#!/coding/blatt
Sammelsurium mit Schwerpunkten Linux & IT-Sicherheit

Wie ich den Bootvorgang meines Linux-Notebooks absichere - UEFI Secure Boot, Measured Boot (TPM), LUKS

Nebst dem Absichern (Hardening) des Betriebssystems, sollte auch der eigentliche Bootvorgang, dem meist weniger Beachtung bzgl. Sicherheit geschenkt wird, abgesichert werden. Die beste Festplatten-Vollverschlüsselung bringt nicht allzu viel, wenn euer System z.B. mit einem manipulierten Kernel gebootet wird und im Hintergrund bspw. euer Passwort mitgeloggt wird. Aus diesem Grund ist es wichtig bereits beim Bootvorgang sichzustellen, dass nur vertrauenswürdige Firmware/Software geladen und ausgeführt wird.

In diesem Beitrag gebe ich euch einen Überblick darüber, welche Schritte ich umgesetzt habe, um ich mein Notebook mit Arch Linux sicher zu booten.

Weiterlesen

GrapheneOS: Contact Scopes - Berechtigung für Zugriff auf Kontakte feingranular einstellen

Mit der neuesten Version von GrapheneOS (2023051600) gibt es ein neues Feature namens Contact Scopes. Hierdurch besteht nun die Möglichkeit je App die Berechtigung für den Zugriff auf die gespeicherten Kontakte feingranular einzustellen. Anstatt einer den Datenschutz betreffend fragwürdigen App, wie z.B. WhatsApp, den vollen Zugriff auf alle Kontakte zu gewähren, lässt sich der Zugriff auf ausgewählte Gruppen von Kontakten, einzelnen Kontakten, oder bei Bedarf auch nur auf einzelne Telefonnummern, beschränken.

Weiterlesen

VeraCrypt: Schlüsseldatei (Keyfile) mit TPM absichern

Vor einiger Zeit hatte ich hier im Blog schon mal beschrieben, wie man VeraCrypt-Volumes mit auf einem YubiKey gespeichterten Schlüsseldatei absichern kann. Das Ganze funktioniert unter Verwendung der PKCS#11-Schnittstelle. Aus Interesse habe ich mal ausprobiert, ob und wie sich das mittels TPM (Trusted Platform Module) umsetzen lässt. Verwendet habe ich hierzu, wie schon beim verschlüsselten Speichern von SSH-Keys per TPM, die Bibliothek tpm2-tools.

Weiterlesen

Meine Erfahrung mit Uberspace: kleiner, sympathischer & datensparsamer Webhosting-Anbieter

Meinen Blog hoste ich mittlerweile seit über 3 Jahren bei Uberspace, einem deutschen Webhosting-Anbieter mit dem originellen Motto "Hosting on Asteroids". Uberspace wird von einem kleinen Team betrieben und hebt sich in vielen Dingen positiv von der Webhosting-Konkurrenz ab. Was genau Uberspace auszeichnet und warum ich mit Uberspace mehr als zufrieden bin, erfahrt ihr in folgendem Beitrag.

Weiterlesen

Mein E-Mail-Setup mit mailbox.org & eigener Domain

Seit nunmehr 2 Jahren verwende ich für meine private E-Mail-Kommunikation den E-Mail-Anbieter mailbox.org. aus Deutschland. Zuvor hatte ich nur eine einzige E-Mail-Adresse bei einem der bekannten Freemail-Anbieter. Im Laufe der Zeit hatte sich aber bei mir ein verstärktes Bewusstsein sowie Bedürfnis für mehr Datenschutz entwickelt. Aus diesem Grund ging ich den Schritt, weg vom kostenlosen, werbefinanzierten Freemailer, hin zum kostenpflichtigen, aber datenschutzfreundlichen mailbox.org. Dabei habe ich von Anfang eine eigene Domain verwendet und angefangen, für jeden Online-Dienst eine separate kategorisierte E-Mail-Adresse zu generieren. Wie ich das mittels Catch-All und Sieve-Filter umgesetzt habe, beschreibe ich in diesem Beitrag.

Weiterlesen