Posts by Olaf Krause

    Um es noch transparenter zu machen poste ich in diesem Thread alle Amazon links die ich zukünftig evtl. nutzen werde. Noch nicht sicher ob das so Sinn macht...


    https://www.amazon.de/gp/produ…9725862ba2747ab4cec1f288b


    https://www.amazon.de/gp/produ…1943a90a9875e31d80cc9b842


    https://www.amazon.de/gp/produ…b4d31d90fd78356949db0e777


    https://www.amazon.de/gp/produ…5acc593af00938b287a965eb7


    Ohne Bild vermutlich eher nicht sinnvoll. Obiges sind USB Kabel, ODBII Dongle und USB-SSD.

    Heute die Googlemapsfunktion aktiviert. Betrifft eigentlich nur die Galerie. Sprich wenn dort ein Bild GPS Koordinaten beinhaltet, so kann man den Ort in GoogleMaps sehen.

    Unter Gallerie-> Karte sieht man alle entsprechenden Bilder (wenn man zoomt). Sind nicht so viele, da ich diese Infos meist aus den Bilder entferne/bzw. nur Screendumps hinterlege.

    wenn obiges nicht funkltioniert evtl. noch die zweite Varainte testen:


    Bluetooth kann man auch dadurch abschalten, in dem man das Laden der Treiber verhindert.

    Dazu öffnet man eine Konfigurationsdatei:

    Code
    sudo nano /etc/modprobe.d/raspi-blacklist.conf

    Folgende Zeilen hinzufügen:

    Code
    # WLAN abschalten
    blacklist brcmfmac
    blacklist brcmutil
    #blacklist cfg80211
    #blacklist rfkill
    Code
    # Bluetooth abschalten
    blacklist btbcm
    blacklist hci_uart

    Speichern und schließen.

    Testweise lassen sich die Module auch mit dem Kommando "sudo modprobe -r {MODUL}" entladen.

    Zusätzlich muss man einen Dienst abschalten, der sonst versucht Bluetooth zu nutzen.

    Code
    sudo systemctl disable hciuart

    Danach ist ein Neustart notwendig

    Zum täglichen Backup in eine könnte man einfach folgendes nehmen (zumindest unter neueren Ubuntus)

    Code
    -rwxr-xr-x 1 root root 222 Jan 6 08:52 mysqlbackup
    drwxr-xr-x 2 root root 4096 Jan 6 08:52 .
    root@maria:/etc/cron.daily# cat mysqlbackup
    #!/bin/sh
    mysqldump -u root wcf --single-transaction --quick --lock-tables=false > /media/dbs/backup/wcf-backup-$(date +%F).sql
    gzip -f -q /media/dbs/backup/*.sql
    rclone move /media/dbs/backup --include *.gz privatecloud:Backup/MariaDB

    sprich mal liegt eine datei mit einer Sequence von Befehlen in das Verzeichnis /etc/cron.daily (x Berechtigung nicht vergessen). Oben sichere ich die Datenbank wcf, zippe sie und dann wird sie in meine privatecloud verschoben.


    Man kann das am nächsten Tag auch im syslog mit dem Befehl: "grep -i cron.daily /var/log/syslog*" prüfen. Zum Testen kann man das Skript aber einfach starten was zum debuggen sehr gut finde.

    Es gibt hier mehrere Möglichkeiten, aber man kann sich auf zwei hauptsächliche Arten konzentrieren

    1. Physikalisches Backup mit mariadbbackup
    2. Logisches Backup mit mysqldump

    Im ersten Fall z.B. das Kommando

    Code
    mariabackup --backup --target-dir=/media/dbs/backup/ --user=root --password=<mypaswd>

    Um ein Backup unter /media/dbs/backup abzulegen. Das Verzeichnis muss leer sein sonst bricht das Backup ab. Vorteil von MariaDB es ist schnell und resourcenschonend bei größeren Datenbanken (viele >>10GB).


    Im zweiten Fall nutzt man ein Kommando ala

    Code
    mysqldump -u root wcf --single-transaction --quick --lock-tables=false > /media/dbs/backup/wcf-backup-$(date +%F).sql

    welches dann eine Datei für die DB "wcf" mit einem Datum im Dateinamen anlegt. Das ist ideal um es auch in eine crontab (z.B. /etc/cron.daily/mysqlbackup) ) zu packen und über viele Tage Backups zu sammeln. Dann noch ein gzip /media/dbs/backup/*.sql um Plattenplatz zu sparen hinterherschicken und alles wird gut :/


    Eine gute Seite für mysqldump ist auch: https://www.linode.com/docs/da…back-up-mysql-or-mariadb/

    Moin,


    ich habe jetzt mal einen speraten Reiseblog erstellt. Speziell Reisen gehen ja meist über mehrere Tage und dann ist die Navigation einfacher wenn danicht mitten rein irgendein Newsblog platzt.


    Ich möchte jetzt aber nicht dutzende verschiedene Blogstreams aufmachen sonst weiss man am Ende wieder nicht was so zu finden sein wird.


    Ole

    Code
    sudo vi /etc/dhcpcd.conf

    und dort dann

    Code
    interface eth0
    static ip_address=192.168.0.7/24
    static routers=192.168.0.222

    entkommentieren (meist schon als Beispiele vorhanden) und anpassen, wenn man die IP für eth0 setzen möchte. Wie immer bei solchen Sachen, vorsicht und alles dreimal checken, da Ihr Euch potentiell den Zugang zum Pi wegkonfiguriert.


    Anmerkung

    vi: i für insert, a für anhängen, ESC um vom edit in den kommand mode zurückzukommen. Im Kommand mode :q tippen zumm verlassen :x speichern.

    sucht mal für howto use VI gibt es millionen von seiten... muss man einfach kennen wenn man auf x-beliebigen unix shells unterwegs ist.

    So scheint als hätte ich endlich kapiert wie es funktioniert :( - man sollte halt doch mal doku lesen.


    Wicht bzgl. IIS rewqrite ist erstmal folgendes:

    Quote

    Accessing URL Parts from a Rewrite Rule

    It is important to understand how certain parts of the URL string can be accessed from a rewrite rule.

    For an HTTP URL in this form: http(s)://<host>:<port>/<path>?<querystring>

    • The <path> is matched against the pattern of the rule.
    • The <querystring> is available in the server variable called QUERY_STRING and can be accessed by using a condition within a rule.
    • The <host> is available in the server variable HTTP_HOST and can be accessed by using a condition within a rule.
    • The <port> is available in the server variable SERVER_PORT and can be accessed by using a condition within a rule.
    • Server variables SERVER_PORT_SECURE and HTTPS can be used to determine if a secure connection was used. These server variables can be accessed by using a condition within a rule.
    • The server variable REQUEST_URI can be used to access the entire requested URL path, including the query string.

    For example, if a request was made for this URL: http://www.mysite.com/content/default.aspx?tabid=2&subtabid=3, and a rewrite rule was defined on the site level then:

    • The rule pattern gets the URL string content/default.aspx as an input.
    • The QUERY_STRING server variable contains tabid=2&subtabid=3.
    • The HTTP_HOST server variable contains www.mysite.com.
    • The SERVER_PORT server variable contains 80.
    • The SERVER_PORT_SECURE server variable contains 0 and HTTPS contains OFF.
    • The REQUEST_URI server variable contains /content/default.aspx?tabid=2&subtabid=3.
    • The PATH_INFO server variable contains /content/default.aspx.

    Note that the input URL string passed to a distributed rule is always relative to the location of the Web.config file where the rule is defined. For example, if a request is made for http://www.mysite.com/content/default.aspx?tabid=2&subtabid=3, and a rewrite rule is defined in the /content directory, then the rule gets this URL string default.aspx as an input.

    zu finden unter https://docs.microsoft.com/en-…e-configuration-reference


    Damit man erstmal weiss was man da überhaupt vergleicht. Dann muss man sich noch bzgl. regular experessions vertrauter machen und schon klappt es :) :thumbup:


    oben mal meine aktuellen rules die ersten beiden dienen dazu aus den alten URLs (alte domain) wbb und wbb/wcf herauszuschneiden. Die dritte um ein fehlendes forum einzusetzen und die letzte sorgt dafür dass nur https genutzt wird.


    Anmerkung:

    Alte URLs die schon auf https umgestellt waren ala "https://okedv.dyndns.org/...) sind leider nicht automaitsch umsetzbar, da zuerst das Zertifikat geprüft wird - was dann aber fehlschlägt.

    Hier jetzt mal ein Bild meines PiHoles (es wird noch ein zweiter dazukommen). Unter dem Bild ein paar Erklärungen:


    • Oben ist denke ich klar über 80 tausend DNS Abfragen die letzten 24h davon ca. 7% geblockt.
    • Darunter der zeitliche Verlauf der Last.
    • Dann das ganze pro Client
    • Die Abfragetypen und die ANtwortserver in Kuchendiagrammen. ca. 50% wird von den beiden Windowsdomaincontrollern beantwortet (sdc & pdc). Viel direkt aus dem Cache und je ungefährt 7% kommt von der Blocklist oder geht final an den externen Router (Internet - 192.168.88.1).
    • Meist erlaubte DNS abfrage ist elasticsearch (mein das ist Amazon und nein ich surfe nicht den ganzen Tag auf Amazon)
    • Top verboten sind die klassichen Microsoftserver die man aber nicht wirklich braucht.

    Mir hat das PiHole auf jeden Fall mehr Transparenz gebracht - die Oberfläche ist so einfach zu bedienen, dass ich jedem der eigene Rechner betreibt so ein PiHole nur empfehlen kann.

    Moin,


    im Sinne der Transparenz möchte ich hier mitteilen, dass ein paar Links auf Amazonprodukte mit meinem referal code versehen sind. Das Prinzip kennen zumindest ja die Teslafahrer, Sprich wenn Ihr über den Link etwas kauft bekomme ich eine klitzekleine Gutschrift. Würde mich wundern wenn es mehr als ein € im Monat wird, aber wer weiss und eigentlich mache ich das auch eher aus Interesse wie das ganze abläuft und ob es funktioniert.


    Hier mal so ein Link:

    Code
    https://www.amazon.de/gp/product/B019GI39VI/ref=as_li_qf_asin_il_tl?ie=UTF8&tag=endurance0e-21&creative=6742&linkCode=as2&creativeASIN=B019GI39VI&linkId=f4a7bbeb7f68758a7e612897ef36ddd9


    endurance0e-21 ist mein tag. Das ganze funktioniert über https://partnernet.amazon.de/home.


    In der Praxis muss ich jedes Amazon Produkt dort suchen und mir einen referal link generieren. Wenn Ihr den dann benutzt wird das für mich getrackt. Leider ist es nicht wie bei Tesla dass beide Seiten etwas bekommen, aber bei den cent Beträgen pro Bestellung (habe noch keine Ahnung wieviel es wirklich ist) - lohnt sich das auch kaum. Wollt Ihr das nicht nutzen einfach den link klicken und den Suchbegriff merken oder gleich einfach nur mit dem Suchbegriff bei Amazon arbeiten.


    Gerne Kommentare dazu...


    Ciao


    Ole

    Server läuft nun - das Posting ist bereits auf dem neuen Board.

    Musst noch einige rewrite rules erstellen, die die alten URLs auf die neue Verzeichnisstruktur hiefen. Die alten okedv URLS werden nun automatisch umgewandelt. Leider klappt das nur für http - https läßt sich nicht so einfach umbiegen da schon vor dem rewrite die pürfung nach einem gültigen Zertifikat zuschlägt und da passt eben die Domain nicht mehr :(


    Viel Spß auf dem neuen Board. Fehler einfach hier melden oder per Konversation oder mail an mich.

    Server läuft nun - das Posting ist bereits auf dem neuen Board.

    Musst noch einige rewrite rules erstellen, die die alten URLs auf die neue Verzeichnisstruktur hiefen. Die alten okedv URLS werden nun automatisch umgewandelt. Leider klappt das nur für http - https läßt sich nicht so einfach umbiegen da schon vor dem rewrite die pürfung nach einem gültigen Zertifikat zuschlägt und da passt eben die Domain nicht mehr :(


    Viel Spß auf dem neuen Board. Fehler einfach hier melden oder per Konversation oder mail an mich.

    Anmerkung zu abfragen als wpad.localdomain. Diese sind prinzipielle nichts ungewöhnliches und dienen zur Autoproxyconfig. Nichtsdestotrotz kann das ein Sicherheitsproblem sein, da man hier zentral alle Rechner anweisen kann einen Proxy X zu verwenden.


    EIne Lösung das zu verbesserung wird unter https://www.mielke.de/blog/Was…noch-so-machen-kann--494/ vorgestellt.

    Im Prinzip bedient dabei das piHole den entsprechenden DNS request (wenn der DHCP Server das nicht tut).

    Code
    192.168.0.53 wpad.local wpad.localdomain wpad.com wpad.de wpad

    sollte mit eurer localen pihole adresse (und namen) und den korrekten domains in der hosts datei stehen. Dann in /etc/lighttpd/external.conf

    Code
    $HTTP["host"] =~ "wpad" {
    server.document-root = "/var/www/wpad/"
    mimetype.assign = (
    ".dat" => "application/x-ns-proxy-autoconfig",
    ".pac" => "application/x-ns-proxy-autoconfig"
    )
    }

    eintragen damit das pi-hole den Datei request bedient. Dazu das dann noch im Webserver einrichten:


    und die eigentliche proxy config anlegen mit:

    Code
    pi@pihole-a:/var/www $ cd wpad
    pi@pihole-a:/var/www/wpad $ sudo -u www-data vi wpad.dat
    pi@pihole-a:/var/www/wpad $ cat wpad.dat
    function FindProxyForURL(url, host) {
    return "DIRECT";
    }
    pi@pihole-a:/var/www/wpad $

    und den webserver neu starten

    Code
    sudo service lighttpd restart


    ruft im Browser wpad/wpad.dat auf und die wpad.dat datei müsste geladen werden. Sollte das nicht passieren (nslookup fehlschlagen)

    Seit ein paar Jahren hat sich ja einiges getan auf der Sicherheitsfront. Z.b. gibt es mit LetsEncrypt eine Initiative die sicher Webverbindungen durch zertifizierung fördert. D.h. man kann einen https (secure) webserver betreiben mit einem geprüften Zertifikat und nicht einem selbssigned. Nachteil dieser Kostenlosen Variante ist, dass das Cert nur ca. 3 Monate gilt - d.h. man braucht einen Certifizierungsbot der das regelmäßig aktualisiert. Für Linux gibt es da fertige Lösungen für IIS ist mir da noch nichts bekannt. Aber bzgl. des Weges zur Installation macht das ja keinen Unterschied...


    Mit SSL For free macht man es noch etwas einfacher https://www.sslforfree.com


    Man braucht seine Domain und den Zugang darauf und hat in sekunden ein Zertifikat für diese. Man erhält ein zip ala

    Für ISS muss man hier noch nacharbeiten, da ISS diese Dateien nicht direkt unterstützt.


    MIttels Open SSL

    Code
    openssl pkcs12 -export -out "certificate_combined.pfx" -inkey "private.key" -in "certificate.crt" -certfile ca_bundle.crt


    eine pfx Datei erzeugen. Oder nutzt ein Tool von https://www.digicert.com/util. Das Tool setzt aber meines Wissens vorraus das Ihr einen CSR vorher mit dem IIS erstellt habt. Also nehmen wir den openssl Weg.


    Die PFX kann dann direkt im IIS import werden und dann erstellt man das Bindung für den entsprechenden Server.


         

    Zertzifikat hinzufügen und dann das Binding für httpS