Windows 10 – Festplattenverschlüsselung mit Passwort beim Booten – Bitlocker

Ich nutze auf meinem Thinkpad (leider) Windows im Dual-Boot mit Linux. Es gibt ja doch Software, die auf Linux nicht laufen und in einer VM einfach nicht möchten/zu wenig Leistung bekommen. Da ich, wenn ich den Käse schon nutzen muss, zumindest alle Board-Mittel zur Steigerung der Sicherheit ausnutzen möchte, habe ich natürlich die Festplattenverschlüsselung mit BitLocker aktiviert. Nachdem ich aber der Windows-Anmeldung als Schutz vor Einbrechern schon gar nicht vertraue, möchte ich ein eigenes Passwort zur Entschlüsselung der Windows-Partition eingeben, bevor Windows überhaupt bootet. Das ist aber nicht so einfach, wie man es vielleicht erwarten sollte.

Zuerst öffnet man das Bitlocker-Menü, entweder über das gute alte „Control Panel“, sprich Systemsteuerung, oder einfach über die Windows-Suche. Nun öffnen wir über Win+R die Gruppenrichtlinenverwaltung (und das funktioniert leider nur unter Windows 10 Pro, unter den anderen Editionen muss man das nehme ich an, ohne es getestet zu haben, über die Registry etwas setzen), und hakeln uns hier zu Computer Configuration -> Administrative Templates -> Windows Components -> Bitlocker Drive Encryption -> Operating System Drives durch.

Hier müssen wir nun 3 Objekte bearbeiten:

  • Require additional authentication at startup: Je nachdem ob man Passwort oder USB-Stick möchte, hier wählen
  • Enable use of BitLocker authentication requiring preboot keyboard inputs on slates: Damit man immer das Passwort eingeben muss, auch wenn keine Tastatur vorhanden ist. Ist bei Tablets problematisch, da das ganze keine Onscreen-Tastatur unterstützt.
  • Allow enhanced PINs at startup: Damit man zumindest auch alphanummerische Zeichen wählen kann, es ist schon ein Wahnsinn für sich, das das Passwort nicht länger als 20 Zeichen lang sein darf.

MAN BEACHTE! Microsoft ist nicht im Stande, einen Tastatur-Layout-Switcher bei der Abfrage einzubauen. SIE KÖNNEN DAS JA NOCH NICHT EINMAL ERWÄHNEN! Also, das einzige Layout, das verwendet wird, ist en_US… Wer Sonderzeichen im Passwort hat, die wo anders auf der Tastatur zu finden sind, muss hier umdenken (oder im Windows das Layout umstellen, wenn man das Passwort eingibt). Wer Umlaute im Passwort hat (wovon generell abzuraten ist), kann hier schön sch***** gehen. Für euch siehts blöde aus.

Nach einem Neustart sehen wir, das es tut, was es soll. Auch wenn mein Vertrauen in den Bitlocker begrenzt ist, ein wenig besser als ganz ohne Verschlüsselung ist es auch.

Links und Credit

https://www.queensu.ca/its/security/encryption-service/tutorials/windows/windows-81/startup-password
https://community.spiceworks.com/topic/2020155-bitlocker-with-a-password-instead-of-pin

SMPlayer – der bessere VLC unter Ubuntu

Da ich in der letzten Zeit vermehrt Probleme mit dem sonst gern-gesehenen VLC-Player unter Ubuntu hatte, bin ich kurzerhand auf den SMPlayer umgestiegen. Bis jetzt bin ich damit zufrieden. Auch wenn er nicht die unzähligen Features bietet wie der VLC-Player, so kann sich sein Funktionsumfang durchaus sehen lassen.

m3u8-Streams einfach mit ffmpeg herunterladen

Im Internet läuft mittlerweile immer mehr über HLS-Streams (m3u8). Da dies nicht so einfach herunterzuladen ist wie zB eine mp4, hier eine kurze Anleitung:

ffmpeg -user_agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/601.7.8 (KHTML, like Gecko) Version/9.1.3 Safari/537.86.7" -i URL_TO_m3u8 -c copy output.mkv

Der User-Agent wird deshalb verwendet, da bei manchen Seiten der Download sonst nicht funktioniert.

Eine kurze Erklärung zu m3u8: Dabei handelt es sich eigentlich um eine Playlist, die der Browser lädt. Das heißt, es findet sich nicht ein gesamtes Video in einer Datei, sondern es sind viele kleine Videos, die der Browser zusammen stückelt.

SMART-Werte auslesen und richtig deuten – Festplattengesundheit 101

In der IT gibt es immer wieder ein großes Thema: DATENVERLUST. Das Grauen jedes Nutzers. Wir haben schon öfter gesagt, das man sich nie auf einzelne Komponenten verlassen sollte, wenn es um Daten geht. Deshalb empfehlen wir seit jeher, mindestens die 3-2-1-Regel zu befolgen: 3 Datenbestände auf mindestens 2 Medien und eine Außer-Haus-Kopie. Vielleicht kommt noch einmal ein umfassender Artikel zu dem Thema, wie sich das möglichst schmerzfrei und einfach umsetzen lässt, aber heute soll es um etwas anderes gehen.

Nehmen wir an, ihr findet ein paar alte Festplatten zuhause, und denkt euch, super, die kann ich gleich als Datenspeicher verwenden. Bevor ihr jedoch eure Daten daraufpackt und vielleicht sogar von der Quelle löscht, solltet ihr euch ansehen, in welchem Zustand diese Festplatten sind. Dafür gibt es die sogenannten „smartmontools“. Diese können die Festplattenparameter auslesen, die sich dann interpretieren lassen.

Leider gibt es hier keinen 100%-igen Standard, wie so etwas aussieht bzw. wie so etwas zu deuten ist. Jeder Hersteller kocht hier ein wenig seine eigene Suppe. Grundsätzlich lassen sich folgende Annahmen treffen:

  • Hat eine Enterprise-Festplatte (also zB WD-RED, Seagate Ironwolf, alles was eben für den Dauerbetrieb konzipiert ist) mehr als 40.000 Stunden, sollte man sich um die Daten darauf bereits sorgen. Meistens geben die Hersteller sogar empfohlene maximale Betriebsstunden an.
  • Ist die Reallocated Sectors Count-Anzahl größer als 0, würde ich mir auch schön langsam Sorgen machen. Das bedeutet nämlich, das es bereits kaputte Sektoren auf der Platte gibt, und die Platte auf andere Sektoren ausweichen musste.
  • Auch auf die (Raw) Read Error Rate sollte man ein Auge werfen. Auch diese sollte nicht größer als 0 sein.

Dies sind jetzt natürlich nur grobe Richtwerte, auf die man sich nicht festnageln darf. Sie sollen nur einen Anhaltspunkt geben. Alle Parameter mit Erklärung findet man hier.

Man muss bei den Ergebnissen zwischen dem Value– und dem RAW-Wert unterscheiden. Beim Value-Wert handelt es sich um einen normalisieren Wert, der quasi über einem gewissen Threshold als OK gilt und darunter als schlecht. Ich bevorzuge allerdings den RAW-Wert, der den echten Messwert anzeigt. Bei den oben genannten Werten sind auch die RAW-Werte gemeint, wenn es heißt sie sollen nicht mehr als 40.000 Stunden haben oder den Wert 0 nicht überschreiten.

Um nun einen SMART-Test auszuführen, muss man zuerst die smartmontools installieren, unter Debian zB:

apt install smartmontools

Nun lässt sich der SMART-Test mit folgendem Befehl starten (root-Rechte erforderlich):

smartctl -t short /dev/sdc

Dies startet den Schnelltest (Dauer ungefähr 2 Minuten) auf der Festplatte /dev/sdc. Es gibt außerdem die Optionen long, conveyance oder select. Mehr Infos dazu findet man bei Thomas-Krenn.

Nachdem die 2 Minuten um sind, kann man die Ergebnisse nun mittels diesem Befehl auslesen:

smartctl -a /dev/sdc

Solltet ihr noch Tipps haben oder wollt eure Erfahrungen teilen, freue ich mich auf eine Diskussion in den Kommentaren!

Links und Credit

https://www.thomas-krenn.com/de/wiki/SMART_Tests_mit_smartctl
https://de.wikipedia.org/wiki/Self-Monitoring,_Analysis_and_Reporting_Technology#%C3%9Cbliche_Parameter
https://www.thomas-krenn.com/de/wiki/Kategorie:Smartmontools

Windows-Profil aus Domäne entfernen

Immer wieder kommt man als Admin in die Situation, dass man Windows-PCs aus einer Domäne ausbinden möchte, zB, weil ein alter Windows-Server überflüssig geworden ist und die Active-Directory-Funktionen sowieso nie jemand genutzt hat. Um dennoch alle Einstellungen etc. des Domänenprofil zu behalten, kann man das Profil mit einem nützlichen Tool namens ForensIT User Profile Wizard auf ein Lokales kopieren. Im übrigen funktioniert das Tool auch in die andere Richtung, das benötige ich aber beinahe nie. Die Möglichkeit ist aber da.

Die notwendigen Schritte zum Ausbinden lauten wie folgt:

  1. Habe IMMER ein Backup. Auch hier. Das ist keine Ausnahme. Also geh und erstelle eines, wenn du keines hast. Und auch wenn du eines hast, mache ein Aktuelles!
  2. Unter Windows den lusrmgr.msc öffnen (als Administrator öffnen)
  3. Unter Benutzer einen neuen (den zukünftigen lokalen Benutzer) erstellen.
  4. Den Benutzernamen merken!
  5. Nun können wird den ForensIT User Profile Wizard herunterladen. Nicht öffnen, sondern speichern.
  6. Entweder installiert man die .msi, oder man entpackt sie mit 7zip. Eine Installation ist nicht unbedingt notwendig. Zumal der Installer sowieso nur die Forensit.exe entpackt. Ein wenig zweckfrei, aber gut.
  7. Nun kann man das Tool ausführen. Erstmal weiter mit Weiter
  8. Im 2. Schritt wählt man das Profil aus, welches übertragen werden soll. In den meisten Fällen wohl eines von der Domäne, also zB DOMÄNE\User. Es funktioniert aber genauso umgekehrt, von lokal zur Domäne. Mit den 3 Haken kann man noch festlegen, ob der User danach deaktiviert oder gelöscht werden soll, oder ob Profile ohne Nutzerzuweisung angezeigt werden sollen. Danach auf Weiter
  9. Nun wählt man bei ersten Feld seinen Computernamen aus. Unten gibt nun den genauen Benutzernamen ein, den man vorher erstellt hat. Man kann den Nutzer noch als automatisch Einzuloggenden festlegen. Nun wieder auf Weiter
  10. Damit führt das Programm nun seine Arbeit aus. Wenn es fertig ist, gibt es einen Neustart.
  11. Nun kann man den PC unter System aus der Domäne ausbinden, ihn umbenennen und auch zu einer Workgroup hinzufügen. Das Active-Directory wird damit nicht mehr benötigt.
Links und Credit

https://www.andysblog.de/windows-computer-aus-der-domaene-entfernen-und-dabei-das-benutzerprofil-behalten
https://www.forensit.com/de/Index.html
https://youtu.be/-l2PRwgq66Y (zu sehen ab 47:50, aber ganzes Video empfehlenswert)

Linux-Login individualisieren

Wenn man Linux auch professionell einsetzt, möchte man vielleicht auch sich selbst ein wenig im System bewerben. Unter Linux hat man hier, was das Terminal betrifft, 3 Möglichkeiten.

  1. Pre-Login: issue: unter Debian zB in der Datei /etc/issue
  2. Message of the Day: motd: unter Debian zB in der Datei /etc/motd, lässt sich hier die „Nachricht vom Tag“ festlegen, zB ein Logo in ASCII Form
  3. rc-file: zB .bashrc, user-spezifisch, zB um Shell-Scripte aufzurufen

Die /etc/issue wird angezeigt, sobald der Boot-Vorgang abgeschlossen ist, bevor das Login auftaucht.

Die /etc/motd wird sofort nach dem Einloggen angezeigt.

Die .bashrc ist ein Bash-Skript, das nach der /etc/motd ausgeführt wird. Wenn zB neofetch am System angezeigt werden soll, kann das einfach in diese Datei eingefügt werden.

Hier gibt es ein nettes Tool, mit den man große ASCII-Schriftzüge (BigFonts) erstellen kann. http://patorjk.com/software/taag/

Ich verwende zB die Schriftarten Big oder Slant.

In der .bashrc macht sich zB auch ein neofetch ganz gut.

Unter Linux alle Festplatten mit allen Identifiern auslesen

Manchmal kommt man in die Situation, dass man wissen möchte oder muss, wie welche Hard-Drive unter Linux jetzt heißt. Mit dem udev-System gibt es hier verschiedene Bezeichnungen, die alle unterschiedliche Formate und Aufgaben haben. So ist es zum Beispiel empfehlenswert, bei einem ZFS-Pool die wnn Bezeichnung zu verwenden, damit beim Austauschen der Disks noch immer alles Paletti ist. Um nun von jeder Festplatte alle Bezeichner zu bekommen, empfiehlt sich das Tool hwinfo.

Verwendung:

  • hwinfo --disk: Zeigt alle Festplatten mit allen Infos und Mountpoints an.
  • hwinfo --partition: Zeigt alle Partitionen mit allen Infos und Mountpoints an.

Bei beiden Befehlen ist es möglich, zusätzlich --short hinten anzuhängen, um nur eine kurze List zu erhalten, welche Disks bzw. Partitionen es gibt.

Links und Credit

https://askubuntu.com/questions/27997/which-hard-disk-drive-is-which

apache2 in LXC lauffähig bekommen

Aktuell ist in Proxmox bei den LXCs ein Bug drinnen, der verhindert, das Apache2 richtig startet (Fehlercode: Failed to set up mount namespacing: permission denied). Um das Verhalten zu fixen, muss man in den Optionen des LXCs bei Features nesting aktivieren. Danach den LXC stoppen, starten, und es sollte funktionieren.

Links und Credit

https://forum.proxmox.com/threads/apache2-service-failed-to-set-up-mount-namespacing-permission-denied.56871/

Externe IP von Unifi-Device auslesen

Hin und wieder spinnt schon mal das DDNS bei manchen Geräten. Wenn man in diesen Netzen ein Unifi-Gerät auf einem erreichbaren Controller hat, kann man sich aber die externe IP von diesem einfach auslesen. Dazu im Controller auf das Gerät klicken, auf den Reiter „Config“ (Zahnrad) drücken und ganz unten auf „Download Device Info“. Dann erhält man eine JSON, in der man einfach nach „extip“ suchen kann, und schon hat man seine IP gefunden.

Links und Credit

https://community.ui.com/questions/Is-there-a-way-to-get-public-IP-address-of-an-AP/3c8138bb-356d-427a-b18a-63bdbe119c0b

DDNS auf Synology DiskStation

Meinen Heimserver muss ich natürlich auch irgendwo sichern, Off-Site, versteht sich. Weil ich eine alte Synology DiskStation mit nur einem Festplattenschacht übrig hatte, und diese zu sonst nichts wirklich gut zu gebrauchen ist, nutze ich diese in einem anderen Haushalt als Backup-Endpunkt. Leider ist DSM, das Synology-OS, etwas eigenwillig, und deshalb ist nicht alles so trivial wie unter Debian. Um meinem DDNS-Provider nsupdate.info nutzen zu können, musste ich ein kleines Script im Internet suchen und modifizieren, um das ganze lauffähig zu bekommen.

Dieses Script führt man dann als root über den integrierten „Task-Scheduler“ (zu finden im Control-Panel) einfach z.B. alle 10 Minuten aus, und schon weiß man zu jeder Zeit seine IP-Adresse.

Kleine Anmerkung: Da ich leider kein IPv6 dort habe, wo ich diese DiskStation einsetze, musste ich die entsprechenden Code-Zeilen auskommentieren, ansonsten würde ich von nsupdate gebannt werden, weil die Werte nicht zusammen-stimmen.

Als Backup-Endpunkt nutze ich übrigens im Moment „borgbackup“, gedenke allerdings, mir einmal „restic“ genauer anzusehen. Vielleicht folgt zu diesem Thema einmal ein Blog-Artikel.

Links und Credit

Credit geht an raphiz und rosch100
https://gist.github.com/raphiz/837453f189dca966a69c