Es ist geschafft, Lizenzkostenfrei mit bester Privatsphäre am PC, Handy und Tablet

Der Einsatz hat sich gelohnt!

Nachdem bereits mehrere Blog Einträge erschienen sind, hier nun die Zusammenfassung der Installation, welche für Private und Business alle Anforderungen abdecken kann.

Server

Auf der Serverseite wurde ein PROXMOX-Cluster (proxmox.com) als Basis für die virtuellen Maschinen eingerichtet. Dadurch ist bereits auf der untersten Ebene der Systeme eine reine Open Source Umgebung verfügbar und es gibt keine bekannten Backdoors oder Datenübermittlungen an Dritte. Aktuell sind 4 Systeme im Cluster, welcher insgesamt 40 CPU‘s und 135 GB RAM besitzt. Zusammen befinden sich ca. 3 TB Raid Systeme im Cluster.

Zusätzlich wurden 2 FreeNAS Systeme mit je 4*3TB Festplatten eingerichtet. FreeNAS, ein auf FreeBSD basierendes Open Source NAS System ist extrem zuverlässig und und das ZFS Dateisystem synchronisiert sich automatisch vom NAS1 auf das NAS2 (Backup). Von diesem werden Datensicherungen auf USB3 Festplatten durchgeführt. Dabei werdne täglich ca. 2.5 TB auf die USB Platten bewegt.

Ein auf FreeBSD (https://FreeBSD.org) basierender Mail Server, eine Owncloud (https://owncloud.org) Installation, ein Asterisk Server, ein FreeBSD NFS Server, drei FreeBSD basierte LAMP Server, 3 auf PfSense (https://pfsense.org) basierende Firewalls und eine PI-Hole Lösung (https://pi-hole.net) sind die Basis des Netzwerkes.

Dazu wurden noch einige Server zum Betrieb einer sicheren MQTT Bridge, der beiden Matrix und Mastodon Server und des abgeschotteten Torified Netzwerkes benötigt. Viele Informationen zu diesen Diensten finden Sie in meinen E-Books https://kmj.at/buecher-und-ebooks/ .

Als Highlight befindet sich ein Debian Linux (Stretch) basierter Terminal Server im Netzwerk. Damit ist über eine Absicherung durch OpenVPN ein schneller Zugriff über das RDP Protokoll möglich.

Soweit als möglich, wurden alle Festplatten verschlüsselt.

Arbeitsplatz

Am Arbeitsplatz wurde Debian Linux (Sid) mit voll verschlüsselter Festplatte verwendet. Es wurden für alle Anforderungen Open Source Produkte gefunden, welche im professionellem Umfeld perfekt einsetzbar sind.

alle Lösungen kostenfrei und Open Source:

  • Office Paket: LibreOffice, welches auch doc, docx, xls,xlsx, etc. bearbeiten kann.
  • Bildbearbeitung: GIMP, DigiKam, RAW Therapie und Mat decken die Bedürfnisse von Profi Fotografen perfekt ab.
  • Video: Shotcut (Profi Schneidprogramm), Handbrake (Konvertierung), Blender (3D Animation) .
  • Internet: Firefox, Brave und Torbrowser als sichere und via Tor auch anonyme Browser.
  • Micro Blogging: Mastodon als dezentrale Twitter Alternative.
  • Messaging: Matrix mit Riot Client als sicheren Messenger ohne Mitleser!
  • Linphone als Telefon Nebenstelle.
  • KeePass als Password Safe.
  • xBrowsersync als Bookmark Sync Lösung über alle Geräte.
  • dazu noch einige Spezialanwendungen, welche nicht jeder benötigt, inkl. einem abgeschlossenem Tor Netzwerk.

Mobiltelefon und Tablet

Hier wurde wirklich tief in die Trickkiste gegriffen. Extrem genervt von Geräten, welche sich ohne Registrierung bei Hersteller nicht einmal einschalten lassen, begann eine lange Suche, welche mit LineageOS endete.

Es erfolgte eine Vollumstellung auf Samsung A5 (2017) und Galaxy Tab A (2016), welche komplett von der Originalsoftware befreit und mit LineageOS bespielt wurden (siehe hier im Blog).

Dadurch erfolgt der Betrieb gänzlich ohne Hersteller Software und auch ohne Google Libraries. Bezüglich der verwendeten Apps finden sich hier die Einträge:

https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/ https://kmj.at/2018-10-01-android-lineageos-privacy-teil2/

Zusammenfassend sei gesagt, dass es noch immer möglich ist, seine Privatsphäre zu schützen und keine Daten an Dritte weiterzugeben. Natürlich sollte man dazu noch weitere Regeln bei der Verwendung des Internets beachten, aber ich bin mit der Gesamtlösung sehr zufrieden und habe als Test noch die Open Source Tracking App Traccar installiert. Damit ist es möglich, ohne Daten an Dritte zu senden, Geräte zu verfolgen, bzw. zu orten.

https://kmj.at/2018-09-15-self-hosted-open-source-car-tracking-enterprise-ready/

https://kmj.at/2018-07-07-xbrowsersync-part-2-firefox/

https://kmj.at/2018-06-14-inhouse-nas-mit-verschluesseltem-software-raid-teil-1/

https://kmj.at/2018-06-11-kmj-at-nun-auch-im-tor-netz/

https://kmj.at/2018-04-17-xbrowsersync-die-loesung-fuer-self-hosted-bookmark-sync/

https://kmj.at/2018-04-04-ein-weiterer-schritt-in-eine-dezentrale-zukunft-ist-getan/

https://kmj.at/2018-03-12-riot-im-messenger-kurzanleitung-fuer-benutze-updated/

Speck Algorithmus in Linux Kernels ab 4.17 blacklisten

Speck Algorithmus in Linux Kernels ab 4.17 blacklisten

In den Linux Kernels ab 4.17, welche die meisten Leser aktuell vermutlich noch nicht verwenden, ist der Speck Algorithmus als loadable Kernel Modul verfügbar. Um den Speck Algorithmus ranken sich viele Gerüchte im Zusammenhang mit der amerikanischen NSA.

Ein Google Ingenieur hat den Commit des Moduls in den Linux Kernel beantragt um auf den billigen Android Go Geräten, welche zur Zeit noch nicht verschlüsselt sind, die Verschlüsselung zu ermöglichen. Aktuelle Verschlüsselungsstandards würden diese Geräte überfordern.

Gleich vorab, brechen Sie nicht in Panik aus, das ist keine Backdoor oder ähnliches, sondern es ist nur eine schwächere Verschlüsselung, die ich auf meinen Geräten nicht erlaube. Um jede Verwendung bereits im Voraus zu verhindern, blacklisten wir das Modul, so dass es beim Systemboot gar nicht geladen werden kann.

Lösung

Dazu erstellen wir die Datei:

/etc/modprobe.d/speck-blacklist.conf

und fügen die Zeile:

blacklist CONFIG_CRYPTO_SPECK

ein. Danach rebooten wir das System und prüfen mit

cat /proc/modules

dass das Modul nicht geladen ist.

Damit brauchen wir uns nicht über den Sinn, oder Unsinn eines Modules weiter den Kopf zerbrechen und können beruhigt eine starke, sichere Verschlüsselung wählen, ohne das Risiko einzugehen, versehentlich Speck zu verwenden.

Mit Linux IPhone sichern und auf Daten zugreifen

IOS Geräte mit Linux Boardmittel sichern und auf Daten zugreifen

Ein weiterer Schritt zu mehr Privatsphäre ist es, die Sicherung von IOS Geräten, ohne Daten an externe Cloud Anbieter zu übermitteln, durchzuführen. Hier im Haus gibt es keine proprietären Betriebssysteme mehr. Virtualisierung mit Promox, Server FreeBSD und Debian Linux, Arbeitsplätze Debian Linux. LibreOffice als Office System, Thunderbird für E-Mail, Firefox-ESR und Tor als Browser, Matrix/Riot als Messenger, Mastodon als Micro Blogging System.

Ich habe folgendes für mich eingerichtet:

Mein Systeme

  • Debian Stretch und Debian Sid

Setup der libimobiledevice Umgebung

apt-get install libimobiledevice6 libimobiledevice-utils libusbmuxd4 ifuse gvfs-fuse

  • Hinweis: Für IOS 11.x muss es die Version 1.2.1 oder höher sein

Zugriff auf die Daten

  • das Telefon wird mit dem USB Kabel an das System angeschlossen
  • Telefon entsperren
  • Kommando: idevicepair pair
  • Computer vertrauen und Pin am Telefon eingeben

  • Mounten des Telefonspeichers mit: ifuse /dein/mountpoint (z.B. /home/DU/Telefon, Verzeichnis vorher anlegen)

Danach steht der Datenspeicher des Telefons zur Verfügung. Fotos können direkt kopiert, angesehen, etc. werden.

  • Unmounten mit: fusermount -u /dein/mountpoint

HINWEIS: Immer unmounten und erst danach das Telefon abstecken ist sinnvoll.

Backup

Wenn der Datenzugriff sauber funktioniert, dann kann das Telefon auch gesichert werden.

  • Telefon verbinden
  • Telefon entsperren
  • Kommando: idevicebackup2 backup /Dein/Sicherungsordner
  • mit idevicebackup2 info /Dein/Sicherungsordner kann man die aktuellen Informationen anzeigen.
  • Restore eines Backups siehe: man idevicebackup2

Natürlich sollte man jetzt noch alle Daten von der Cloud entfernen und die Verwendung von Cloud und Drive deaktivieren. Danach sollten keine Daten mehr nach Extern gesendet werden.

Und wieder ist ein Schritt zu mehr Privatsphäre getan und bis zum Erscheinen des Librem5 Telefons sollte man damit IOS Geräte noch weiter verwenden können.