Ubuntus SSH-Login-Nachrichten reduzieren

Nach einem SSH-Login auf einem Ubuntu-Server werden Sie aktuell mit ca. 40 Zeilen Text beglückt, die eine Mischung aus sinnvollen Informationen sowie Werbung für Zusatzdienste von Canonical sind. Das Ganze sieht so ähnlich aus wie das folgende Muster:

ssh ein-u1804-server

Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-15-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  System information as of Thu Dec 13 16:46:12 CET 2018

  System load:  0.0                Processes:           135
  Usage of /:   33.0% of 18.61GB   Users logged in:     1
  Memory usage: 37%                IP address for ens3: 1.2.3.4
  Swap usage:   6%

  => There is 1 zombie process.

 * MicroK8s is Kubernetes in a snap. Made by devs for devs.
   One quick install on a workstation, VM, or appliance.

   - https://bit.ly/microk8s

 * Full K8s GPU support is now available! Get it in MicroK8s, CDK,
   and on GKE with Ubuntu workers.

   - https://blog.ubuntu.com/2018/12/10/using-gpgpus-with-kubernetes

 * Canonical Livepatch is available for installation.
   - Reduce system reboots and improve kernel security. Activate at:
     https://ubuntu.com/livepatch

149 packages can be updated.
0 updates are security updates.


*** System restart required ***
You have mail.
Last login: Nov 19 15:50:28 2018 from 5.6.7.8

Weniger ist mehr

Der beim Login angezeigte Text wird unter Ubuntu durch mehrere Scripts generiert, die sich im Verzeichnis /etc/update-motd.d befinden. Für die eigentliche Anzeige ist das PAM-Modul pam_motd zuständig. (Details und Hintergrundinformationen gibt man update-motd. Die Abkürzung motd steht für Message of the Day.)

Die radikalste Lösung zur Minimierung der Login-Nachrichtenflut besteht darin, einfach bei allen Scripts in /etc/update-motd.d das Execute-Bit zu entfernen:

sudo chmod -x /etc/update-motd.d/*

Statt mit dem Holzhammer können Sie aber auch differenzierter vorgehen und nur die Scripts deaktivieren, die am lästigsten sind:

cd /etc/update-motd.d
sudo chmod -x 10-help-text 50-landscape-sysinfo 50-motd-news

Ein neuerlicher Login zeigt eine stark reduzierte Willkommensbotschaft:

ssh ein-u1804-server

Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-15-generic x86_64)

 * Canonical Livepatch is available for installation.
   - Reduce system reboots and improve kernel security. Activate at:
     https://ubuntu.com/livepatch

149 packages can be updated.
0 updates are security updates.

*** System restart required ***
You have mail.
Last login: Thu Dec 13 16:46:13 2018 from 5.6.7.8

Quellen

https://askubuntu.com/questions/676374






tmux - neues Fenster oder Pane im aktuellen Verzeichnis öffnen

Will man bei tmux ein neues Fenster oder ein neues vertikales oder horizontales Pane im aktuellen Verzeichnis öffnen so muss man in der Konfiguration ~/.tmux.conf folgende Werte eintragen

 

bind c new-window -c "#{pane_current_path}"
bind '"' split-window -h -c "#{pane_current_path}"
bind % split-window -v -c "#{pane_current_path}"

In einer laufenden tmux Session kann man die neue Konfiguration neu einlesen mit

tmux source-file ~/.tmux.conf

Original post blogged on hoergen blog.






Mozilla veröffentlicht Firefox 64 – die Neuerungen

Mozilla hat Firefox 64 veröffentlicht. Auch Firefox 64 ist wieder randvoll gefüllt mit Neuerungen. Dieser Artikel fast die wichtigsten Neuerungen zusammen.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Mehr Sicherheit für Firefox-Nutzer

Geschlossene Sicherheitslücken

Auch in Firefox 64 hat Mozilla wieder zahlreiche Sicherheitslücken geschlossen, worunter auch einige sind, welche von Mozilla als besonders schwerwiegend eingestuft werden. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 64 daher für alle Nutzer dringend empfohlen.

Entzug des Vertrauens für Symantec-Zertifikate

Symantec hatte aufgrund verschiedener Vorfälle das Vertrauen der Browserhersteller verloren. Aus diesem Grund unterstützt Firefox nicht länger Zertifikate von Symantec. Dies betrifft ebenfalls die zu Symantec gehörenden CAs Thawte, VeriSign, Equifax, GeoTrust sowie RapidSSL. Webseiten, welche noch immer ein Zertifikat der Symantec-Gruppe nutzen, können also nicht länger aufgerufen werden.

Verbesserte Performance auf macOS & Linux

Mozilla hat die Performance von Firefox auf Apple macOS und Linux durch Aktivierung von Compiler-Optimierungen (Clang LTO) verbessert. Auf Windows wurde die entsprechende Optimierung bereits in Firefox 63 aktiviert.

Mit mehreren Tabs gleichzeitig interagieren

Bisher konnte immer nur maximal ein Tab gleichzeitig verschoben oder geschlossen werden. Ab sofort können mehrere Tabs mit gedrückter Strg-Taste (macOS: Cmd) markiert und per Kontextmenü gleichzeitig zum Beispiel geschlossen, verschoben, angepinnt oder stumm geschaltet werden. Mit gedrückter Shift-Taste lässt sich dabei eine ganze Reihe von Tabs markieren, um mit diesen zu interagieren.

Task-Manager zeigt Energie-Verbrauch an

Wer sich dafür interessiert, welche Webseiten und Erweiterungen den Browser besonders beanspruchen, findet ab Firefox 64 einen integrierten Task-Manager im Mozilla-Browser. Dieser kann über das Firefox-Menü (unter Sonstiges) oder per Eingabe von about:performance in die Adressleiste erreicht werden.

Der Task-Manager zeigt den Energieverbrauch von Webseiten und Erweiterungen an. Neben einem Zahlenwert vereinfacht eine Kategorisierung wie beispielsweise „Niedrig“, „Mittel“ oder „Hoch“ die Einordnung dieses Wertes in einer Weise, wie sie für jeden Nutzer verständlich ist. In Firefox 65 kommt eine weitere Spalte dazu, welche den Speicherverbrauch der jeweiligen Webseite respektive Erweiterung anzeigt.

Firefox 64

USA: Empfehlungen von Funktionen und Erweiterungen

Mit dem Contextual Feature Recommender (CFR) hat Mozilla ein System implementiert, welches dem Nutzer kontextbasierte Empfehlungen machen kann. Werden beispielsweise mehrere Tabs geöffnet und diese wiederholt verwendet, schlägt Firefox unter Umständen die Verwendung der Funktion angepinnter Tabs vor. Firefox kann aber auch Erweiterungen vorschlagen. In Firefox 64 sind Empfehlungen für die Erweiterungen Facebook Container (von Mozilla selbst), Enhancer for YouTube sowie To Google Translate implementiert.

Die Empfehlungen erfolgen dabei auf einer lokalen Basis, es werden bei diesem Vorgang also keine Daten an Mozilla übertragen. Die Neuerung steht zunächst nur für Nutzer in den USA zur Verfügung und kann in den Firefox-Einstellungen jederzeit deaktiviert werden.

Design des Add-on Managers überarbeitet

Mozilla plant für das kommende Jahr eine größere Neugestaltung des Add-on Managers von Firefox, über welchen Nutzer Erweiterungen und Themes verwalten können. Vorher dürfen sich Nutzer aber über ein kleineres Facelift in Firefox 64 freuen, welches die Benutzbarkeit verbessern soll.

Was als erstes auffällt, ist die Verwendung eines sogenannten „Card Designs“, das heißt, dass jede Erweiterung und jedes Theme in der Auflistung in einer eigenen Box dargestellt wird. Dabei ist jede dieser Boxen über die gesamte Fläche klickbar, um in die Detailansicht zu gelangen. Ein Doppelklick ist hierfür also nicht länger notwendig.

Firefox 64

Praktisch ist eine Neuerung für die Verwaltung von Themes. So wird für vom Nutzer installierte Themes nun direkt in der Auflistung ein Vorschaubild angezeigt. Es ist also nicht länger notwendig, in die Detailansicht zu gehen oder ein Theme gar zu aktivieren, um zu sehen, was für Themes installiert sind.

Firefox 64

Links unten im Add-on Manager befinden sich in Zukunft außerdem jeweils ein Link zur entsprechenden Hilfe-Seite von Mozilla, wie man es aus den Firefox-Einstellungen bereits kennt, sowie ein Direktlink zu den Firefox-Einstellungen. Umgekehrt gibt es in den Firefox-Einstellungen an dieser Stelle jetzt auch einen Link, um den Add-on Manager zu öffnen. So wird dieser einfacher zugänglich für Nutzer, welche in den Firefox-Einstellungen nach Add-ons suchen.

Design von about:crashes überarbeitet

Auch das Design der Seite about:crashes wurde überarbeitet. Dabei wurde deutlicher gemacht, wenn ein Absturzbericht an Mozilla übermittelt wird, sowie dass ein lokales Entfernen des Absturzberichtes bereits übermittelte Absturzberichte nicht von crash-stats.mozilla.com entfernt.

Firefox 64

Keine Feed-Vorschau und dynamische Lesezeichen mehr

Mozilla hat die Unterstützung von RSS- und Atom-Feeds aus Firefox entfernt. Konkret bedeutet dies, dass es bei Aufruf einer Feed-URL keine Vorschau in Firefox mehr gibt. Auch die sogenannten dynamischen Lesezeichen existieren nicht länger in Firefox. Für bereits vorhandene dynamische Lesezeichen hat Firefox automatisch eine Sicherung in Form einer OPML-Datei auf dem Desktop angelegt, welche von anderen Feed-Readern verstanden wird. Die dynamischen Lesezeichen selbst hat Firefox automatisch in normale Lesezeichen umgewandelt.

Die Gründe für die Entfernung wurden in einem gesonderten Artikel ausführlich behandelt. Mozilla hat eine Sammlung von Erweiterungen angelegt, welche als Ersatz dienen können.

Native Sharing-Option auf Windows 10

Per Klick auf das Symbol mit den drei Punkten in der Adressleiste erhalten Nutzer von Windows 10 Zugriff auf die native Sharing-Option des Betriebssystens, um die aktuelle Webseite mit anderen zu teilen. Für Nutzer älterer Windows-Versionen steht diese Funktion nicht zur Verfügung. Für Nutzer von Apple macOS wurde eine native Sharing-Integration bereits in Firefox 61 implementiert.

Verbesserungen für Firefox-Erweiterungen (WebExtensions)

Per Rechtsklick auf das Symbol einer Erweiterung lässt sich nicht mehr nur schnell die Detailseite der Erweiterung im Add-on Manager von Firefox aufrufen, auch eine Deinstallation der Erweiterung ist hierüber nun ohne Umwege möglich.

Firefox 64

Der Dialog, welcher nach Installation einer Erweiterung erscheint, verschwindet nicht länger sofort, wenn die Erweiterung bei Installation automatisch eine Webseite öffnet.

Hat eine Erweiterung Kontrolle über die Web-Benachrichtigungen, wird dies nun in den Firefox-Einstellungen angezeigt, vergleichbar zu anderen wichtigen Firefox-Einstellungen.

Auch für Entwickler von WebExtensions gibt es wieder einige neue APIs und Verbesserungen bestehender APIs. So gab es, nachdem es bereits in Firefox 63 eine Vielzahl an Verbesserungen der Kontextmenü-API gab, für eben jene noch einen Haufen weiterer Verbesserungen.

Für PageActions kann nun festgelegt werden, ob das Erweiterungs-Symbol standardmäßig in der Adressleiste erscheinen soll oder in dem Menü hinter der Schaltfläche mit den drei Punkten.

Alle Neuerungen an der WebExtension-Front werden hier beschrieben.

Verbesserungen der Webplattform

Unterstützung von WebVR auf Apple macOS

In Firefox für Windows ist die Unterstützung für Virtuelle Realität bereits seit Firefox 55 aktiviert. Für Apple macOS wurde die Unterstützung ursprünglich in Firefox 60 aktiviert, dann auf Grund von Problemen zum damaligen Zeitpunkt in Firefox 60.0.1 wieder deaktiviert. Die Probleme sind gelöst und Mozilla hat die Unterstützung für WebVR auf Apple macOS nun für Firefox 64 aktiviert.

Sonstige Verbesserungen der Webplattform

Firefox 64 hat eine Unterstützung für die CSS scrollbar-Spezifikation erhalten. In CSS Gradients wird nun auch die kürzere Syntax in der Form „yellow 25% 50%“ anstelle der Syntax „yellow 25, yellow 50%“ unterstützt. Außerdem unterstützt Firefox nun die CSS-Eigenschaft -webkit-appearance. Die Wert list-item für die CSS-Eigenschaft display wird jetzt auch beim legend-Element unterstützt. Die Fullscreen-API funktioniert in Zukunft ohne -moz-Präfix. Außerdem unterstützt Firefox jetzt die Referrer Policy für CSS.

Weitere Informationen zu Verbesserungen der Webplattform in Firefox 64 finden sich in den MDN web docs.

Neuerungen für Webentwickler

Kontrastverhältnis auf Webseiten prüfen

Barrierefreiheit ist ein Aspekt auf Webseiten, welcher von Entwicklern leider viel zu häufig vernachlässigt wird. Darunter fällt auch die Lesbarkeit von Schrift, die sich aus dem Kontrastverhältnis zwischen Hintergrund- und Textfarbe ergibt.

Ab Firefox 64 gibt es im Entwicklerwerkzeug für Barrierefreiheit in diesem Zusammenhang eine praktische Neuerung: wird mit der Maus über einen Textknoten herübergefahren, zeigt Firefox das Kontrastverhältnis an der entsprechenden Stelle an. Gibt es an dieser Stelle unterschiedliche Kontrastverhältnisse, weil der Text auf einem Farbverlauf oder Bild platziert ist, zeigt Firefox den Minimal- sowie den Maximalwert an. Da die meisten mit dem Kontrastverhältnis als Zahl vermutlich wenig anfangen können, zeigt Firefox außerdem in Form eines Icons an, ob das Kontastverhältnis gut oder schlecht ist.

Firefox 64

Sonstige Neuerungen für Webentwickler

Der Responsive Design Modus (RDM) merkt sich die Einstellungen nun, wenn das Tool geschlossen und wieder geöffnet wird. Außerdem kann im RDM optional jetzt auch der User-Agent angezeigt werden.

Die Kommandozeile der Webkonsole unterstützt jetzt auch Syntax-Highlighting für JavaScript. Der CSS Grid-Inspektor unterstützt ab sofort bis zu drei CSS-Grids gleichzeitig. Die Zeit, welche der Inspektor zum Öffnen benötigt, wurde verbessert. Im Netzwerkanalyse-Panel zeigt ein Icon in der Spalte für den Dateinamen den Typ der Ressource an.

Weitere Informationen zu Änderungen für Webentwickler in Firefox 64 finden sich in den MDN web docs.

Enterprise Features

macOS: Unterstützung von Konfigurationsprofilen

Mit Firefox 60 hat Mozilla die sogenannte Enterprise Policy Engine eingeführt, welche vor allem Unternehmen eine einfache Anpassung von Firefox via GPO (Windows) oder eine policies.json-Datei (alle Betriebssysteme) erlaubt. Ähnlich zu GPO auf Windows unterstützt Firefox jetzt auch Konfigurationsprofile via .plist-Datei unter Apple macOS.

Neue Enterprise Policies

Firefox 65 unterstützt eine neue Policy, um die Oberflächen-Sprache von Firefox festzulegen. Die Policy für die Startseite wurde um eine Option erweitert, das Verhalten für den Start von Firefox festzulegen, nämlich ob Firefox mit der eingestellten Startseite, einer leeren Seite oder der letzten Browser-Sitzung starten soll. Darüber hinaus wurde die Policy für die Konfiguration der Zertifikate um eine Option erweitert, eigene Zertifikate zu laden. Außerdem erlaubt eine neue Policy das Hinzufügen von PKCS#11 Sicherheits-Modulen.

Tipp: Mit dem Enterprise Policy Generator wird die Konfiguration von Firefox zum Kinderspiel. Die aktuelle Version 4.2 ist bereits für Firefox 64 sowie Firefox ESR 60.4 angepasst.

Optionale Features

Zusätzliche Sprachen direkt über Firefox installieren

Die Installation zusätzlicher Sprachen für Firefox ist bislang etwas komplizierter, da dies die Installation eines Sprachpaketes über addons.mozilla.org plus das Setzen des korrekten Sprachcodes per about:config und einen manuellen Browser-Neustart erfordert. Wird über about:config der Schalter intl.multilingual.enabled auf true gesetzt, wird die neue Sprachverwaltung in den Firefox-Einstellungen aktiviert. Diese war zwar bereits in Firefox 63 optional vorhanden, ist allerdings erst mit Firefox 64 in der Lage, andere Sprachen direkt aus Firefox heraus herunterzuladen und anzuwenden. Außerdem lädt Firefox dabei auch automatisch auch die Rechtschreibkorrektur in der passenden Sprache herunter.

Firefox 64
Firefox 64

Windows 10: Benachrichtigungs-Integration in Windows Action Center

Für die Darstellung von Web-Benachrichtigungen kann Firefox ab Version 64 die nativen Benachrichtigungen von Windows 10 nutzen, welche außerdem im Windows Action Center angezeigt werden. Diese Neuerung ist derzeit noch deaktiviert und kann aktiviert werden, indem über about:config der Schalter alerts.useSystemBackend auf true gesetzt wird.

Suche nach vorherigen Konsolen-Eingaben

Wird per about:config der Schalter devtools.webconsole.jsterm.reverse-search auf true gesetzt, kann mittels F9 (Windows und Linux) respektive Ctrl + R (macOS) ein Suchmodus in der Webkonsole aktiviert werden, bei welchem während der Eingabe in die Kommandozeile vorherige Eingaben angezeigt werden, welche die eingegebene Zeichenkette beinhalten.

Neue Implementierung der Adressleiste

Mozilla arbeitet unter der Bezeichnung Quantum Bar an einer neuen Implementierung der Adressleiste, welche auch Awesome Bar genannt wird. Dazu muss über about:config der Schaltername browser.urlbar.quantumbar auf true gesetzt und ein neues Browser-Fenster geöffnet werden. Doch Achtung: In Firefox steht die Quantum Bar noch ganz am Beginn der Entwicklung und ist in dieser Form nicht benutzbar. Dies wird erst in einer späteren Firefox-Version relevant werden.

Sonstige Neuerungen in Firefox 64

Bei Verwendung des dunklen Themes sind nun auch die Sidebars von Firefox dunkel. Die Suchfunktion des integrierten PDF-Betrachters wurde verbessert: So funktioniert dort nun auch die Option, nur ganze Wörter zu suchen, außerdem wird ab sofort auch die Anzahl der gefundenen Treffer angezeigt. Beides war bereits für Webseiten implementiert, aber noch nicht für PDF-Dateien.

Unter about:studies werden nicht länger nur sogenannte Shield-Studien angezeigt, welche aus einem Add-on bestehen, sondern auch solche, welche nur eine Einstellung verändern.

Die Adressleiste wurde um eine Autovervollständigung für about:-URIs erweitert. Gibt der Nutzer beispielsweise about:c ein, schlägt Firefox automatisch Einträge wie about:config oder about:cache vor.

Bei der maximalen Anzahl an Content-Prozessen in den Firefox-Einstellungen können nun bis zu acht statt bis zu sieben Prozesse ausgewählt werden.

Auf Apple macOS wurde der Shortcut, um sowohl „www.“ am Beginn als auch „.com“ am Ende einer URL automatisch hinzuzufügen von Cmd + Enter auf Ctrl + Enter geändert. Außerdem wurde die Berechtigungs-Logik für die Verwendung von Kamera und/oder Mikrofon auf macOS Mojave optimiert.

Der Beitrag Mozilla veröffentlicht Firefox 64 – die Neuerungen erschien zuerst auf soeren-hentzschel.at.






Firefox: Enterprise Policy Generator 4.2 veröffentlicht

Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Damit löst die Erweiterung den bekannten CCK2 Wizard in der Ära Firefox Quantum ab. Die neue Version 4.2 macht den Enterprise Policy Generator fit für Firefox 64 und Firefox ESR 60.4.

Enterprise Policy Generator

Download Enterprise Policy Generator für Firefox

Mit Firefox 60 und Firefox ESR 60 hat Mozilla die sogenannte Enterprise Policy Engine eingeführt. Die Enterprise Policy Engine erlaubt es Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert.

Zwar steht diese Erweiterung in keiner direkten Verbindung zum bekannten CCK2 Wizard, teilt aber die grundlegende Idee vom CCK2 Wizard, welcher in Firefox Quantum nicht mehr funktioniert. Der Enterprise Policy Generator wurde als Nachfolger vom CCK2 Wizard konzipiert – nur eben für Firefox Quantum und Enterprise Policies. Die Firefox-Erweiterung hilft bei der Zusammenstellung der sogenannten Enterprise Policies, so dass kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig ist und sich Administratoren die gewünschten Enterprise Policies einfach zusammenklicken können. Mehr Informationen gibt es auf der Info-Seite zum Enterprise Policy Generator.

Neuerungen Enterprise Policy Generator 4.2.0

Der Enterprise Policy Generator zeigt nun einen Hinweis an, dass man sich ab Firefox 63 unter about:policies alle aktiven Policies sowie Fehler in der Datei „policies.json“ anzeigen lassen kann.

Eine neue Policy erlaubt die Festlegung der Oberflächen-Sprache von Firefox. Die Policy für die Startseite wurde um eine Option erweitert, das Verhalten für den Start von Firefox festzulegen, nämlich ob Firefox mit der eingestellten Startseite, einer leeren Seite oder der letzten Browser-Sitzung starten soll. Außerdem wurde die Policy für die Konfiguration der Zertifikate um eine Option erweitert, eigene Zertifikate zu laden.

Alle der genannten Policy-Erweiterungen funktionieren ab Firefox 64 respektive Firefox 60.3.1.

Roadmap

Wer sich für die Pläne der kommenden Versionen interessiert, findet hier die aktuelle Roadmap. Auch können an dieser Stelle Vorschläge für Verbesserungen gemacht werden.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag Firefox: Enterprise Policy Generator 4.2 veröffentlicht erschien zuerst auf soeren-hentzschel.at.






Firefox 64: Kontrastverhältnis auf Webseiten prüfen

Die Entwicklerwerkzeuge von Firefox 64 haben eine neue Funktion erhalten, welche dabei hilft, Webseiten barrierefrei zu gestalten. Die neue Funktion erlaubt das Prüfen des Kontrastverhältnisses und damit der Lesbarkeit auf Webseiten.

Barrierefreiheit ist ein Aspekt auf Webseiten, welcher von Entwicklern leider viel zu häufig vernachlässigt wird. Darunter fällt auch die Lesbarkeit von Schrift, die sich aus dem Kontrastverhältnis zwischen Hintergrund- und Textfarbe ergibt.

Ab Firefox 64 gibt es im Entwicklerwerkzeug für Barrierefreiheit in diesem Zusammenhang eine praktische Neuerung: wird mit der Maus über einen Textknoten herübergefahren, zeigt Firefox das Kontrastverhältnis an der entsprechenden Stelle an. Gibt es an dieser Stelle unterschiedliche Kontrastverhältnisse, weil der Text auf einem Farbverlauf oder Bild platziert ist, zeigt Firefox den Minimal- sowie den Maximalwert an. Da die meisten mit dem Kontrastverhältnis als Zahl vermutlich wenig anfangen können, zeigt Firefox außerdem in Form eines Icons an, ob das Kontastverhältnis gut oder schlecht ist.

Kontrastverhältnis Firefox 65Kontrastverhältnis Firefox 65

Entwickler sollten unbedingt auf eine gute Lesbarkeit von Text auf ihren Webseiten achten. Selbst Nutzer mit guten Augen werden aus Designgründen oder weil dem Thema keine Aufmerksamkeit geschenkt wird, im Web immer wieder vor Probleme gestellt. Man sollte auch nicht unterschätzen, wie viele Menschen an einer Form eingeschränkten Sehens leiden, für die das noch einmal wichtiger ist. Dass man selbst einen Text noch gut erkennt, heißt nicht, dass die Lesbarkeit für jeden Menschen noch ausreichend gewährleistet ist. Und am Ende des Tages ist genau das ja die Idee des Webs: Inhalte möglichst jedem zugänglich zu machen.

Der Beitrag Firefox 64: Kontrastverhältnis auf Webseiten prüfen erschien zuerst auf soeren-hentzschel.at.






Die E-Mail wird niemals sicher sein!

Die E-Mail ist vermutlich immer noch die am weitesten verbreitete Kommunikationsmöglichkeit. Jedes Endgerät, egal wie alt, kann E-Mails verschicken und fast jeder Mensch hat eine (oder mehrere) E-Mail Adressen. Gleichzeitig ist die E-Mail auch die unsicherste Kommunikationsform. Die Zahl der potenziellen Mitleser ist nahezu unbegrenzt. Das wird sich auch niemals ändern!

Um zu dieser Erkenntnis zu kommen muss man nur mal das vergangene Jahr Revue passieren lassen. Im Frühjahr machte eine Lücke mit dem Namen EFAIL die Runde, die aufzeigte, dass unter bestimmten - weit verbreiteten - Bedingungen S/MIME und OpenPGP keinen Schutz bieten (siehe: S/MIME und PGP - E-Mail Verschlüsselung anfällig). Einige Vertreter der entsprechenden Verschlüsselungstechniken versuchten zwar zu beschwichtigen, aber bis heute ist S/MIME und PGP in vielen Implementierungen anfällig. Im Sommer machte dann auch die banale Erkenntnis die Runde, dass sich E-Mail Signaturen optisch ziemlich treffend fälschen lassen (siehe: OpenPGP Signaturen lassen sich fälschen). Vor wenigen Wochen kam dann noch die Meldung hinzu, dass eine der beliebtesten Lösungen für E-Mail Verschlüsselung - Thunderbird kombiniert mit Enigmail - in der Standardkonfiguration unbeabsichtigt unverschlüsselt verschickt (siehe: Enigmail verschickt E-Mails versehentlich im Klartext).

Dahinter steckt kein geheimer Masterplan zur Schwächung der E-Mail oder irgendeine andere Bösartigkeit. Die E-Mail ist schlicht und einfach ein sehr altes Protokoll, das für die Anforderungen und Herausforderungen der Gegenwart nicht gedacht war. Um diese Schwächen zu beheben werden dem Protokoll permanent neue Zusätze und Schichten hinzugefügt - Transportverschlüsselung, DANE, Inhaltsverschlüsselung mittels PGP oder S/MIME usw. usf. Das Problem mit solchen Zusätzen ist, je größer der Wildwuchs, desto höher die Gefahr, dass irgendein Programm sie falsch implementiert oder irgendetwas nicht so funktioniert wie beabsichtigt.

Das Hauptproblem ist hierbei auch die Dezentralität des Ansatzes, weshalb viele Symptome bei dem nächsten gescheiterten Kommunikationansatz XMPP wiederholen. Es gibt einfach keine zentrale Instanz, die eine Weiterentwicklung bestimmt und alte Techniken kappt oder bei konkurrierenden Lösungen eine Variante durchsetzt. Mit dem Unterschied, dass XMPP/Jabber in seiner offenen Implementierung ein Nischenkommunikationsmittel in der Open Source/Nerdecke ist und daher deutlich schneller als die E-Mail in der Versenkung verschwinden wird.

Statt gescheiterte Lösungen zu propagieren sollte man einfach akzeptieren, dass die E-Mail ein unsicheres Kommunikationmedium ist und bleiben wird. Es ist utopisch der E-Mail einen schnellen Tod zu prognostizieren, dafür ist sie zu verbreitet. Man sollte sie aber als unsicheres Medium begreifen, über das man nur Inhalte verschickt, die man potenziell auch in der Öffentlichkeit diskutieren würde.

Anstelle zig Arbeitsstunden in die Absicherung der eigenen Konfiguration (ist hier ziemlich umfangreich geschehen: E-Mail Kommunikation absichern) und die Belehrung der potenziellen Kommunikationspartner zu verschwenden, kann man auch einfach auf eine wirklich sichere Lösung wechseln. Moderne Messengerdienste (siehe auch:Sichere Messenger - Verschlüsselung und Metadaten) sind viel konsistenter entwickelt und haben bei weitem nicht so viele Skandale und Sicherheitslücken in der Vergangenheit gehabt. Man kann mit eine guten Lösung wie beispielsweise Signal Text- und Sprachnachrichten, sowie Videokommunikation, Anhänge usw. austauschen. Der Arbeitsaufwand ein Signalkonto einzurichten und den Kommunikationspartner zum Wechsel zu bewegen ist viel geringer als bei einer halbwegs wirksamen Mail-Verschlüsselung.

Sofern man trotzdem nicht um die E-Mail umhin kommt, kann man die wirklich sensiblen Informationen auch in einem verschlüsselten Container als Anhang verschicken. Erfahrungsgemäß passiert das heute schon deutlich häufiger, als dass Anwender eine halbwegs sinnvolle E-Mail Absicherung einrichten und nutzen.


Bilder:
Einleitungs- und Beitragsbild von KRiemer via pixaybay / Lizenz: CC0 Creative Commons

"






Wie man sein WLAN-Netzwerk mit Freeradius absichern kann

An unserer Schule haben wir ein offenes WLAN mit einem Captive Portal sowie ein weiteres WLAN-Netz (WPA Enterprise, 802.1X), welches nur für Lehrkräfte gedacht ist. Für beide Netze nutzen wir einen RADIUS-Server für die Authentifizierung. Freeradius ist der am weitesten verbreitete OpenSource RADIUS-Server, der auch bei uns zum Einsatz kommt. In diesem Artikel wollen wir einen Freeradius-Server und Zertifikate für eine verschlüsselte Verbindung einrichten. Im Besonderen möchte ich auf die Anbindung an Linuxmuster 6.2 eingehen und die Authentifizierung mit einem LDAP-Server beschreiben.

Ein RADIUS-Server kümmert sich im Allgemeinen um 3 Dinge: Authentifizierung, Autorisierung und Accounting (oft auch als Triple-A oder AAA bezeichnet). Wir werden uns nur mit den ersten beiden „As“ beschäftigen, d.h. ob die Zugangsdaten korrekt sind und ob der Benutzer berechtigt ist, einen Zugang zu erhalten (zum WLAN z.B.).

Installation von freeradius

Die Installation führen wir auf einer aktuellen Linux-Installation (hier Ubuntu 18.04 Server) durch, z.B. in einem LXD Container oder einer virtuellen Maschine.

$ apt install freeradius freeradius-ldap freeradius-utils

Konfiguration

Grundkonfiguration

Um unseren freeradius Server zu testen, kommentieren wir folgende Zeile in /etc/freeradius/3.0/users aus oder fügen sie zu Beginn der Datei ein:

# Das Kommentarzeichen "#" vor dieser Zeile entfernen
steve Cleartext-Password := "testing"

Standardmäßig sollte in der Datei /etc/freeradius/3.0/clients.conf der localhost als Client eingerichtet sein:

client localhost {
  ipaddr = 127.0.0.1
  secret = testing123
}

Nun können wir einen ersten Test durchführen. Dazu stoppen wir den freeradius-Service und starten ihn manuell im Debug-Modus neu:

$ systemctl stop freeradius.service
$ freeradius -X
...
Ready to process request

Wichtig ist, dass am Ende „Ready to process requests“ steht.

Überprüfen der Grundkonfiguration

Als nächstes überprüfen wir, ob unser Test-Benutzer „Steve“ sich am RADIUS-Server anmelden kann (am besten in einem neuen/zweiten Terminal):

$ radtest steve testing 127.0.0.1 10 testing123

Falls alles passt, sollten wir folgende Antwort bekommen:

Sent Access-Request Id 234 from 0.0.0.0:40302 to 127.0.0.1:1812 length 75
    User-Name = "steve"
    User-Password = "testing"
    NAS-IP-Address = 10.18.10.60
    NAS-Port = 10
    Message-Authenticator = 0x00
    Cleartext-Password = "testing"
Received Access-Accept Id 234 from 127.0.0.1:1812 to 0.0.0.0:0 length 20

Wichtig ist, dass wir ein „Received Access-Accept“ bekommen. Hat diese Anfrage geklappt ist der freeradius-Server grundlegend eingerichtet und die folgenden Authentifizierungsverfahren sollten ohne weitere Probleme klappen:

Diese Verfahren sind unterschiedliche Protokolle, die verschieden „sicher“ sind. Alle verwenden einen Benutzernamen und Passwort zur Authentifizierung. Die Bedeutung der (P)EAP Verfahren kann man hier nachlesen. MS-CHAPv1 und v2 sind Verfahren aus dem Hause Microsoft.

Hinweis: Die Zeile mit unserem Benutzer „Steve“ sollten wir jetzt wieder kommentieren oder löschen!

Wir werden im Folgenden das LDAP-Modul konfigurieren und neue Zertifikate für EAP-TTLS erstellen.

LDAP Anbindung einrichten

Die Konfiguration des LDAP-Servers nehmen wir in der Datei /etc/freeradius/3.0/mods-enabled/ldap vor. Falls diese Datei nicht existiert, müssen wir vorher noch einen symbolischen Link erstellen.

$ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ./

Ziemlich an Anfang der Datei konfigurieren wir unseren LDAP-Server:

server = "ldaps://linuxmuster.internal.example.com"
identity = "cn=admin,dc=internal,dc=example,dc=com"
password = superSecretPassword
base_dn = "ou=accounts,dc=internal,dc=example,dc=com"

...

group {
    ...
    membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
    ...
}

Es muss sichergestellt sein, dass alle nötigen Ports für die Kommunikation zwischen dem RADIUS und LDAP-Server offen sind.

Hinweis: Wenn man Freeradius 3.0 zusammen mit linuxmuster.net v6.2 verwenden möchte, müssen noch folgende Zeilen angepasst werden, damit die Authentifizierung mit Windows klappt (sign…):

update {
            control:Password-With-Header    += 'userPassword'
            control:NT-Password             := 'sambaNTPassword'
            ...
}

LDAP Verbindung testen

Nachdem der LDAP-Server in Freeradius konfiguriert ist, müssen wir ihn einmal neustarten und können anschließend testen, ob sich ein Benutzer aus dem LDAP am RADIUS-Server anmelden kann.

$ systemctl restart freeradius.service
$ radtest testuser password localhost 10 testing123
Sent Access-Request Id 213 from 0.0.0.0:46425 to 127.0.0.1:1812 length 73
    User-Name = "testuser"
    User-Password = "password"
    NAS-IP-Address = 10.18.10.60
    NAS-Port = 10
    Message-Authenticator = 0x00
    Cleartext-Password = "password"
Received Access-Accept Id 213 from 127.0.0.1:1812 to 0.0.0.0:0 length 20

Wenn wir wieder ein „Received Access-Accept“ als Antwort erhalten, klappt die Verbindung zwischen RADIUS und LDAP-Server. Falls es nicht klappt, sollten wir den RADIUS Server manuell starten und schauen, welche Fehler uns der RADIUS-Server ausgibt.

$ systemctl stop freeradius.service 
$ freeradius -X 
... 
Ready to process request

Zertifikate erstellen (für EAP-TTLS)

Standardmäßig verwendet Freeradius sogenannte Snake-Oil-Zertifkate, die natürlich nicht für den produktiven Einsatz gedacht sind. Deshalb erstellen wir in den folgenden Schritten eine neue Root-CA und ein Zertifikat für den Server. Die Zertifikate und die dazugehörigen Konfigurationsdateien befinden sich unter /etc/freeradius/3.0/certs/. Zuerst öffnen wir die Datei ca.cnf und ändern ein paar wenige Einstellungen:

...
[ CA_default ]
...
default_days        = 3650
...
default_md      = sha256
...

[ req ]
....
default_bits        = 2048
input_password      = supersecretandlongpassword
output_password     = supersecretandlongpassword
...

[certificate_authority]
countryName     = US
stateOrProvinceName = My State
localityName        = My Town
organizationName    = My School
emailAddress        = admin@my-school.org
commonName      = "CA Freeradius"
...

Ähnliche Einstellungen nehmen wir nun der Datei server.cnf vor:

...

[ CA_default ]
...
default_days        = 3560
...
default_md      = sha256
...

[ req ]
...
default_bits        = 2048
input_password      = supersecretandlongpassword
output_password     = supersecretandlongpassword

[server]
countryName     = US
stateOrProvinceName = My State
localityName        = My Town
organizationName    = My School
emailAddress        = admin@my-school.org
commonName      = "Freeradius Server Certificate"

Das Passwort muss jetzt auch in der Datei /etc/freeradius/3.0/mods-enabled/eap geändert werden:

tls-config tls-common {
    private_key_password = supersecretandlongpassword
    ...
}

Die Zertifikate erstellen wir mit einem einfachen make:

$ cd /etc/freeradius/3.0/certs/
$ make

EAP-TTLS Anmeldung testen

epol_test kompilieren

radtest unterstützt leider keinen Test für eine EAP-TTLS Authentifizierung. Dazu brauchen wir das Tool eapol_test, welches Teil des wpa_supplicant Pakets ist. Leider wird dieses Tool standardmäßig nicht von wpa_supplicant gebaut, deswegen müssen wir das selbst machen. Wir laden den Quellcode herunter, entpacken ihn und müssen noch einige Abhängigkeiten installieren.

$ wget https://w1.fi/releases/wpa_supplicant-2.7.tar.gz
$ tar -xzvf wpa_supplicant-2.7.tar.gz
$ apt install build-essential pkg-config libnl-3-dev libssl-dev libnl-genl-3-dev
$ cd wpa_supplicant-2.7
$ cp defconfig .config

Danach müssen wir die Datei .config öffnen und die Zeile #CONFIG_EAPOL_TEST=y  finden und das Kommentarzeichen entfernen.

$ nano .config
# Kommentarzeichen "#" entfernen
CONFIG_EAPOL_TEST=y

Mit dem folgenden Befehlen bauen wir nun das Programm und kopieren es noch an die richtige Stelle:

$ make eapol_test
$ cp eapol_test /usr/local/bin

Anmeldung testen

Um EAP-TTLS zu testen, brauchen wir für eapol_test eine kleine Config-Datei, die folgendermaßen aussehen kann:

$ nano eapol_test.conf
network={
        ssid="example"
        key_mgmt=WPA-EAP
        eap=TTLS
        identity="mustermann"
        anonymous_identity="anonymous"
        password="strenggeheim"
        phase2="auth=PAP"
}

Nun können wir eapol_test aufrufen:

$  eapol_test -c eapol_test.conf -a 127.0.0.1 -p 1812 -s testing123

Wenn man am Ende diese Ausgabe erhält, war alles erfolgreich:

MPPE keys OK: 1  mismatch: 0
SUCCESS

Clients einrichten (z.B. Accesspoints)

Bisher haben wir immer nur direkt auf dem RADIUS-Server getestet. Im Normalfall wird die Anfrage für die Authentifizierung aber von einem Accesspoint, Captive Portal oder einem Wireless Controller kommen. Diese müssen auf dem RADIUS-Server als Clients eingerichtet werden. Wir öffnen dazu die Datei /etc/freeradius/3.0/clients.conf und fügen am Ende alle Accesspoints etc. mit ihrer IP und einem Passwort / Secret ein:

$ nano /etc/freeradius/3.0/clients.conf
client AP1 {
    ipaddr = 10.0.0.10
    secret = supersecretsecret
}

Nun kann man auf dem Accesspoint ein WPA Enterprise (802.1X) Netzwerk einrichten und den RADIUS-Server mit seiner IP, den Port (1812) und dem eben festgelegten Passwort/Secret konfigurieren. Nun sollte man sich mit seinem mobilen Gerät im WLAN anmelden können.

Zugang auf bestimmte LDAP Gruppen beschränken

An unserer Schule haben nur Mitarbeiter und Lehrkräfte sowie die Oberstufenschüler Zugang zum WLAN an der Schule. In linuxmuster.net ist das über die Gruppe p_wifi gelöst. Alle, die in dieser Gruppe sind, sollen Zugang bekommen. Bisher ist unser RADIUS-Server aber so konfiguriert, dass jeder Benutzer im LDAP Zugang erhält. Um den Zugang einzuschränken, fügen wir noch folgende Zeilen in der Datei /etc/freeradius/3.0/users hinzu:

DEFAULT Ldap-Group == "cn=p_wifi,ou=groups,dc=internal,dc=example,dc=com"
DEFAULT Auth-Type := Reject
   Reply-Message = "Your are not allowed to access the WLAN!"

Freeradius und linuxmuster.net 6.2

Die Installation von Freeradius für linuxmuster.net 6.2 ist in der Dokumentation beschrieben. Bis auf ein paar wenige Details ist die Konfiguration sehr ähnlich. In Freeradius 2.0 sind die Standardeinstellungen für die Zertifikate nicht mehr zeitgemäß, sodass es zu Verbindungsproblemen mit einigen Clients kommen kann (z.B. mit einem aktuellen macOS). Hier sollte man unbedingt die Vorgaben von Freeradius 3.0 verwenden (siehe oben)!

Unterschiedliche Zugangsbeschränkungen nach WLAN-Netz

An unserer Schule haben wir ein Captive Portal für Gäste und Schüler, sowie ein WPA 802.1X (Enterprise) Netz für Mitarbeiter und Lehrkräfte. Während sich am Captive Portal alle anmelden können, die in der Gruppe p_wifi sind, sollen sie im WPA 802.1X Netzwerk nur Lehrkräfte und Mitarbeiter anmelden dürfen. Die Anfragen vom Captive Portal kommen von einer anderen IP (pfSense) als die für das WPA Enterprise Netzwerk. In der Datei /etc/freeradius/sites-enabled/inner-tunnel haben wir deshalb eine Abfrage eingebaut, die überprüft, von welcher IP die Anfrage kommt und entsprechend entscheidet, ob jemand Zugang bekommt oder nicht:

post-auth {
    ...
    #Only allow Teacher&Staff on WPA 802.1X Teacher and Staff network  
    if (NAS-IP-Address == 10.0.0.10) {
        if (LDAP-Group == "cn=teachers,ou=groups,dc=internal,dc=example,dc=com" || LDAP-Group == "cn=staff,ou=groups,dc=internal,dc=example,dc=com") {
            noop
        } else {
            reject
        }
    }
    ...
}

Fazit

Dieser Artikel beschreibt nur eine von vielen Möglichen Konfigurationen. Ein RADIUS-Server ist komplex, aber dank der guten Standardkonfiguration von Freeradius (v.a. in Version 3) kommt man recht schnell zum Erfolg. Lange Zeit hatten wir nur das Captive Portal im Einsatz und es hat auch gut funktioniert, doch die Benutzerfreundlichkeit und Sicherheit ist mit einem WPA 802.1X (Enterprise) Netzwerk nochmal gestiegen. Ohne den RADIUS-Server wäre das aber nicht möglich gewesen.

Nützliche Links:

2 Kommentare

Der Beitrag Wie man sein WLAN-Netzwerk mit Freeradius absichern kann erschien zuerst auf .:zefanjas:..






Thunderbird: lokale Dateien in zwei Linux Distributionen benutzen

Ich habe die fixe Idee auf meinem System zwei Linux Distributionen zu installieren.

Das habe ich schon öfters gemacht, kein Problem.

Nur habe ich ein 9GB großes IMAP Konto im lokalen Filesystem, ich empfinde es als Verschwendung in beiden Systemen die selben Daten zu lagern. Zudem führt dies zu Wartezeiten, wenn man tagelang mit dem System A arbeitet und dann mal zu B wechselt. Die Daten werden dann natürlich erneut geladen und synchronisiert.

Der Ansatz, der eigentlich einleuchtend ist, das versteckte Verzeichnis .icedove (ja, richtig, ich benutze Debian, da hieß es ja schon immer icedove) einfach in eine eigene Partition packen und in beiden Systemen entsprechend mounten.

Ist also gar Ding, warum bloggt der alte Mann dann trotzdem darüber?

Weil es halt im konkreten Fall doch nicht ganz so einfach ist.

Hier also der konkrete Fall.

System A: Debian Stretch

System B: PCLINUXOS 2018

Der Haken ist: In Debian erhält der erste User die uid und gid 1000, in PCLINUXOS sind beide 500.

Das führt dazu, das im System B: die Dateien nicht lesbar für den User sind und somit die Idee nicht funktioniert.

Alles klar, dachte ich mir, ich gebe in der /etc/fstab einfach die uid=500,gid=500 mit und schon klappt's.

Pustekuchen, was ich auch probierte, das EXT4 Filesystem ließ sich nicht dazu überreden, die Optionen zu übernehmen.

Hätte ich mich vorher richtig informiert, dann wüßte ich, dass ext4 die Optionen gar nicht kennt. Das war mir gar nicht so präsent.

:-( 

Nun gut, dann eben der pragmatische Weg, im System B: dem pclinuxos den User eine andere uid und gid geben und eben keine Optionen in der fstab nutzen.

Umgesetzt sieht das nun so aus:

 

# in /etc/fstab auf System A
/dev/tuxedo-vg/icedove /home/bed/.icedove ext4 defaults        0 2

# in /etc/fstab auf System B
/dev/mapper/tuxedo--vg-icedove  /home/bed/.icedove ext4 defaults 0 2

 

 

Selbstredent habe ich auf System A den Inhalt von .icedove in ein tar gepackt, .icedove/* gelöscht, /dev/tuxedo-vg/icedove /home/bed/.icedove  gemountet und das tar da wieder ausgepackt.

Auf System B nach reboot thunderbird gestartet, der findet dann ein gefülltes .icedove, akzeptiert das private Dir und alles wird gut.

 






Raspberry Pi Temperatur des Prozessors auslesen

Raspberry Pi Temeratur auslesen Beitragsbild

Der SoC des Raspberry Pi kann bei starker Nutzung sehr heiß werden. Wenn man ihn mit dem Finger berührt kann die Temperatur des Chips doch unangenehm hoch werden.

Ich wollte daher wissen wie hoch die Temperatur des Chips tatsächlich ist und habe nach einer einfachen Möglichkeit gesucht die Temperatur auszulesen.

Erfreulicherweise bringt Raspbian bereits ein Tool mit, mit welchem man die Temperatur und viele weitere Daten des Systems auslesen kann. Das Tool hört auf den Namen vcgencmd. Unter https://github.com/nezticle/RaspberryPi-BuildRoot/wiki/VideoCore-Tools findet man unter der Überschrift “vcgencmd Commands “eine schöne Übersicht über die Möglichkeiten die das Tool bietet.

Die Temperatur lässt sich mit folgendem Befehl auslesen.

vcgencmd measure_temp

Raspberry Pi Temperatur auslesen


 

Raspberry Pi Temperatur des Prozessors auslesen ist ein Beitrag von techgrube.de.






FreeNAS 11.2 - Time Machine auf SMB Freigabe sichern

Apple wechselt gegenwärtig von der hauseigenen Lösung AFP auf den Standard SMB. Dieser Wechsel vollzieht sich schleichend, was einige Unwägbarkeiten mit sich bringt und betrifft insbesondere die integrierte Backup-Lösung Time Machine (siehe auch: Time Machine auf einem Linux Server - Stand macOS 10.14 "Mojave").

Während von High Sierra aktualisierte Systeme noch problemlos auf AFP gesichert werden konnten und können, machte eine Neuinstallation von Mojave nun Probleme. Zwar konnte die AFP-Freigabe noch als Sicherungsziel gewählt werden, die anschließende erste Sicherung schlug aber konsequent fehl. Anstelle sich mit der Problemlösung einer abgekündigten Funktion zu befassen, war es nun also an der Zeit sich mit SMB und Time Machine zu befassen.

Apple setzt einige spezifische Erweiterungen für SMB voraus, damit dieses als Sicherungsziel für Time Machine geeignet ist. Proprietäre NAS-Anbieter wie beispielsweise Synology haben dies sehr schnell implementiert, die Open Source Community brauchte leider mal wieder erheblich länger. Die im März diesen Jahres veröffentlichte Version Samba 4.8 enthält nun aber alle benötigten Funktionen. Das Veröffentlichungsdatum zeigt jedoch schon, dass keine ernstzunehmende LTS-Distribution diese Version gegenwärtig ausliefert. Der Linux-Standard ist momentan Samba 4.7 oder älter.

Bei FreeNAS haben sie sich des Problems jedoch wenigstens angenommen und eine Patches zurück portiert, weshalb FreeNAS 11.1-U6 und FreeNAS 11.2 theoretisch über die notwendigen Funktionen verfügen. Wegen Problemen im Zusammenhang mit MDNS (FreeNAS Alternative zu Avahi) ist die Einrichtung jedoch noch etwas problematisch und soll hier gezeigt werden:

SMB Freigabe einrichten

SMB Freigaben für Time Machine benötigen einige spezielle Einstellungen. Bei der Einrichtung muss man daher den "Advanced Mode" öffnen.

Unter VFS Objects muss zusätzlich der Parameter fruit für alle SMB Freigaben auf dem FreeNAS ausgewählt werden. Die für Time Machine vorgesehene Freigabe benötigt zudem folgende Zeile im Bereich Auxilliary Parameters:

fruit:time machine = yes

Der freigegebene Ordner muss selbstverständlich für den vorgesehen Benutzer Lese- und Schreibrechte haben. Das Verfahren hat sich jedoch bis auf einige optische Veränderungen im Vergleich zu früheren FreeNAS-Versionen mit AFP Freigaben nicht verändert und kann daher im entsprechenden Artikel nachgelesen werden: Time Machine Backup auf FreeNAS)

SMB Freigabe unter macOS einrichten und Erstsicherung anstoßen

Aufgrund der bereits erwähnten MDNS-Probleme findet macOS die SMB-Freigabe in den Time Machine Einstellungen ggf. nicht automatisch. Sie sollte jedoch im Finder angezeigt werden und man kann diese dort mit den entsprechenden Benutzerzugangsdaten einbinden. Anschließend ist sie auch in Time Machine als potenzielles Sicherungsziel aufgeführt. Hier erfolgt dann die obligatorische Einrichtung mittels Benutzername und Kennwort, sowie optional der Backupverschlüsselung (die hier dringend empfohlen wird!).

Unter Umständen beginnt macOS jedoch nicht sofort mit der initialen Sicherung. Diese muss dann manuell im Terminal angestoßen werden. Sofern man mehr als ein Sicherungsziel hat muss man zuerst die ID ermitteln:

$ tmutil destinationinfo

Die Ausgabe sollte dann so ähnlich aussehen:

 ====================================================
Name : BACKUP 3.5
Kind : Local
Mount Point : /Volumes/BACKUP 3.5
ID : D7876D65-97C0-4C47-89B1-45BD499F3F05
> ==================================================
Name : Time Machine
Kind : Network
URL : smb://tmb@Archvium._smb._tcp.local/Time%20Machine
Mount Point : /Volumes/Time Machine
ID : 1503B9F6-D1AF-46A5-89EB-3DBBA7A837F9

Das Backup auf die Netzwerkfreigabe beginnt man anschließend mit dem folgenden Kommando. Die ID muss natürlich durch die soeben ermittelte ID ersetzt werden.

§ tmutil startbackup --destination 1503B9F6-D1AF-46A5-89EB-3DBBA7A837F9

Je nach Datenmenge kann das initiale Backup nun sehr lange dauern. Insbesondere die etwas komplizierte Einrichtung unter macOS wird hoffentlich in künftigen FreeNAS-Versionen noch erleichtert.


Bilder:
Einleitungs- und Beitragsbild von FreePhotosART via pixabay / Lizenz: CC0 Creative Commons

"