Aktuell stand ich vor der Frage, wie ich mich mit meinem Android-Smartphone per SSH mit meinem SSH-Server verbinden kann. Die Anmeldung sollte dabei per Public-Key-Authentifizierung möglich sein. Zudem wollte ich meinen GPG-Authentifizierungs-Unterschlüssel, der sich auf meinem YubiKey befindet, als SSH-Schlüssel/Key verwenden.
In diesem Beitrag beschreibe ich euch, wie ich das Ganze mit den Open-Source-Apps Termux, OkcAgent und OpenKeychain umgesetzt bekommen habe.
Whonix ist ein Betriebssystem mit dem Ziel, die Privatsphäre und Anonymität des Benutzers zu wahren. Hierfür leitet Whonix den kompletten Internetverkehr durch das Tor-Netzwerk. Aus Sicherheitsgründen, um z.B. IP- und DNS-Leaks zu verhindern, setzt sich Whonix aus zwei VMs (Workstation & Gateway) zusammen. Das Gateway stellt dabei die Verbindung zum Tor-Netzwerk her und stellt sicher, dass sämtlicher Netzwerkverkehr darüber geroutet wird. Die Workstation ist für die eigentliche Nutzung, z.B. zum Surfen im Internet, gedacht. Die einzige Verbindung der Workstation zur Außenwelt ist über das Gateway. Die einzelnen Applikationen (Webbrowser, E-Mail-Client, Messenger etc.) in der Workstation müssen also nicht einzeln konfiguriert werden, sondern alle Anfragen laufen über das Gateway und werden somit durch das Tor-Netzwerk geleitet.
Als Workstation kommt im Allgemeinen die von Whonix empfohlene Whonix-Workstation zum Einsatz. Man kann aber auch andere Betriebssysteme als Workstation verwenden. In diesem Beitrag zeige ich euch, wie ihr eine Ubuntu-VM und die Whonix-Gateway-VM unter QEMU/ KVM einrichtet.
Heutzutage verfügen Webbrowser über diverse Funktionalitäten und Schnittstellen, wie z.B. zum Zugriff auf Kamera, Mikrofon oder Standortdaten des Endgeräts eines Benutzers. In Verbindung mit XSS-Lücken könnten Angreifer, oder eingebundene 3rd-Party-Ressourcen diese Features zweckentfremden bzw. missbrauchen. Zum Schutz davor kann der HTTP-Security-Header Permissions-Policy (ursprünglich Feature-Policy) zum Einsatz kommen. Hiermit lassen sich für eine Website und deren eingebundene Ressourcen einzelne Features explizit sowie gezielt aktivieren, deaktiveren bzw. einschränken.
Näheres zur Permissions-Policy und wie ihr diese auf eurer Website bzw. in eurer Webanwendung einsetzen könnt, erfahrt ihr in diesem Beitrag.
Teil 8 der Beitragsserie: HTTP-Security-Header - Website-Sicherheit erhöhen
Um sich mit einem Wireguard-VPN zu verbinden, wird der eigene private Schlüssel (Private-Key) benötigt. Die Private-Key-Datei ist normalerweise im Konfigurationsvereichnis von Wireguard abgespeichert (siehe auch Wireguard unter Ubuntu einrichten). Aus Sicherheitsgründen sollte die Datei nur Schreibrechte für Root bzw. den Administrator des Systems haben, weil der Private-Key unverschlüsselt gespeichert ist.
Alternativ besteht mithilfe von wg-quick und GPG auch die Möglichkeit den Private-Key verschlüsselt zu speichern. Wie das funktioniert, zeigt dieser Beitrag.
Es kann immer mal vorkommen, dass ihr zum Surfen im Internet auf ein fremdes Netzwerk angewiesen seid. Dabei kann es sich z.B. um ein öffentliches, unverschlüsseltes, unsicheres und/oder zensiertes (restriktive Firewall, DNS-Filter usw.) Netzwerk handeln. Um trotzdem sicher und privat im Internet surfen zu können, ist der Einsatz eines VPN eine etablierte sowie beliebte Lösungsmöglichkeit.
Als Alternative, wenn ihr keinen Zugriff auf einen VPN-Server/-Dienst habt, aber z.B. auf eurem Heimrouter ein SSH-Server läuft, könnt ihr auch einen SSH-SOCKS-Proxy als "Notlösung" verwenden. In diesem Beitrag zeige ich euch, wie ihr mit SSH einen solchen SOCKS-Proxy einrichten und mit Firefox verwenden könnt.