede URL die man in die Adresszeile eingibt an einen Safebrowsing Anbieter. Dieser prueft, ob die eingegebene URL dafuer bekannt ist Viren oder sonstige Malware zu verbreiten. Sollte das der Fall sein gibt es eine Warnung zurueck. Die Datenuebertragung geschieht zwar verschluesselt und nur als Hash usw., es aendert aber nichts am Fakt, dass jede URL an den Safebrowsing Anbieter (bei Firefox ist Google der voreingestellte Anbieter) uebertragen wird und somit eine umfassende Historie aufgebaut werden koennte. Um das Feature zu deaktivieren muss man in der Adresszeile about:config eingeben, den Warnhinweis bestaetigen und die folgenden beiden Werte auf false setzen:
    browser.safebrowsing.enabled
    browser.safebrowsing.malware.enabled

Firefox Plugins die die Privatsphaere besser schuetzen:

  • Um Tracking im allgemeinen zu verhindern verwende ich das Plugin DoNotTrackMe von Abine.
  • Ein Klassiker gegen Werbung ist Adblock Plus. Wichtig ist bei diesem Plugin aber zusaetzlich in den Filtereinstellungen den Haken bei „Einige nicht aufdringliche Werbung zulassen“ zu entfernen.
  • Sehr gut ist auch das Plugin BetterPrivacy. Es hilft dabei Langzeitcookies, auch als Flash-Cookies bekannt, zu entfernen. Diese werden von den klassischen Cookie-Mechanismen des Browsers nicht erkannt.
  • Optional, aber wie ich finde dennoch wichtig ist es auch die Standardsuchmaschine von Google weg zu etwas anderem zu wechseln. Ich habe mich fuer DuckDuckGo entschieden, auch wenn die Google von der Qualitaet her lange nicht das Wasser reichen koennen. Wenn Google als Standardsuchmaschine eingestellt ist wird ja zum Beispiel alles was man in den Suchschlitz kopiert, auch wenn man ihn nur als Zwischenablage benutzt, an Google uebertragen um Suchvorschlaege anzuzeigen.
  • Ich persoenlich habe weiter das Plugin HTTPS-Everywhere von der EFF installiert. Es achtet automatisch darauf bei vielen Webseiten https statt http zu nutzen. So schwirren weniger unverschluesselte Daten von einem selbst durch das Netz.
  • Das Plugin „Secret Agent“ fuehrt beim taeglichen Einsatz zu erheblichen Nebenwirkungen, ist aber ganz spannend. Es aendert bei jeder Anfrage den User Agent vom Webbrowser. So kann ein Tracking durch Browser Fingerprinting erschwert oder vielleicht auch verhindert werden. Viele Webseiten werten den Agent aber aus, um zum Beispiel smartphonekompatible Seiten anzuzeigen. Gerade Google ist fast unbrauchbar mit dem Plugin weil es so viele Unterscheidungen hat. Ich benutze es trotzdem. Seine eigenen Seiten kann man zu einer Whitelist hinzufuegen. Download hier

HowTo: Backup von Android Handy auf eigene Server

In meinen Bestrebungen alles auf eigenen Servern zu haben, habe ich nun auch das Backup meines Nexus 5 Smartphones erfolgreich dorthin ausgelagert. Dafuer habe ich auf dem Smartphone die folgenden drei Dinge gemacht:

  1. Rooten des Smartphones. Ich verweise an dieser Stelle einfach auf die Auto-Root Geschichten von chainfire. Die sind einfach und funktionieren. Man sollte ruhig die paar Euros in die Vollversion von SuperSU investieren, damit man die Rootrechte auch nach einem OTA Update behaelt.
  2. Titanium Backup gekauft und installiert. Ich habe einfach die Standard Zeitplaene uebernommen.
  3. FolderSync gekauft und installiert.

Anschliessend habe ich in FolderSync einen neuen SFTP-Account hinzugefuegt. Dabei habe ich Server-Adresse und Port sowie Benutzernamen und Passwort entsprechend eingegeben. Danach habe ich ein neues Ordnerpaar hinzugefuegt. Dafuer habe ich als Account den SFTP-Account ausgewaehlt und als lokalen Ordner /storage/sdcard0/TitaniumBackup. Die Synchronisations-Art ist „Zu Remote-Ordner“, und es ist eine taegliche, planmaessige Synchronisation.

Der SFTP-Account hat auf Serverseite als Shell /usr/lib/sftp-server und ist Mitglied der Gruppe sftp-allow:

chsh -s /usr/lib/sftp-server androidbackup
addgroup sftp-allow
adduser androidbackup sftp-allow

Die Gruppe sftp-allow ist in der /etc/ssh/sshd_config unter AllowGroups aufgefuehrt:

AllowGroups ssh-allow sftp-allow

Fuer Mitglieder der Gruppe sftp-allow ist in der /etc/ssh/sshd_config weiter folgendes konfiguriert:

Subsystem sftp internal-sftp
Match group sftp-allow
  ChrootDirectory /home/%u
  X11Forwarding no
  AllowTcpForwarding no
  ForceCommand internal-sftp
  PasswordAuthentication yes

Auf dem Server habe ich noch das unten stehende Skript laufen, dass alte Backups loescht. Dieses habe ich bewusst so gewaehlt, so habe ich auf dem Smartphone immer das letzte komplette Backup, und auf dem Server kann ich aber den kompletten letzten Monat aufbewahren. Das Skript sieht wie folgt aus:

  • /etc/cron.daily/cleanupOldAndroidBackups
#!/bin/bash
 
KEEP_DAYS=30
BACKUPDIR=/home/android/Backups/
 
if [ "$(find ${BACKUPDIR} -type f -mtime +${KEEP_DAYS})" != "" ]; then
        echo "Cleaning up the following Android Backup files:"
        find ${BACKUPDIR} -type f -mtime +${KEEP_DAYS}
fi
 
find ${BACKUPDIR} -type f -mtime +${KEEP_DAYS} -delete

Das ganze hat seinen ersten Praxistest vor ein paar Tagen auch bestanden als ich ausversehen mein Smartphone zurueckgesetzt habe. Ich habe dann Foldersync und Titanium Backup installiert, Synchronisations-Art in Foldersync andersherum eingerichtet (Zu lokalem Ordner) und mit Titanium Backup alles wieder eingespielt. Hat zu meinem eigenen Erstaunen funktioniert!

HowTo: Backup von LUKS Headerdaten erzeugen / zurueckspielen

Heute morgen kam ich zur Arbeit und mein Rechner wollte das Passwort zum entschluesseln der mit LUKS verschluesselten Festplatten nicht mehr annehmen. Nach einer Stunde probieren aller erdenklichen Moeglichkeiten habe ich mich dann dazu entschieden den PC komplett neu aufzusetzen. Zum Glueck ist nur sehr wenig verloren.

Warum ich in der letzten Woche jeden Morgen das Passwort eingeben konnte und es heute morgen nicht mehr ging ist ein Raetsel. Vielleicht haette mir ein Backup der LUKS Headerdaten geholfen. Ich hatte aber keines, bis gerade eben.

Erzeugen:

cryptsetup luksHeaderBackup /dev/disk/by-uuid/XXXX --header-backup-file /tmp/backupname.luksheader

Wieder einspielen:

cryptsetup luksHeaderRestore /dev/disk/by-uuid/XXXX --header-backup-file /tmp/backupname.luksheader

Mehr Sicherheit fuer die eigenen Daten: Groupware ohne Google

Dieses ist der zehnte Teil einer Serie von Blogeintraegen, die sich als Reaktion auf die NSA Affaere um den Kontext Sicherheit fuer die eigenen Daten und Verschluesselung drehen.

Links zu den ersten neun Artikeln befinden sich am Ende des Blogposts. Im zehnten Teil moechte ich meine Loesung zum Thema Groupware ohne vorstellen.

Wir leben in der Cloud. 24 Stunden vom Tag ist der Router mit dem Internet verbunden. Das Smartphone ist nur noch bei schlechter Netzabdeckung offline und die wird auch immer seltener. Es ist bequem auf dem Smartphone eine Telefonnummer ins Adressbuch hinzuzufuegen, und der Eintrag auf dem DECT Telefon Zuhause aktualisiert sich auch automatisch. Es ist bequem auf dem stationaeren Arbeitsplatz PC eine Emailadresse ins Adressbuch zu uebernehmen und spaeter ist sie auch auf dem Adressbuch des Laptops. Koennen wir uns eine Welt in der die Mails NICHT auf einem Server liegen und gleichermassen von Arbeitsplatz PC, Laptop, Smartphone, Tablet oder Webinterface bei Bekannten abgerufen werden koennen vorstellen? Ich nicht.

Google macht es einem da sehr einfach. Mit Diensten wie GMail, dessen Adressbuch, Google Calendar oder auch Google Drive gibt es fuer alles Loesungen. Sie sind kostenlos und das Erstellen eines Google Kontos dauert gerade mal zwei Minuten. Auf fast allen Geraeten kann man es sehr einfach einbinden. Wenn man ein Android Smartphone oder Tablet besitzt, ist die Integration perfekt!

Ich war auch in der Google Abhaengigkeit und mich davon zu loesen war schwerer als gedacht. Ich werde hier in diesen Blogpost keine Anleitungen schreiben wie alles eingerichtet ist, das ist definitiv zu kompliziert. Wenn jemand das Setup nachbauen moechte kann er mich gerne kontaktieren und ich helfe dabei oder gebe Tipps. Deswegen hier meine Loesung nur grob umrissen.

Grunsaetzlich liegt alles auf einem eigenen Server. Dieser ist voll verschluesselt. Fuer Emailempfang und Versand sowie den Zugriff via IMAP ist Postfix als MTA und Dovecot als MDA installiert. Bei beiden Diensten ist Perfect Forward Secrecy eingerichtet. Bei Dovecot wurde weiter das managesieve Plugin aktiviert. Postfix akzeptiert Verbindungen mit STARTTLS auf Port 25 und 465; letzterer damit man auch aus restriktiven Netzen bei denen Port 25 gesperrt ist wie z.B. be vielen WLANs in Hotels oder Gastnetzen von Universitaeten Emails versenden kann. Dovecot wurde so konfiguriert, dass nur Verbindungen ueber IMAPS auf Port 993 akzeptiert werden.

Als Groupware kommt bei mir Tine20.org zum Einsatz. Installiert habe ich es aus den bereitgestellten Debian Repositories. Apache ist so konfiguriert, dass der vhost auf Port 80 automatisch auf den vhost auf Port 443 weiterleitet. Tine20 wurde mit Postfix und Dovecot Backend eingerichtet. So kann ich die komplette Konfiguration der User und der Virtual Mailboxes aus dem Tine20 Adminmodul machen.

Als MUA auf dem Desktop verwende ich Thunderbird. Fuer Email ist alles mit den Standard Boardmitteln konfiguriert. Kalender, Adressbuch und Aufgaben werden mit Hilfe der Kombination aus Lightning Plugin und SOGo Connector synchronisiert.

Als Mailclient auf dem Smartphone verwende ich Kaiten Mail. Zur Synchronisation von Kalender, Adressbuch und Aufgaben nutze ich die Apps CalDAV-Sync, CardDAV-Sync und Tasks. Die Android eigene Kalenderapplikation habe ich gegen aCalendar getauscht.

Dieses Setup ermoeglicht es mir die Synchronisation meines Google Kontos in den Android Einstellungen komplett zu deaktivieren.

Seit dem neusten Release von Tine20.org – Collin – kann Tine auch als Server fuer OwnCloud Clients fungieren. Das funktioniert prinzipiell auch schon ganz gut, aber gerade auf dem Smartphone gibt es immer nochmal wieder Synchronisierungsprobleme. Ob das nun an der App, Tine20, Android 4.4 oder an meiner Serverkonfiguration liegt habe ich noch nicht herausgefunden.

Vorherige Blogposts:

  • Der erste Teil war fuer mich das Aufraeumen, einen Ueberblick zu bekommen sowie Strukturen zu schaffen, auf denen ich aufbauen kann.
  • Der zweite Teil bestand darin einen Ort zu schaffen, in dem ich Keys und Passwoerter sicher aufbewahren und gleichzeitig alles in ein vernuenftiges Backup schieben kann.
  • Der dritte Teil bezog sich auf das erzeugen von Zertifikaten und Einrichten von verschluesselten Verbindungen zu Apache vHosts.
  • Der vierte Teil drehte sich um das Thema Komfort im Webbrowser und verwies in dem Kontext auf einen Artikel zum selbst gehosteten Firefox Sync Server.
  • Im fuenften Teil habe ich etwas zu meinen Ueberlegungen zu sicheren Zugangsdaten und Passwoertern geschrieben.
  • Im sechsten Teil dreht es sich darum, wie man sich auf seinen Servern mit SSH aber ohne Passwort sicher authentifizieren kann.
  • Der siebte Teil behandelt das Thema Backup und zeigt eine Moeglichkeit wie man selbiges einfach konfiguriert und verschluesselt auf einem externen Speicher ablegen kann.
  • Der achte Teil stellt webbasierte Dienste vor, die man selber hosten kann und dadurch die eigenen Daten unter mehr Kontrolle hat.
  • Der neunten Teil stellt meine Ueberlegungen zu selbstgehosteten Servern und deren Sicherheit im Kontext Verschluesselung der Festplatten vor.