Nachdem ich meinen Homelab-Server auf Arch Linux umgestellt habe, wollte ich wie zuvor bei Debian mein mit LVM on LUKS voll-verschlüsseltes System per SSH entsperren können. Erste Anlaufstelle war für mich wie immer das Arch-Linux-Wiki. Die im Wiki vorgestellten Lösungen verwenden jedoch zum gegenwärtigen Zeitpunkt alle min. ein Paket aus dem Arch User Repository (AUR). Aus Sicherheitsgründen versuche ich, wenn möglich, AUR-Pakete zu vermeiden. Nach etwas Recherche habe ich dann eine Lösung mithilfe des Pakets mkinitcpio-systemd-tool in Verbindung mit dem SSH-Server Dropbear gefunden. Welche Schritte diesbzgl. zum Einrichten nötig sind, findet ihr im folgenden Beitrag.

Weiterlesen

Mein Heimnetzwerk habe ich aus Sicherheitsgründen in mehrere VLANs aufgeteilt. Bspw. sind meine vertrauenswürdigen Endgeräte, wie z.B. mein Notebook und Smartphone, im "trust"-VLAN und meine "smarten" Geräte, wie z.B. mein TV und Drucker, im "iot"-VLAN. Standardmäßig können Geräte im "iot"-VLAN keine direkte Verbindung zu Clients in meinen anderen VLANs aufbauen. Nun möchte ich aber trotzdem, dass meine Endgeräte z.B. meinen Drucker ohne manuelle Konfiguration finden und nutzen können. Hierfür unterstützt mein Drucker und viele andere IoT-Geräte mDNS (Zeroconf) (siehe auch AirPrint, Mopria, Bonjour etc.). Das Problem hierbei ist, dass mDNS nicht über die Grenzen eines VLANs hinweg funktioniert. Hierfür bedarf es eines sogenannten Reflectors oder Proxy. Für OpenWrt nutze ich hierzu Avahi. Hiermit können die Multicast-Anfragen von einem VLAN in andere VLANs durchgereicht werden. Wie ich das bei mir inkl. benötigten Firewallregeln umgesetzt habe, zeigt der folgende Beitrag.

Weiterlesen

Aus Sicherheitsgründen sollte für das eigene WLAN ein sicherer Netzwerkschlüssel (Passwort) gewählt werden. Bei mir besteht dieser bspw. aus einer zufallsgenerierten Zeichenkette von 50 Zeichen. Für Familie, Freunde und Gäste ist es zumeist recht mühselig und nervig so einen langen WLAN-Netzwerkschlüssel fehlerfrei einzugeben. Aus diesem Grund habe ich für mein WLAN bzw. Gäste-WLAN einen QR-Code generiert. Diesen kann man mit seinem Endgerät dann einfach einscannen und sich mit dem WLAN verbinden, ohne dabei die SSID und den Netzwerkschlüssel kennen bzw. eintippen zu müssen. Das Ganze lässt sich mit OpenWrt recht einfach realisieren.

Weiterlesen

Standardmäßig möchte ich bei mir, dass Verzeichnisse und Dateien nur mit Rechten für meinen Benutzer angelegt werden. Unter X11 reichte dafür bei mir immer eine entprechende umask-Konfiguration in der ~/.bash_profile. Unter Wayland hat das bei mir jedoch nicht mehr funktioniert. Nach etwas Recherche habe ich es nun so hinbekommen, dass die umask-Konfiguration sowohl auf Konsolen-/Terminalebene als auch GUI-Ebene greift.

Weiterlesen

Ab und an nutze ich Tails und boote es von einem USB-Stick. Mein Rechner läuft jedoch mit aktiviertem UEFI Secure Boot in Verbindung mit eigenen Schlüsseln bzw. Keys. Aus diesem Grund führt mein System die von Tails bereitgestellte EFI-Bootdatei nicht aus, da diese nicht mit meinem DB-Key signiert ist. Anstatt nun aber die Sicherheitskette aufzubrechen und einfach temporär Secure Boot zu deaktivieren, signiere ich einfach die entsprechende EFI-Bootdatei. Das ganze lässt sich relativ leicht bewerkstelligen.

Weiterlesen