Ein EDV Leben ohne Lizenzkosten für Business und Privat!

Keine Lizenzkosten mit Open Source Software betrieben auf modernen Betriebssystemen!

Ich habe auf die letzten Blog Beiträge viel positives Feedback erhalten und die meisten Business- und Privatanwender träumen von einem IT Betrieb ohne Lizenzkosten und ohne bei neuen Systemen auf die Anzahl der Installationen achten zu müssen und vielem mehr. Bei vielen Managern stehen natürlich die Einsparungen der Lizenzkosten an oberster Stelle, aber es hat sich mittlerweile auch durchgesprochen, dass selbst gehostete System, welche die Privatsphäre schützen und so wenig wie möglich Daten an Dritte und Tracker übermitteln eine Bereicherung für jeden einzelnen sind.

Sicher ist, da die Lizenzkosten die letzte wirkliche Einsparungsmöglichkeit im IT Bereich sind, dass sich Open Source Software und Betriebssysteme nun weit stärker im Firmenumfeld durchsetzen. CFO‘s und CEO‘s werden sich hier stark engagieren um über diese Schiene die letzte Einsparungsmöglichkeit auszunutzen.

Natürlich ist mir klar, dass es nicht in allen Fällen zu 100% möglich ist umzustellen und es auch einige geben wird, die Ihre Daten auf Servern von Fremden im Internet (aka Cloud) speichern werden. Bei letzteren ist das Verhalten vollkommen unverständlich, denn wenn man diese Verantwortlichen fragt, ob sie Ihre wichtigen Firmendaten auf irgendwelchen Servern im Internet speichern würden, ist die Antwort meist ein Nein. Versehen mit dem Marketingmascherl Cloud gibt es dann doch welche, die alle Daten auf solchen Servern speichern. Der Anteil diese Cloud User ist in Wirklichkeit aber sehr gering.

Mit dieser Spezies, die im Normalfall in dem Irrglauben, die eigene Verantwortung delegieren zu können und gleichzeitig alles billiger wird, lebt, wollen wir weder heute noch an anderer Stelle Lebenszeit vergeuden. Meist existiert hier eine Beratungsresistenz.

Der Fokus liegt auf Verantwortlichen, welche zukunftsorientiert, offen, hungrig nach Weiterbildung und an neuem, vielfach besserem interessiert sind.

Wie schon in vielen Blog Einträgen hier auf meiner Seite geschrieben, wurde in meinem Umfeld und bei der CTS die komplette IT und auch mobile Geräte auf Open Source umgestellt. Ich höre jetzt schon viele sagen – Das kann ich nicht -. Doch, das kann jeder, mit ein paar ganz wenig Ausnahmen, wo spezielle Software benötigt wird und es nur Anbieter proprietärer Software gibt, welche die Zeichen der Zeit nicht erkannt haben und sich mit weiterer proprietärer Software anderer Anbieter so verknüpfen, dass es für diese keinen Ausweg aus der Falle – gebunden an ein Betriebssystem – gibt. Solche Systeme sollte man in einem eigenen VLAN betreiben, bis eine alternative Software erscheint und es darf gesagt werden, dass es mittlerweile für fast alle Anforderungen Open Source Lösungen gibt.

Das heißt natürlich nicht, dass Open Source Software keine Fehler hat und nicht auch hier ab und zu Probleme auftreten. Aber die Community, insbesondere bei den größeren Projekten, ist im Normalfall extrem schnell mit Fehlerbehebungen, welche in vollem Umfang auf der Projektseite nachvollzogen werden können. Bei Open Source Software ist auch jede Änderung für alle offen prüfbar. Zusätzlich kann man immer auch einen Programmierer (Freelancer) anheuern, welcher den Fehler korrigiert. Das ist Freiheit, ohne zu warten, ob ein Hersteller vielleicht irgendwann einen Patch heraus gibt, bei dem wieder nicht bekannt ist, welche Modifikationen vorgenommen werden.

Für besonders Interessierte habe ich ein Buch veröffentlicht, welches viele Details anspricht:

„Zero License Costs? It is possible!: This book will show you that it is possible to run your IT without any license costs. (CTS IT PRO E-Books 12)“ erhältlich bei Amazon https://www.amazon.com/dp/B072VGSQHF

Hier nun eine kurze Zusammenfassung eines freien Lebens mit IT:

Server

Alle meine privaten Server und die Server der CTS werden bereits seit 1995 fast durchgehend unter FreeBSD betrieben. Bald danach kamen noch Server unter Debian Linux hinzu und eine gewisse Zeit gab es auch wenige proprietäre Server von kommerziellen Betriebssystem Anbietern. In den späten 90ern war das Leben noch nicht so frei und einfach wie heute.

Seit mehreren Jahren, insbesondere da der XRDP Server unter Debian Linux mittlerweile auch sehr stabil läuft, werden alle Internet Server unter FreeBSD und Debian Linux betrieben. Operative Terminal Server für den Büroalltag betreiben wir unter Debian Linux mit XRDP, natürlich geschützt durch die Open Source VPN Lösung OpenVPN und hoch professionelle Open Source PfSense Firewalls.

Natürlich wird auch der E-Mail Server, sowie der Spam und Virenschutz selbst betrieben und im Haus gehostet. Eine Speicherung von unverschlüsselten E-Mails auf fremden Servern im Netz würde ich als unverantwortlich bezeichnen und bin der festen Überzeugung, dass Mails und deren Metadaten (wer-mit-wem mailt, etc.) nur im eigenen Haus betrieben werden sollten.

Mit OwnCloud wird hausintern eine eigene Lösung zum Speichern und Teilen von Daten, auch mit Dritten, betrieben. Natürlich ist auch dieser Server, da sensible Daten, im eigenen Haus.

Zusätzlich werden Server für Mastodon, eine dezentralisierte Open Source Micro Blogging Alternative, und Matrix/Riot.im, einer dezentralisierten, sicheren, Open Source Messenger und Kommunikationsplattform betrieben. Wie schon früher geschrieben, wurde mein alter Facebook Account, seit dem Umstieg auf Matrix/Riot.im, mit einem Script komplett geleert und existiert nur mehr als leere Hülle mit dem Hinweis auf meine Mastodon und Matrix/Riot.im Accounts. Einen Twitter Account, welcher die kommerzielle Alternative zu Mastodon wäre, habe ich privat nie gehabt.

Mit circa 1,5 Jahren relativ neu im Einsatz ist die Open Source Virtualisierungsplattform Proxmox, welche die frühere kommerzielle Variante ersetzt hat. Proxmox ist ein wirklicher Geheimtipp, der hier vollkommen fehlerfrei seinen Dienst versieht und viele Features beinhalten, welche bei kommerziellen Produkten hohe Aufpreise bedingen. Zum Beispiel das geniale Backup der virtuellen Maschinen, inklusive der eindrucksvollen Rücksicherungsmöglichkeit.

Und auch im Serverbereich gibt es keine wirkliche Ausrede, auch nicht für Privatanwender. Kleine Anwendungen können auch auf einem Raspberry für 40 € im eigenen Haus geräuschlos betrieben werden.

Es werden natürlich noch weitere Server betrieben, inklusive einer vollkommen eigenständigen public DNS Infrastruktur mit Hidden-Primaries und Web-basiertem Verwaltungstool. Den Betrieb von öffentlichen DNS Servern empfehle ich aber nur wirklichen IT Profis mit langjähriger Erfahrung auf diesem Gebiet.

In Summe besteht der Proxmox Cluster aus 4 Cluster Servern mit 40 CPU‘s, 140GB RAM und 4 TB Storage auf gespiegelten FreeBSD NAS Systemen. In Summe laufen 39 virtuelle Maschinen im Cluster. Eine beeindruckende, stabile Leistung, rein mit Open Source Software Lösungen. Alles komplett ohne Lizenzkosten.

Arbeitsplätze

Die verwendeten Arbeitsplätze, Desktops und Notebooks, werden alle unter Debian Linux mit XFCE als Desktop betrieben. Die Arbeitsplätze reichen von kleinen Netbooks bis hin zu i7 Systemen mit 16 GB RAM und 4 * 1920x1080 Monitoren zur Bildbearbeitung und zur Webseitenerstellung.

Generell wird nur LibreOffice als kompatible Office Anwendung verwendet. Einfach alle Fonts installieren, dann gibt es auch bei komplexeren Dokumenten keine Formatierungsprobleme. Textverarbeitung, Kalkulation, Präsentation und kleinere Datenbankanwendungen werden damit professionell und kompatibel abgedeckt. LibreOffice gilt auch als sicherer im Sinne der Angriffe mit Macros und anderen Bösartigkeiten. LibreOffice ist Open Source und komplett kostenlos. Es kann sogar parallel mit der kommerziellen Variante auf einem System betrieben werden um es zu testen.

Die Bedienung von LibreOffice ist kinderleicht und kann von ungeübten Benutzern in kürzester Zeit genauso beherrscht werden, wie die sehr teure kommerzielle Alternative. Funktionen und Buttons sind sehr ähnlich, d.h. für alle ohne jegliches Problem anwendbar und ohne Zeitaufwand in der Schulung im Rahmen einer Umstellung.

Da die CTS E-Mails in großen Umfang abarbeiten muss, wird eine professionelle Software als E-Mail Programm verwenden. Mit Mozilla Thunderbird, aus dem Hause des großartigen Browsers, werden alle Wünsche professioneller E-Mail Anwender genauso abgedeckt, wie die von Einsteigern. Mit dem Lightning Kalender als Standard Addon können auch professionelle Kalender via dem Industriestandard CalDAV eingebunden werden. Mit dem CardBook Plugin können via dem Industriestandard CardDAV zentrale Adressbücher eingebunden werden. Das alles mit Multi- Account, Multi-Identity und vielem mehr. Profis bei CTS arbeiten damit am Tag hunderte E-Mails in hunderten Unterordnern auf einfachste, Performance optimierte Weise an. Thunderbird und die Plugins sind natürlich Open Source und Lizenzfrei. Thunderbird gilt als extrem sicher und kann auch auf Text-only E-Mails umgestellt werden. Damit schützen Sie sich und Ihre Kontake vor unschönen Dingen in HTML E-Mails. Profis senden Text-Only!

Viele weitere Open Source Produkte runden die Installation ab. PGP Verschlüsselung für End-to-End verschlüsselte E-Mails, welche auch, egal bei wem und auf welchem Server. verschlüsselt am Server gespeichert werden. DigiKam, RawTherapee und GIMP für die professionelle Bildbearbeitung und IPTC Beschriftung, Shotcut für perfekten Videoschnitt inklusive Einbringung von Special-Effects, Audacity als professionellen Voice Editor, Blender als 3D Software, Scribus und Calibre für die Erstellung von Büchern und E-Books und vieles mehr sind kostenlos verfügbar.

Für Warenwirtschaft und Fakturierung sind kleine bis wirklich große Enterprise ERP Lösungen verfügbar. Dieses Thema würde einen eigenen Blog Eintrag füllen, aber es gibt für jede Unternehmensgröße eine Lösung. Von Kassabuch bis x-1000 Mitarbeiter ERP System.

Zum Surfen im Internet wird natürlich der gute Firefox Browser mit Sicherheits-Plugins, siehe https://kmj.at/mehr-privatsphaere-und-sicherheit-mit-kostenlosen-firefox-add-ons/ , verwendet.

Dazu unbedingt auch den Tor Browser für anonymes Surfen installieren. Das Tor Netz ist mittlerweile so groß und schnell, dass man sogar Videos schauen kann und auch wenn man nichts zu verbergen hat, geht es andere ganz einfach nichts an wo und wie man surft. Zur Suche qwant.com oder duckduckgo.com als Alternative zum Datensilo verwenden.

Verschlüsselter Messenger und verschlüsselte Telefonie, auch mit Dritten erfolgt nur über den Riot.IM Messenger angebunden an den eigenen Server im dezentralisierten Netz. Mitlesen durch Datensilos ist unerwünscht und wird dadurch vollkommen ausgeschlossen.

Natürlich sind auch Video Player und andere Kleinigkeiten die das Leben nett machen, an Bord.

Updates sind leicht und einfach durchzuführen und bei Linux Desktops ist neu aufsetzen eine seltene Ausnahme. Normalerweise, auch bei Releasewechsel, einfach updaten und fertig.

Die genannten Lösungen decken die Anforderung von 99% der Unternehmen ab und es ist eigentlich immer dieses - „Ich nehme das was andere nehmen, dann kann mich mein Boss bei Problemen nicht feuern!“ - , welches dem Unternehmen Kosten aufbürdet, welche nicht notwendig sind. Es ist zu bezweifeln dass kollektives Leiden mit anderen, dem Unternehmen bei Problemen ein Lösung schafft. Wissen, Weiterbildung und innovative, moderne Lösungen sind angesagt!

Die CTS hat ein sehr differenziertes Anforderungsprofil an Software, da nicht nur Textverarbeitung, Kalkulation, E-Mail, sondern auch die Erstellung von professionellen Webseiten, die Verwaltung und Bearbeitung von fast 200.000 Bildern der CTS Photo & Press Service Bildagentur und die Betreuung der IT Kunden zum Tagesgeschäft gehören. Ein reibungsloser Betrieb ist seit langem, ohne jede Lizenzkosten, gewährleistet.

Aktuell verbleibt ein einziges kleines Problem mit Banken, welche meist nicht in der Lage sind, außer für das proprietäre Betriebssystem eine Lösung anzubieten. In Wirklichkeit kein all zu großes Problem, da es hier nur bei Bankeinzügen trifft, welche über die Webanwendung nicht abgewickelt werden können. In Deutschland ist auch das kein Problem, denn für die HBCI Schnittstelle gibt es sogar Open Source Lösungen, welche alle Funktionen abdecken. Es ist aber zu erwarten, dass die Banken von modernen Kunden und auch von Apples MAC Anwendern zum Umdenken gezwungen werden und die fehlenden Funktionen vermutlich in die Web Anwendung integrieren. Zwischenzeitlich müssen österreichische Firmen auf ein deutsches Bankkonto mit HBCI für den Bankeinzug zurückgreifen. In Wirklichkeit ist alles lösbar.

Der Zwang von Banken Apps zu verwenden kann durch die Verwendung eines CardTAN Gerätes umgangen werden. Es ist zu empfehlen generell so wenig wie möglich Apps (Programme die mit Benutzerberechtigungen am Gerät laufen und Internetzugang haben) zu installieren und nur Webanwendungen, wodurch der Browser eine extra Schutzlinie ist, zu verwenden.

Mobile Geräte, Telefone und Tablets

Hier wird es etwas komplizierter, denn das Librem5 Telefon ist noch nicht ganz fertig. Die Zukunft für uns gehört, wenn die Marktreife geschafft wird, diesem Gerät. Hardware Kill-Switches für Micro und Kamera sind alleine schon ein Riesen Vorteil. Betriebssystem Linux und Open Source Apps eine gelungene Kombination.

Wenn man alle aktuell auftretenden Vorfälle bedenkt, dürfte niemand mehr eine Besprechung oder andere wichtige Besprechungen, privat oder beruflich, in Anwesenheit von Telefonen, Tablets, oder Sprachassistenten führen. Auch wenn man nichts zu verbergen hat, sind Wanzen eine unschöne Sache und die letzten Vorkommnsse haben gezeigt, das Home-Office Mitarbeiter zu den Sprachaufzeichnugnen kommen. Das war zu erwarten, aber wenn es jetzt auch bestätigt ist, sollte man diese Sprachassistenten in den Müll werfen und die paar Schritte zum Lichtschalter gehen. Fitness ist immer besser als zugängliche Gesprächem, die nicht für die Öffentlichkeit bestimmt waren.

Interessierte für alle Bereiche der Sicherheit lesen folgendes regelmäßig, am besten per RSS Newsfeed:

Es gibt einiges mehr, insbesondere wenn jemand tiefer in die Materie eintaucht, aber mit oben genannten ist das notwendige Tages-Minimumwissen für alle Anwender im Kurzüberblick abgedeckt.

Da es unerwünscht war proprietäre Systeme im mobilen Bereich zu verwenden wurde mit der Verwendung von LineageOS ein Kompromiss gefunden. LineageOS ist ein nacktes Android und sollte ohne die Google Apps installiert werden. Damit entspricht das Gerät dann den Vorstellungen von guter Privatsphäre. Einen detailierten Überblick über die Installation und die Verwendete Open Source Software findet sich im Blog: https://kmj.at/android-lineageos-privacy-teil3/ .

Natürlich ist es ganz wichtig, Apps wenn möglich nur aus dem F-Droid App Store zu installieren und sich von niemandem zu einer App zwingen zu lassen. Es ist, insbesondere am mobilen Gerät, keine App als vertrauenswürdig einzustufen, welche nicht als Open Source Software von mehreren Personen geprüft wurde. Das heißt nicht, dass man Anbietern hier Vorsatz unterstellt, aber diese Apps werden schnell und kostengünstig mit verfügbaren Tools von Drittanbietern erzeugt. Der Fokus liegt nicht auf Security, sondern auf schnell und kostengünstig rausbringen. Insbesondere verwaiste Apps sind ein erhöhtes Risiko. Zum Beispiel ladet ein Benutzer bei einer Veranstaltung eine App des Veranstalters, welche dann nie mehr upgedatet wird. Die App läuft aber immer im Hintergrund und wenn das Entwicklungstool einen Fehler hat, dann ist das Telefon verloren und wird von außen übernommen. Einfach die beiden Links regelmäßig lesen. Es tauchen täglich viele solcher sogenannter Exploits auf. Eine verwaiste App setzt das Telefon einem Angriffsszenario aus, weil das zugrunde liegende Entwicklungstool vom Anbieter nicht mehr upgedatet wird. Und Tschüss Telefon, schon gehörst Du dem Eindringling.

Wenn schon eine nicht vertrauenswürdige App installiert wird, sofort löschen, wenn diese nicht mehr benötigt wird. Und generell immer die Web Version mit dem Browser verwenden. Die App hilft im Normalfall dem App Anbieter Daten zu sammeln und nicht dem Benutzer. Dieser sollte mit der Web Anwendung über den Browser alle Funktionen verfügbar haben. Wenn schon eine Benachrichtigung für irgendetwas erfolgen soll, verwenden Sie E-Mail oder noch besser Riot.IM Messenger Nachrichten.

Und zum Abschluss

Zum Abschluss noch etwas zum lachen, oder weinen, je nachdem von welcher Seite man es betrachtet.

Immer wieder hört man am Nachbartisch im Restaurant oder Kaffee, bzw. bei Besprechungen:

Ich bin gehackt worden!

Ja, das ist mir/uns auch passiert

Und die Personen verfallen in kollektives gemeinsames Bedauern, aber sie selbst sind ja unschuldig!

Dazu sei gesagt:

  • 99% werden nicht gehackt sondern sind selbst Schuld!
  • 1 % sind echte, gezielte Hacks

Bei den 99% passiert normalerweise folgendes:

  • Selber schuld:

  • 1) Download von irgendeiner Software und Installation am eigenen PC

  • 2) Download von irgendeiner APP und Installation am mobilen Gerät

  • 3) Klick auf Ja, Ja, Ja, bei Fragen ob aktiviert, oder ausgeführt werden soll

Bis auf ganz wenige Ausnahmen führen die 99% die Schadsoftware selbst, nach mehrmaligem Klicken auf „JA“, mit den eigenen Berechtigungen am PC oder mobilen Gerät aus und sind damit selbst schuld, dass das Gerät mit Malware verseucht, oder verschlüsselt wird. Etwas mehr Vorsicht und -“Think before you click“ - würde vermutlich 70% der Vorfälle verhindern. Wenn man dann noch Text-E-Mails anstatt von HTML-E-Mails verwenden würde, könnte man, da man den richtigen Link sieht, vermutlich weitere 20% verhindern.

Die verbleibenden 9% wird man vermutlich akzeptieren müssen, aber der Rest wäre mit Hirn einschalten, Gier und Neugier ablegen und einem EDV-Anfängerkurs mit Fokus Sicherheit über weite Strecken zu verhindern.

Also „Nein, zu 99% nicht gehackt worden, sondern meist vermeidbarer Bedienerfehler und selbst schuld.“

Für Unternehmen bietet die CTS GMBH (https://cts-solutions.at) Beratungen, Consulting und Projektabwicklung für einen erfolgreichen Umstieg.

Am Android Tablet oder Telefon mit LineageOS für Privatsphäre sorgen. (Teil 3)

LineageOS, ein alternatives Android Betriebssystem für Tablet und Telefon!

LineageOS ist ein Betriebssystem für Smartphones und Tabletcomputer. Es ist eine Modifizierung des von Google entwickelten freien Betriebssystems Android und der Nachfolger des eingestellten Custom-ROMs CyanogenMod. LineageOS ist Freie Software und wird von einer Gemeinschaft Freiwilliger entwickelt, die das Betriebssystem gratis zum Herunterladen bereitstellen. Mehr Infos auf der Wikipedia Seite (https://de.wikipedia.org/wiki/LineageOS)

Vorraussetzung ist ein Geräte welches offiziell unterstützt wird (https://wiki.lineageos.org/devices/) oder ein Custom Rom, z.B. von https://forum.xda-developers.com/ existiert.

WICHTIG: Mit diesem Vorgang verlieren Sie Ihre Garantie, können Ihr Gerät zerstören und niemand wird Ihnen helfen. Ich beschreibe hier den Vorgang meiner Umstellung und ermutige Sie in keinem Fall den Vorgang an Ihrem Gerät durchzuführen. Wenn Sie es machen, dann sind Sie auf sich alleine gestellt und für den Fall dass Sie das Gerät zerstören sind einzig und alleine Sie selbst verantwortlich. Niemand und schon gar nicht ich, hafte für Dinge die Sie mit Ihrem Gerät tun!

Teil 3

Basierend auf dem ersten Tests von LineageOS auf einem Samsung SM-T585 Tablet (https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/), sowie dem Teil 2 der Serie (https://kmj.at/2018-10-01-android-lineageos-privacy-teil2/) wurden nun die ersten Releasewechsel durchgeführt.

Kurzinfo, da vermutlich für wenige User interessant: Da ich kein Windows verwende, kam Odin nicht in Frage und es wurde auf die Heimdall Flash Software zurückgegriffen. Diese war bereits zum Flashen vom TWRP am Linux Notebook installiert. Zusätzlich wurde nun noch das Heimdall-Frontend Package installiert, welches Heimdall ROMs erzeugen kann. Danach von z.B. sammobile.com das Android 8 Stock ROM laden und in einem Verzeichnis extrahieren. Über das Heimdall-Frontend alle Dateien zuweisen und dann ein Heimdall-ROM erzeugen. Wenn alles erledigt ist, geht das Flashen ziemlich einfach. Handy in den Download Mode booten, das ROM laden und mit Start flashen. Danach das TWRP neu flashen, in den Recovery Mode booten und der Anweisung aus dem LineageOS.org Wiki zur Installation auf diesem, voll supporteten Gerät, folgen.

Es standen 2 Geräte, beides A520F (Samsung Galaxy A5 2017), zum Update an. Eines der Geräte hatte bereits die Oreo Firmware (Bootloader und Modem) mit LineageOS 15.1 und ein Gerät hatte die Nougat Firmware und LineageOS 14.1.

Als erstes wurde die Oreo Version upgedated.

Der Anleitung exakt folgend:

How to install

  1. Make sure you had Samsung’s Oreo firmware bootloader and modem before installing this
  2. Make sure you are using the latest official TWRP version.
  3. Download the lineage build and google apps
  4. Copy them to the phone (SD KARTE!!!!)
  5. In TWRP wipe dalvik/cache/system/data
  6. Flash LineageOS
  7. Flash Gapps (OPTIONAL Ich verwende keine Google Apps!)
  8. Optional: Flash root package
  9. Reboot

Danach booted das System mit LineageOS 16.0. Land und Uhrzeit, sowie WLAN einstellen und dann das Titanium apk installieren. Benutzer Apps und Daten wiederherstellen, Icons platzieren und bei Apps, bei denen die Anmeldedaten nicht wiederhergestellt werden, z.B. DavDroid, Owncloud, die Anmeldedaten eingeben und die Synchronisierung aktivieren.

Das war wirklich einfach und das erste Handy läuft mit dem auf Android 9 basierenden LineageOS 16. Am besten noch alle Einstellungen einmal durchsehen, damit neues richtig eingestellt wird und sich dann in intelligenter, selbstbestimmter Weise von der Masse abzuheben.

Update 14.1 (Nougat) auf 16.0 (Pie)

Beim 2. A520F war die Nougat Firmware installiert und es musste zuerst die Oreo Firmware von Sammobile geladen werden. Hier ist zu beachten, dass es für offene Telefone die Version Open-Austria gibt, die nicht in der Austria Liste mit den Provider Versionen enthalten ist. Das ist die Version, welche für freie Handies notwendig ist. Vorher sollte https://forum.xda-developers.com/samsung-a-series-2017/how-to/ref-modems-bootloaders-collection-t3799551 gelesen werden. Bootloader und Modem Updates sollten immer aktuell gehalten werden.

Auch hier wurde mit folgendem begonnen:

Ich folgte der Anleitung:

Instructions:

  1. Switch off the phone
  2. Use Home+Volume Down+Power to enter Download Mode and connect the device to usb
  3. Open Odin and untick autoreboot in “options” tab. Also make sure that your device is detected
  4. Put BL_*.tar.md5 file into BL tab
  5. Put CP_*.tar.md5 file into CP tab
  6. Click Start
  7. Wait 1 min and manually reboot your phone into Download mode using Home+Volume Down+Power buttons, but when the warning appears, hit volume down (Cancel-restart the device)
  8. Use Phone INFO app to check if update was succesful.
  9. If it didn`t worked, redo the steps from #1 more careful this time.

Da ich kein Odin sondern Heimdall verwende, wurden die BL und CP Zips extrahiert und die 4 beinhalteten Dateien, nach einem unlz4 (Paket lz4 für Debian) mit Heimdall geflasht. Wichtig ist es das Log zu legen, dass der Flash erfolgreich war. Sonst System und Handy so oft rebooten und neu flashen, bis alles sauber erledigt wurde.

Danach erfolgt das Update exakt wie oben angeführt:

How to install

  1. Make sure you had Samsung’s Oreo firmware bootloader and modem before installing this
  2. Make sure you are using the latest official TWRP version.
  3. Download the lineage build and google apps
  4. Copy them to the phone (SD KARTE!!!!)
  5. In TWRP wipe dalvik/cache/system/data
  6. Flash LineageOS
  7. Flash Gapps (OPTIONAL Ich verwende keine Google Apps!)
  8. Optional: Flash root package
  9. Reboot

Danach booted das System mit Android 16.0. Land und Uhrzeit, sowie WLAN einstellen und dann das Titanium apk installieren. Benutzer Apps und Daten wiederherstellen, Icons platzieren und bei Apps, bei denen die Anmeldedaten nicht wiederhergestellt werden, z.B. DavDroid, Owncloud, die Anmeldedaten eingeben und die Synchronisierung aktivieren.

Nun sind beide A520F mit der Version LineageOS 16.0 eingerichtet und können noch lange gute und die Privatsphäre schützende Dienste verrichten. Wirklich cool, sichere Systeme für kleines Geld zu betreiben, auf denen nicht ein Fremder Administrator ist.

Als nächstes werden die beiden Samsung SM-T585 Tablets upgedated.

Für mich ist es eine ziemlich perfekte Lösung, da die Privatsphäre nun wieder gesichert ist und alle Funktionen einwandfrei funktionieren. In dieser Form ist Android auch für Firmen mit smarten Mitarbeitern verwendbar.

Es ist geschafft, Lizenzkostenfrei mit bester Privatsphäre am PC, Handy und Tablet

Der Einsatz hat sich gelohnt!

Nachdem bereits mehrere Blog Einträge erschienen sind, hier nun die Zusammenfassung der Installation, welche für Private und Business alle Anforderungen abdecken kann.

Server

Auf der Serverseite wurde ein PROXMOX-Cluster (proxmox.com) als Basis für die virtuellen Maschinen eingerichtet. Dadurch ist bereits auf der untersten Ebene der Systeme eine reine Open Source Umgebung verfügbar und es gibt keine bekannten Backdoors oder Datenübermittlungen an Dritte. Aktuell sind 4 Systeme im Cluster, welcher insgesamt 40 CPU‘s und 135 GB RAM besitzt. Zusammen befinden sich ca. 3 TB Raid Systeme im Cluster.

Zusätzlich wurden 2 FreeNAS Systeme mit je 4*3TB Festplatten eingerichtet. FreeNAS, ein auf FreeBSD basierendes Open Source NAS System ist extrem zuverlässig und und das ZFS Dateisystem synchronisiert sich automatisch vom NAS1 auf das NAS2 (Backup). Von diesem werden Datensicherungen auf USB3 Festplatten durchgeführt. Dabei werdne täglich ca. 2.5 TB auf die USB Platten bewegt.

Ein auf FreeBSD (https://FreeBSD.org) basierender Mail Server, eine Owncloud (https://owncloud.org) Installation, ein Asterisk Server, ein FreeBSD NFS Server, drei FreeBSD basierte LAMP Server, 3 auf PfSense (https://pfsense.org) basierende Firewalls und eine PI-Hole Lösung (https://pi-hole.net) sind die Basis des Netzwerkes.

Dazu wurden noch einige Server zum Betrieb einer sicheren MQTT Bridge, der beiden Matrix und Mastodon Server und des abgeschotteten Torified Netzwerkes benötigt. Viele Informationen zu diesen Diensten finden Sie in meinen E-Books https://kmj.at/buecher-und-ebooks/ .

Als Highlight befindet sich ein Debian Linux (Stretch) basierter Terminal Server im Netzwerk. Damit ist über eine Absicherung durch OpenVPN ein schneller Zugriff über das RDP Protokoll möglich.

Soweit als möglich, wurden alle Festplatten verschlüsselt.

Arbeitsplatz

Am Arbeitsplatz wurde Debian Linux (Sid) mit voll verschlüsselter Festplatte verwendet. Es wurden für alle Anforderungen Open Source Produkte gefunden, welche im professionellem Umfeld perfekt einsetzbar sind.

alle Lösungen kostenfrei und Open Source:

  • Office Paket: LibreOffice, welches auch doc, docx, xls,xlsx, etc. bearbeiten kann.
  • Bildbearbeitung: GIMP, DigiKam, RAW Therapie und Mat decken die Bedürfnisse von Profi Fotografen perfekt ab.
  • Video: Shotcut (Profi Schneidprogramm), Handbrake (Konvertierung), Blender (3D Animation) .
  • Internet: Firefox, Brave und Torbrowser als sichere und via Tor auch anonyme Browser.
  • Micro Blogging: Mastodon als dezentrale Twitter Alternative.
  • Messaging: Matrix mit Riot Client als sicheren Messenger ohne Mitleser!
  • Linphone als Telefon Nebenstelle.
  • KeePass als Password Safe.
  • xBrowsersync als Bookmark Sync Lösung über alle Geräte.
  • dazu noch einige Spezialanwendungen, welche nicht jeder benötigt, inkl. einem abgeschlossenem Tor Netzwerk.

Mobiltelefon und Tablet

Hier wurde wirklich tief in die Trickkiste gegriffen. Extrem genervt von Geräten, welche sich ohne Registrierung bei Hersteller nicht einmal einschalten lassen, begann eine lange Suche, welche mit LineageOS endete.

Es erfolgte eine Vollumstellung auf Samsung A5 (2017) und Galaxy Tab A (2016), welche komplett von der Originalsoftware befreit und mit LineageOS bespielt wurden (siehe hier im Blog).

Dadurch erfolgt der Betrieb gänzlich ohne Hersteller Software und auch ohne Google Libraries. Bezüglich der verwendeten Apps finden sich hier die Einträge:

https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/ https://kmj.at/2018-10-01-android-lineageos-privacy-teil2/

Zusammenfassend sei gesagt, dass es noch immer möglich ist, seine Privatsphäre zu schützen und keine Daten an Dritte weiterzugeben. Natürlich sollte man dazu noch weitere Regeln bei der Verwendung des Internets beachten, aber ich bin mit der Gesamtlösung sehr zufrieden und habe als Test noch die Open Source Tracking App Traccar installiert. Damit ist es möglich, ohne Daten an Dritte zu senden, Geräte zu verfolgen, bzw. zu orten.

https://kmj.at/2018-09-15-self-hosted-open-source-car-tracking-enterprise-ready/

https://kmj.at/2018-07-07-xbrowsersync-part-2-firefox/

https://kmj.at/2018-06-14-inhouse-nas-mit-verschluesseltem-software-raid-teil-1/

https://kmj.at/2018-06-11-kmj-at-nun-auch-im-tor-netz/

https://kmj.at/2018-04-17-xbrowsersync-die-loesung-fuer-self-hosted-bookmark-sync/

https://kmj.at/2018-04-04-ein-weiterer-schritt-in-eine-dezentrale-zukunft-ist-getan/

https://kmj.at/2018-03-12-riot-im-messenger-kurzanleitung-fuer-benutze-updated/

Am Android Tablet oder Telefon mit LineageOS für Privatsphäre sorgen. (Teil 2)

Teil 3 der Serie ist hier erschienen:

LineageOS, ein alternatives Android Betriebssystem für Tablet und Telefon!

LineageOS ist ein Betriebssystem für Smartphones und Tabletcomputer. Es ist eine Modifizierung des von Google entwickelten freien Betriebssystems Android und der Nachfolger des eingestellten Custom-ROMs CyanogenMod. LineageOS ist Freie Software und wird von einer Gemeinschaft Freiwilliger entwickelt, die das Betriebssystem gratis zum Herunterladen bereitstellen. Mehr Infos auf der Wikipedia Seite (https://de.wikipedia.org/wiki/LineageOS)

Vorraussetzung ist ein Geräte welches offiziell unterstützt wird (https://wiki.lineageos.org/devices/) oder ein Custom Rom, z.B. von https://forum.xda-developers.com/ existiert.

WICHTIG: Mit diesem Vorgang verlieren Sie Ihre Garantie, können Ihr Gerät zerstören und niemand wird Ihnen helfen. Ich beschreibe hier den Vorgang meiner Umstellung und ermutige Sie in keinem Fall den Vorgang an Ihrem Gerät durchzuführen. Wenn Sie es machen, dann sind Sie auf sich alleine gestellt und für den Fall dass Sie das Gerät zerstören sind einzig und alleine Sie selbst verantwortlich. Niemand und schon gar nicht ich, hafte für Dinge die Sie mit Ihrem Gerät tun!

Teil 2

Basierend auf dem ersten Tests von LineageOS auf einem Samsung SM-T585 Tablet (https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/) wurde nun noch ein Samsung A5 2017 (SM-A520F) Mobiltelefon für einen Test angeschafft. Mit ca. 250 € ein Schnäppchen und dann noch IP68 wasserdicht und gegen Staub geschützt.

Abgesehen von dem Problem, dass die Auslieferung des Telefons, entgegen der Angabe von Android 7, bereits mit Android 8 erfolgte, war die Installation ein Kinderspiel. Ein wirkliches Problem war das Downgrade des Telefons von Android 8 auf Android 7 um die SIM Karte zu erkennen.

Kurzinfo, da vermutlich für wenige User interessant: Da ich kein Windows verwende, kam Odin nicht in Frage und es wurde auf die Heimdall Flash Software zurückgegriffen. Diese war bereits zum Flashen vom TWRP am Linux Notebook installiert. Zusätzlich wurde nun noch das Heimdall-Frontend Package installiert, welches Heimdall ROMs erzeugen kann. Danach von z.B. sammobile.com das Android 7 Stock ROM laden und in einem Verzeichnis extrahieren. Über das Heimdall-Frontend alle Dateien zuweisen und dann ein Heimdall-ROM erzeugen. Wenn alles erledigt ist, geht das Flashen ziemlich einfach. Handy in den Download Mode booten, das ROM laden und mit Start flashen. Danach das TWRP neu flashen, in den Recovery Mode booten und der Anweisung aus dem LineageOS.org Wiki zur Installation auf diesem, voll supporteten Gerät, folgen.

Basierend auf der Todo von Teil 1 wurde nun noch folgendes installiert

  • Keepass2Android mit WebDAV Unterstützung
  • Traccar und Traccar Manager als Ersatz für Owntracks (läuft ohne Google Libraries)
  • K9 Mailer mit PGP Unterstützung Openkeychain
  • xBrowserSync Bookmark Syncer (gegen meinen eigenen Server)
  • FreeOPT als Client für 2FA Authentifizierung
  • OwnCloud Client für den Zugriff auf meine eigene Cloud, inkl. Voll automatischen Foto Upload und sync zwischen den Geräten
  • LinPhone SIP CLient als Nebenstelle für meinen Asterisk Server

Wichtige Hinweise

  • VERY IMPORTANT: Whenever you finish using adb, always remember to disable USB Debugging and restore Root Access to Apps only. While Android 4.2+ ROMs now prompt you to authorize an RSA key fingerprint before allowing a debugging connection (thus mitigating adb exploit tools that bypass screen lock and can install root apps), you still risk additional vulnerability surface by leaving debugging enabled.

Bilder

 

 

 

Für mich ist es eine ziemlich perfekte Lösung, da die Privatsphäre nun wieder gesichert ist und alle Funktionen einwandfrei funktionieren. In dieser Form ist Android auch für Firmen mit smarten Mitarbeitern verwendbar.

Teil 3 der Serie ist hier erschienen:

Selbst gehostetes Open Source GPS Tracking für viele GPS Tracker, sowie Android und IOS

Professionelles GPS Tracking für Privat und Business ohne Lizenzkosten und ohne Daten an Dritte zu senden!

Nachdem mein Android Tablet nun mit LineageOS von Bloatware und Software der Datensilo-Betreiber befreit ist (https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/) blieb als offener Punkt einen Ersatz für Owntracks zu finden. Leider ist die Android Version von Owntracks mit einer Abhängigkeit von der Google Play Library versehen und damit am Tablet nicht mehr funktionsfähig. Die Frage, diese Library zu installieren stellte sich, nach dem Aufwand zur Erreichung von mehr Privatsphäre natürlich nicht.

Nach längerer Suche blieb ich bei der Traccar GPS Tracking Lösung hängen.

Die Punkte die sich gut gelesen haben:

  • Open Souce, inkl. Der Clients für IOS und Android
  • Server ist in Java geschrieben und läuft damit unter FreeBSD und Linux
  • Vollständiges Berechtigungssystem, damit auch für Firmen verwendbar
  • Client für extrem viele GPS Tracker
  • Client für Android und IOS
  • Datenbank MySQL unterstützt

Damit sollte eine vollständige, auf eigenen Systemen installierte, Open Source Lösung installierbar sein, ohne Daten an Dritte zu senden.

Die Server Installation

Aktuell läuft eine, die in meinem IoT Buch (https://www.amazon.com/dp/B01N21U0AA) beschriebene MQTT Lösung, welche die Positionen mit Owntracks Recorder sammelt und anzeigt. Zusätzlich ist es möglich, im auch dahinter liegenden Home Assistant, Events für Aktionen auszulösen. Home Assistant ist eine selbst gehostete, intelligente Open Source Home Automation Plattform, mit der es möglich ist, ohne Daten an Dritte zu senden, das Zuhause dementsprechend zu steuern.

Die beiden MQTT Server werden für andere IoT Datenübertragungen weiter laufen, der Owntracks Recorder wird aber abgeschaltet. Zusätzlich muss eine andere Einbindung der Tracker in den Home Assistant erfolgen.

Als Betriebssystem für den Server habe ich mich, wie in den meisten Fällen im Serverbereich, für FreeBSD entschieden. FreeBSD hat seit den 90ern, beginnend bei FreeBSD 2.11 meine Präferenz. Aktuell befinden wir uns bei der Version 11.2. Alternativ, insbesondere in Fällen, wo Sonderlösungen notwendig sind, wird auf Debian Linux gesetzt.

Das Projekt bietet im Dokumentationsbereich auch eine Anleitung für FreeBSD an:

Der Server wird auf der ProxMox Virtualisierungsplattform, welche meine frühere Installation abgelöst hat, eingerichtet. Die Installation des FreeBSD LAMP Servers ist nicht Inhalt dieses Blog Eintrages. Bei mir läuft FreeBSD 11.2 mit einer IP Adresse und MySQL auf einer Standard Installation, welche die CTS GMBH (https://cts-solutions.at) in gleicher Form seit vielen Jahren für Kunden installiert.

Die Installation des Servers wird nach Anleitung durchgeführt und verläuft komplett unproblematisch. Die Freigabe nach außen erfolgt über einen Reversed-Proxy. Anleitungen für die Proxy Settings für Anfänger finden sich in der Dokumentation. Für die jeweiligen Tracker gibt es eigene Ports. Der Server selbst bindet auf das Port 8082 und man sollte den Daemon auf die IP 127.0.0.1 beschränken. Damit ist der Dienst von außen nur über den Proxy erreichbar.

Tip beim rc.d Script auf das root Directory achten!

Tip in der traccar.xml das Binding mit

127.0.0.1

auf den Localhost stellen. Damit ist das Port 8082 nur am Host selbst und via Reversed Proxy erreichbar. Die Tracker-Ports sind weiterhin auf allen Interfaces erreichbar. Ich habe diese aber in der Firewall disabled und es werden nur die jeweils benötigten Ports erlaubt.

Tip Die mobilen Clients connecten per Default zum Port 5055.

Tip Im rc.d Script

stop_cmd=“kill cat ${pidfile}

einfügen.

Links zum Apache Setup:

https://www.traccar.org/secure-connection/

Nachdem wir auch ein SSL Zertifikat am Reversed-Proxy Server installiert haben, können wir das erste Login durchführen. Verwenden Sie nie einen Zugriff ohne https-Verschlüsselung. Etwas unschön ist, dass einige Scripts von Cloudflare nachgeladen werden und damit ein Tracking durch Cloudflare erlauben. Ein Patch für lokales Laden der Scripts muss unbedingt her.

Das Default Login ist admin/admin.

Sofort stellen wir in den Server Einstellungen die Karte auf OpenStreetMaps und disablen die Registrierung.

Danach ändern wir über Benutzerkonto sofort das admin Passwort und tragen eine E-Mail Adresse ein. Eine neuerliche Anmeldung erfolgt nun mit der E-Mail Adresse und dem neuen Passwort.

Nun wird es Zeit den ersten Benutzer anzulegen. Testweise lege ich einen Benutzer an, welcher dann selbst weitere User und Geräte einrichten kann. Eine Art Sub-Manager für z.B. eine Abteilung.

Wie in der Dokumentation beschrieben, wird man mit einem User Limit -1 (ohne Begrenzung), bzw. einem Limit größer 0, zum Manager. Andernfalls ist mal ein normaler Benutzer.

Um ein erstes Gerät aktiv zu haben installieren wir auf dem LineageOS Tablet (https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/) den Traccar Client aus dem F-Droid Store und stellen die Server URL auf den eingerichteten Hostnamen und das Port 5055. Alle anderen Einstellungen bleiben gleich und dann aktivieren wir den Dienst über den Schieberegler.

Tip Am LineageOS oder anderen sicheren Installationen das Öffnen des Ports 5055 in der Firewall nicht vergessen.

Als Problem hat sich das Android/LineageOS Tablet erwiesen, welches im ersten Schritt keine Updates sendet. Ein Test mit einer Installation unter IOS mit einem Iphone funktionierte sofort.

Nach dem Login mit dem ersten Manager User fügen wir die Geräte hinzu. Die Device ID dafür sieht man im Client. Andernfalls im Log File nach „unknown device“ suchen. Die Anzeige erfolgt einwandfrei und wenn man im eigenen Benutzerkonto seine GPS Koordinaten und den Zoom Faktor 10 einstellt, kann man sich das Zoomen immer einsparen. Mit den Geofences kann man verschiedene Bereiche einrichten und auch Events auslösen.

Bevor wir uns dem Problem mit dem Android/LineageOS Tablet kümmern, richten wir die Notifications noch ein. Dazu verwenden wir die Einträge aus der Dokumentation im Punkt Notifications und passen alle Parameter für unseren Server an. Damit ist ein globaler Parameter für die Benachrichtigung gesetzt und wir können eine Testbenachrichtigung senden.

Dazu gehen wir einfach über das Menü auf das Benutzerkonto und klicken in der unteren Leiste auf das E-Mail Symbol. Danach sollte im Posteingang das Mail erscheinen. Andernfalls muss das Traccar Log, bzw. das Log des SMTP Servers geprüft werden.

Tip traccar.xml Mustereinträge für den Versand über localhost:

<entry key='mail.smtp.host'>127.0.0.1</entry>
<entry key='mail.smtp.port'>25</entry>
<entry key='mail.smtp.ssl.enable'>false</entry>
<entry key='mail.smtp.from'>noreply@traccar.yourdomain.tld</entry>
<entry key='mail.smtp.auth'>false</entry>

Der Test funktionierte problemlos und wir können einen Schritt weiter gehen.

Am Android Tablet wurde einerseits die AFWAll+ Firewall für Traccar geöffnet und eine Ausnahme in der Batterieoptimierung eingerichtet. Andernfalls würde der Client das Update beenden, wenn Android der Meinung ist, es wird zu viel Strom verbraucht.

Leider löst das unser Übertragungsproblem noch nicht und nach einer Unterhaltung mit dem Entwickler über Github bleibt aktuell offen, warum der Client den Standort nicht übermittelt.

Als Apps bietet sich der Traccar Manager noch an. Links zu den aktuellen Versionen finden sich auf der Traccar.org Webseite im Downloadbereich.

Nach ein paar weiteren Tests funktioniert der Android Client nun auch sauber. Die GPS Status App ist eine große Hilfe und das Problem war eher Gerätespezifisch.

Nun kommt das System in den Testbetrieb und man wird sehen, ob die Owntracks Lösung damit ablösbar ist. Insbesondere die Einbindung in den Home Assistant wird spannend.

Fortsetzung folgt

Am Android Tablet oder Telefon mit LineageOS für Privatsphäre sorgen.

LineageOS, ein alternatives Android Betriebssystem für Tablet und Telefon!

LineageOS ist ein Betriebssystem für Smartphones und Tabletcomputer. Es ist eine Modifizierung des von Google entwickelten freien Betriebssystems Android und der Nachfolger des eingestellten Custom-ROMs CyanogenMod. LineageOS ist Freie Software und wird von einer Gemeinschaft Freiwilliger entwickelt, die das Betriebssystem gratis zum Herunterladen bereitstellen. Mehr Infos auf der Wikipedia Seite (https://de.wikipedia.org/wiki/LineageOS)

Vorraussetzung ist ein Geräte welches offiziell unterstützt wird (https://wiki.lineageos.org/devices/) oder ein Custom Rom, z.B. von https://forum.xda-developers.com/ existiert.

WICHTIG: Mit diesem Vorgang verlieren Sie Ihre Garantie, können Ihr Gerät zerstören und niemand wird Ihnen helfen. Ich beschreibe hier den Vorgang meiner Umstellung und ermutige Sie in keinem Fall den Vorgang an Ihrem Gerät durchzuführen. Wenn Sie es machen, dann sind Sie auf sich alleine gestellt und für den Fall dass Sie das Gerät zerstören sind einzig und alleine Sie selbst verantwortlich. Niemand und schon gar nicht ich, hafte für Dinge die Sie mit Ihrem Gerät tun!

Die Problemstellung

Nicht wirklich glücklich mit Apples IOS Geräten auf denen einiges an notwendiger Software, z.B. Tor, nicht funktioniert, oder von Apple verboten wurde machte ich mich schon länger auf die Suche nach einer Alternative. Die Voraussetzungen waren klar und unverrückbar:

  • Es darf zur Inbetriebnahme keine Registrierung beim Hersteller erfolgen müssen. Es ist gelinde gesagt eine Frechheit, dass die Hersteller eine Inbetriebnahme des Geräte ohne Registrierung untersagen. Der erste Schritt zum Datensammeln muss bereits unterbunden werden

  • Es muss eine Firewall, ala IPTables, PF, IPFW oder ähnliches, installierbar sein. Der gesamte Traffic des Gerätes muss so kontrollierbar sein, dass Datensammler keine Verbindung aufbauen können.

  • Ein Open Source VPN Client ist Pflicht, bevorzugt OpenVPN.

  • Zusätzlich benötigt wird ein vernünftiger RDP Client um auf den Linux XRDP Terminal Server via RDP zugreifen zu können. Im Business Bereich ist damit auch der Zugriff auf Windows Systeme gewährleistet.

  • Tor muss als Dienst, inkl. Hidden Services und Tor Browser funktionieren

  • Email, Kalender und Kontakte müssen mit ActiveSync, IMAP, CalDAV, CardDAV, PGP Verschlüsselung vernünftig funktionieren.

  • Riot als Matrix Messenger Client muss verfügbar sein. Damit ist eine sichere E2E verschlüsselte Kommunikation ohne Mitleser gewährleistet.

  • Verschiedene Browser und Addons sind Pflicht. Firefox mit NoScript und Ublock, Brave Browser und Firefox Klar wären die Minimumanforderungen. Für Privatshpäre ist es wingend notwendig seine Zugriffe, insbesondere welche mit Login und ohne Login auf verschiedene Browser zu verteilen.

  • Es darf keine Software installiert sein, die Daten an Dritte überträgt und damit Inhalte, Vorgänge, oder noch schlimmer Daten des Gerätes an Dritte überträgt. Alls Daten dürfen nur mit den eigenen Servern ausgetauscht werden. Hersteller Bloatware muss deinstallierbar, bzw. von Haus aus gar nicht installiert sein. Möglichst alle Software Komponenten sollten Open Source sein.

  • Zusätzlich muss ein richtiges Backup der Applikationen und Settings, inkl. Separiertem und gesamtem Restore möglich sein. Alle Einstellungen müssen mit Hilfe des Backups auf ein neues Geräte übertragen werden können.

Das Gerät

Zum Test wurde ein Samsung SM-T585 Galaxy Tab A Tablet angeschafft und mit dem vorinstallierten Android ein Versuch vorgenommen.

Schon nach kurzer Zeit stellte sich heraus, dass so ein Tablet oder Telefon die Anforderungen in keinem Fall erfüllt. Ganz abgesehen davon, dass der Hersteller verhindert, dass man der System Administrator wird (rooting), gibt es dadurch keine Möglichkeit IPTables, ein vernünftiges Backup und vieles mehr zu nutzen.

Wenn man ein Paket das sich Firewall nennt, ohne rooting aber nur ein VPN ist, installiert, sieht man zumindest, dass die vorinstallierte Software von Google und Samsung ohne Ende nach Hause telefoniert und undefinierte Daten überträgt.

In Summe, obwohl lange versucht wurde diese Software zu deaktivieren und deinstallieren, keine Lösung. Der Hersteller sperrt die Deinstallation, Deaktivierung so, dass im Hintergrund immer Dienst laufen, welche man nicht haben will. Zumindest, wenn man kein forensisches Datenfutter sein will und auf seine Privatsphäre einen hohen Wert legt.

Es war klar, es musste etwas anderes werden, jedoch haben diese Android Tablets in Punkto Größe, Suspend und Resume und einiges mehr durchaus Vorteile gegenüber Notebooks.

Nach monatelanger Recherche stand fest, dass das Samsung Tablet mit LinageOS betrieben werden soll. Da das Gerät leider offiziell noch nicht unterstützt ist, musste ich auf ein Custom Rom von XDA-Developers zurückgreifen.

Vorab sei gesagt, dass ein Versuch mit der Version 15.1 (Android 8.1) zwar erfolgreich war, aber einige Programme (heute Apps genannt) noch nicht stabil funktionierten.

Deswegen wurde auf die Version 14.1 (Android 7.1) von Valera1978 mit den neuesten Patches von cschsz zurückgegriffen.

https://forum.xda-developers.com/galaxy-tab-a/development/rom-lineageos-14-1-android-7-1-2-t3777266

Das Setup

Ich habe mich noch nie wirklich mit diesen mobilen Endgeräten auseinandergesetzt und alles bis jetzt gelesene war immer so, dass man annahm, nur Spezialisten für diese Geräte mit dementsprechender Hardware können diese umprogrammieren und einrichten. Nachdem ich mich eingelesen habe, ist vollkommen klar, dass das ganze eigentlich recht einfach funktioniert.

Wissen muss man

Lesen Sie die Install-Anleitung für das Gerät auf LinaegeOS.org durch, lesen Sie mehrfach, damit Sie schon vorher wissen, welche Schritte Sie benötigen. Insbesondere Wischerkönige können damit einiges an Problemen vermeiden.

Die meisten Geräte kann man anders booten. In etwa so, wie man einen PC ins Bios booten kann. Dieser Vorgang wird über Telefontasten gesteuert und beim Samsung sind diese:

  • HOME + Lautstärke+ + Power bootet in den sogenannten Recovery Mode. Hier arbeiten wir dann mit dem TWRP Paket. So etwas wie das Bios mit ein paar Extra Funktionen.

  • HOME + Lautstärke- + Power bootet in Download Mode. Diesen benötigen wir einmal um das Custom Recovery Paket zu laden. Ohne dieses funktioniert der Recovery Mode nicht.

  • Am Gerät muss USB Debugging aufgedreht werden. Detail dazu in den einzelnen Anleitungen. Im wesentlichen geht das überall mit 7 mal, über Einstellungen-Über das Gerät-Buildnummer, auf die Buildnummer tippen. Danach ist das Entwicklermenü sichtbar.

TIP Einige Geräte haben im Entwicklermenü – „Enable Custom OEM unlocking“. Unbedingt aufdrehen, sonst könnte es sein, dass das Gerät nie mehr bootet.

TIP Kaufen Sie sich eine extra 32GB Micro SD Karte für diesen Vorgang. Details dazu später. Damit wird alles viel einfacher! Geiz ist nie Geil!

Installation von adb und fastboot

adb ist die Android Debugging Bridge und diese ist zur Kommunikation zwischen PC und Android Gerät notwendig. Eine gute Anleitung zur Installation findet sich hier:

https://wiki.lineageos.org/adb_fastboot_guide.html

TIP Ich selbst verwende ja kein Windows mehr und bei Debian Linux sind die Pakete adb und fastboot im Paket Verzeichnis verfügbar. Für das Samsung Tablet wird nur adb benötigt, da weitere Schritte mit heimdall durchgeführt werden.

TIP Das Paket installiert auch die udev Einstellungen. Trotzdem musste adb als root ausgeführt werden, damit adb devices das Tablet erkannte. Da ich nur das Custom Recovery Package geladen habe und alles weitere mit der SD Karte erledigt wurde, kein wirkliches Problem.

Danach installiert man für das Samsung Tablet die heimdall Suite für das jeweilige Betriebssystem. Downloads finden sich hier:

https://glassechidna.com.au/heimdall/#downloads

Mit der heimdall Suite kann dann das Custom Recovery am Tablet installiert werden. Dazu verwendet man, nachdem das Gerät in den Download Modus gebootet wurde ( HOME + Lautstärke- + Power), beim Samsung den Befehl:

heimdall flash –RECOVERY twrp-x.x.x-x-gtleeilte.img –no-reboot

WICHTIG Die twrp Datei wird bei Ihnen, je nach Gerät anders heißen, jedoch ist der –noreboot unbedingt notwendig! Sollte das Image in einem Archiv sein, extrahieren Sie es unbedingt vorher!

Danach muss sofort in den Recovery Mode gebootet werden ( HOME + Lautstärke+ + Power) sonst überschreibt das System das Image wieder!

Das ganze sollte dann in etwa so aussehen:

Wenn nicht, wiederholt man den Vorgang solange, bis der Boot Vorgang sauber ist und das Menü erscheint.

Nun wird es einfach. Nachdem klar wurde, dass das Custom Recovery im wesentlichen nichts anderes ist, als ein Bios mit Extra Funktionen, insbesondere für Partition Management und Partition Backup, konnte die weitere Anleitung abgeändert werden.

Ich habe danach das LineageOS ROM auf die SD Karte kopiert und hierher auch das Backup über das Menü ausgeführt. Das Backup liegt im Ordner TWRP und darunter in mit Datum und Uhrzeit markierten Ordnern. So geht es leicht retour, falls Probleme auftauchen.

Über Install kann man das Lineage-ROM-Zip File über die SD-Karte auch einfach und ohne PC Anschluss installieren. Ein Zeitgewinn und viel einfacher.

Wichtig ist immer, alle Partition des Originalsystems zu sichern, das Wipe (Löschen der Partitions) laut Anleitung über die Advanced Funktion durchzuführen und am Bildschirm immer alle Meldungen auch wirklich zu lesen. Wenn man etwas nicht versteht, am besten im XDA-Developers Forum suchen, oder Fragen.

Nach der Installation, bzw. nach dem Setup mit LineageOS hilft ein Wipe des Dalvik Caches bei Problemen. Bei mir funktionierte die Bluetooth Tastatur nur in Englisch, nach dem Wipe erfolgte die Umschaltung auf Deutsch sehr sauber.

Um nun ohne Google Play Store auszukommen, installiert man das F-Droid apk, welches von F-Droid Store (https://f-droid.org/) geladen werden kann. Da es meist nicht ohne Programme (Apps) aus dem Google Play Store geht, kann man über F-Droid den „Yalp Store“ installieren. Dieser lädt Programme (Apps) ohne Registrierung bei Google von dort. Optional zur Anonymisierung auch über Tor.

Interessante Programme (Apps) sind:

  • TermUX
  • ConnectBot
  • Orbot / Orfox und der neue Tor Browser (Beta)
  • Firefox mit NoScript und Ublock Addon
  • Firefox Klar
  • Brave Browser

Die Standard Mail, Kalender und Kontakte Apps funktionieren sehr gut gegen unserem Mail Server, welcher unter FreeBSD ActiveSync bereitstellt. Damit sollten hier keine zusätzlichen Programme notwendig sein. Alternativ K9 Mailer und DavDroid.

Zur Verbindung mit meinem eigenen Owncloud Server, den Owncloud Client. Damit können Fotos sofort beim Erstellen zum Server geladen werden. Durch die eigene OwnCloud natürlich so, dass das Foto nie auf anderen Servern im Internet gespeichert wird.

Nicht zu vergessen, auch wenn mit einer gewissen Lernkurve verbunden, AFWall+ als Firewall Frontend zur IPTables Verwendung und Titanium Backup für eine professionelle Sicherung, welche Sie auch auf der SD Karte ablegen können. Wenn Sie die SD Karte öfters auf den PC kopieren, haben Sie ein zusätzliches Backup, falls das Gerät gestohlen wird, oder ausfällt.

Für die Verwendung von AFWall+ und Titanium muss root aktiviert werden. Einfach wieder 7-mal auf die Build Nummer hämmern und dann in den Entwicklereinstellungen root für ADB und APPS erlauben.

Am Ende wird das in etwa so aussehen:

Für mich ist es eine ziemlich perfekte Lösung, da die Privatsphäre nun wieder gesichert ist und alle Funktionen einwandfrei funktionieren. In dieser Form ist Android auch für Firmen mit smarten Mitarbeitern verwendbar.

Natürlich gehört noch der OpenVPN Client fürs VPN nach Hause installiert, welcher sich gegen die Open Source PFSense Firewall mit 4096 Bit Zertifikaten und Passwort authentifiziert. Damit sind Sie immer in der Lage, ohne Daten an Dritte zu senden, auf Ihre Daten zu Hause oder im Büro zuzugreifen. Privatsphäre wie sie sein sollte!

TODO

Aktuell noch fehlende Punkte sind:

  • Owntracks: Die Owntracks App hat eine Abhängigkeit von Google Play und funktioniert dadurch nicht. Natürlich bleibt die Installation Google-frei und es wird nach einer Alternative gesucht. Da ich ein Setup mit 2 MQTT Servern, welche die Positionen an den Home Assistant (Intelligente Home Automatisierung ohne Daten an Dritte zu senden) und den dort auch laufenden Owntracks Recorder sendet, wird ein Versuch mit einer Open Source Library (https://github.com/microg) unternommen um die Gesamtinstallation, welche perfekt funktioniert, nicht verändern zu müssen.

  • KeePass mit WebDAV Unterstützung: Hier muss noch eine passendes Programm (App) gefunden werden.

Alles in allem eine sehr gelungene Lösung, welche bei mehreren Geräten sehr einfach über Titanium dupliziert werden kann.

Der nächste Schritt ist die Anschaffung eines Android Telefons, welches sofort nach dem Kauf, LineageOS installiert bekommt. Danach sollte eine perfekte Lösung gefunden sein, welche alle Anforderungen abdeckt.

UPDATE Link zum Teil 2

Digitale Revolution von Messenger und Sozialen Medien (Fediverse / ActivityPub / Matrix / Mastodon / Hubzilla / Tor)

KMJ.at nun auch im Fediverse

Nachdem im Juni im Rahmen eines Tests der neuen Tor v3 Adressen ein Tor-Hidden-Service entstand, welcher unter:

http://wmv7y4tehgsvghaabiqvrm76uag7c6vdxufzoorjso3escefkiwo4tid.onion/

die KMJ.at Webseite abbildet, mussten nun noch alle Teile der vollständigen Privatsphäre zusammengefügt werden. Zusätzlich entstand mit einem eigenen Hubzilla-Hub das letzte fehlende Service.

Webseite

Erstellt mit Hugo, voll automatisch verteilt auf die Clear-Net Seite und den Server für den Tor-Hidden-Service. Zuallererst wurde die private Webseite auf statische Seiten, welche mit dem Hugo ( https://gohugo.io/ ) Framework erstellt werden, umgestellt. Dadurch gibt es keine Probleme mit Hacks, Bots und Spidern und zusätzlich wird die Webseite extrem schnell.

Updates erfolgen sehr einfach durch eine neue Datei im Markdown Format und einer Übertragung auf die Webseiten. Die Übertragung erfolgt vollautomatisch durch Aufruf eines Scripts, welches die Webseite erstellt und sicher auf die Server verteilt. Updates sind in weniger als zwei Minuten auf allen Servern. Natürlich inklusive der Möglichkeit mit einem RSS Feed die Webseite abzugreifen, einer Liste neuester Posts, einer Tag Cloud und vielem mehr. Ich vermute, dass sich 70%, insbesondere der kleineren Webseiten, so umstellen lassen. Damit entfallen die aufwändigen Updates der verschiedenen CMS, welche aktuell im Schnitt alle 14 Tage gepatcht werden müssen.

Messenger / CRM / Teamworking Tool

Das wichtigste war es, die Kommunikation auf sichere Beine zu stellen und in keinem Fall proprietäre Dienste von zentral gesteuerten Anbietern zu verwenden. Es musst sichergestellt sein, dass niemand die Kommunikation mitlesen kann und dann Daten,wie bei E-Mail auch, nur zwischen beteiligten Servern ausgetauscht werden. Nur so ist eine hohe Sicherheit gegeben und Meta-Daten, welche protokollieren, wer mit wem kommuniziert, werden ganz nebenbei vermieden. Wie immer war ich wieder einmal einer der ersten, der die Matrix Lösung gefunden und angewandt hat. Mittlerweile kommuniziere ich mit so gut wie allen mir wichtigen Menschen über den Matrix Messenger (https://matrix.org/docs/projects/try-matrix-now.html ). Es freut mich, dass auch innovative Regierungen, wie zum Beispiel die in Frankreich, gelernt haben, dass eine Kommunikation nur sicher ist, wenn es keinen zentralen Anbieter gibt, insbesondere keine, welche 97% ihres Umsatzes damit machen, möglichst viel über die Benutzer zu wissen. ( https://matrix.org/blog/2018/04/26/matrix-and-riot-confirmed-as-the-basis-for-frances-secure-instant-messenger-app/) .

Matrix / Riot ist nicht nur ein perfekter, dezentraler, end-to-end verschlüsselter Messenger, sondern auch ein großartiges Tool für CRM, Kundensupport, den Erhalt von Benachrichtigungen und die Zusammenführung von RSS Feeds in einem, oder mehreren Räumen. Alle, die sich damit nur ein klein wenig befasst haben, wollen nichts mehr anderes.

Matrix Registrierung:

Aktuell wechseln extrem viele von anderen Messengern zu Riot/Matrix. Um Überlastungen des Projektservers zu verhindern empfiehlt sich für Organisationen, Computer Semi-Pros und Pros die Einrichten eines eigenen Homeservers, siehe https://matrix.org

Für Benutzer ohne EDV Kenntnisse stehen kostenlose öffentliche Server zur Verfügung:

Wichtig: Nicht mit dem Browser arbeiten, denn sobald die Verschlüsselung aktiviert wird, besteht für Anfänger und EDV Laien die Möglichkeit die privaten Schlüssel zu verlieren. Sofort nach der Registrierung App oder Linux, MAC, bzw. Windows Version nutzen!

Hinweis: Sicherheit hat immer auch ein klein wenig mehr an Aufwand. Sobald die Verschlüsselung in einem Raum aktiviert wird müssen Sie die Geräte des/der Gesprächspartner bestätigen. Nur so ist es möglich, dass keine Key-Injection vorgenommen werden kann. Nehmen Sie diese kleine Hürde in Kauf, denn Ihre Sicherheit sollte Ihnen ein paar Sekunden wert sein. Am Anfang helfen ihnen sicher Matrix Pros.

Es gibt auf meinem Matrix-Server einen Hilfe-Raum. Geben Sie in der Box, wo Sie normalerweise Nachrichten schreiben folgendes ein:

/j #kmj:matrix.ctseuro.com

und sie betreten den Raum. Eine kleine, freundliche Community hilft Ihnen sicher gerne.

Fediverse / ActivityPub Lösungen

Mastodon

Natürlich benötigt man für einen vernünftigen Internet Auftritt mit einem Maximum an Privatsphäre auch eine Micro Blogging Plattform (Kurznachrichtendienst Alternative).

Soziales Netzwerken wieder in den Händen der Benutzer. Folgen Sie Freunden und entdecken Sie neue. Veröffentlichen Sie alles, was Sie möchten: Links, Bilder, Text, Video. Das alles auf einer Plattform, die ohne zentrale Filter, mit intransparenter Moderation und Algorithmen, Beiträge an die Follower verteilt.

Endlich finden Ihre Beiträge die Beachtung, welche ihnen zusteht und niemand priorisiert oder filtert Beiträge. Die Darstellung bei den Followern ist in chronologischer Reihenfolge.

Ein Auftritt auf Mastodon im Fediverse ist mittlerweile Pflicht. Seien Sie vom Beginn an dabei und nutzen Sie Ihre Chancen jetzt. Firmen und Pros sollten natürlich eine eigene Instanz (Server) einrichten. Dadurch sind Sie der Admin der Instanz, welche Sie nur für sich - Ihre Beiträge werden über die Federation an die anderen Server verteilt -, oder auch für Ihre Freunde, Kunden und andere öffnen können. Freie Software gibt Ihnen alle Freiheiten! Und lassen Sie sich nicht von Menschen die nichts Neues mehr lernen, oder Neues versuchen wollen, bremsen. Das digitale Leben ändert sich für Pros bereits seit längerem, für alle anderen beginnt die Digitale Revolution zu mehr Privatsphäre, ohne dass jemand vorgibt was Sie oder andere sehen,jetzt!

Ein Einstieg bei Mastodon geht sehr leicht über einen der öffentlichen Server:

Mastodon für Einzelpersonen

Ohne den Anreiz, Ihnen Dinge verkaufen zu müssen, ermöglicht es Mastodon, Inhalte, die Ihnen gefallen, ungestört zu konsumieren. Ihre Zeitleiste ist chronologisch, frei von Werbeanzeigen und nicht-algorithmisch. Sie entscheiden, was Sie sehen wollen!

https://joinmastodon.org/#getting-started

Mastodon für Organisationen

Hosten Sie Ihre eigene Soziale-Medien-Platform auf Ihrer eigenen Infrastruktur. Lassen Sie Ihr Unternehmen oder Ihre gemeinnützige Organisation nicht von einer Firma abhängig sein, die die Spielregeln verändern könnte – schreiben Sie Ihre eigenen Regeln!

https://joinmastodon.org/#install

Hubzilla

Wirklich gefehlt hat mir bis vor Kurzem eine echte alternative zum zur Zeit führenden sozialen Netzwerk. Hier im Blog finden Sie eine Möglichkeit alle Postings und Aktivitäten dort mir einem Script zu löschen. ( https://kmj.at/2018-04-24-facebook-history-automatisiert-loeschen/ )

Ich habe meinen Account dort noch nicht gelöscht, aber er beinhaltet keine Posting, Like oder sonstiges mehr. Eine App hatte ich nie verwendet, da ich Dienste immer nur per Broswer verwende. Damit ist die Gefahr, dass noch mehr Daten (Standorte, Micro, Kamera, etc) über mich gesammelt werden geringer. Der leere Account bleibt noch bestehen, da mit diesem auch einige Seiten im dortigen System verbunden sind. Diese wurden aber aufgrund eines kritischen Gerichtsurteiles bereits offline genommen. (https://kmj.at/2018-06-05-eu-gerichtshof-gemeinsame-verandwortung-facebook-und-nutzer/ ).

Mastodon und Matrix waren keine echte Alternative, denn es sollte auf jeden Fall dezentralisiert sein, auch Bildergalerien, verschiedene Channels (Webseiten, Info Pages, Foren, etc.) von dieser Software unterstützt werden. Zusätzlich bestand die Hoffnung, dass die Lösung über das ActivityPub Protokoll mit anderen Lösungen und damit Benutzern kommunizieren kann. Einfach ausgedrückt soll ein Account des Sozialen Netzwerkes, einem Account der Micro Blogging Plattform folgen können und umgekehrt. Die jeweiligen Posts sollten im Activity Stream aufscheinen.

Monatelang war nicht zu finden, aber seit 2018 gibt es bei den dezentralen Lösungen riesige Fortschritte. Alle wollen raus aus den Datensilos und wieder Herr über Ihre Daten sein. Sponsoren spenden viel Geld an Open Source Projekte um die Lösungen rascher fertigstellen zu können.

Die Lösung fand ich in Hubzilla ( https://hubzilla.org/ ). Eine geniale Lösung, welche mit ein bischen Lernaufwand alles abdeckt.

Hier finden Sie die Projektvorstellung (Lesezeit ca. 1 Minute) um sich ein Bild zu machen:

https://project.hubzilla.org/page/hubzilla/hubzilla-project#learn

Auch hier stehen für Endanwender öffentliche Server zur Verfügung, Organisationen und Pros sollten eigene Systeme einrichten. Das Setup ist mehr als einfach. Wer schon einmal Wordpress installiert hat, der schafft die Basisinstallation von Hubzilla in weniger als 30 Minuten. Danach sollte man sich etwas mit der Dokumentation auseinandersetzen und unter 3-4 Stunden haben Sie eine perfekte Alternative! Zensurfrei, ohne zentralen Anbieter der filtert oder priorisiert. Und Sie sind Herr über Ihre Daten! Versuchen Sie einfach die Demo des Projektes:

https://demo.hubzilla.org/

Ich bin begeistert, Newsstreams, Dateiaustausch, WebDAV, Fotos, Galerien, Messenging, auch verschlüsselt, Kalender, CalDAV, CardDAV, Apps und vieles mehr. Und das genialste, Sie können mit Mastodon, Diaspora, Friendica, Pleroma, Pixelfe und vielen weiteren Systemen, welche ActivityPub unterstützen kommunizieren, Benutzern folgen, Liken, Kommentieren und vieles mehr.

Zusätzlich bietet Hubzilla die Möglichkeit von cloned Accounts, d.h. Sie erstellen einen Account auf einem Hub (Server) und einen oder mehrere Clones auf anderen Hubs. Hubzilla synchronisiert diese Account so, dass alle immer auf dem gleichen Stand sind.Damit bleiben Sie bei Ausfall eines Hubs immer noch erreichbar und haben gleichzeitig eine Datensicherung. Nie mehr wieder alle Daten verlieren, weil ein Anbieter den Stecker zieht, oder Ihren Account sperrt!

Die intelligenteste Frage aller Fragen

Immer wieder hört man, ist da schon wer den ich kenne? Seien Sie keiner der Lemminge die alle Verantwortung für sich selbst abgeben und Ihre Daten an Datensilos und fremde Menschen verschenken. Registrieren Sie einen Account und schauen Sie sich um. Sie werden neue Leute treffen und wenn Ihnen jemand diese Frage dann stellt, sagen Sie einfach, „Ja, ich bin bereits dort!“. Nur so wird sich die Bewegung in Richtung dezentraler Lösungen, welche bereits viele Millionen User hat, dramatisch beschleunigen. Seinen Sie cool und smart und bereits jetzt dabei!

Meine Accounts

Riot-Messenger-Adresse:

@karl:matrix.ctseuro.com

Hubzilla

https://hubzilla.ctseuro.com/profile/kmj

kmj@hubzilla.ctseuro.com

Mastodon

https://mastodon.ctseuro.com/@kmj

@kmj@mastodon.ctseuro.com

Tor Netzwerk

http://wmv7y4tehgsvghaabiqvrm76uag7c6vdxufzoorjso3escefkiwo4tid.onion/

Web:

https://gohugo.io - The world’s fastest framework for building websites Hugo is one of the most popular open-source static site generators. With its amazing speed and flexibility, Hugo makes building websites fun again.

Messenger / CRM / Teamworking Tool

https://matrix.org – Die Open Source Serversoftware für Messenger, CRM und Collaboration.

https://matrix.org/docs/projects/try-matrix-now.html die verschiedenen Matrix Clients, wobei ich Riot empfehle. Dieser läuft Multi-Device-in-Sync fähig unter Windows, Mac, Linux, IOS und Android.

https://riot.im – die Webseite für den Client

https://kmj.at/categories/matrix/ - Hier im Blog verfügbare Informationen über die geniale Matrix Lösung.

Fediverse / ActivityPub Lösungen

Micro Blogging

https://joinmastodon.org/ - Mastodon, die kostenlose Open Source Lösung bei der Sie Herr über Ihre Daten sind!.

Soziales Netzwerken

https://hubzilla.org/ - Connecting free and independent communities across the web. Das dezentrale Identitäts-, Kommunikations- und Berechtigungskonzept basiert auf weitverbreiteter Webserver-Technologie.

https://demo.hubzilla.org/ - Hubzilla Demo

xBrowserSync – die Lösung fuer Self-Hosted Bookmark-Sync! (Firefox Extension, Updated 20181029)

xBrowserSync – die Lösung für Self-Hosted Bookmark-Sync!

Firefox Extension (Alpha Build)

Basierend auf den Code Änderungen der Version 1.4.0 habe ich die Firefox Extension als XPI Datei erstellt. Damit können auch alle, welche die Extension basierend auf dem Sourcecode nicht selbst erstellen können, diese großartige Erweiterung, welche für IOS, Android und Chrome/Chromium bereits perfekt funktioniert, auch mit Firefox testen.

!! WICHTIG !!

  • Der Build basiert auf dem Github Stand der App von 7.7.2018
  • Sie arbeiten auf eigenes Risiko, sichern Sie Ihre Booksmarks zuerst
  • Sollte die Alpha Version Ihre Daten zerstören, müssen Sie diese selbst wiederherstellen können
  • Wenn Sie die obigen drei Sätze nicht verstehen, warten Sie, bis xBrowsersync Firefox im Appstore verfügbar ist und verwenden Sie keine Alpha Software.
  • Keine Garantie für irgendeine Funktionalität
  • Fehlermeldungen bitte via Github an den Entwickler melden!
  • Github Client App https://github.com/xBrowserSync/App

  • KEIN SUPPORT !!!!!!!

  • Fragen nur über Riot.im/Matrix.org Messenger im Raum: 

    /j #kmj:matrix.ctseuro.com

(Ab hier finden Sie den Text des alten Blog Eintrags)

xBrowserSync – die Lösung fuer Self-Hosted Bookmark-Sync!

XbrowserSync ist ein weiterer Baustein zur Erhöhung der Privatsphäre durch Open- Source Software. Aktuell synct xBrowsersync Bookmarks zwischen Chrome, Android und IOS. Auf den mobilen Endgeräten unabhängig vom dort verwendeten Browser.

Ein Add On für Firefox ist für Juni geplant.

Kurz zusammengefasst verschlüsselt xBrowserSync die Bookmarks bereit am Endgerät mit einer Military-Grade AES-Verschlüsselung. Am Server kann dadurch nichts gelesen werden und es ist weder eine Registrierung noch die Angabe persönlicher Daten notwendig.

Reine Endbenutzer werden nur das Client Programm auf Ihren Systemen verwenden und die auf der Red Hat OpenShift Plattform gehostete API Instanz nutzen. Diese Instanz steht kostenlos zur Verfügung, das Projekt freut sich aber über Spenden zur Deckung der Hosting Kosten unter BTC: 1QEpmSt2hqnskxGRav9SNaRrJo5E9pGpGy . Ein umfangreiches FAQ in englischer Sprache finden Sie hier: https://www.xbrowsersync.org/#faqs

Die Client Seite

Bevor Sie anfangen, sichern Sie den aktuellen Stand Ihrer Bookmarks in eine Datei um im Fall von Problemen den aktuellen Stand wieder herstellen zu können. Zur Verwendung mit den öffentlichen Projekt-Servern einfach die Software für alle Geräte downloaden, auf dem ersten Gerät eine Sync-ID mit Passwort erstellen und nachdem der Erstsync durch ist, diese auf allen weiteren Geräte eintragen. Fertig!

(Optional) Self-Hosted xBrowserSync API Server

Natürlich sollte man die Server Seite der Lösung auch selbst hosten um das Projekt zu entlasten und um die Daten wirklich nur im eigenen Haus zu halten. Meine Empfehlung ist ein Setup auf einem FreeBSD System. Eine sehr einfache Anleitung zur Installation finden Sie hier:

https://github.com/xBrowserSync/API

Richten Sie den AI Dienst auf einem selbst definierten Port, z.B. 9191 ein und sichern Sie den Service zusätzlich durch ein SSL Zertifikat. Die Lösung funktioniert, abgesehen von den System und Security Updates im wesentlichen Wartungsfrei.

Für eine professionelle Enterprise Installation sollten Sie sich an die Open Source Spezialisten der CTS GMBH (https://CTS-Solutions.at) wenden.

Downloads für Android und IOS in den jeweiligen APP-Stores

Debian basiertes InHouse NAS mit verschlüsseltem Software-Raid (Teil 1)

Debian basiertes InHouse NAS mit verschlüsseltem Software Raid (Free, Open Source, FOSS, FLOSS)

Es wird immer wichtiger, Daten im eigenen Haus, ohne jedes Senden von Informationen an Dritte, sicher zu speichern. Zusätzlich muss ein Schutz der Daten gegen Diebstahl der Hardware erfolgen. Natürlich kann man jetzt in einem Store eines dieser Fertig-NAS kaufen und sich auf dessen Funktion verlassen, aber das wollen wir nicht. Ziel ist es, ein InHouse System zu erstellen, welches diese Anforderungen erfüllt, problemlos in der Wartung ist und bei dem wir flexibel zusätzliche benötigte Services einrichten können.

Hier im Haus ist eine Windows freie Zone, aber wir werden trotzdem folgende Dienste einrichten:

  • SMB/CIFS Shares (aka Windows Shares)
  • NFS Shares (Unix/Linux, opt. Bei Apple und Windows)
  • LDAP User Management

Zum Test des Systems verwenden wir ein älteres 64 Bit System mit 8 GB RAM und 4*2TB SATA Harddisks. Die Einrichtung sollte in dieser Form erfolgen:

  • Debian Stretch 9.4 (Stand 06/2018)
  • Verschlüsseltes Dateisystem mit Software Raid-5 über diese 4 Platten
  • einfaches Tauschen einer defekten Platte
  • sicheres Booten, auch bei Ausfall der Festplatte auf der GRUB installiert ist
  • remote Möglichkeit der Entsperrung der Festplatte bei Reboot
  • System Management per RDP Protokoll mit Zugriff auf den XFCE Desktop
  • pro-aktives Monitoring der Festplatten und des Raid Zustandes mit E-Mail Alerting

Zusätzlich wird das NAS mit einer eigenen Firewall abgesichert und das Thema Interface Bundling (bonding) angesprochen.

Als Erweiterung werden wir das NAS auf ein Backup System spiegeln, bzw. synchronisieren um im Fall eines Totalausfalls ein schnelles Umschalten zu ermöglichen.

Benötigte Zeit für die Installation 1-5 Stunden, meist abhängig von der Komplexität Ihres Netzwerkes. Rechnen Sie für die erste Installation Ihren persönlichen Lernaufwand dazu.

WICHTIG: Der Autor ist nicht für eventuelle Schäden an Ihrem System, bzw. für einen Datenverlust verantwortlich! Testen Sie dieses System nur in einer Testumgebung und entscheiden erst nach ausgiebigen Tests, ob Sie in den Echtbetrieb wechseln. Sie handeln auf eigene Verantwortung und der Artikel beschreibt nur die Installation beim Autor!

Professionelle Hilfe bei Open-Source Lösungen bietet seit 1985 die CTS GMBH https://cts-solutions.at (professionelle IT Lösungen seit 1985!), bzw. https://ctssupport.at (Open Source Remote Support).

Profi-Tipp: Geben Sie nicht nach 2 Minuten auf! Eine Lösung wie diese benötigt den Willen etwas Neues zu lernen und sich selbst weiter zu bilden. Dieses Wissen hebt Sie von der Masse der Administratoren in weiter Folge ab und erweitert Ihr Portfolio um Kenntnisse, welche Standard Administratoren heute nicht mehr besitzen. Ein immenses Plus für Ihre Karriere! Klicken kann jeder, wissen was man tut ist in Zeiten wie diese die Ausnahme!

Schritte zur Installation des Basissystems

Wenn das Sytem startet im Auswahlmenü folgendes wählen:

  • Install auswählen
    • Deutsch
    • Österreich (Oder Ihr Land)
    • Deutsch
    • Netzwerkkarte auswählen
    • Hostnamen wählen (nas01, oder anpassen)
    • den Domainnamen angeben (local.mydomain.tld, Ihre Domain!)
    • root Passwort wählen (etwas Langes!)
    • Benutzernamen für das Arbeitskonto wählen
    • Passwort für das Arbeitskonto wählen

Danach wählen wir die Partitionierungsart:

  • Partitionieren MANUELL
    • Partition für /boot einrichten
    • Freien Bereich auf sda wählen
    • Neue Partition anlegen
    • 512 MB
    • Primär
    • Anfang
    • Physikalisches Volume für Raid
    • Anlegen der Partition beenden

Dieser Bereich wird das erste Raid (md0) zum booten. Jetzt müssen wir noch die verschlüsselte Partition (Raid md1) für das Betriebssystem und die Daten einrichten.

  • Partition für das verschlüsselte Raid einrichten
  • Freien Bereich auf sda wählen
  • Neue Partition anlegen
  • verfügbare Größe verwenden
  • Logisch
  • Anfang
  • Physikalisches Volume für Raid
  • Anlegen der Partition beenden

Wiederholen Sie diesen Vorgang für alle Platten im Raid. Bei mir sind das sdb,sdc,sdd.

  • Danach Selektieren Sie “Software Raid konfigurieren”
    • Änderungen auf das Speichergerät schreiben: JA

md0 für /boot:

  • Wir richten md0 für /boot ein
    • MD-Gerät erstellen
    • Wir verwenden Raid 5.
    • Anzahl der aktiven Geräte ist 4 (sda,sdb,sdc,sdd)
    • Reserve Geräte ist bei uns 0
    • Selektieren Sie alle 512 MB Partitions, hier sda1,sdb1,sdc1,sdd1
    • Weiter

md1 für Betriebssystem und Daten

  • Wir richten md1 für das verschlüsselte Raid ein
    • MD-Gerät erstellen
    • Wir verwenden Raid 5.
    • Anzahl der aktiven Geräte ist 4 (sda,sdb,sdc,sdd)
    • Reserve Geräte ist bei uns 0
    • Selektieren Sie alle 512 MB Partitions, hier sda5,sdb5,sdc5,sdd5
    • fertigstellen -> weiter

Einrichten der Volumes

  • Nun muss das /boot Volume erstellt werden
    • Wählen Sie das Raid5 Gerät mit 1,5GB aus, hier #0
    • Benutzen als: Ext4 Journaling Dateisystem
    • Einbindungspunkt: /boot
    • Anlegen der Partition beenden

nach dem Boot Volume benötigen wir den verschlüsselten Datenträger

  • Wählen Sie nun den Punkt: Verschlüsselten Datenträger konfigurieren
    • Änderungen auf Platte schreiben: JA
    • Verschlüsselten Datenträger erzeugen -> Weiter
    • /dev/md1 auswählen
    • Daten löschen dauert sehr lange, bei neuem System nicht notwendig.
    • Anlegen der Partition beenden
    • Fertigstellen
    • Passphrase eingeben! Wichtig: Lang, komplex und NIE vergessen
    • NOCH EINMAL: PASSPHRASE WEG – DATEN WEG – UNWIEDERHERSTELLBAR!

Logical Volume Manager

  • wir konfigurieren den Logical Volume Manager (LVM)
    • Logical Volume Manager konfigurieren
    • auf Festplatte schreiben: JA
    • Volume Gruppe erstellen
    • Name der Volume Gruppe: NAS00
    • Gerät für Gruppe: /dev/mapper/md1_crypt

darauf aufbauend

  • im nächsten Schritt legen wir die Logical Volumes an
    • als erstes benötigen wir ein SWAP Volume
    • Logisches Volume erstellen
    • Volume Group NAS00
    • Name: SWAP
    • Größe: 8096 MB (Wir nehmen 1*RAM)

und für die Daten

  • legen wir ein ROOT Volume an
  • Logisches Volume erstellen
  • Volume Group NAS00
  • Name: ROOT
  • Größe: verfügbare Größe

Wenn alles erledigt wählen Sie fertigstellen.

Nun geht es an die Installation

Wir haben nun 2 logische Volumes am System.

  • LVM VG NAS00 LV ROOT 6TB
  • LVM VG NAS00 LV SQAP 8GB

Das Root Filesystem legen wir am LVM VG NAS00 LV ROOT an.

  • Wählen Sie die Zeile aus
  • Benutzen als: Ext4 Journaling Dateisystem
  • Einbindungspunkt: /
  • Anlegen der Partition beenden

mit dem SWAP verfahren wir gleich:

  • Zeile auswählen
  • Benutzen als Auslagerungsspeicher (Swap)
  • Anlegen der Partition beenden

Bevor wir nun die Debian Installation beginnen, selektieren wir Partitionierung beenden und Änderunden übernehmen.

  • Änderungen auf Festplatte schreiben: JA

Unser Ergebnis sie so aus:

lsblk+Return

NAME               MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda                  8:0    0  1,8T  0 disk  
├─sda1               8:1    0  487M  0 part  
│ └─md0              9:0    0  1,4G  0 raid5 /boot
├─sda2               8:2    0    1K  0 part  
└─sda5               8:5    0  1,8T  0 part  
  └─md1              9:1    0  5,5T  0 raid5 
    └─md1_crypt    253:0    0  5,5T  0 crypt 
      ├─NAS00-SWAP 253:1    0  7,6G  0 lvm   [SWAP]
      └─NAS00-ROOT 253:2    0  5,5T  0 lvm   /
sdb                  8:16   0  1,8T  0 disk  
├─sdb1               8:17   0  487M  0 part  
│ └─md0              9:0    0  1,4G  0 raid5 /boot
├─sdb2               8:18   0    1K  0 part  
└─sdb5               8:21   0  1,8T  0 part  
  └─md1              9:1    0  5,5T  0 raid5 
    └─md1_crypt    253:0    0  5,5T  0 crypt 
      ├─NAS00-SWAP 253:1    0  7,6G  0 lvm   [SWAP]
      └─NAS00-ROOT 253:2    0  5,5T  0 lvm   /
sdc                  8:32   0  1,8T  0 disk  
├─sdc1               8:33   0  487M  0 part  
│ └─md0              9:0    0  1,4G  0 raid5 /boot
├─sdc2               8:34   0    1K  0 part  
└─sdc5               8:37   0  1,8T  0 part  
  └─md1              9:1    0  5,5T  0 raid5 
    └─md1_crypt    253:0    0  5,5T  0 crypt 
      ├─NAS00-SWAP 253:1    0  7,6G  0 lvm   [SWAP]
      └─NAS00-ROOT 253:2    0  5,5T  0 lvm   /
sdd                  8:48   0  1,8T  0 disk  
├─sdd1               8:49   0  487M  0 part  
│ └─md0              9:0    0  1,4G  0 raid5 /boot
├─sdd2               8:50   0    1K  0 part  
└─sdd5               8:53   0  1,8T  0 part  
  └─md1              9:1    0  5,5T  0 raid5 
    └─md1_crypt    253:0    0  5,5T  0 crypt 
      ├─NAS00-SWAP 253:1    0  7,6G  0 lvm   [SWAP]
      └─NAS00-ROOT 253:2    0  5,5T  0 lvm   /

Der Vorgang benötigt etwas Zeit, danach können wir weitere Systemeinstellungen vornehmen.

Wählen Sie Ihr Heimatland für die System Archive und wählen Sie einen Spiegel aus. Sollten Sie einen Proxy benötigen um ins Internet zu kommen, tragen Sie diesen ein.

Bei der Benutzungsstatistik selektieren Sie am besten Nein. Danach installieren Sie den SSH Server und die Standard System Tools.

TIPP Sollte Ihr Installationsmedium nicht danach fragen, können Sie den SSH Server später mit apt-get install openssh-server jederzeit nachinstallieren.

Der GRUB Boot Loader wird temporär auf /dev/sda installiert.

Danach können Sie das System rebooten. Entfernen Sie dabei den USB Stick!

Jetzt haben Sie sich einen Kaffee verdient! Der heikelste Teil ist geschafft!

GRUB anpassen / prüfen (WICHTIG!)

Im Rahmen der Installation haben wir GRUB nur auf der Festplatte sda installiert. Dadurch würde, da GRUB nicht gefunden werden kann, beim Ausfall der Platte sda das System nicht mehr booten. Nachdem Sie den ersten Boot Vorgang abgeschlossen haben, sollten Sie GRUB auf alle Festplatten installieren.

  • dpkg-reconfigure grub-pc

bzw.

  • dpkg-reconfigure grub-efi-amd64

ausführen und GRUB auf allen sdX Festplatten installieren. Wenn unsicher welche Version, hilft ein ls /boot/grub. Ein Verzeichnis i386-pc deutet darauf hin, grub-pc zu verwenden.

HINWEIS: ab > 2TB wird automatisch mit GPT partitioniert. Hier wird dann grub-efi-amd64 verwendet. Versuchen Sie bereits bei der Erstintallation GTP zu verwenden! Mischen von MBR und GPT GRUB Setups ist nicht möglich!

Nach zwei Fragen, die Sie am besten mit dem Vorgabewert beantworten, markieren Sie im Fenster “Konfiguriere” alle Raid-Festplatten, bei mir sda,sdb,sdc,sdd. In keinem Fall installieren Sie GRUB auf den dm und md devices.

Nun startet das System auch, wenn die sda Festplatte stirbt.

Profi-Tipp: Prüfen ob Grub auf einer Festplatte installiert ist

  • dd if=/dev/sdX bs=1 count=512 | grep -aob GRUB

zum Beispiel:

  • dd if=/dev/sda bs=1 count=512 | grep -aob GRUB

muss nnn:GRUB anzeigen. Aktuell ist die Position im Block die nummer 392, dies kann sich aber bei Versionswechsel ändern. In jedem Fall ist GRUB in den ersten 512 Bytes der Festplatte ersichtlich.

Raid Infos

Sie können folgende Befehle verwenden:

  • pvdisplay
pvdisplay

  --- Physical volume ---
  PV Name               /dev/mapper/md1_crypt
  VG Name               NAS00
  PV Size               5,46 TiB / not usable 5,00 MiB
  Allocatable           yes (but full)
  PE Size               4,00 MiB
  Total PE              1430332
  Free PE               0
  Allocated PE          1430332
  PV UUID               SUHin2-57jD-MT1c-YDV6-rg6O-kKWA-ba8dPS
  • vgdisplay
vgdisplay

  --- Volume group ---
  VG Name               NAS00
  System ID             
  Format                lvm2
  Metadata Areas        1
  Metadata Sequence No  3
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                2
  Open LV               2
  Max PV                0
  Cur PV                1
  Act PV                1
  VG Size               5,46 TiB
  PE Size               4,00 MiB
  Total PE              1430332
  Alloc PE / Size       1430332 / 5,46 TiB
  Free  PE / Size       0 / 0   
  VG UUID               ZLUuuG-XMmp-D0T7-cpNs-rjd1-3rgf-d4DKL2
  • lvdisplay
lvdisplay

  --- Logical volume ---
  LV Path                /dev/NAS00/SWAP
  LV Name                SWAP
  VG Name                NAS00
  LV UUID                Htpq0u-W8cp-zfxh-s8e3-jROi-AiDg-46g89g
  LV Write Access        read/write
  LV Creation host, time nas04, 2018-06-14 10:58:37 +0200
  LV Status              available
  # open                 2
  LV Size                7,54 GiB
  Current LE             1930
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     6144
  Block device           253:1
   
  --- Logical volume ---
  LV Path                /dev/NAS00/ROOT
  LV Name                ROOT
  VG Name                NAS00
  LV UUID                1eQOBH-xzKm-sVe0-EF1J-E0tv-Cdbo-AtvRD7
  LV Write Access        read/write
  LV Creation host, time nas04, 2018-06-14 11:02:16 +0200
  LV Status              available
  # open                 1
  LV Size                5,45 TiB
  Current LE             1428402
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     6144
  Block device           253:2

zusätzlich können Sie mit

  • mdadm –examine –brief –scan –config=partitions
ARRAY /dev/md/0  metadata=1.2 UUID=a5e6ef49:f99618ed:fcca6784:a6312739 name=nas04:0
ARRAY /dev/md/1  metadata=1.2 UUID=fb272a9e:3481879a:e480c9f4:0d4fc7c2 name=nas04:1
  • cat /proc/mdstat
Personalities : [raid6] [raid5] [raid4] [linear] [multipath] [raid0] [raid1] [raid10] 
md1 : active raid5 sda5[0] sdc5[2] sdb5[1] sdd5[3]
      5858648064 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/4] [UUUU]
      [====>................]  resync = 23.6% (462357760/1952882688) finish=3098.7min speed=8016K/sec
      bitmap: 14/15 pages [56KB], 65536KB chunk

md0 : active raid5 sda1[0] sdb1[1] sdc1[2] sdd1[3]
      1492992 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/4] [UUUU]
  • mdadm –detail /dev/md/0
  • mdadm –detail /dev/md/1

die Informationen zu den md Devices auslesen.

z.B. für das testsystem:

mdadm --detail /dev/md/1
/dev/md/1:
        Version : 1.2
  Creation Time : Thu Jun 14 10:39:02 2018
     Raid Level : raid5
     Array Size : 5858648064 (5587.24 GiB 5999.26 GB)
  Used Dev Size : 1952882688 (1862.41 GiB 1999.75 GB)
   Raid Devices : 4
  Total Devices : 4
    Persistence : Superblock is persistent

  Intent Bitmap : Internal

    Update Time : Thu Jun 14 17:29:03 2018
          State : active, resyncing 
 Active Devices : 4
Working Devices : 4
 Failed Devices : 0
  Spare Devices : 0

         Layout : left-symmetric
     Chunk Size : 512K

  Resync Status : 22% complete

           Name : nas04:1  (local to host nas04)
           UUID : fb272a9e:3481879a:e480c9f4:0d4fc7c2
         Events : 2890

    Number   Major   Minor   RaidDevice State
       0       8        5        0      active sync   /dev/sda5
       1       8       21        1      active sync   /dev/sdb5
       2       8       37        2      active sync   /dev/sdc5
       3       8       53        3      active sync   /dev/sdd5

Festplatte per SSH entsperren

Um nicht immer zum NAS gehen zu müssen, sollten wir eine Entsperrmethode für die Festplatte wählen, welche per SSH funktioniert. Andernfalls müssten wir bei jedem Reboot an die Console des Systems.

  • erstellen Sie auf Ihrem PC (Nicht dem NAS!), sofern Sie noch keinen Key verwendwen, einen SSH Key: ssh-keygen -b 4096 und kopieren Sie den öfffentlichen Schlüssel ~/.ssh/id_rsa.pub in die Datei /root/.ssh/authorized_keys am NAS (Funktioniert analog dazu auf Windows und Macs).

Testen Sie das Login mit

  • ssh root@IPdesNAS.

Nun installieren wir Dropbear

  • apt-get install dropbear-initramfs
  • Editieren Sie /etc/dropbear-initramfs/config und setzen das Port für den Connect
    • DROPBEAR_OPTIONS=“-p 2222”
  • Editieren Sie /etc/initramfs-tools/initramfs.conf und fügen Sie die statische Konfiguration ein:
    • IP=NAS_IP::GATEWAY_IP:NETMASK:HOSTNAME:ETH:AUTOCONF
    • in meinem System:
    • IP=192.168.2.14::192.168.2.1:255.255.255.0:nas04:enp6s0:off
  • Kopieren Sie die authorized_key Datei in den Ordner
    • cp /root/.ssh/authorized_keys /etc/dropbear-initramfs/
  • Erneuern Sie die initrd Datei
    • update-initramfs -u

Zusätzliche Software

Jetzt wird es spannend. Rebooten Sie das System, am besten nachdem Sie noch:

  • apt-get update
  • apt-get dist-upgrade
  • apt-get install ntp # (synchronisiert die Zeit, /etc/ntp.conf beachten)
  • apt-get install pk-update-icon # (zeigt verfügbare updates am XFCE Desktop)
  • apt-get install gufw # (Grafische Oberfläche für ufw, Einfache Firewallverwaltung)
  • apt-get install atop # (top alike Anzeige für Systemwerte, inkl. Disk-I/O)
  • apt-get install gdisk # (Siehe weiter unten)
  • apt-get install openssh-server (Siehe weiter oben)
  • apt-get install smartmontools (Siehe weiter unten)

durchgeführt haben und verbinden Sie sich mit dem ssh client (unter Windows bietet sich auch Putty an):

  • ssh -p 2222 root@NAS_IP

um die Festplatte zu entsperren

Tests

Wenn das Ihre erste Installation mit einem System in dieser Art ist, sollten Sie folgende Tests durchführen, bevor das System in Echtbetrieb geht:

  • Einzelne Festplatte fällt aus
  • Einzelne Festplatte sda fällt aus (Test GRUB Funktionalität, siehe oben)

Hot Spares

Sie können das System mit Hot Spares, Festplatten die automatisch eine defekte Festplatte ersetzen betreiben. Das reduziert die kritische Zeit, in der ein weiterer Festplattenausfall einen Totalverlust bedeuten könnte.

  • mdadm –add /dev/md/ /dev/sdXn
  • mdadm –remove /dev/md/ /dev/sdXn

Die Parameter sind der Name des RAID und die Festplatte die hinzugefügt, oder entfernt wird.

Rebuild im Fehlerfall

Festplatte identifizieren mit smartctl -i /dev/sda. Damit sieht man die Seriennummer der Platte.

Im Fehlerfall muss einerseits die defekte Festplatte vom Raid entfernt und andererseits eine neue, gleich partitionierte Festplatte hinzugefügt werden.

  • mdadm –manage /dev/md/ -r /dev/sdXn

entfernt eine defekte Festplatte und

  • mdadm –manage /dev/md/ -a /dev/sdXn

fügt eine neue Platte hinzu. Zur Partitionierung verwenden Sie fdisk, cfdisk, parted oder den PROFI-TIPP weiter unten. Wenn alle Vorgänge fehlerfrei sind, könnten Sie mit dem Rebuild starten. Setzen Sie die neue Partition im Raid-Verbund auf “Fehlerhaft”.

  • mdadm –manage –set-faulty /dev/md/ /dev/sdXn

Damit wird der Rebuild Prozess angestoßen und mit dem oben genannten cat /proc/mdstat können Sie den Fortschritt prüfen.

Wenn alles fertig ist, GRUB auf der Platte wieder installieren. Siehe oben!

Testprotokoll (Real Scenario)

Da beim Test Setup eine Festplatte weggestorben ist haben wir einen echten Vorgang.

cat /proc/mdstat
Personalities : [raid6] [raid5] [raid4] [linear] [multipath] [raid0] [raid1] [raid10] 
md1 : active raid5 sda5[0] sdc5[2] sdb5[1](F) sdd5[3]
      5858648064 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/3] [U_UU]
      bitmap: 10/15 pages [40KB], 65536KB chunk

md0 : active raid5 sda1[0] sdb1[1](F) sdc1[2] sdd1[3]
      1492992 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/3] [U_UU]
      
unused devices:

Hier sieht man, dass unsere Festplatte sdb fehlerhaft ist. Nicht so lustig ist die Ausgabe von smartctl -i /dev/sdb.

=== START OF INFORMATION SECTION ===
Vendor:               #o��_#
�
Product:              ��W-��#�j� ��lYa
Revision:             �-�j
User Capacity:        3.094.343.596.835.094.505 bytes [3094 PB]
Logical block size:   789056705 bytes
>> Terminate command early due to bad response to IEC mode page
A mandatory SMART command failed: exiting. To continue, add one or more '-T permissive' options.

D.h. wir können die Festplatte über die Seriennummer nicht mehr identifizieren und müssten blind den 2. SATA Anschluss als sdb vermuten. Natürlich ist das keine Lösung. Diesetwegen identifizieren wir die anderen drei Platten.

smartctl -i /dev/sda

=== START OF INFORMATION SECTION ===
Model Family:     Western Digital Green
Device Model:     WDC WD20EARX-00PASB0
Serial Number:    WD-WMAZA5112499
LU WWN Device Id: 5 0014ee 0ad7a9e9b
Firmware Version: 51.0AB51
User Capacity:    2.000.398.934.016 bytes [2,00 TB]
Sector Sizes:     512 bytes logical, 4096 bytes physical
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   ATA8-ACS (minor revision not indicated)
SATA Version is:  SATA 3.0, 6.0 Gb/s (current: 3.0 Gb/s)
Local Time is:    Fri Jun 15 17:21:07 2018 CEST
SMART support is: Available - device has SMART capability.
SMART support is: Enabled

Für sdc und sdd führen wir dasselbe Kommando durch. Damit haben wir die Seriennummern der Platten a,c,d und können sdb eindeutig durch Ausschluss identifizieren.

Wirklich interessant war bei unserem Beispielvorgang, dass die Festplatte sdb bereits automatisch removed und auf faulty gesetzt wurde:

mdadm --detail /dev/md/0
/dev/md/0:
        Version : 1.2
  Creation Time : Thu Jun 14 10:37:49 2018
     Raid Level : raid5
     Array Size : 1492992 (1458.00 MiB 1528.82 MB)
  Used Dev Size : 497664 (486.00 MiB 509.61 MB)
   Raid Devices : 4
  Total Devices : 4
    Persistence : Superblock is persistent

    Update Time : Fri Jun 15 17:01:36 2018
          State : clean, degraded 
 Active Devices : 3
Working Devices : 3
 Failed Devices : 1
  Spare Devices : 0

         Layout : left-symmetric
     Chunk Size : 512K

           Name : nas04:0  (local to host nas04)
           UUID : a5e6ef49:f99618ed:fcca6784:a6312739
         Events : 51

    Number   Major   Minor   RaidDevice State
       0       8        1        0      active sync   /dev/sda1
       -       0        0        1      removed
       2       8       33        2      active sync   /dev/sdc1
       3       8       49        3      active sync   /dev/sdd1

       1       8       17        -      faulty   /dev/sdb1

auch beim md1

mdadm --detail /dev/md/1
/dev/md/1:
        Version : 1.2
  Creation Time : Thu Jun 14 10:39:02 2018
     Raid Level : raid5
     Array Size : 5858648064 (5587.24 GiB 5999.26 GB)
  Used Dev Size : 1952882688 (1862.41 GiB 1999.75 GB)
   Raid Devices : 4
  Total Devices : 4
    Persistence : Superblock is persistent

  Intent Bitmap : Internal

    Update Time : Fri Jun 15 17:29:55 2018
          State : active, degraded 
 Active Devices : 3
Working Devices : 3
 Failed Devices : 1
  Spare Devices : 0

         Layout : left-symmetric
     Chunk Size : 512K

           Name : nas04:1  (local to host nas04)
           UUID : fb272a9e:3481879a:e480c9f4:0d4fc7c2
         Events : 13228

    Number   Major   Minor   RaidDevice State
       0       8        5        0      active sync   /dev/sda5
       -       0        0        1      removed
       2       8       37        2      active sync   /dev/sdc5
       3       8       53        3      active sync   /dev/sdd5

       1       8       21        -      faulty   /dev/sdb5

Ohne Risiko können wir das System aktuell nur herunterfahren und die Festplatten prüfen. Wenn eine Dokumentation der Seriennummern in den Slots vorliegt können Sie die Platte natürlich auch über den Hot-Plug Einschub tauschen.

Wir führen shutdown -h now aus um das System herunter zu fahren und ersetzen die Platte sdb physikalisch. Danach booten wir das System wieder. Ich hatte nur eine 3TB Festplatte hier und habe diese im Slot sdb installiert. Nach dem starten des Systems via Dropbear die Festplatte entsperrt und wieder mit dem System verbunden.

Nun müssen wir die neue sdb partitionieren, bevor wir diesem dem RAID hinzufügen. Wir prüfen unsere Harddisk:

smartctl -i /dev/sdb

=== START OF INFORMATION SECTION ===
Model Family:     Seagate SV35
Device Model:     ST3000VX000-9YW166
Serial Number:    Z1F0J6D7
LU WWN Device Id: 5 000c50 0403ee192
Firmware Version: CV12
User Capacity:    3.000.592.982.016 bytes [3,00 TB]
Sector Sizes:     512 bytes logical, 4096 bytes physical
Rotation Rate:    7200 rpm
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   ATA8-ACS T13/1699-D revision 4
SATA Version is:  SATA 3.0, 6.0 Gb/s (current: 3.0 Gb/s)
Local Time is:    Fri Jun 15 17:57:17 2018 CEST
SMART support is: Available - device has SMART capability.
SMART support is: Enabled

Wir clonen die Partition Table der Platte sdd auf auf die neue sdb.

Syntax:
sgdisk -R New_Disk Existing_Disk

führen also

  • sgdisk -R /dev/sdb /dev/sdd

aus.Danach noch eine Random GUID mit

  • sgdisk -G /dev/sdb

und prüfen das Ergebnis mit:

  • sgdisk -p /dev/sdb
sgdisk -p /dev/sdb
Disk /dev/sdb: 5860533168 sectors, 2.7 TiB
Logical sector size: 512 bytes
Disk identifier (GUID): 4A47D59C-A416-456A-B71A-FBBE7AACF96E
Partition table holds up to 128 entries
First usable sector is 34, last usable sector is 5860533134
Partitions will be aligned on 2048-sector boundaries
Total free space is 1953508205 sectors (931.5 GiB)

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048          999423   487.0 MiB   FD00  Linux RAID
   5         1001472      3907028991   1.8 TiB     FD00  Linux RAID

Wir haben wieder die notwendigen sdb1 und sdb5 Partitions, welche wir nun zum Raid hinzufügen können.

Mit

  • mdadm –manage /dev/md/0 –add /dev/sdb1

starten wir beim Raid md0.

cat /proc/mdstat
Personalities : [raid6] [raid5] [raid4] [linear] [multipath] [raid0] [raid1] [raid10] 
md1 : active raid5 sda5[0] sdc5[2] sdd5[3]
      5858648064 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/3] [U_UU]
      bitmap: 10/15 pages [40KB], 65536KB chunk

md0 : active raid5 sdb1[4] sda1[0] sdc1[2] sdd1[3]
      1492992 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/3] [U_UU]
      [=>...................]  recovery =  9.4% (47544/497664) finish=10.5min speed=710K/sec

und fahren mit

  • mdadm –manage /dev/md/1 –add /dev/sdb5

beim Raid md1 fort. Nun heißt es warten, bis das Raid wieder rebuilded ist.

cat /proc/mdstat
Personalities : [raid6] [raid5] [raid4] [linear] [multipath] [raid0] [raid1] [raid10] 
md1 : active raid5 sdb5[4] sda5[0] sdc5[2] sdd5[3]
      5858648064 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/3] [U_UU]
        resync=DELAYED
      bitmap: 10/15 pages [40KB], 65536KB chunk

md0 : active raid5 sdb1[4] sda1[0] sdc1[2] sdd1[3]
      1492992 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/3] [U_UU]
      [==========>..........]  recovery = 50.6% (252448/497664) finish=6.5min speed=627K/sec

Wenn das Raid wieder synchronisiert ist, sollte es so aussehen:

cat /proc/mdstat
Personalities : [raid6] [raid5] [raid4] [linear] [multipath] [raid0] [raid1] [raid10] 
md1 : active raid5 sdb5[4] sda5[0] sdc5[2] sdd5[3]
      5858648064 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/4] [UUUU]
      bitmap: 4/15 pages [16KB], 65536KB chunk

md0 : active raid5 sdb1[4] sda1[0] sdc1[2] sdd1[3]
      1492992 blocks super 1.2 level 5, 512k chunk, algorithm 2 [4/4] [UUUU]

** GRUB AUFSPIELEN UND PRÜFEN **

Nun sollten wir auf die neue Platte den GRUB Bootloader noch aufspielen!

  • dpkg-reconfigure grub-pc

bzw.

  • dpkg-reconfigure grub-efi-amd64

Details siehe weiter oben.

WIRKLICH WICHTIG

!!WICHTIG!! REMOVE UND FAULTY müssen in unserem Fall für md/0 und md/1 angestoßen werden! Jede Platte hat 2 Partitions (md0 und md1)! !!WICHTIG!!

PROFI TIPP (PARTITIONIERUNG)

Da man die Partitionierung im Fehlerfall unter Stress natürlich nicht händisch machen möchte installiert man sich am besten gdisk.

  • apt-get install gdisk

Mit dieser Software können Sie nicht nur die Partition Table sichern:

  • sgdisk –backup=/root/sda.partitionbackup /dev/sda
  • sgdisk –backup=/root/sdb.partitionbackup /dev/sdb

sondern Sie können auch die Partitiontabelle einer Festplatte auf eine andere clonen:

  • sgdisk -R /dev/sdb /dev/sda WICHTIG SOURCE ist der 2. Parameter!!!
  • sgdisk -G /dev/sdb # WICHTIG !MUSS!: Nach clonen die GUID mit einer Zufalls-GUID versehen

um das Ergebnis der Operation zu prüfen, listen sie die Partition Tabellen auf:

  • sgdisk -p /dev/sda
  • sgdisk -p /dev/sdb

So gestaltet sich ein Festplattentausch sehr einfach. Defekte Platte vom Raid entfernen, neue Platte installieren und Partition einer gleichen Platte clonen. GUID mit Zufalls-GUID versehen und die Platte dem Raid hinzufügen. Danach die Partitionen der Platte auf Faulty setzen und den Synchronisierungsvorgang abwarten, bzw. mit cat /proc/mdstat prüfen.

Im Teil 2 geht es weiter mit:

Monitoring des Raid Zustandes

Sie können mit

  • /usr/share/mdadm/checkarray –cron –all –quiet

den Zustand überwachen. Am besten in der crontab als Job einfügen.

Einrichten E-Mail für Überwachung

Monitoring der Festplatten mit smartmontools

Monitoring des mdadm Zustandes

Einrichten des Uhrzeitsynchronisation

  • editieren Sie die Datei /etc/ntp.conf
  • danach führen Sie service ntp restart aus

PROFI TIPP: Einrichtung der Systemverwaltung via RDP Protokoll

Sollten der Boot Vorgang einwandfrei funktionieren, richten wir uns zur einfachen Verwaltung des Gesamtsystems einen RDP Server ein. Damit kann mit MS Bordwerkzeug (mstsc), bzw. z.B. mit Remmina unter Linux und einer RDP Software am MAC; Android und IOS der XFCE Desktop herangeholt werden. Eine richtig coole Lösung!

Einstellung der Firewall

Interface bundling (bonding)

NFS / SMB / Samba / LDAP

  • File Shares für jedes Betriebssystem

Infos & Support

Riot.im / Matrix.org Räume:

Ich habe in der Matrix einen Raum eingerichtet in dem ich mich mit Freunden und netten Menschen austausche. Freundliche Menschen mit netten Umgangsformen, deutsch oder englisch sprechend, sind dort gerne willkommen.

  • Public room KMJ & friends (EN/DE) in der Matrix: #kmj:matrix.ctseuro.com
  • Eintreten durch Eingabe von /j #kmj:matrix.ctseuro.com in Ihrem Matrix/Riot Client.

Riot.IM Info

Für alle die den Riot Messenger noch nicht verwenden findet sich unten eine Anleitung. Die wichtigsten Punkte:

  • Der Riot Messenger ist kostenlos und Open Source.
  • Bei Registrierung am öffentlichen Server keine persönlichen Daten wie E-Mail oder Telefonnummer notwendig! Hier ist niemand an den Daten interessiert.
  • Jeder kann, bei Interesse, auch einen eigenen Server betreiben und zur Matrix verbinden
  • Bei aktivierter Verschlüsselung kann auch am Server niemand mitlesen
  • Sogar die französische Regierung baut gerade eine Riot/Martix Landschaft auf um WhatsApp oder Telegram abzulösen. https://matrix.org/blog/2018/04/26/matrix-and-riot-confirmed-as-the-basis-for-frances-secure-instant-messenger-app/

Coole Features!

  • Verfügbar für IOS, Android, Linux, Mac, Windows
  • Mehrere Endgeräte können gleichzeitig online sein
  • Potential so gut wie jede Kommunikation in einer Software zu halten
  • Verschlüsselte Telefonie zwischen den Teilnehmern möglich

Profi Support