Daniel – Seite 16 – pc-howto.com

Skype für Linux 1.10.0.1 (Alpha) – Videotelefonie

11. Oktober 2016 von Daniel

Wie Microsoft verlauten lässt, ist mit der letzten Version von Skype für Linux nun endlich auch Videotelefonie möglich. Angeblich zur Zeit nur zwischen Skypeusern unter Linux.

Nach dem Download der DEB Datei von:

https://www.skype.com/en/download-skype/skype-for-linux/downloading-web/?type=weblinux-deb

kann man diese zum Beispiel per Terminal:

dpkg -i skypeforlinux-64-alpha.deb

installieren.

Sollte es zu einem Abhängigkeitsproblem kommen – bei mir hat das Paket apt-transport-https gefehlt- kann dies beispielsweise mittels:

apt-get install -f

nachinstalliert werden.

Natürlich lässt sich das fehlende Paket auch per:

apt-get install apt-transport-https

auf den Rechner holen.Skype startet auf meinem Debian Stretch x64 problemlos. Leider allerdings, konnte ich die Videotelefonie noch nicht testen. skype

Opensource im Firmenumfeld – Der Durchbruch von Linux am Desktop

4. Oktober 2016 von Daniel

Beinahe jedes Jahr wird er prophezeit, der Durchbruch von „Linux“ auf dem Desktop. Als „Linux“ bezeichne ich im Folgenden die verschiedenen Distributionen.

Ich fände es sehr gut, wenn dies wirklich stattfinden würde, denke aber, dass die Zeichen hierfür weniger gut stehen. Obwohl Linux heutzutage allgegenwärtig ist, am Desktop konnte es nie so richtig „festmachen“.

Als Knackpunkt sehe ich vor allem den PC-Arbeitsplatz im Firmenumfeld und die Softwareindustrie. Ganz sicher spielt auch der Anwender, der eben im Firmenumfeld vor der „Kiste“ sitzt, eine Rolle. Der User ist ein Gewohnheitstier.

Wird hier zum Beispiel die Officeplattform (MS Office gegen Libre Office) ausgetauscht, führt dies meist zu einem Aufschrei. Die gewohnte Optik ist weg, die Funktionen befinden sich an andren Stellen. Man muss „alles“ neu lernen.

Der Netzwerkadmin, wird wohl wenig Interesse daran haben, den ohnehin schon stressigen Alltag noch stressiger zu gestalten und zu guter Letzt dann auch noch den Unmut der Anwender abzubekommen.

Heutzutage reichen ja die optisch immer anders aufbereiteten Officeversionen bereits aus, um den geneigten Anwendern die Schweißperlen auf der Stirn zu treiben…

„Wieso schaut das alles anders aus… Früher war das besser… Ich will wieder meine alte Oberfläche…“ etc.

Und mal im Ernst: Wer stellt heutzutage eine funktionierende IT-Infrastruktur freiwillig auf etwas Neues um? Viel zu eingefahren sind die „Softwarestraßen“ auf denen man sich fortbewegt. Viel zu hoch die Kosten einer Umstellung, viel zu gering das vorhandene Fachwissen im Opensource-OS-Bereich.

Aber, da war ja noch was?

Wir sind flexibel

…ja und wir unterstützen genau eine Officesuite und damit ist nicht die „kostenlose“ gemeint. So oder so ähnlich könnte der Teil eines Werbeslogans von Spezialsoftwareanbietern lauten.

und abgesehen davon:

…natürlich bieten wir keine plattformunabhängige Webapplikaton an, nein! Wieso auch, wäre ja zeitgemäß.

In Wahrheit – und mag es auch nur meine Meinung sein – fängt das Problem im Firmenumfeld hier an. Man ist auf Softwareprodukte EINES EINZIGEN Softwareherstellers angewiesen, da sonst die täglich anfallende Arbeit nicht erledigt werden kann.

Die Spezialsoftware liefert Auswertungen. Diese jedoch nur mit einer Schnittstelle – hin zu einem Officeprodukt, welches dummerweise wiederum nicht unter Linux läuft, sondern nur unter Windows.

In Summe führt dies zu einer Verkettung von Anforderungen, die es Linux schlicht unmöglich machen, sich wirklich am (Firmen)desktop zu etablieren.

Serverseitig sieht dies wiederum anders aus. Da läuft die Sache! 😉

Ja aber daheim

Im Privatbereich geht die Problematik eher in Richtung Computerspiele und die damit in Verbindung stehenden Anforderungen an das Betriebssystem. Die meisten Spiele laufen nach wie vor nur unter Windows, wenngleich es Gott sei Dank seit einiger Zeit auch kommerzielle Spiele für Linux gibt (Steam).

Viele Homeuser wollen sich aber auch gar nicht mit der Thematik „Linux“ auseinandersetzen. Andre Desktopbetriebssysteme sind gewohnt, es läuft alles – sofern der Hersteller nicht bei Updates pfuscht – und ausserdem gibt es selbst @home spezielle Software, die man eben unter Linux nicht bekommt.

Fazit

Ich sehe ja vor allem die Paketverwaltung der verschiedenen Linuxdistributionen als „Goldschatz“ an. Zentrale Verwaltung sämtlicher Updates, kein Herumgewürge mit Einzelpaketen, modularer Aufbau: „Ich mach mir die (Linux)welt, wie sie mir gefällt“, keine Neuinstallationsorgien, kein „slow down“ je länger das System läuft … – traumhaft!

So gäbe es noch unzählige positive Aspekte zu erwähnen…

Dennoch gibt es weiter oben erwähnte Kehrseite der Medaille.

Es mag schon sein, dass bereits jetzt viele Opensourceanwendungen im Umlauf sind und auch in Firmen (unter Windows, oder Mac OS) eingesetzt werden, dennoch hat das mit dem oft propagierten Durchbruch von Linux am Desktop nichts zu tun.

In einem Artikel las ich mal „Durchbruch von Linux am Deskop? – NEIN, Durchbruch von Opensource am Desktop? – JA“

Home-Mailserver mit DREI Hutchison – static IP – Ausgehende Emails werden geblockt

26. September 201621. September 2016 von Daniel

Nachdem die Geschwindigkeit meines mobilen Internetanschlusses für österreichische Verhältnisse „durch die Decke“ geht, habe ich sämtliche Dienste, die bis zuletzt auf einem externen Server (Rootserver) lagen, auf meinen Raspberry PI3 verlegt.

Grundsätzlich muss ich sagen, dass die Sache rund läuft. Wäre da nicht das leidige Thema der ausgehenden Emails, in Verbindung mit der vorhandenen statischen IP Adresse.

Sie ist statisch, ja.

Sie kostet zusätzlich pro Monat.

Dennoch erkennt zum Beispiel outlook.com die Adresse als „Adresse aus einem dynamischen IP Pool“ und nimmt Mails, die ich über meinen Mailserver sende, nicht an.

Andere Anbieter spucken mir ebenso in die Suppe. (Filterung von Spamhaus.org), obwohl ich dort nicht wegen etwaigem Blacklisting aufscheine.

Auszug:

Outbound Email Policy of The Spamhaus Project for this IP range:

This IP address range has been identified by Spamhaus as not meeting our policy for IP addresses permitted to deliver unauthenticated ‚direct-to-mx‘ email to PBL users.

Important: If you are using any normal email software (such as Outlook, Entourage, Thunderbird, Apple Mail, etc.) and you are being blocked by this Spamhaus PBL listing when you try to send email, the reason is simply that you need to turn on „SMTP Authentication“ in your email program settings. For help with SMTP Authentication or ways to quickly fix this problem click here.

Es liegt jedenfalls nicht am SMTP-Auth. Ich habe mich jetzt vom Listing entfernen lassen. Mal schauen, wann/ob ich bald wieder gelistet bin.

Schade, offenbar kann man doch nicht alle Dienste zu Hause nutzen. Zumindest nicht in Kombination mit meinem vorhandenen Internetzugang.

Update: Mein Ansuchen an DREI wurde innerhalb von wenigen Tagen erhört. Es wurde ein entsprechender Reverse-DNS-Eintrag für meine Domain erstellt.

Somit gibt es auch rein technischer Sicht, kein Problem mehr, was die Konfiguration des Mailserver betrifft.

mail

Dennoch ist es nicht möglich, Emails an outlook.com zu senden:

Unfortunately, messages from 77.119.254.141 weren't sent.
    Please contact your Internet service provider. You can tell them that
    Hotmail does not relay dynamically-assigned IP ranges. You can also refer
    your provider to http://mail.live.com/mail/troubleshooting.aspx#errors

Bleibt wohl nur noch die Möglichkeit des sendens über Smarthost.

Nachtrag: Raspi3 Owncloud 9 – Apache verursacht bei Upload extrem hohe CPU Auslastung

25. Juli 2016 von Daniel

Beim Upload eine ca. 1.3 GB großen ISO-Datei über das Owncloud-Backend, geht der Prozessor des Raspi3 in die Knie.

owncloud_apache_killscpu

Investigating…

Raspberry PI3 und Owncloud 9 auf Raspbian Lite

11. Oktober 201625. Juli 2016 von Daniel

Nachdem ich mittlerweile einen recht potenten Internetzugang zu Hause habe, wollte ich mal versuchen, wie es sich denn verhält, wenn man Owncloud wirklich zu 100% selbst hostet und nicht auf einen externen Serveranbieter angewiesen ist.

Zu diesem Zwecke, hatte ich zuletzt in einen Raspberry PI3 investiert.

Als Betriebsystem kommt Raspian Lite (Jessie) zum Einsatz.

phpmyadmin installieren

Zuerst installiere ich mysql-server5, anschließend dann phpmyadmin. Phpmyadmin zieht den Apache Webserver und div. Php-Module mit. Bei der Vergabe des MySql-Rootpasswortes sollte man kein zu einfaches Passwort wählen!

/var/www auf SSD mounten

Anmerkung: Im Nachhinein gesehen, wäre es wahrscheinlich besser gewesen, das komplette /var Verzeichnis auszulagern!

Ich mounte also per /etc/fstab/ die erste Partition der SSD /dev/sda1 auf /var/www. Das Verzeichnis liegt somit auf einer rund 60GB großen Partition auf der SSD-Festplatte.

Owncloud Repo hinzufügen und installieren

Wie man auf der Site https://download.owncloud.org/download/repositories/stable/owncloud/ beschrieben, binde ich das Repository in apt ein. Die installation von Owncloud geschieht mittels:

apt-get update

apt-get install owncloud

Datenbank für Owncloud erstellen

Per phpmyadmin lege ich die für Owncloud notwendige Datenbank an.

ownclouddb

Natürlich brauchen wir auch noch einen User, der auf die DB zugreifen soll. Bitte nicht den MySql – Root User verwenden!

owncloudusr

Nachdem User und Datenbank erstellt sind, müssen noch die Berechtigungen des User auf die Datenbank vergeben werden (Klick für größeres Bild).

owncloud rechte

SSL Vhost aktivieren, SSL Zertifikat einbinden

Owncloud sollte NICHT per HTTP angesprochen werden. Es sollte eine strikte Umleitung auf SSL erfolgen. Dies wiederum, erfordert ein entsprechends SSL Zertifikat. Ein solches Zertifikat kann man sich entweder selbst erstellen, oder aber günstig erwerben. Ich habe mit AlphaSSL gute Erfarhungen gemacht. Es spricht jedoch nichts dagegen, ein selfsigned Zertifikat zu verwenden. Es geht ja primär um die Verschüsselung.

Genauere Infos dazu u.a. bei Digitalocean

Eine Bespielkonfiguration (Apache Vhost-Datei unter /etc/apache2/sites-available/dein.vhost.conf), mit permanenter Umleitung auf https kann z.B.: so aussehen (Apache Version 2.4):

<VirtualHost *:80>
ServerName owncloud.server.at
DocumentRoot /var/www/owncloud
SSLVerifyClient optional
Redirect permanent / https://owncloud.server.at
</Virtualhost>

<VirtualHost *:443>
ServerName owncloud.server.at
<IfModule mod_headers.c>
Header always set Strict-Transport-Security „max-age=15768000; includeSubDomains; preload“
</IfModule>

SSLEngine on
SSLCertificateKeyFile /etc/ssl/private/zertifikat.key
SSLCertificateFile /etc/ssl/certs/zertifikat.crt
SSLCaCertificateFile /etc/ssl/certs/AlphaSSLroot.crt

DocumentRoot /var/www/owncloud

<Directory /var/www/owncloud>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Require all granted
</Directory>

ErrorLog /var/log/apache2/owncloud_error.log
CustomLog /var/log/apache2/owncloud_access.log combined
</VirtualHost>

Oben FETT geschrieben = permanente Umleitung auf HTTPS

Die Konfiguration muss dann noch per a2ensite <vhostfile> aktiviert werden! (Achtung Apache Restart nicht vergessen!)

Apache Modul SSL und headers aktivieren

a2enmod ssl
a2enmod headers
service apapche2 restart

Memory Cache apcu installieren

apt-get install php5-apcu

Danach diese Zeile (unten fett geschrieben) in /var/www/owncloud/config/config.php einfügen:

‚dbpassword‘ => ‚wPCn5EhH5q4E4ZcB‘,
‚logtimezone‘ => ‚UTC‘,
‚installed‘ => true,
‚memcache.local‘ => ‚\OC\Memcache\APCu‘,

Apache Restart nicht vergessen.

Owncloud Installation starten

Nun sollten die grundlegenden Vorarbeiten erledigt sein. Nach Aufruf des entsprechenden URL der Owncloudinstallation, gibt man nun DB_User, Datenbank, Host, Owncloud-Admin-User inklusive Passwort in die erscheinende Maske im Browser ein und klickt auf „Installation Fertigstellen“.

Ist alles glatt gegangen, sollte man im Backend von Owncloud landen.

Weitere wichtige Schritte

Serverseitige Verschlüsselung aktivieren

Im Backend sollte die serverseitige Verschlüsselung (Anklicken des angemeldeten User – Administration – links auf Serverseiteige Verschlüsselung – Haken setzen bei Serverseiteige Verschlüsselung aktivieren + Klick auf Verschlüsselung aktiveren) eingeschaltet werden.

Verschlüsselungsmodul laden

Aktivieren des Verschlüsselungsmodules über Klick (links) auf: Apps – Nicht aktiviert – Default encryption module – > auf Aktivieren klicken.

Danach bitte nochmals ab- und wieder anmelden, damit der Schlüssel initialisiert werden kann.

fail2ban installieren

apt-get install fail2ban

Danach kopiert man /etc/fail2ban/jail.conf nach jail.local und aktiviert die entsprechenden jails in der Datei.

Am Beispiel von ssh sieht die Konfig so aus (enabled einfach auf true stellen):

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

rkhunter installieren

apt-get install rkhunter

rkhunter –propupd –update

Sollte man in eine Fehlermeldung a la: „Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request“ laufen, muss in /etc/rkhunter.conf die Zeile

SCRIPTWHITELIST=/usr/bin/lwp-request

auskommentiert werden. Danach sollte das Updatescript problemlos durchlaufen und einen Fingerabdruck des Systemes erstellen.

mod_evasive aktivieren

apt-get install libapache2-mod-evasive

Nach der Installation sollte man das Logginverzeichnis erstellen und dem Apache-User (in der Regel www-data bei einsatz von mod_php) Zugriff auf dieses Verzeichnis gewähren.

chown www-data /var/log/mod_evasive

Unter /etc/apache2/mods-available/evasive.conf muss die Konfiguration angepasst werden. Eine nicht so scharf eingestellte Beispielkonfiguration wäre:

<IfModule mod_evasive20.c>
DOSHashTableSize    3097
DOSPageCount        20
DOSSiteCount        100
DOSPageInterval     1
DOSSiteInterval     1
DOSBlockingPeriod   10

DOSEmailNotify      hostmaster@it-networker.at
#DOSSystemCommand    „su – someuser -c ‚/sbin/… %s …'“
DOSLogDir           „/var/log/mod_evasive“
DOSWhitelist 127.0.0.1
</IfModule>

Dies sollte es vorerst gewesen sein. Im folgenden Teil (noch in Arbeit), werde ich kurz auf die zusätzliche Absicherung des Systemes eingehen und auch eine Benachrichtigung einrichten.

Vor allem kann ich dann eventuell schon Aussagen bezogen auf die Leistungsfähigkeit des PI3 tätigen.