Notiz: Let´s Encrypt Wildcard-Zertifikate erstellen

  1. Ubuntu Linux-VM erstellen (oder lokal auf einem alten Hobel installieren), dabei aber nicht unbedingt die allerletzte Version verwenden, da gibt´s manchmal Versionskonflikte mit der CERTBOT-Installation
  2. Certbot installieren:
    sudo apt-get install git
    cd /opt
    sudo git clone https://github.com/certbot/certbot.git
  3. cd /opt/certbot
  4. ./certbot-auto certonly –manual –preferred-challenges=dns –email EMAIL@EMAIL.com –server https://acme-v02.api.letsencrypt.org/directory –agree-tos -d *.DOMAIN.at -d DOMAIN.at
  5. Die beiden Challenges rauskopieren und in der DNS-Verwaltung der Domain als TXT-Records „_acme-challenge.DOMAIN.AT“ eintragen, warten (oder TTL auf 1 setzen und weniger lange warten)
  6. Bestätigen, Zertifikatsdateien werden in die Default-Ordner (/etc/letsencrypt/live/DOMAIN.AT) kopiert
  7. Zertifikatsdateien (sind noch zugriffsgeschützt) in den Home-Ordner kopieren: sudo cp /etc/letsencrypt/live/DOMAIN.AT/{cert,chain,privkey,fullchain}.pem ~
  8. in den HOME-Ordner wechseln (cd /home/USERNAME)
  9. Zugriffsrechte aktivieren: sudo chown `whoami` ~/*.pem
  10. jetzt können die Zertifikatsdateien mittels WINSCP in einen Windows-Ordner kopiert werden, in dem sich vorzugsweise OPENSSL befindet
  11. in diesem Ordner die passenden Windows-Zertifikatsdateien generieren:
    openssl pkcs12 -export -out certificate.pfx -inkey privKey.pem -in fullchain.pem -certfile Cert.pem
    (beliebiges, aber halbwegs sicheres passwort eingeben)
  12. openssl pkcs12 -nodes -in certificate.pfx -out cert.pem
    (selbes passwort wie zuvor verwenden)

Das war´s – viel Spaß!

Graz im #lockdown – auf den Spuren von Kangbashi

windows.old Ordner verschoben – Startmenü fast leer

Heute wollte ich, um Speicherplatz auf C: freizumachen, den nach dem Update auf Windows 10 1909 entstandenen „windows.old“-Ordner auf eine andere Platte verschieben. Nachdem das erledigt war fiel mir auf, dass in meinem Startmenü nur mehr einige wenige Standard-Systemprogrammverknüpfungen existierten – die verschwundenen Symbole hatten zwar noch ihren Platz, der war aber schwarz und leer.

Ein zurückverschieben des windows.old-Ordners half nichts, die Symbole tauchten nicht mehr auf. Da ich sehr viele Programme installiert habe und nicht für alle händisch eine Verknüpfung erstellen wollte suchte ich einige Zeit im Netz, ohne wirklich fündig zu werden -anscheinend passiert das nicht so oft.

In einem Artikel wurde allerdings der Order “ %AppData%\Microsoft\Windows\Start Menu\Programs“ erwähnt, der bei mir allerdings nur mehr Verknüpfungen zu den oben erwähnten Standardprogrammen und zu einigen wenigen anderen (die nur im Menü von meinem eigenen Benutzer aufscheinen) enthielt.

Im Ordner „c:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programs\“ fand ich nach kurzer Suche allerdings die Programmverknüpfungen zu allen installierten Programmen wieder!
Diese kopierte ich einfach in den korrespondierenden Ordner der aktiven Windows-Installation (also „c:\Users\All Users\Microsoft\Windows\Start Menu\Programs\“) – und siehe da, nach kurzer Zeit tauchten alle „verlorenen“ Verknüpfungen im Startmenü wieder auf!

Balkan Adventure Tour 2018 (BAT 2018)

Meine erste Adventure-Tour mit der Africa Twin (Schalter, Bj 2016)…wochenlange Vorfreude sowei eine gehörige Portion Reisefieber hielten mich auf Trab. Was muss alles gekauft/montiert/probiert, eingepackt und vorbereitet werden? Zusätzliche Infos kamen permanent über unsere für diese Tour gegründete Whatsapp-Gruppe rein, immerhin 2 der 5 Teilnehmer waren schon ein- oder mehrmals mit dem Motorrad am Balkan unterwegs gewesen. Aus den Erzählungen und ein paar Fotos/Videos schloss ich, dass wir hauptsächlich am „sicheren“ Asphalt bleiben  und bei Gelegenheit ein paar recht gemütliche, jedoch nicht zu fordernde Abstecher auf Schotterpisten machen würden und bepackte meine arme Rocinante mit allem, was ich auf so einer 10-Tages-Tour brauchen könnte. Fallweise.
Ich sollte mich täuschen.
Es sollte auch ungemütlich werden.
Mit einem Gesamtgewicht von mehr als 400 kg sollte man, wenn schon, eine gehörige Portion Mut und vor allem fahrerisches Offroad-Können aus dem Hut zaubern können, wenn´s notwendig wird. Das Offroad-Können war nicht ganz so ausgeprägt wie erhofft, und der Mut ließ nach den ersten beiden „Ausrutschern“ stark nach, aber dennoch kehrten wir heil und um viele Eindrücke und Erfahrungen reicher wieder nach Hause zurück – und ein leicht verbogener Lenker(bock), ein etwas verzogener Kofferhalter und ein paar Schrammen am rechten Seitenkoffer ärgern, tun aber nicht wirklich weh.

Tag 1 – Wien/Graz-Mureck-Ptui-Karlobag
6.6.2018

Nach einer vor Aufregung ziemlich schlaflosen Nacht beginnt der Tag gut – das Wetter passt, es ist nicht zu warm und nach und nach wird meine Rocinante mit all dem Zeug beladen, das fein säuberlich vorbereitet wurde. Beim Aufsteigen muss ich allerdings feststellen, dass alleine das Aufrichten des Gefährts vom Seitenständer bereits eine Herausforderung ist – na bravo, das kann ja heiter werden. H. ist bereits die Strecke von Leoben nach Graz gereist um mich abzuholen, und nutzt die Gelegenheit noch für eine Rauchpause. „Balkan Adventure Tour 2018 (BAT 2018)“ weiterlesen

Bitnami WordPress-Installation auf neuen Server umsiedeln

Da es keine direkte Option gibt, eine virtualisierte Bitnami-Wordpress-Stack-Installation in ihrer Gesamtheit auf den aktuellen Sicherheitsstand (PHP7 etc.) zu bringen, entschied ich mich für die umständlichere Methode, die aber im Endeffekt gar nicht so umständlich war wie gedacht.
Mein Problem war nämlich, dass ich ursprünglich testweise die WordPress-Multisite-Installation gewählt hatte, um mehrere Domains getrennt verwalten zu können. Für einen Komplett-Transfer einer WordPress-Installation auf einen neuen Server gibt es ja das „All-in-One WP Migration“-Tool, welches aber für Multisite-Installationen US $199 kostet – eindeutig zu viel für ein Hobby-Projekt.

Also probierte ich einfach folgendes: Ich lud das aktuellste Bitnami-Image für virtualisierte Umgebungen und führte die Grundinstallation durch. Dann exportierte ich meinen kompletten Datenbestand (Posts inkl. Bilder etc.) der aktiven Installation über das WP-eigene Tool in einen Ordner und importiere diese XML-Datei inkl. der Bilder in die neue Installation. Hier gab´s natürlich einige Fehlermeldungen, besonders die noch nicht installierten Plugins betreffend. Nach der Installation dieser Plugins führte ich den Import einfach noch einmal durch, diesmal klappte es nahezu fehlerfrei.

Danach musste ich nur noch die IP-Adressen tauschen, die Konfiguration der neuen Installation fertigstellten und siehe da – nach einigen Stunden Zeitaufwand war die ganze Sache erledigt, meine Daten wieder online und alle Programmpakete (sowohl Linux als auch WordPress) am aktuellsten Stand.

Windows 10 Installation umsiedeln

Eine ursprünglich zusätzlich auf einer zweiten Festplatte installierte Windows-Installation samt Bootpartition auf eine neue Festplatte verschieben

Folgendes Ausgangszenario gab es auf meiner Workstation:

Nachdem ich von einer sehr individuellen Windows 7-Installation (es war zB das komplette Benutzerverzeichnis mittels Registry-Modifikation auf einer zweiten Festplatte verschoben worden) auf Windows 10 upgegraded hatte, dieses solche Spezialkonfiguration jedoch ab einem gewissen Patch-Level nicht mehr unterstützt, blieb mir nichts anderes übrig, also Windows 10 komplett neu zu installieren. Die Installation erfolgte (natürlich auch um im Notfall weiterhin mit der alten Version arbeiten zu können) parallel zur vorhandenen auf einer neuen Fesplatte, somit gab es zwei Einträge im Bootmenü: Windows 10 alt und Windows 10 neu.

Nach einiger Zeit des problemlosen Betriebs der neuen Installation löschte ich die Festplatte mit der ursprünglichen Version und verwendete sie für andere Daten. Ein Problem entstand jedoch dadurch: Die Systempartition, welche von Windows automatisch angelegt wird und die normalerweise nicht sichtbar ist, befand sich immer noch auf dieser „alten“ Fesplatte. Sollte diese defekt werden oder anderweitig eingesetzt werden, würde mein System nicht mehr starten.

Nach einigen Überlegungen (und Studium diverser Online-Tutorials), wie man diese Misere am besten und zufriedenstellendsten lösen könne, entschloss ich mich, die notwendigen Partitionen auf eine dritte, neue Festplatte zu klonen und danach die Booteinträge zu korrigieren, damit das ganze System wieder von einer einzigen Festplatte aus startbar wäre.

So der Plan.

Automatisierte System-Klon-Programme (wie zB das sonst recht brauchbare Samsung Data Migration) würden von vornherein scheitern, da sie mit einer solchen Konfiguration überfordert sind. Also verwendete ich ein anderes Tool, wie zB den „EaseUS Partition Manager“ (auch der auf der c´t NotWin enthaltene „Minitool Partition Wizard“ funktioniert), um die Partitionen einzeln auf die neue Festplatte zu klonen.

Kann dauern.

Nachdem nun endlich beide Partitions geklont waren, startete Windows allerdings noch nicht. Kein Wunder, verwies doch der Bootmanagereintrag noch immer noch auf eine Platte bzw. Partition, die jedoch nicht mehr vorhanden war (die beiden alten Systemplatten hatte ich nach dem Klonen sicherheitshalber abgesteckt). Weder Reparaturversuche mit der Windows Start-CD noch mit der c´t NotWin halfen, obwohl sogar der Befehl bootrec /scanos die vorhandene Windows-Installation auf der zweiten Partition der neuen Festplatte erkannte! Der nachfolgende Befehl bootrec /rebuildbcd, der die erkannte Windows-Installation in den Bootmanager integrieren sollte, scheiterte jedoch mit der erstaunlichen Fehlermeldung „device not present“.

Nach zig gescheiterten Boot- und Reparaturversuchen hatte ich dann doch noch Erfolg – mit der manuellen Methode. Da die Reparaturroutinen von Windows 10 so „schlau“ sind, die einzige Windows 10-Installation auf der einzigen vorhandenen Systemfestplatte nicht in den eigenen Bootmanager integrieren zu können, muss man mit dem Befehl

bcdboot C:\WINDOWS /s C: /f ALL

nachhelfen, dann startet Windows wieder normal!

Ergänzung: In meinem Fall lag die gesuchte Windows-Installation auf der Festplatte mit dem Buchstaben F:, somit würde der obige Befehl so aussehen: bcdboot F:\WINDOWS /s F: /f ALL

Der /f Parameter gibt die Bios-Variante an, kann also BIOS oder UEFI sein – oder am einfachsten ALL, hat bei mir trotz UEFI-Einstellung geklappt.

Dropbox-Ordner auf Wechseldatenträger installieren/verschieben

Dropbox lässt ja nicht zu, den Datenordner auf einem Wechseldatenträgerlaufwerk anzulegen oder auf einen zu verschieben – keine Ahnung warum. Das wäre allerdings bei Netbooks oder „Convertibles“ wie dem Lenovo Yoga Book mit nur 64 GB RAM sehr interessant, denn in den Micro-SD-Slot passen ja auch Karten mit mittlerweile 265 GB oder mehr. Was tun?

Ich habe der xSD-Karte einfach in der Datenträgerverwaltung (zusätzlich zum üblichen Laufwerksbuchstaben) eine Verknüpfung in einem leeren Ordner hinzugefügt (also zB auf C:\SD-CARD), was man gleich komfortabel im „Durchsuchen“-Dialog erledigen kann.

Den Dropbox-Datenordner kann man dann einfach in diesen Ordner verschieben bzw. dort anlegen – klappt perfekt!
Die eigentlichen Daten befinden sich dann im Unterordner „Dropbox“ auf der xSD-Karte und können dort auch bearbeitet oder aktualisiert werden, Dropbox bekommt von dieser „Umleitung“ anscheinend nichts mit.

 

Verschlüsselungs-Trojanern ein Schnippchen schlagen

Gegen die grassierende Seuche der Verschlüsselungs-Trojaner („Ransomware“) gibt es nur wenige Gegenmittel – abgesehen von extremer Zurückhaltung beim „Klicken“ im Internet und beim Öffnen von Mails (bzw. Attachements) hilft eigentlich nur die alte Weisheit:
„Safe early, safe often“.

Da es diese Schädlinge hauptsächlich auf Dateien abgesehen haben, die dem Benutzer lieb und wert sind (bzw. sein Einkommen sichern) kann man die Daten regelmässig auf ein externes Laufwerk sichern und dieses während des normalen PC-Gebrauchs abstecken (bzw. auschalten). Das vergisst man aber immer wieder einmal – und falls in diesem Moment die „Ransomware“ zuschlägt ist auch die Sicherung futsch (bzw. verschlüsselt).
Oder man bedient sich einer NAS-Lösung, auf die man die Daten mittels FTP-Upload sichert – allerdings auch etwas umständlich.

Ich habe mir eine Methode ausgedacht, welche die Daten verschlüsselt sichert, (höchstwahrscheinlich) vor dem Zugriff von Ransomware schützt und gleichzeitig die tägliche Sicherung erleichtert:

Ich habe mir eine zusätzliche, grosse Festplatte eingebaut und darauf eine Partition angelegt, ohne diese zu formatieren (die Partition ist notwendig, da sonst Windows immer wieder darauf hinweist, dass die Platte zu partitionieren & formatieren wäre).

Dann installiert man Truecyrpt oder besser dessen Nachfolger Veracrypt; diese Verschlüsselungs-Software ist in der Lage, auch unformatierte Partitionen als Datencontainer zu benutzen. Somit ist während des normalen Betriebs diese Festplatte nur als unformatiertes Laufwerk vorhanden und für das Betriebssystem und in weiterer Folge für eine fallweise eingeschleppte Ransomware nutzlos – auf nicht formatierten Laufwerken kann man normalerweise nichts speichern und eben auch nichts löschen oder verschlüsseln.
Die gesamte (unformatierte) Partition wird nun mittels Truecrypt oder Veracrpyt komplett als Datencontainer „formatiert“ (Schnellformatierung reicht hier völlig aus).
Die Verwendung eines einfachen Passworts reicht hier ebenfalls, da dieses später für zusätzlichen Komfort in der Batch-Datei für die halbautomatische Sicherung gespeichert wird.

Um jetzt komfortabel die Daten regelmässig auf diesen (verschlüsselten) „Datencontainer“ zu sichern bedienen wir uns eines weiteren gratis erhältlichen Tools – „ROBOCOPY“ aus dem „Windows Server 2003 Resource Kit Tools 1.0“. Diese kleine „App“ (wie man heute sagen würde) kopiert man vorzugsweise (mit administrativen Rechten) in das Windows\System32-Verzeichnis, da man von überall darauf zugreifen kann.

Dann legt man sich noch eine kleine, feine Batch-Datei an, mittels der man die (unformatierte, verschlüsselte) Partition als virtuelles Wechsellaufwerk mountet, mit Robocopy alle wichtigen Daten(ordner) auf dieses Laufwerk spiegelt und danach das Laufwerk wieder „aushängt“, also dismounted und somit vor dem Zugriff von Ransomware (und anderen Personen 😉 schützt.

Meine Batch-Datei sieht beispielsweise so aus – die entsprechenden Variablen können in den Manuals zu Truecrypt bzw. Veracrypt nachgelesen werden, für das Herausfinden der Volume- bzw. Partition-ID des neuen Laufwerks gibt es mehrere Methoden, ich habe zum Anlegen der leeren Partiton und zum Auslesen der speziellen ID ganz einfach den „Partition Master“ von EASEUS verwendet:

"c:\Program Files\TrueCrypt\TrueCrypt.exe" /ls /q /a /c n /m rm /p PASSWORT /v \\?\Volume{aa75cec5-be3b-73da-25aa-ad79f0efeb7f}\

robocopy C:\ORDNER s:\ORDNER /mir /xd $RECYCLE.BIN "System Volume Information"

"c:\Program Files\TrueCrypt\TrueCrypt.exe" /q /ds

Bei „PASSWORT“ ist klarerweise das vorher beim Erstellen des verschlüsselten containers verwendete (einfache) Passwort einzutragen, zwischen die geschwungenen Klammern kommt die ID der (unformatierten) Partition. Alternativ kann man hier zB auch „\Device\Harddisk2\Partition2“ angeben, die korrekte Bezeichnung findet man in Truecrypt heraus, indem man auf „Select Device…“ klickt.
Die Befehlssyntax von Robocopy ist noch einfacher: Quelle, Ziel und den Parameter „/mir“ (für Mirror) angeben – fertig. Mit dem Parameter „/xd“ kann man eine Reihe von (Unter-)Ordnern angeben, die NICHT mitgespiegelt werden sollen.

Gesichert wird jetzt (zusätzlich zur „normalen“ laufenden Sicherung) zwei mal täglich – somit sollte sich bei einem tatsächlich auftretenden Schädlingsbefall der Schaden in Grenzen halten.

Glück auf und immer wachsam bleiben!