Privates: LiebsterAward

André hat mich für den Liebster Award nominiert. Darum beantworte ich hier auf dem Blog mal wieder ein paar eher private Fragen:
liebsterblogaward

  • Wie bist du zum Bloggen gekommen?

    Ich hatte früher immer schon private Webseiten. Als ich dann Anfang 2005 in das Studentenwohnheim Albrecht-Thaer-Weg in Göttingen eingezogen bin und dort anfing mich im Internettutorium zu engagieren habe ich angefangen meine Webseiten selbst zu hosten. In dem Kontext habe ich mir dann als erstes serendipity ausprobiert und bin dann relativ schnell zu WordPress gewechselt. Dabei bin ich dann geblieben. Es war für mich immer eine persönliche Klowand an die ich alles das rankritzel was ich da lesen möchte. Früher auch mehr privates aber mit der Zeit hat sich das immer mehr zu Komputterzeugs gewandelt. Heute ist mein Blog für mich zweierlei: Persönliche Dokumentation von Komputerkrams, und nachdem ich etwas gemacht habe was ich cool finde das ganze noch einmal nachzulesen, recherchieren und aufzuschreiben damit sich das Wissen bei mir selbst festigt.

  • Worüber würdest du nie auf deinem Blog schreiben?

    Ich würde das, was man nur zwischen Menschen klären kann hier nie schreiben. Konflikte seien es private oder dienstliche gehören zwischen Menschen geklärt und nicht an eine virtuelle Klowand gekritzelt.

  • Hast du durch dein Blog schon besondere Dinge erlebt, die ohne es vermutlich nie passiert wären?

    Ja. Ich hatte mal eine kurze Phase bei der ich zu Filmen die ich gesehen habe schrieb, wie ich die auf einer Skala von 0-1 finde. Bei dem Film „Unsichtbar – Zwischen zwei Welten“ bekam ich einen Kommentar von adastra. Mir damals unbekannt. Ich habe mir die Webseite angeschaut die verlinkt war. Es war ein Blog in Cowboy/Western-Design und mit einem Bild von Ihr. Von da kam ich zu der Seite dailyfratze.de. Ich fand das spannend, aber hab mir erst einmal nur einen Bookmark gespeichert. Später dachte ich mir dann: Da willst Du auch mit machen und habe eine Email geschrieben und den Rest kann man da jetzt sehen… Heute kenne ich viele tolle neue Leute die ich ohne den Kommentar von adastra nie kennengelernt hätte.

  • Was hat dich 2014 am meisten bewegt?

    Meine Tochter.

  • Nimmst du dir spezielle Ziele für 2015 vor?

    Ich habe immer Dinge die ich in einem Jahr erreichen möchte. Die sind beruflich und privat. Ich spreche diese in der Regel aber nicht laut aus und schreibe sie auch nicht auf um mir selbst keinen Druck zu machen etwas machen zu müssen. Das hat bisher immer ganz gut geklappt und so halte ich es auch weiterhin. Aber: Ja, ich habe im Jahr 2015 Ziele die ich erreichen möchte.

  • Was sind die 5 wichtigsten Dinge in deinem Leben, ohne die du nicht leben würdest wollen?

    Die Frage ist zu dramatisch. Mir sind Menschen wichtig und Spaß. :-)

  • Wie sieht für dich ein idealer Sonntag aus?

    Ausschlafen, mit der Tochter spielen, mit der Frau reden, am Computer daddeln, kein Streit, vielleicht ein Spaziergang, muss aber nicht sein und ein gutes Fussballspiel wenns geht :-).

  • Was darf bei dir zu Weihnachten niemals fehlen?

    Menschen. Ich bin in einem Haus groß geworden wo immer alle Menschen willkommen waren. Auch Weihnachten hatten wir oft Besuch von anderen, die vielleicht sonst alleine gewesen wären. Zu Weihnachten gehören für mich Menschen.

  • Was bedeutet Familie für dich?

    Familie ist Leben. Sie bringt alle Emotionen die es gibt, Freude, Trauer, Wut, Angst, Liebe. Familie macht das Leben bunt und Abwechslungsreich. Sei es mit meiner Frau oder mit meiner Tochter oder mit beiden. Familie ist Leben.

  • Wenn du etwas in der Welt verändern könntest, was wäre das?

    Verständnis. Davon gibt es auf der Welt viel zu wenig. Verständnis für andere. Sich auf das Gegenüber einlassen, sich in ihn oder sie hinein denken, hinein fühlen. Verständnis würde viele Konflikte entschärfen, ja gar nicht erst aufkommen lassen. Es fehlt der Welt an Verständnis.

  • Gibt es ein technisches Spielzeug, was du gerne haben würdest wollen, was du dir aber einfach nicht kaufst?

    Es gibt immer wieder Spielzeug bei dem ich mir denke: Das überschreitet deine persönliche Schmerzgrenze, dafür ist mir mein Geld zu schade oder das kann ich nicht begründen. Ich brauche vieles auch nicht obwohl ich es cool finde. Zum Beispiel diese unnützen aber irgendwie coolen Bluetooth Pflanzen Sensoren die einem anzeigen ob man Gießen oder Düngen sollte… 8-)

Ich mache hier nicht weiter und fordere auch keine anderen auf mit zu machen. Wenn sich doch jemand angesprochen fühlt bitte hinterlasst doch einen Kommentar :-)

pregos blog nun nur noch per HTTPS

Ich habe mich dazu entschlossen meinen Blog nur noch per HTTPS zur Verfuegung zu stellen. Um das ganze moeglichst nutzerfreundlich zu gestalten habe ich ein SSL-Zertifikat von RapidSSL gekauft, so das es auch in den Browsern keine Fehlermeldungen geben sollte.

Perfect Forward Secrecy ist eingerichtet, HSTS auch. Fuer WordPress habe ich mir noch das „WordPress HTTPS“ Plugin installiert, im SSL-Test von Qualys SSL-Labs gibts ein A-, wenn ich die RC4-Ciphers raus nehme wuerde auch ein A+ drin sein, aber damit sperre ich alle Internet Explorer Nutzer aus.

Mehr Sicherheit fuer die eigenen Daten – selbstgehostete webbasierte Dienste

Dieses ist der achte Teil einer Serie von Blogeintraegen, die sich als Reaktion auf die NSA Affaere um den Kontext Sicherheit fuer die eigenen Daten und Verschluesselung drehen.

Links zu den ersten sieben Artikeln befinden sich am Ende des Blogposts. Im achten Teil moechte ich webbasierte Dienste vorstellen die man selber hosten kann und dadurch die eigenen Daten unter mehr Kontrolle hat.

Alles was ich bei mir speichern kann ist prinzipiell sicherer als das was ich nicht bei mir gespeichert habe. Wie einfach es dennoch ist daran zu kommen ist eine andere Geschichte, aber je mehr die Daten auf meinen Server liegen, desto sicherer sind sie. Voraussetzung dafuer ist natuerlich, dass man einen eigenen Linuxserver betreiben kann und moechte.

Mit der Zeit sind bestimmte Tools in den Regelbetrieb uebergegangen die ich hier im folgenden nun kurz vorstellen moechte:

WordPress

Mein Blog ist selbst gehostet. Seit 7,5 Jahren nutze ich meinen Blog unter der Adresse blog.pregos.info als meine persoenliche Klowand, an die ich alles das rankritzel was ich will. Die Software dahinter ist OpenSource, laesst sich von wordpress.org herunterladen und sehr einfach installieren. Updates koennen mit einem Klick aus der Software selbst heraus einspielt werden. Ich wuerde mich jederzeit wieder fuer WordPress entscheiden.

Alternative Loesungen bei denen ich beahlen muesste, monetaer oder mit meinen Daten, waeren zum Beispiel blogger.com oder wordpress.com

TinyTiny RSS

Frueher hatte ich RSS Feeds in Thunderbird abonniert. Das war aber auf Dauer aber voll aetzend, weil es nicht synchronisiert war. Ich bin dann auf die Software rsslounge gestossen und war damit lange Zeit sehr zufrieden. Das Projekt ist aber eingeschlafen und mit dem Nachfolger selfoss bin ich nicht warm geworden. Gelandet bin ich dann bei TinyTiny RSS. Die Software ist OpenSource und kann direkt auf der Projektseite heruntergeladen werden. Ich nutze sie mit dem Feedly-Theme, das ich im Forum gefunden habe. Es gibt auch eine offizielle Android App dafuer. Der Unlocker nach 7 Tagen kostet zwar 1.49EUR aber ich finde die App ist Ihr Geld wert. Mit der Software bin ich sehr zufrieden und kann sie nur weiterempfehlen.

Alternative Loesungen bei denen ich bezahlen muesste, monetaer oder mit meinen Daten, waeren zum Beispiel feedly, digg reader oder The Old Reader

Dokuwiki

Eine eigene Wiki zu haben ist mehr als praktisch. Ich notiere mir dort vieles was auf dem Blog hier keinen Platz hat: Urlaubsplanung, Geschenkideen, Links zu den Firmware Upgrade Seiten der persoenlichen Elektronikspielzeuge und so weiter. Dokuwiki ist eine sehr einfache Wikisoftware, kommt ohne Datenbank aus und laesst sich vor allem einfach bedienen. Sie ist OpenSource und laesst sich von der Webseite herunterladen.

Ich weiss nicht was ich als Alternative dazu nutzen wuerde, aber ich glaube die grossen Notizen die ich hier mache pflegen andere Leute vielleicht in Evernote oder Wunderlist.

Piwik

Ich gebe zu, ein bisschen spannend finde ich es ja schon wer alles meine Webseiten aufruft und was er sucht und findet und von wo her verlinkt wird und so weiter. Aus diesem Grund setze ich Piwik ein. Piwik ist eine Open Source Web-Analysesoftware und laesst sich kostenlos von piwik.org herunterladen.

Die einzige alternative Loesung die ich kenne ist Google Analytics. Vieles andere basiert auf Serverlogs und ist deswegen nicht vergleichbar.

Tine2.0

Ich betreibe einen eigenen Mailer (kommen spaeter noch Artikel dazu). Frueher habe ich als Webinterface Roundcube eingesetzt. Damit war ich immer sehr zufrieden. Parallel dazu habe ich die Google Apps in der freien Version mit einer eigenen Domain genutzt. Der Service wird heute nicht mehr angebote. Ich wollte aber wieder mehr Kontrolle ueber meine eigenen Daten gewinnen und mich von Google Produkten soweit es geht loesen. Deswegen bin ich von Roundcube und Google hin zu Tine2.0 migriert. Ich synchronisiere mein Android Handy und mein Thunderbird erfolgreich ueber CalDAV und CardDAV mit meiner Tine2.0 Instanz. Tine2.0 ist OpenSource und zum Einrichten sind sicherlich schon fortgeschrittene Kenntnisse notwendig. Heruntergeladen werden kann es auf http://www.tine20.org

 

Vorherige Blogposts:

  • Der erste Teil war fuer mich das Aufraeumen, einen Ueberblick zu bekommen sowie Strukturen zu schaffen, auf denen ich aufbauen kann.
  • Der zweite Teil bestand darin einen Ort zu schaffen, in dem ich Keys und Passwoerter sicher aufbewahren und gleichzeitig alles in ein vernuenftiges Backup schieben kann.
  • Der dritte Teil bezog sich auf das erzeugen von Zertifikaten und Einrichten von verschluesselten Verbindungen zu Apache vHosts.
  • Der vierte Teil drehte sich um das Thema Komfort im Webbrowser und verwies in dem Kontext auf einen Artikel zum selbst gehosteten Firefox Sync Server.
  • Im fuenften Teil habe ich etwas zu meinen Ueberlegungen zu sicheren Zugangsdaten und Passwoertern geschrieben.
  • Im sechsten Teil dreht es sich darum, wie man sich auf seinen Servern mit SSH aber ohne Passwort sicher authentifizieren kann.
  • Der siebte Teil behandelt das Thema Backup und zeigt eine Moeglichkeit wie man selbiges einfach konfiguriert und verschluesselt auf einem externen Speicher ablegen kann.

HowTo: https beim Anmelden an WordPress Blog Backend + Schutz gegen Brutforce

Bei meinem Blog hatte ich vor kurzem zwei Dinge die ich Aendern wollte:

  1. Der Blog soll ueber http:// lesbar sein, aber Anmelden soll grundsaetzlich immer https:// sein, damit das Passwort nicht unverschluesselt durch das Netz schwirrt
  2. Der Login Bereich soll gegen Brutforce Attacken abgesichert sein

Anmelden an Blog Backend nur ueber https://

Viele Menschen lesen diesen Blog oder finden hier hin. Ich bin immer wieder erstaunt darueber. Die Verbindung soll grundsaetzlich unverschluesselt sein, aber das Anmelden wollte ich – egal was ich eingebe – immer auf https:// landen, damit das Passwort nicht unverschluesselt durchs Netz uebertragen wird. Dafuer habe ich im vhost der auf Port 80 lauscht die folgende Rewrite Regel hinzugefuegt:

RewriteEngine On
RewriteCond %{REQUEST_URI}  ^/wp-login.php$
RewriteCond %{QUERY_STRING} ^(.*)$
RewriteRule ^(.*)$ https://blog.pregos.info/wp-login.php/%1? [R=302,L]

So werde ich immer auf https weitergeleitet ohne das ich darauf achten muss, das was ich eingebe. Es ist wichig mit mod_rewrite zu arbeiten und nicht nur einen Alias zu setzen, da wenn man sich aus dem Backend abmeldet man dann auch auf den Anmeldebildschirm zurueckgeleitet wird. Da haengen GET Parameter dran. Ein Alias wuerde dann nicht mehr greifen, die mod_rewrite Regel oben tut es hingegen.

Schutz gegen ungewollte (Brutforce) Anmeldeversuche am Blog Backend

Nach vielen vielen Jahren den ich diesen Blog nun schon schreibe bin ich auf das Plugin WP fail2ban gestossen. Es loggt fehlgeschlagene Loginversuche ins Backend mit, so das man diese mit fail2ban auswerten und behandeln kann. Ich habe mit ein bisschen schlechten Gewissen das Plugin installiert und mal geschaut was so passiert. Von der Anzahl der Attacken war ich echt ueberrascht. Teilweise Skriptkiddies die ueber Stunden hinweg von der gleichen IP probieren, teilweise aber auch Brutforce Attacken mit ueber 16000 Loginversuchen in ~3h.

Spannend zu sehen was mir vorher alles entgangen ist, aber so richtig gut fuehlt sich das nicht an, dass von tausenden von Hosts probiert wird und die immer erst nach drei Versuchen gesperrt werden. Deswegen ist es am einfachsten, wenn man das Backend mit einem Benutzernamen und Passwort direkt im Apache sichert. Das habe ich auf die folgende Art und Weise im vHost getan:

<Location /wp-admin/>
        AuthName "Wordpress Login"
        AuthType Basic
        AuthUserFile /var/www/pregos.info/htpasswd-blog
        Require valid-user
</Location>

Da die Angreifer einfach per POST Daten an die wp-login.php schicken habe ich die Datei selbst auch noch explizit wie folgt abgesichert:

<FilesMatch "wp-login.php">
        AuthName "Wordpress Login"
        AuthType Basic
        AuthUserFile /var/www/pregos.info/htpasswd-blog
        require valid-user
</FilesMatch>

In wieweit das Passwort ein komplexes Zufallspasswort oder ein einfacher zu merkendes ist, ist jedem selbst ueberlassen. Es hilft aber erstaunlich einfach und effizient gegen die Attacken auf meinen Blog.