#!/coding/blatt
Sammelsurium mit Schwerpunkten Linux & IT-Sicherheit

OpenWrt: NTP verschlüsseln via NTS und chrony

Das NTP (Network Time Protocol) dient der Synchronisation der Uhrzeit von Endgeräten über ein Netzwerk, wie z.B. das Internet. Die Kommunikation erfolgt dabei standardmäßig ungesichert (keine Verschlüsselung, keine Authentifizierung etc.) über Port UDP/123. Mit NTS (Network Time Security) gibt es seit 2020 aber eine auf Basis von TLS verschlüsselte und somit abgesicherte Alternative (Details siehe RFC 8915 sowie NTS: Absicherung von NTP gegen MITM-Angriffe).

Meinen OpenWrt-Router habe ich mittlerweile von NTP auf NTS umgestellt. Wie ich das mittels chrony umgesetzt habe, erfahrt ihr in folgendem Beitrag.

Weiterlesen

Wie ich den Bootvorgang meines Linux-Notebooks absichere - UEFI Secure Boot, Measured Boot (TPM), LUKS

Nebst dem Absichern (Hardening) des Betriebssystems, sollte auch der eigentliche Bootvorgang, dem meist weniger Beachtung bzgl. Sicherheit geschenkt wird, abgesichert werden. Die beste Festplatten-Vollverschlüsselung bringt nicht allzu viel, wenn euer System z.B. mit einem manipulierten Kernel gebootet wird und im Hintergrund bspw. euer Passwort mitgeloggt wird. Aus diesem Grund ist es wichtig bereits beim Bootvorgang sichzustellen, dass nur vertrauenswürdige Firmware/Software geladen und ausgeführt wird.

In diesem Beitrag gebe ich euch einen Überblick darüber, welche Schritte ich umgesetzt habe, um ich mein Notebook mit Arch Linux sicher zu booten.

Weiterlesen

GrapheneOS: Contact Scopes - Berechtigung für Zugriff auf Kontakte feingranular einstellen

Mit der neuesten Version von GrapheneOS (2023051600) gibt es ein neues Feature namens Contact Scopes. Hierdurch besteht nun die Möglichkeit je App die Berechtigung für den Zugriff auf die gespeicherten Kontakte feingranular einzustellen. Anstatt einer den Datenschutz betreffend fragwürdigen App, wie z.B. WhatsApp, den vollen Zugriff auf alle Kontakte zu gewähren, lässt sich der Zugriff auf ausgewählte Gruppen von Kontakten, einzelnen Kontakten, oder bei Bedarf auch nur auf einzelne Telefonnummern, beschränken.

Weiterlesen

VeraCrypt: Schlüsseldatei (Keyfile) mit TPM absichern

Vor einiger Zeit hatte ich hier im Blog schon mal beschrieben, wie man VeraCrypt-Volumes mit auf einem YubiKey gespeichterten Schlüsseldatei absichern kann. Das Ganze funktioniert unter Verwendung der PKCS#11-Schnittstelle. Aus Interesse habe ich mal ausprobiert, ob und wie sich das mittels TPM (Trusted Platform Module) umsetzen lässt. Verwendet habe ich hierzu, wie schon beim verschlüsselten Speichern von SSH-Keys per TPM, die Bibliothek tpm2-tools.

Weiterlesen

Meine Erfahrung mit Uberspace: kleiner, sympathischer & datensparsamer Webhosting-Anbieter

Meinen Blog hoste ich mittlerweile seit über 3 Jahren bei Uberspace, einem deutschen Webhosting-Anbieter mit dem originellen Motto "Hosting on Asteroids". Uberspace wird von einem kleinen Team betrieben und hebt sich in vielen Dingen positiv von der Webhosting-Konkurrenz ab. Was genau Uberspace auszeichnet und warum ich mit Uberspace mehr als zufrieden bin, erfahrt ihr in folgendem Beitrag.

Weiterlesen