Mehr Sicherheit fuer die eigenen Daten – selbstgehostete webbasierte Dienste

Dieses ist der achte Teil einer Serie von Blogeintraegen, die sich als Reaktion auf die NSA Affaere um den Kontext Sicherheit fuer die eigenen Daten und Verschluesselung drehen.

Links zu den ersten sieben Artikeln befinden sich am Ende des Blogposts. Im achten Teil moechte ich webbasierte Dienste vorstellen die man selber hosten kann und dadurch die eigenen Daten unter mehr Kontrolle hat.

Alles was ich bei mir speichern kann ist prinzipiell sicherer als das was ich nicht bei mir gespeichert habe. Wie einfach es dennoch ist daran zu kommen ist eine andere Geschichte, aber je mehr die Daten auf meinen Server liegen, desto sicherer sind sie. Voraussetzung dafuer ist natuerlich, dass man einen eigenen Linuxserver betreiben kann und moechte.

Mit der Zeit sind bestimmte Tools in den Regelbetrieb uebergegangen die ich hier im folgenden nun kurz vorstellen moechte:

WordPress

Mein Blog ist selbst gehostet. Seit 7,5 Jahren nutze ich meinen Blog unter der Adresse blog.pregos.info als meine persoenliche Klowand, an die ich alles das rankritzel was ich will. Die Software dahinter ist OpenSource, laesst sich von wordpress.org herunterladen und sehr einfach installieren. Updates koennen mit einem Klick aus der Software selbst heraus einspielt werden. Ich wuerde mich jederzeit wieder fuer WordPress entscheiden.

Alternative Loesungen bei denen ich beahlen muesste, monetaer oder mit meinen Daten, waeren zum Beispiel blogger.com oder wordpress.com

TinyTiny RSS

Frueher hatte ich RSS Feeds in Thunderbird abonniert. Das war aber auf Dauer aber voll aetzend, weil es nicht synchronisiert war. Ich bin dann auf die Software rsslounge gestossen und war damit lange Zeit sehr zufrieden. Das Projekt ist aber eingeschlafen und mit dem Nachfolger selfoss bin ich nicht warm geworden. Gelandet bin ich dann bei TinyTiny RSS. Die Software ist OpenSource und kann direkt auf der Projektseite heruntergeladen werden. Ich nutze sie mit dem Feedly-Theme, das ich im Forum gefunden habe. Es gibt auch eine offizielle Android App dafuer. Der Unlocker nach 7 Tagen kostet zwar 1.49EUR aber ich finde die App ist Ihr Geld wert. Mit der Software bin ich sehr zufrieden und kann sie nur weiterempfehlen.

Alternative Loesungen bei denen ich bezahlen muesste, monetaer oder mit meinen Daten, waeren zum Beispiel feedly, digg reader oder The Old Reader

Dokuwiki

Eine eigene Wiki zu haben ist mehr als praktisch. Ich notiere mir dort vieles was auf dem Blog hier keinen Platz hat: Urlaubsplanung, Geschenkideen, Links zu den Firmware Upgrade Seiten der persoenlichen Elektronikspielzeuge und so weiter. Dokuwiki ist eine sehr einfache Wikisoftware, kommt ohne Datenbank aus und laesst sich vor allem einfach bedienen. Sie ist OpenSource und laesst sich von der Webseite herunterladen.

Ich weiss nicht was ich als Alternative dazu nutzen wuerde, aber ich glaube die grossen Notizen die ich hier mache pflegen andere Leute vielleicht in Evernote oder Wunderlist.

Piwik

Ich gebe zu, ein bisschen spannend finde ich es ja schon wer alles meine Webseiten aufruft und was er sucht und findet und von wo her verlinkt wird und so weiter. Aus diesem Grund setze ich Piwik ein. Piwik ist eine Open Source Web-Analysesoftware und laesst sich kostenlos von piwik.org herunterladen.

Die einzige alternative Loesung die ich kenne ist Google Analytics. Vieles andere basiert auf Serverlogs und ist deswegen nicht vergleichbar.

Tine2.0

Ich betreibe einen eigenen Mailer (kommen spaeter noch Artikel dazu). Frueher habe ich als Webinterface Roundcube eingesetzt. Damit war ich immer sehr zufrieden. Parallel dazu habe ich die Google Apps in der freien Version mit einer eigenen Domain genutzt. Der Service wird heute nicht mehr angebote. Ich wollte aber wieder mehr Kontrolle ueber meine eigenen Daten gewinnen und mich von Google Produkten soweit es geht loesen. Deswegen bin ich von Roundcube und Google hin zu Tine2.0 migriert. Ich synchronisiere mein Android Handy und mein Thunderbird erfolgreich ueber CalDAV und CardDAV mit meiner Tine2.0 Instanz. Tine2.0 ist OpenSource und zum Einrichten sind sicherlich schon fortgeschrittene Kenntnisse notwendig. Heruntergeladen werden kann es auf http://www.tine20.org

 

Vorherige Blogposts:

  • Der erste Teil war fuer mich das Aufraeumen, einen Ueberblick zu bekommen sowie Strukturen zu schaffen, auf denen ich aufbauen kann.
  • Der zweite Teil bestand darin einen Ort zu schaffen, in dem ich Keys und Passwoerter sicher aufbewahren und gleichzeitig alles in ein vernuenftiges Backup schieben kann.
  • Der dritte Teil bezog sich auf das erzeugen von Zertifikaten und Einrichten von verschluesselten Verbindungen zu Apache vHosts.
  • Der vierte Teil drehte sich um das Thema Komfort im Webbrowser und verwies in dem Kontext auf einen Artikel zum selbst gehosteten Firefox Sync Server.
  • Im fuenften Teil habe ich etwas zu meinen Ueberlegungen zu sicheren Zugangsdaten und Passwoertern geschrieben.
  • Im sechsten Teil dreht es sich darum, wie man sich auf seinen Servern mit SSH aber ohne Passwort sicher authentifizieren kann.
  • Der siebte Teil behandelt das Thema Backup und zeigt eine Moeglichkeit wie man selbiges einfach konfiguriert und verschluesselt auf einem externen Speicher ablegen kann.

Nagios: check Piwik Update Status

Wenn man Software nicht aus den Repositories einer Distribution, sondern von Hand installiert, muss man immer im Blick haben, ob fuer die Software nicht ein Update zur Verfuegung steht

Um sich dieses fuer Piwik zu vereinfachen habe ich dafuer ein sehr simples Nagios Plugin, check_piwik.sh, geschrieben:

#!/bin/bash
 
#####
#
# Simple Skript that checks if Piwik version from given URL is up to date
# 
# Usage: ./check_piwik.php http://example.net/piwik/ MYTOKEN
#
#####
 
## check if two parameters are given
if [ "$#" -lt "2" ]; then echo -e "ERROR: You need to give two parameter, first option is URL and second option Token . Aborting." >&2 exit 1; fi
PIWIKURL="$1"
TOKEN="$2"
 
## check if needed programs are installed
type -P curl &> /dev/null || { echo "ERROR: curl is required but seems not to be installed.  Aborting." >&2 exit 1; }
type -P sed &> /dev/null || { echo "ERROR: sed is required but seems not to be installed.  Aborting." >&2 exit 1; }
 
## get latest piwik version from piwik api
LATESTVERSION=$(curl -s http://api.piwik.org/1.0/getLatestVersion/)
 
## get piwik version from given url
LOCALURL="$PIWIKURL/index.php?module=API&method=API.getPiwikVersion&format=xml&token_auth=$TOKEN"
LOCALVERSION=$(curl -s $LOCALURL | sed -n -e 's/.*<result>\(.*\)<\/result>.*/\1/p')
 
## compare both strings
if [ "$LATESTVERSION" != "$LOCALVERSION" ]; then
  echo "A new version is available: $LOCALVERSION -> $LATESTVERSION"
  exit 2
else 
  echo "Your current version $LOCALVERSION is up to date"
fi

Es erwartet zwei Parameter, eine URL zu dem Piwik das ueberprueft werden soll, und den API Token fuer diese Installation. Dementsprechend muss in der command.cfg der Check wie folgt definiert werden:

define command {
        command_name    check_piwik
        command_line    $USER1$/check_piwik.sh $ARG1$ $ARG2$
}

Der Check selbst wird dann wie folgt in die entsprechende Konfigurationsdatei eingetragen:

define service {
        use                             my-service
        host_name                       example.net
        service_description             Piwik
        check_command                   check_piwik!http://example.net/piwik!abcdefghijklmnopqrstuvwxyz123
        }

Fertig eingerichtet bekommt man dann von seinem Nagios Auskunft ueber den Updatestatus der entsprechenden Installation: