#!/coding/blatt
Sammelsurium mit Schwerpunkten Linux & IT-Sicherheit

OpenWrt: DNS-Abfragen mit Stubby verschlüsseln

Im Allgemeinen erfolgen DNS-Abfragen standardmäßig unverschlüsselt über Port 53 (UDP/TCP). Wenn im Router (oder im verwendeten Endgerät) nicht anders eingestellt, werden dabei zumeist die DNS-Server des eigenen Internet-Service-Provider (ISP) kontaktiert. Um bei Bedarf die eigene Privatssphäre und Sicherheit zu erhöhen, kann es sich anbieten, den DNS-Datenverkehr zu verschlüsseln und hierzu öffentliche DNS-Server, die DNS-over-TLS (DoT) als auch DNSSEC unterstützen, zu verwenden. Wie sich das mit dem eigenen OpenWrt-Router in Verbindung mit Dnsmasq und Stubby umsetzen lässt, erfahrt ihr in diesem Beitrag.

Weiterlesen

Arch Linux: Bootvorgang mittels TPM2 & TOTP messen und Vertrauenswürdigkeit überprüfen (Measured-Boot)

Leider ist das Konzept von Verified-/Trusted-Boot unter Linux, im Gegensatz zu z.B. Android, Chromium OS, MacOS und Windows, immer noch nicht wirklich präsent (siehe bspw. The Strange State of Authenticated Boot and Disk Encryption on Generic Linux Distributions). Während sich Secure-Boot auch im Linux-Umfeld einigermaßen etabliert hat, tut sich im Bereich Measured-Boot noch nicht allzu viel. Eine Möglichkeit den gemessenen Bootvorgang manuell auf Vertrauenswürdigkeit hin zu überprüfen, ist die Verwendung von tpm2-totp. Wie genau das funktioniert, erläutere ich in folgendem Beitrag.

Weiterlesen

OpenWrt: Router als NTP-Server einrichten

Anstatt das Clients ihre Systemzeit über die im System hinterlegten NTP-Server synchronisieren, kann alternativ auch der eigene OpenWrt-Router als NTP-Server fungieren. Standardmäßig ist die NTP-Server-Funktionalität in OpenWrt deaktiviert, kann aber über die Weboberfläche LuCI aktiviert werden. Zusätzlich kann man den DHCP-Dienst so konfigurieren, dass er den NTP-Server des Routers bei DHCP-Antworten mitliefert. Clients, die diese DHCP-Option berücksichtigen, verwenden dann automatisch den eigenen Router als NTP-Server. Andernfalls, wie in meinem Fall bei meinem Arch-Linux-System, muss der eigene Router manuell als NTP-Server hinterlegt werden.

Weiterlesen

Raspberry Pi: Headless-Installation ohne Raspberry Pi Imager

Zur Installation von Raspberry Pi OS auf einem Raspberry Pi gibt es mit dem Raspberry Pi Imager eine benutzerfreundliche GUI-Lösung. Ich selbst führe die Installation aber weiterhin auf die altmodische Weise ohne Imager-GUI durch. Was dafür zu tun ist, beschreibe ich in diesem Beitrag.

Weiterlesen

Arch Linux: LUKS-Volume mit TPM2 inkl. PIN entschlüsseln

Mit systemd-cryptenroll bietet systemd eine einfache Möglichkeit, PKCS#11-, FIDO2- und/oder TPM2-Token-/Geräte zum Entschlüsseln von LUKS2-Volumes einzurichten. Mit der neuesten Version von systemd v251 lässt sich für die Verwendung eines TPM2-Chips auch noch eine zusätzliche PIN festlegen. Dadurch muss zum Entschlüsseln des LUKS-Volume nicht nur der TPM-Speicher (PCR-Status) korrekt sein, sondern es muss auch die korrekte PIN eingegeben werden.

Für mein Notebook mit Arch Linux verwende ich die TPM2+PIN-Lösung nun zum Entschlüsseln meines mit LUKS vollverschlüsselten Systems (Root-LVM-Partition). Was ich dafür tun musste, erfahrt ihr in diesem Beitrag.

Weiterlesen