nohack.de – Mit Sicherheit besser

HowTo

Zertifikate von Let’s Encrypt für Apache unter Windows erzeugen

Beitragsautor Von Michael
Beitragsdatum Mai 4, 2021
Keine Kommentare zu Zertifikate von Let’s Encrypt für Apache unter Windows erzeugen

Certbot installieren

Certbot Anleitung für Windows und Apache gibt es unter:
https://certbot.eff.org/lets-encrypt/windows-apache

Certbot für Windows kann aktuell hier herunterladen werden:
https://dl.eff.org/certbot-beta-installer-win32.exe

Certbot installieren.

Keyfile und Zertifikate erstmalig erzeugen

Der Windows Server muss über DNS und Port 80/tcp temporär erreichbar sein (Firewall Port kurz aufmachen).

Mit Adminrechten CMD öffnen
Ins Verzeichnis C:\Program Files (x86)\Certbot\bin wechseln

Firewall Port 80 öffnen

Aufruf für Test (hier als Beispiel für den Server srv01.nohack.de)
certbot certonly –standalone –dry-run -d srv01.nohack.de

Aufruf für Produktion
certbot certonly –standalone -d srv01.nohack.de

Firewall Port 80 kann wieder geschlossen werden

Zertifikat und Key liegt nun ab unter:
C:\Certbot\live\srv01.nohack.de\cert.pem
C:\Certbot\live\srv01.nohack.de\fullchain.pem
C:\Certbot\live\srv01.nohack.de\privkey.pem

fullchain.pem umbennen zu ca-bundle.pem (apache Standard CA Keychain Filename).

Apache restarten und Seite im Browser mit https:// testen

Schlagwörter Apache, CA, Certbot, Let's Encrypt, SSL, Webserver, Windows, Zertifikate

HowTo

WLAN PowerSave Mode deaktivieren bei Raspberry

Beitragsautor Von Michael
Beitragsdatum April 23, 2021
Keine Kommentare zu WLAN PowerSave Mode deaktivieren bei Raspberry

Folgende Datei anlegen
sudo nano /etc/network/if-up.d/wifi-powersave-off

#!/bin/sh
IWCONFIG=/sbin/iwconfig
WLAN_IFACE=wlan0
if [ ! -x $IWCONFIG ]; then
exit 1
fi
if [ "$IFACE" = $WLAN_IFACE ]; then
$IWCONFIG $IFACE power off
fi

Danach noch die Rechte der Datei anpassen
sudo chmod 755 wifi-powersave-off

Schlagwörter Raspberry, WLAN

HowTo

Statische IP Adressen für Raspberry vergeben

Beitragsautor Von Michael
Beitragsdatum April 23, 2021
Keine Kommentare zu Statische IP Adressen für Raspberry vergeben

Folgende Datei anpassen
sudo nano /etc/dhcpd.conf

interface eth0
static ip_address=192.168.179.1/24
static routers=192.168.179.1
static domain_name_servers=192.168.178.1

interface wlan0
static ip_address=192.168.178.202/24
static routers=192.168.178.1
static domain_name_servers=192.168.178.1

Schlagwörter Raspberry, Statische IPs

HowTo

Routing für Raspberry zwischen wlan0 und eth0 aktivieren

Beitragsautor Von Michael
Beitragsdatum April 22, 2021
Keine Kommentare zu Routing für Raspberry zwischen wlan0 und eth0 aktivieren

Forwarding einschalten

In der folgenden Datei die Zeile fürs Forwarding einschalten (# entfernen)
sudo nano /etc/sysctl.conf
net.ipv4.ip_forward=1

Routing aktivieren

sudo iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Routing dauerhaft aktivieren (als root)

iptables-save > /etc/iptables_routing.ipt

Die Datei sollte etwa so aussehen:
# Generated by xtables-save v1.8.2 on Thu Apr 29 17:25:50 2021
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Apr 22 17:25:50 2021

Folgende Zeile in der Datei interfaces hinzufügen
nano /etc/network/interfaces
post-up iptables-restore < /etc/iptables_routing.ipt

Schlagwörter Kommandozeile, Raspberry, Routing

HowTo

OpenSSH mit Keyfiles und PuTTY nutzen

Beitragsautor Von Michael
Beitragsdatum April 8, 2021
Keine Kommentare zu OpenSSH mit Keyfiles und PuTTY nutzen

User für SSH Keys freischalten

Um einen User Zugang mittels SSH Keys z.B. über PuTTY zu erlauben muss in dessen Homeverzeichnis unter .ssh sein öffentlicher Public-Key abgelegt werden.
Private Keys dürfen nie über unsichere Kanäle übertragen werden, im Idealfall verläßt ein privater Key nie das Gerät auf welchem er erzeugt wurde !!!

Ins Homeverzeichnis wechseln
cd ~

Dort sollte es das .ssh Verzeichnis schon geben, wenn nicht bitte anlegen mit Rechte nur für den Besitzer (chmod 700 .ssh)
cd .ssh
ls -al

Hier muss eine Datei mit den Namen authorized_keys abgelegt (Rechte für Besitzer chmod 600 authorized_keys) werden.

Dateien über SSH kopieren

Dazu könnte das Programm pscp (bei PuTTY dabei) verwendet werden um den Public Key direkt von einem Client zu dem Gerät wo der SSH Server läuft:
pscp michi_public_openssh.pub pi@raspberry:/home/pi/.ssh/authorized_keys

Anmelden über SSH mit Passwort deaktivieren

Passwörter sind oft zu unsicher und die Anmeldung damit sollte deaktiviert werden (natürlich erst nachdem das anmelden mit Keyfiles klappt, ansonsten sperrt man sich selbst aus). Dies wird in der Datei /etc/ssh/sshd_config gemacht. Die Zeile
#PasswordAuthentication yes
ersetzen mit
PasswordAuthentication no
danach OpenSSH restarten
sudo systemctl restart ssh

SSH Keys mit PuTTY für OpenSSH konvertieren

Mit folgenden Kommando kann ein PuTTY-Standard Public-Key in einen OpenSSH kompatiblen Key umgewandelt werden. Der neue Key darf keine Zeilenumbrüche haben.
puttygen -i -f putty-public-key > ssh_id_openssh.pub

Schlagwörter OpenSSH, PuTTY, Raspberry