DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo taz We at Mastodon A-FsA Song MeetUp Twitter Youtube Tumblr Flickr Wikipedia Bitcoin Facebook Bitmessage Betterplace Tor-Netzwerk https-everywhere
Technische Hinweise um der Überwachung zu entgehen

Some technical hints for the installation of useful tools

Sorry, but only some parts are already in English ...

Technical help for the installation is best available on the websites of the mentioned tools, because only there the hints are kept up to date.
All hints are therefore given to the best of our knowledge and belief - but without guarantee.

 


 

Content

 


Introduction

For some installations we have tried out ourselves at trade fairs or for our own use, we have compiled a few brief notes here. Due to capacity reasons we are not able to keep this page up to date with updates and therefore cannot guarantee that it is up to date.

Detailed help you will find on the web sites of the different Linux distributions

and/or some more help pages for Linux

  To top of page


Hints for a RaspberryPi

Some applications on a RaspberryPi presented at the Chemnitz Linuxtag

The RaspberryPi is an economical single-board PC, which consumes only approx. 3-5W and is damn cheap for approx. 30€. With its size of 15x8cm it doesn't take up any space, has its own screen port (HDMI), but can also be operated remotely via ssh (in the terminal) or graphically via VNC (ports 5900, 5901, ...).

Web page with more hints for the installation http://www.raspberrypi.org/

 

Tipp für VNC (s. http://elinux.org/RPi_VNC_Server )

Install VNC :         sudo apt-get install tightvncserver
Start:                      tightvncserver
Start session:   vncserver :1 -geometry 1024x728 -depth 24    # faster with less colours is depth=8

Aufruf von einem entfernten Arbeitsplatz:
In Ubuntu Linux: Menu - Internet - Betrachter für entfernte Bildschirme - verbinden - Protokoll: VNC
In Windows: mit einem VNC-Viewer (Name des Programms??)

   To top of page



Ein eigener kleiner MailServer mit citadel-suite

Citadel kann SMTP, IMAP, POP3 und auch XMPP (Citadel als Jabber Server) und "provides a fast webmail interface", as the programmers announce, can be used with any browser (unfortunately only with activated Java-Script).

Installation:
sudo apt-get update
sudo apt-get upgrade
sudo apt-get install citadel-suite

Danach (wegen eines Bugs) 2-mal die manuelle Konfiguration starten (s. http://www.keytosmart.com/running-mail-server-raspberry-pi-citadel/ )
sudo /usr/lib/citadel-server/setup

After a restart you can connect to the web interface. In the admin interface the mail domains are specified, local users and local alias names are entered.

As soon as the MX record in the DNS (Domain Name Service) points to the server, it can also be reached by other mail servers on the Internet. It can take up to 8 hours for the new MX record to spread through the Internet and for other domains to find the server.

Basically: After a successful test you should think about how long you want to keep log files. Data that is not available cannot be given out.

 Another possibility: If you just want to send mails with your RasPi the program ssmtp may be sufficiant.

  • apt-get install ssmtp

In /etc/ssmtp/ssmtp.conf you have to edit the following lines:

  • root=postmaster
  • hostname=raspberrypi
  • mailhub=smtp.server.domain:587                    # i.e. smtp.web.de
  • AuthUser=YourUserName@server.domain    # i.e. ich@web.de
  • AuthPass=YourMailPassword
  • UseSTARTTLS=YES

SSMTP uses an aliases file  /etc/ssmtp/revaliases. This contains all local user of the service, i.e.

  • root:root@your.domain:smtp.web.de:587
  • www-data:webmaster@your.domain:smtp.web.de:587

Then you may test the program with

  • echo "ein test" | ssmtp -s ich@your.domain

To top of page


 Bitmessage on a RaspberryPi

For the secure mail program Bitmessage (BM) you should use a RasPi B/2 or faster. On version 1 RasPi sending a bigger mail could last 15 minuten.

Next you have to deceide whether you will read and write BMs on the RasPi or the RasPi should be an always running relais (Connictng via API).

Installation of Bitmessage

  • sudo apt-get update                                  # is always usefull
  • sudo apt-get install python-qt4                # is necessary
  • sudo apt-get install git                              #  the easiest way
  • git clone git://github.com/Bitmessage/PyBitmessage.git
  • cd PyBitmessage/                                     # go to your local directory
  • python src/bitmessagemain.py               # Python has to be > V2.7

Bitmessage running as Daemon and connecting via API interface

In the config file keys.dat the following is necessary:

  • apienabled = true
  • apiport = 8442
  • apiinterface = 127.0.0.1            # or for remote accec the real IP
  • apiusername = username
  • apipassword = password

An example for (read and write) acces to the BMs contains PyBitmessage/src/api_client.py
There you will see that the local messages are not safe. Messages are stored base64-coded and may be read by anyone with acces to the file system. So you should put Bitmessage (as any of your personal data) in a crypted partion or a TrueCrypt container.

For running Bitmessage at start time of the computer automaticly in keys.dat file the line "daemon = true" should be added.

Finally you need a start script

  • update-rc.d bitmessage defaults
  • update-rc.d bitmessage enable
  • service bitmessage start                      # Start bitmessage

In the init script  /etc/init.d/bitmessage you should change the "USERNAME". Bitmessage should not run as "root".

 

 

  To top of page


 

Der RaspberryPi als Tor-Server

Installation:

  • sudo apt-get update
  • sudo apt-get upgrade
  • sudo apt-get remove --auto-remove --purge libx11-.*    # optional grafische Oberfläche zur Entlastung entfernen
  • sudo apt-get install tor tor-arm                # Statistik-Tool tor-arm ist optional

Konfiguration anpassen mit sudo nano /etc/tor/torrc
  SocksPort=9050                                   # default, Port für eigene lokale Nutzung
                                                          # 0=keine lokale Nutzung
  ORPort=9001                                        # default, kann aber geändert werden
                                                         # Dieser Port muss im Router zum Internet freigeschaltet sein.
                                                         # Eingehender Verkehr für diesen Port muss auf die IP des RaspberryPis geroutet werden. 
    DirPort=9030                                        # default, kann aber geändert werden
    ControlPort= …                                    # für lokales Statistik-Tool tor-arm
    Bridge=1 oder =0                                #  1=Server wird nicht im Directory geführt
    RelayBandwidthRate=100                # entspricht 800 kb/s
    RelayBandwidthBurst=200               #
    ExitPolicy reject *:*                             # Server arbeitet nicht als ExitNode,
                                                                   # sicherer, um evtl. Abmahnungen zu entgehen
    StrictNodes 1                                      # nur vertrauenswürdige Exits nutzen
    ExitNodes $CA1CF70F4E6AF9172E6E743AC5F1E918FFE2B476     # optionale
    ExitNodes $944224E9413705EEAFCBAC98BF57C475EB1960C5    # Beispiele
    ...

Start:

  • /usr/sbin/tor                                        # als User tor (möglichst nicht als root)
                                                                 #  Ausgabe des Verkehr im Terminal, oder
  • sudo  /etc/init.d/tor restart                # als Daemon, dann zeigt das
  • sudo -u debian-tor arm                    #  Statistik-Tool den Verkehr


After the first start, Tor downloads a list of available Tor servers. This list has a digital signature that is verified upon receipt to prevent possible tampering. This can take up to 30 minutes. The server is then ready to route traffic.

If you want to use the server yourself, you will need the Tor browser bundle (download here: https://www.torproject.org/download/download-easy.html.en ). The package is only unpacked and can be used immediately. The first time you start Tor, you will be asked which port to use for the Tor network. If you enter your own RaspberryPi with IP and ORPort selected above, your own traffic will also be routed via this Tor server.
Advantage: Since the RaspberryPi is located in its own LAN, data is only transmitted unencrypted over the line there and from the RaspberryPi onwards all traffic is encrypted.

Basically: After successfully testing the Tor server, you should consider how long you want to keep log files. Data that does not exist cannot be released.

Read more:
http://blog.weezerle.de/2013/01/11/raspberry-pi-als-tor-server/
https://www.torproject.org/docs/tor-manual.html.en

  To top of page


Use of RaspberryPi to switch relays

Nehmen wir doch mal an, wir möchten statt der Überwachung zu entgehen, selbst etwas an- und ausschalten, z.B. die Beleuchtung zu Hause bei Abwesenheit o.ä.

Achtung! Wer Geräte mit 230V Spanung schalten möchte sollte Ahnung haben und sich genauer informieren. Davor können wir nur warnen und übernehmen auch sonst keine Garantie für das Überleben des RaspberryPi.

Der kleine RaspberryPi kann das im Prinzip ganz einfach:

Wir benötigen folgende Hardware: eine 4- oder 8- Relaiskarte für 3-5€ z.B. bei Amazon und etwas Kabel. Die PIN-Belegung ist z.B. hier beschrieben (weitere Links s.u.). Auf der Relais-Karte sind die PINs beschriftet.
Wir verbinden

RasPi-PIN1 =5V mit dem Relais-PIN VCC (im Bild gelbes Kabel)
RasPi-PIN3 =GND mit dem Relais-PIN GND (im Bild blaues Kabel)
z.B. RasPi-PIN8 =GPIO-Nr.23 mit einem beliebigen Relais-PIN INx (im Bild grünes Kabel)
RasPi-PINs gezählt von rechts nach links

Die PIN-Belegung beschreibt einen RaspberryPi der ersten Generation. Beim Modell 2 sind die verwendeten PINs jedoch gleich, nur die hier als N/C bezeichneten Anschlüsse werden dort mit Spannung oder GND belegt.

 Fertig! Evtl. können Schaltprobleme (z.B. bei längeren Einschaltzeiten) auftreten, wenn das Netzteil des RaspberryPi zu wenig Strom liefert oder viele USB Geräte angeschlossen sind. Die Links unten zeigen Abhilfe auf.

Eine Möglichkeit wäre z.B., wenn man auf die Anzeige-LEDs auf der Relais-Karte verzichtet. Entweder mit einem dünnen Draht überbrücken oder wenn man es schön haben will, die LEDs durch 0-Ohm-SMDs ersetzen. Dann sollten die Relais sicher schalten. Wir hatten auch so keine Probleme.

Wir müssen die GPIO-PIN-Leiste im RaspberryPi ansteuern können. Dazu installieren wir folgende Software:

git clone git://git.drogon.net/wiringPi
cd wiringPi
git pull origin
./build

Danach können wir das Programm gpio benutzen. Ein Test: gpio -v

Wenn die Kabel zur Relais-Karte wie oben beschrieben angesteckt sind, dann können wir das Relais testen:

gpio -g mode 23 out          # Das sagt dem RaspberryPi, dass Port 23 genutzt werden soll und setzt den PIN unter Spannung.
gpio -g write 23 0             # Schaltet dann das Relais um auf AN.
gpio -g write 23 1             # Schaltet dann das Relais um auf AUS.

Ein kleines Shell-Skript oder ein Perl-Programm kann dann das Relais z.B. alle Stunde an und nach 30 Minuten wieder ausschalten.

#!/usr/bin/perl
#                         "Licht"  10 Minuten anschalten, 1 Stunde aus, dann wieder an, usw.
#
    $an=0; $aus=1;  
    $dauer=600;            # = 10 Minuten
    $pause=3600;         # = 1 Stunde;
    system("/usr/local/bin/gpio -g mode 23 out");      # GPIO 23 initialisieren, ist dann an
    system("/usr/local/bin/gpio -g write 23 $aus");    # sofort wieder ausschalten
    sleep $dauer;
    while(1<2)                                                             # Programm läuft "ewig"
    {    system("/usr/local/bin/gpio -g write 23 $an");   # anschalten
        sleep $dauer;
        system("/usr/local/bin/gpio -g write 23 $aus");   # ausschalten
        sleep $pause;
    }

Bessere Bilder für diesen Aufbau gibt es hier
http://www.forum-raspberrypi.de/Thread-raspberry-pi-gpio-relais
http://onkeloki.de/2013/12/23/relais-mit-dem-raspberry-pi-schalten/
http://www.helbing.nu/projekte/hardware/raspberry-i2c-relaisplatine.html
http://www.forum-raspberrypi.de/Thread-raspberry-pi-gpio-relais?page=2

Wie man mit dem RaspberryPi seine Fenster oder die Rollläden "überwacht",  beschreibt
http://tutorials-raspberrypi.de/gpio/ueberwachung-von-fenstern-und-tueren-mit-dem-raspberry-pi/

  To top of page


Apple Talk auf Linux

Es kann immer mal vorkommen, dass noch alte Apple Macintosh im Netzwerk sind, die nur Apple Talk (via IP) reden. Dann lässt sich der Protokollstack für Apple Talk einfach nachinstallieren.

apt-get install netatalk
apt-get install avahi-daemon
apt-get install libnss-mdns
ifconfig -a       # nachschauen ob atalk im Protokollstack vorhanden ist
tail -f /var/log/syslog       # nachschauen ob Fehlermeldungen ausgegeben wurden
cd /etc/netatalk/       # hier liegen die Konfigurationsdateien
vi AppleVolumes.default
/etc/init.d/netatalk restart
vi /etc/nsswitch.conf
vi /etc/avahi/services/afpd.service
vi /etc/avahi/services/afpd.service
/etc/init.d/avahi-daemon restart
/etc/init.d/netatalk restart
iptables -nL       # evtl. sind die Firewalleinstellungen für Apple Talk zu verändern

  To top of page

 


 

Secure Messengers

Bitmessage

Bitmessage ist ein sehr kleines, einfaches, neues Programm für Textnachrichten, für Mailinglists und für Twitterchannels (bzw. sowas Ähnliches).
Es steht für alle Desktop-Betriebssysteme zur Verfügung. Alles verschlüsselt, ohne Metadaten, OHNE PROVIDER!, komplett unterm Radar. Auch eine Paßworteingabe ist nicht erforderlich.

Die Installation in Windows ist lediglich eine .exe Datei, die man irgendwohin legt. In Linux gibt es die Quellen hier:

Briar

Auf Handys konnten wir damit gut arbeiten: für Android  https://briarproject.org/beta/briar.apk

Conversations

Conversation gilt als sicher verschlüsselter Messenger und nutzt das offene XMP Protokoll. Damit stehen viele Server zur Verfügung. Die Verschlüsselungsoftware heißt omemo.
In Linux heißt das Paket gajim  https://gajim.org/downloads.php?lang=de#ubuntu
Eine Serverliste gibt es hier      https://gultsch.de/compliance_ranked.html

Signal

Signal ist ein Betriebssystem-übergreifenden Messenger. Die Server stehen allerdings in den USA. Edward Snowden hat über Jahre Signal als vertrauenswürdig empfohlen.

Signal install in Linux:

$ sudo apt-get install curl
$ curl -s https://updates.signal.org/desktop/apt/keys.asc | sudo apt-key add -
$ echo "deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main" | sudo tee -a /etc/apt/sources.list.d/signal-xenial.list
$ sudo apt update && sudo apt install signal-desktop

Threema

Threema ist ein Messenger, der von einer Schweizer Firma vertrieben wird.

Audio- und Video-Konferenzen mit utox

Es gibt viele Tools für gemeinsames Arbeiten mit zusätzlicher Audio- und Videounterstützung, z.B.

  • Skype (gehört Microsoft, bietet auch telefondienste ins Telefonnetz an)
  • Mumble (ohne Video)
  • Hello von Firefox
  • Hangout von Google
  • µtox
  • ...

Will man ohne mit den "großen Multis" nicht zu tun haben, so bieten sich die tox-e an.

Wir haben µtox für unsere eigenen Kommunikationszwecke ausprobiert und möchten deshalb darüber hier berichten. Es gibt 3 Varianten µtox, qtox und antox für Android, die untereinander kompatibel sein sollen. Für µtox und qtox haben wir es ausprobiert.
Mehr dazu beihttps://wiki.tox.im/Binaries undhttps://github.com/tux3/qTox/releases

Vorteile:

  • kommuniziert verschlüsselt
  • ohne Anmeldung oder Registrierung
  • P2P (peer to peer), funktioniert ohne Server, im Gegensatz zu Skype
  • für Windows, Mac und Linux verfügbar
  • in Windows muss nur eine Datei auf den Rechner gepackt werden, keine Installation
  • sehr einfach gehalten, wenig Optionen

Nachteil:

  • sehr einfach gehalten, wenig Optionen

Installation:

Bei Windows wird nur die Datei µtox auf den Rechner gepackt, qtox muss installert werden.
win32: https://jenkins.libtoxcore.so/job/uTox_win32/lastSuccessfulBuild/artifact/utox/utox_win32.zip
win64: https://jenkins.libtoxcore.so/job/uTox_win64/lastSuccessfulBuild/artifact/utox/utox_win64.zip
 

Linux: Bei Debian-artigen Systemen (Ubuntu, Mint, ...) geht es so:

sudo apt-key del 0C2E03A0
sudo sh -c 'echo "deb https://repo.tox.im/ nightly main"> /etc/apt/sources.list.d/toxrepo.list'
wget -qO - https://repo.tox.im/pubkey.gpg | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update -qq
sudo apt-get install utox
µtox ist dann über das Menu "Internet" aufrufbar

Für Selbstübersetzer, die ganz sicher gehen wollen:
git clone https://github.com/notsecure/uTox.git
cd uTox
gcc -o uTox *.c -lX11 -lXft -lXrender -ltoxcore -ltoxav -ltoxdns -lopenal -pthread -lresolv -ldl -lm -lfontconfig -lv4lconvert -lvpx -I/usr/include/freetype2 -DV4L

Fazit:

Konferenz in Text und Ton geht, Videotelefonie nur paarweise. qtox scheint etwas komfortabler, µtox aber stabiler zu sein.

µtox ist sehr einfach zu bedienen, serverlos, d.h. ohne Anmeldung, ohne zentrale Vermittlung. Die Audioqualität ist gut, das Video klein, aber brauchbar.

 

Wire

Wire bietet einen Betriebssystem-übergreifenden Messenger mit Audio- und Video-Konferenzen. Wire läuft über einen zentralen Server in Berlin.

Paketquelle: https://wire-app.wire.com/linux/debian/pool/main/wire_3.3.2872_i386.deb
oder             https://wire-app.wire.com/linux/debian/pool/main/wire_3.3.2872_amd64.deb
Für Android gibt es eine .apk Datei.

Auf Linux Mint muss Node.js installiert sein, dann ist eine Installation so möglich 

git clone https://github.com/wireapp/wire-desktop.git
cd wire-desktop
sudo apt-get install npm
npm install  
npm start 
npm test

 

   To top of page


HBCI Banking with Hibiscus

Auch für die sichere Kommunikation mit der eigenen Bank gibt es freie Software, z.B. Hibiscus. Der Name lehnt sich an den HBCI-Standard beim Online-Banking an. HBCI-Banking kann mehr als der Webzugang zur Bank (also Kontenverwaltung und Lastschriften, ...) und funktioniert in der Regel auch über eine gesonderte Adresse im Internet.

Vorteile:

  • Freie Software
  • großer Funktionsumfang
  • Verwaltung mehrerer Konten
  • ausführliches Logging zur Fehlersuche

Nachteile:

  • Es gibt Banken, die keine Lust haben, einem beim "ausführlichen Logging zur Fehlersuche" zu helfen, wenn diese Bank lieber ihr Spezialprodukt verkaufen möchte.
  • Wer mag schon JAVA außer als Urlaubsziel?

Hibiscus (z.Zt. 2.6.11) ist in Java geschrieben und läuft deshalb auf Windows, Mac und Linux. Es benötigt die  Java-Umgebung Jameica.

Installation in Linux (bei den anderen entsprechend):

Hibiscus.zip Download: http://www.willuhn.de/products/hibiscus/download.php
Jameica Download oder Installation über Paketmanager
Starten: jameica.sh
Klicke im Menü auf Datei "Plugins-Einstellungen"/"Neues Plugin installieren"
...  und wähle die Datei "hibiscus.zip" aus.
In Hibiscus klicke auf "Bank-Zugang einrichten" und gib die Zugangsdaten für den HBCI-Zugang(!) aus deinen Bank-Unterlagen ein.
Es gibt ein ausführliches Handbuch.
 

  To top of page


GnuPG

Viele Programme, z.B. Enigmail in Thunderbird, nutzen intern GnuPG zur Verschlüsselung und zum Signieren von Daten. GnuPG beruht auf dem Programm PGP, was Phil Zimmermann in den 80-er Jahren entwickelt hat und ist Open Source.

Es gibt also Tausende von Menschen, die geprüft haben, dass GnuPG sicher und ohne Hintertüren ist.

Infos unter http://de.wikipedia.org/wiki/GNU_Privacy_Guard
und http://www.gnupg.org/
für Windows http://www.gpg4win.org/index-de.html

Für Fans der Kommandozeile hier einige Beispiele

gpg --gen-key
gpg --list-keys
gpg --list-secret-keys
gpg --fingerprint Alice
gpg --verify alice@...
gpg --export -a alice@... > alice.asc
gpg -s -u Bob text.txt
gpg --clearsign -u Bob text.txt
gpg -e -r Alice text.txt
gpg -s -u Bob -e -r Alice text.txt 
gpg --import Alice.asc
gpg --edit-key Alice         
gpg -c text.txt
gpg -d text.txt.gpg
 

Schlüssel generieren
Schlüssel auflisten
eigene geheime Schlüssel auflisten
Fingerprint von User Alice ausgeben
Public Key von User Alice bestätigen
Public Key von User Alice als Textdatei ausgeben
Die Datei text.txt als User Bob unterschreiben
Die Datei text.txt als User Bob unterschreiben und als Textdatei ausgeben
Die Datei text.txt für User Alice verschlüsseln
Die Datei text.txt als User Bob unterschreiben und für Alice verschlüsseln
Einen Public Key in den eigenen Keyring (Schlüselbund) importieren
Schlüsselinformation ansehen
Die Datei text.txt mit einem Passwort verschlüsseln; Ergebnis ist text.txt.gpg
Die Datei text.txt.gpg mit einem Passwort entschlüsseln
 

 

   

  Zum Seitenanfang zurück


Show current battery status

Falls es keine Anzeige des aktuellen Akku-Ladezustand in der Menuleiste ist oder man diese schon zu oft übersehen hat, ist es angenehm, wenn man regelmäßig darauf hingewiesen wird, dass sich der Akku in einem kritischen Zustand befindet. Das folgende Script wurde für Linux Mint 17/19 geschrieben, wird aber ähnlich auf allen Ubuntu Systen laufen.

#!/usr/bin/env bash
#
# Meldung über aktuelle Akkuladung ausgeben
# (über den cron ca. alle 10 Minuten aufrufen)#
# Voraussetzung:
# paplay Ein Programm zum Abspielen von Warntönen
# sound-warn.wav Ein Meldeton
# sound-crit.wav Ein Warnton
# akku-warn.gif Ein Bild für halbleeren Akku
# akku-crit.gif Ein Bild für fast leren Akku
# Grenzwerte je nach Alter und Beständigkeit des Akkus
# WARN_LEVEL 35% warnen
# CRIT_LEVEL 20% herunterfahren
#
# /home/user das eigene Heimatverzeichnis (user ersetzen)

export DISPLAY="$(w -h $USER | awk '$3 ~ /:[0-9.]*/{print $3}')"
#echo $DISPLAY
XAUTHORITY="$HOME/.Xauthority"

SOUND_COMMAND="${SOUND_COMMAND:-paplay}"
CRIT_LEVEL="${CRIT_LEVEL:-25}"
CRIT_ICON="${CRIT_ICON:-"/home/user/pict/akku-crit.gif"}"
CRIT_SOUND="${CRIT_SOUND:-"/home/user/sounds/sound-crit.wav"}"
WARN_LEVEL="${WARN_LEVEL:-35}"
WARN_ICON="${WARN_ICON:-"/home/user/pict/akku-warn.gif"}"
WARN_SOUND="${WARN_SOUND:-"/home/user/sounds/sound-warn.wav"}"

if [[ -r "$HOME/.dbus/Xdbus" ]]; then
source "$HOME/.dbus/Xdbus"
fi

akku_level="$(acpi -b | grep -P -o '([0-9]+(?=%))')"
# alternativ, falls obige Zeile nicht funktioniert
#akku_level="$(acpi -b | grep -v "Charging" | grep -P -o '([0-9]+(?=%))')"
echo $akku_level # optionale Meldung, kann auskommentiert werden
sudo -u user DISPLAY=$DISPLAY DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1000/bus notify-send -i "$LOW_LEVEL" -t 5000 -u normal "Battery level is ${akku-level}%"

if [[ -z "$akku_level" ]]; then
exit 0
fi

if [[ "$akku_level" -le "$CRIT-LEVEL" ]]; then
sudo -u rainer DISPLAY=:0 DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1000/bus notify-send -i "$CRIT_ICON" -t 10000 -u normal "Battery Critical" "Battery level is ${akku_level}%"
if [[ ! -z "$CRIT_SOUND" ]]; then
$SOUND_COMMAND "$CRIT_SOUND"
fi
exit 0
fi

if [[ "$akku_level" -le "$LOW_LEVEL" ]]; then
sudo -u user DISPLAY=:0 DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1000/bus notify-send -i "$WARN_ICON" -t 10000 -u normal "Battery Low" "Battery level is ${akku_level}%"
if [[ ! -z "$WARN_SOUND" ]]; then
$SOUND_COMMAND "$WARN_SOUND"
fi
exit 0
fi


   To top of page


Fast Storage with RAM or Swap

Möchte man Zugriff auf einen zusätzlichen Speicherbreich haben, so bieten sich der meist ungenutzte Swap Bereich auf der Festplatte und als superschnelle Festplatte der Arbeitsspeicher (RAM) an. Letzterer ist für sehr häufige Lese- und Schreibaktionen ideal. Man sollte aber nicht vergessen, dass

  • beide Speicherbereiche eigentlich einem anderen Zweck dienen und sie nach einem Neustart nicht mehr lesbar sind,
  • der RAM Bereich endlich ist und wenn man ihn voll schreibt, bleibt das Betriebssystem einfach stehen.

Zur Einrichtung der Speicher gibt man an

sudo mkdir /media/ramdisk                                # erzeugt einen Mountpoint
sudo mount -t ramfs ramfs /media/ramdisk       # erzeugt die RAM Disk

Will man diese nicht bei jedem Neustart neu anlegen, kann man diese in der Datei /etc/fstab fest eintragen. Dort sind auch die realen Festplatten registriert. Dort muss stehen

ramfs   /media/ramdisk     ramfs    defaults        0       0                    # für eine RAM Disk
tmpfs    /media/tmpfs        tmpfs    defaults,size=50%      0       0     #  für einen temporären Speicher im Swap Bereich
tmpfs    /media/tmpfs        ramfs    defaults,size=1024M      0   0     #  oder mit fester Größe

Vorsicht! Der RAM Bereich wird einfach voll geschrieben , wenn man nicht darauf achtet - und dann steht das System.

  To top of page


Bildbearbeitung mit jhead

Oft besteht der Wunsch die eigenen Fotos umzubenennen oder die Daten in der Exif-Sektion der JPEG-Datei auszulesen oder zu verändern. In Linux kann man das mit derm Programm jhead machen.

Installation: sudo apt-get install jhead

Jhead bietet u.a. folgende Möglichkeiten (s. man jhead):

jhead bild.jpg                                          # Ausgabe des Exif und der Dateidaten
jhead -ds2019:12:01 bild.jpg                  # Exif Datum ändern
jhead -cl "BlaBla" bild.jpg                       # Comment ändern/einfügen
jhead -nimg_%Y_%m_%d *.jpg            # Datei nach Datum benamsen aus Exif oder Dateidaten
jhead -de bild.jpg                                   # Exif Header löschen
jhead -dc bild.jpg                                   # Comment löschen
jhead -mkexif  bild.jpg                            # minimalen Exif Header erzeugen
jhead -ft  bild.jpg                                    # Dateidatum in Exif Datum schreiben
jhead -dsft bild.jpg                                 # Exif Datum als Dateidatum schreiben, wenn vorhanden

Eingebaut in ein Skript lassen sich damit alle eigenen Fotos mit einem Copyright Vermerk ergänzen oder nach ihrem Erzeugungsdatum umbenennen u.ä.

  To top of page


Redirect web sites

Often you use additional domain names to increase the size of your website's entry area. Then you have to redirect from these domains to the right website. There are several ways to do this.

  1. Redirect via .htaccess
    If it is possible to create a file named .htaccess in the website or if this file already exists because access to the website is restricted, the following line must be inserted in this file
                                        Redirect /umleitung/ http://www.nureinbeispiel.de
    Then all calls of the page "umleitung" will be redirected to www.nureinbeispiel.de . Usually "umleitung"  is index.html.
  2.  Redirect with Java Script (if you will use that)
  3.  Redirect with HTTP-EQUIV="REFRESH"
    You create a web page,f.e. umleitung.html with the content
        <html>
        <head>
        <meta http-equiv="content-type" content="text/html; charset=utf-8" />
        <meta HTTP-EQUIV="REFRESH" content="1; url="https://www.domain.de/neuesziel/">
        <title>Weiterleitung</title>
        </head>
        <body bgcolor="#EFEFEF" text="#000000">
        <span style="font-size: 12px;font-family:sans-serif">
        Weiterleitung auf die Seite <a href="https://www.domain.de/neuesziel/">https://www.domain.de/neuesziel/</a>
        </span>
        </body>
        </html>

    IhrAll calls of the page umleitung.html lead to the page  www.domain.de/neuesziel

 

  To top of page


Usefull plug-ins for Mozilla Firefox Browser

There is a huge amount of plug-ins for Mozilla Firefox Browser https://addons.mozilla.org/de/firefox/

Some hints for your personal security:

NoScript

This Plug-In prevents (Java-) scripts

WoT

Safer surfing - This Plug-In show traffic lights,which web pages should be secure. Works by signs but you have to accept its hints.

AdBlockPlus

This Plug-In blocks advertisments

WebRTC Block

This Plug-In (for the Chrome Browser) prevents that someone can see your real IP address within a VPN.
In Firefox you can get this by setting under about:config the value media.peerconnection.enabled to false.

     To top of page


Deletion of cookies with different browsers

In Windows OS with browser Chrome:

Cookies in C:\Users\\AppData\Local\Google\Chrome\User Data
Delete script:
@echo off
set ChromeDir=C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data
del /q /s /f "%ChromeDir%"
rd /s /q "%ChromeDir%"

In Windows OS with browser Mozilla Firefox:

Cookies in C:\Users\\AppData\Local\Mozilla\Firefox\Profiles
and in C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles

Delete script:
set DataDir=C:\Users\%USERNAME%\AppData\Local\Mozilla\Firefox\Profiles
del /q /s /f "%DataDir%"
rd /s /q "%DataDir%"
for /d %%x in (C:\Users\%USERNAME%\AppData\Roaming\Mozilla\Firefox\Profiles\*) do del /q /s /f %%x\*sqlite

In Windows OS with browser Opera:

Cookies in C:\Users\\AppData\Local\Opera\Opera
and  in C:\Users\\AppData\Roaming\Opera\Opera

Delete script:
@echo off
set DataDir=C:\Users\%USERNAME%\AppData\Local\Opera\Opera
set DataDir2=C:\Users\%USERNAME%\AppData\Roaming\Opera\Opera
del /q /s /f "%DataDir%"
rd /s /q "%DataDir%"
del /q /s /f "%DataDir2%"
rd /s /q "%DataDir2%"

In Windows OS with browser Safari:

Cookies in C:\Users\\AppData\Local\Apple Computer\Safari
and in C:\Users\\AppData\Roaming\Apple Computer\Safari

Delete script:
@echo off
set DataDir=C:\Users\%USERNAME%\AppData\Local\Applec~1\Safari
set DataDir2=C:\Users\%USERNAME%\AppData\Roaming\Applec~1\Safari
del /q /s /f "%DataDir%\History"
rd /s /q "%DataDir%\History"
del /q /s /f "%DataDir%\Cache.db"
del /q /s /f "%DataDir%\WebpageIcons.db"
del /q /s /f "%DataDir2%"
rd /s /q "%DataDir2%"

In Windows OS with browser Internet Explorer:

Unfortunatly the Internet Explorer stores history, cookies and cache all over the place, including registry

Delete script:
@echo off
set DataDir=C:\Users\%USERNAME%\AppData\Local\Microsoft\Intern~1
del /q /s /f "%DataDir%"
rd /s /q "%DataDir%"
set History=C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\History
del /q /s /f "%History%"
rd /s /q "%History%"
set IETemp=C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\Tempor~1
del /q /s /f "%IETemp%"
rd /s /q "%IETemp%"
set Cookies=C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Cookies
del /q /s /f "%Cookies%"
rd /s /q "%Cookies%"

Additionaly you need a script for deleting entries in the registry.

In Windows OS you have to delete Flash Cookies, too:

Flash cookies in C:\Users\\AppData\Roaming\Macromedia\Flash Player\*

Delete script:
@echo off
set FlashCookies=C:\Users\%USERNAME%\AppData\Roaming\Macromedia\Flashp~1
del /q /s /f "%FlashCookies%"
rd /s /q "%FlashCookies%"


   Zum Seitenanfang zurück


Building SSL-Certificates with LetsEncrypt

Run Certbot once to automatically get free HTTPS certificates forever.
Zertifikate, insbesondere für Server, kosten normalerweise Geld und werden von Firmen wie VeriSign u.a. erzeugt. Man installiert sie auf seinem Rechner für Webserver, wie den Apache2, oder für Maildienste. Die von der Open Software Foundation geförderte Initiative Lets Encrypt bietet Zertifikate kostenlos an und garantiert auch, dass sie ständig auf einem aktuellen Stand bleiben. Andere Initiativen, wie CA-Cert sind daran gescheitert, dass ihre Zertifikate von den Herstellern der Browser nicht akzeptiert wurden und die Nutzer Fehlermeldungen erhielten.

Auch unser Server benötigt für die SSL Verschlüsselung Zertifikate, die die Echtheit unserer Domains bestätigen. So haben wir im letzten Jahr erfolgreich auf LetsEncrypt Zertifikate umgestellt. Wir wollen im folgenden erklären, was dabei zu tun ist.

Zertifikate für einen Apache2-Web-Server

Eine Beschreibung gibt es bei Lets Encrypt https://letsencrypt.org/getting-started/

Besitzt man auf dem Server die Möglichkeit Skripte auszuführen und hat Zugriff auf ein Terminalfenster, so sind folgende Befehle auszuführen:

uname -a                       # liefert die aktuelle Linux Kernel Version
cat /etc/issue                  #  liefert die Linux version, z.B.:    Ubuntu 14.04.5 LTS
sudo apt-get update       # bringt das System auf den aktuellen Stand
sudo apt-get install software-properties-common    # installiert ein notwendiges Paket
sudo add-apt-repository ppa:certbot/certbot            # fügt das Repository von Lets Encrypt hinzu
sudo apt-get update                                                 # bringt das System auf den aktuellen Stand
sudo apt-get install python-certbot-apache              # installiert das certbot Paket von lets Encrypt
sudo certbot --apache                                              # startet den certbot

Man wird dann nach Zustimmung zu den AGBen von LetsEncrypt gefragt. Diese stehen unter https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf

Dann listet das Programm die in den Apache Konfigurationen gefundenen Domains auf und man muss diejenigen Domainnamen auswählen für die man Zertifkate erstellt haben möchte. Die Erstellung der Zertifikate wird mit "Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt" bestätigt.

Ein einzelnes Zertifikat erstellt man z.B. so   sudo certbot --apache -d a-fsa.de -d www.a-fsa.de
für die Domain www.a-fsa.de und alle Subdomains davon.

Es ist sinnvoll nach der Erstellung der Zertifikate diese auch zu überprüfen, z.B. über die SSL Test-Seite: https://www.ssllabs.com
Dort erhält man detaillierte Info zu Fehlern.

Da Zertifikate von Lets Encrypt eine Lebensdauer von 90 Tagen haben, sollte man das Erneuern automatisieren. Dazu macht man zuerst einen Test ob die Erneuerung fehlerfrei laufen würde mit dem Kommando  sudo certbot renew --dry-run   
Dieser Befehl liest alle Konfigurationen ein und startet einen Trockenlauf, um die Funktion des Renew zu testen, ohne Änderungen durchzuführen.
Man erhält normalerweise die Meldung:    Congratulations, all renewals succeeded.

Dann kann man das Erneuern über den Crontab automatisieren. Man fügt mit dem Kommando   sudo crontab -e die folgende Zeile hinzu:

0       0       *       *       *       /usr/bin/certbot renew -q --post-hook "/usr/sbin/service apache2 restart"

Das renew-Kommando merkt bei der täglichen Ausführung, wenn die Zertifikate noch aktuell sind und frischt erst 30 Tage vor ihrem Ende die Daten auf.

Abgemeldete Domain wieder aus Lets Encrypt löschen

rm -rf /etc/letsencrypt/live/${DOMAIN}
rm /etc/letsencrypt/renewal/${DOMAIN}.conf

Diese Anleitung gilt nur für einen Apache Webserver, für andere Webserver hilft die Lets Encrypt Webseite weiter.

Zertifikate für Mail-Server

Für Mailserver Zertifikate auf Servern, die unter der Admin-Oberfläche Plesk laufen hilft evtl. diese Anleitung https://www.hosteurope.de/faq/server/plesk/austausch-einrichtung-ssl-zertifikat-dienste/
weiter.

  To top of page


Secure Thunderbird

Wir wollen hier nicht über sicheres Mailen mit Verschlüsselung durch Enigmail reden (kommt vielleicht noch). Es geht um die etwas kompexeren Einstellungen, die man bei Thunderbird genau wie im Mozilla Firefox über about:config machen kann.

Sinnvoll sind z.B. folgende Einstellungen:

javascript.enabled = false
network.cookie.cookieBehavior = 2
dom.storage.enabled = false
geo.enabled = false
webgl.disabled = true
layout.css.visited_links_enabled = false
gfx.downloadable_fonts.enabled = false
network.http.sendRefererHeader = 0
security.enable_tls_session_tickets = false
network.http.use-cache = false

Möchte man das Laden von Videos und Audiodateien unterbinden, so sind folgenden Parametern wichtig:

media.webm.enabled = false
media.wave.enabled = false
media.ogg.enabled = false

Möchte man dem Add-on Enigmail für die Verschlüsselung die Geschwätzigkeit abgewöhnen, so sollte man einstellen:

extensions.enigmail.addHeaders = false
extensions.enigmail.useDefaultComment = true
extensions.enigmail.agentAdditionalParam = --no-emit-version

   To top of page

 


Reset "forgotten" password in Linux systems

 This procedure works with all Linux systems. You need a live system on CD or an USB-Stick, as you get ist on most of the installation media for Linux.

  • Start with the live system, select: "test system", not "install"
  • in the running system open a terminal with "Menu / Terminal" write the following commands:
  • sudo mkdir /media/tmp
  • sudo mount /dev/sdaX /media/tmp
  • sudo chroot /media/tmp
  • passwd username

You have to know the partition name, i.e. /dev/sda5, where the Linux system resides. Then you have to write in the 2. command sda5 instead of sdaX. If you don't know the name, you may look and mount all partions on your disk in the live system with "Menu / Personal Files". In the terminal you get a list of all partions with their name via the command  df -k .

For "username" you have to write your own user name or "root" if you want to change the admin password.

 

   To top of page


Reset "forgotten" password in Windows (7)

If you have no "Password-Reset-Disk you have to do this.

Start with the Windows installation CD and then select "Computer repair options" on the left side. Windows asks you for your installation (C: or D:). The proposed drive will be ok, you can select it. Then you will see a list of repair options, select the last "Command".

Ther you can enter the following commands (C: or D: as selected above):

  • copy C:\windows\system32\utilman.exe C:\
  • copy C:\windows\system32\cmd.exe C:\windows\system32\utilman.exe

The last command you have to commit with "Yes". Then restart the computer normal without the installion CD. On the login windows select a small symbol in the left bottom corner. You will get a "Command" window.

Enter:

  • net user username password

"username" and "password" you have to change with your values. If you don't know the user name you will get a list of all users with the command "net user". Even the administrator password you can change.

Afte that you can login with the new values. But don't forget to delete this security hole you have installed. Restart the computer with the Windows installation CD, select "Computer repair options" and "Command Window" and enter the command:

  • copy C:\utilman.exe C:\windows\system32\utilman.exe

Whether this "trick" works in other Windows versions than Windows7 is still open.

We found this trick here http://pcsupport.about.com/od/windows7-password-reset-walkthrough.htm

 

   To top of page


... to be continued ...
Please send us hints when you see errors.

  To top of page


Category[40]: Anti-Überwachung Short-Link to this page: a-fsa.de/e/2fk
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/4238-technische-hinweise-um-der-ueberwachung-zu-entgehen.htm
Link with Tor: nnksciarbrfsg3ud.onion/de/articles/4238-technische-hinweise-um-der-ueberwachung-zu-entgehen.htm
Tags: #TechnischeHinweise #Installation #Tools #Datenschutz #Verschluesselung #Tor #Citadel #Enigmail #PasswortReset #Thunderbird #Linux #RaspberryPi #utox #µtox #qtox #hibiscus #Konferenzen #LetsEcrypt #Zertifikate #Appache #WebServer #Zertifikate
Created: 2014-03-27 18:20:38
Hits: 23537

Leave a Comment

If you like a crypted answer you may copy your
public key into this field. (Optional)
To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.
logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst We don't store user data World Beyond War Tor - The onion router HTTPS - use encrypted connections We don't use JavaScript For transparency in the civil society