Skip to main content

Corona-Pandemie und freie Software (Apache Guacamole und Jitsi Meet)

3 Min. Lesedauer

Apache Guacamole und Jitsi Meet

 

In diesen Tagen versuchen Admins in Unternehmen und Behörden, Benutzer ins Home-Office zu bringen. 

Zwei Lösungen möchte ich heute kurz erwähnen. Das eine Tool ist ein HTML5-VPN-Gateway, das andere eine Videokonferenzsoftware.

Beide sind freie Software und kostenlos erhältlich. 


Apache Guacamole

In vielen Unternehmen und Behörden verrichtet Windows auf den Client-Rechnern den Dienst. Per rdp kann sich ein Benutzer auf diese Rechner aufschalten. Natürlich darf auf keinen Fall Windows direkt ins Netz gestellt werden. Deswegen installiert die IT-Abteilung m. E. am besten Apache Guacamole.

Im Wiki von debian.org gibt es eine Seite dazu.

Die wesentlichen Installationsschritte übernimmt ein Skript von Chase Wright, das dieser auf github bereitstellt: https://github.com/MysticRyuujin/guac-install 

Natürlich sollte man Skripte - bevor man sie auf dem Rootserver ausführt - vorher überprüfen und testen, aber dieses Skript ist m. E. in Ordnung (Stand 28.03.2020 :-) ):

Man führt es mit folgenden Schritten aus:

wget https://raw.githubusercontent.com/MysticRyuujin/guac-install/master/guac-install.sh
chmod a+x guac-install.sh
./guac-install.sh

Man kann eine Zwei-Faktor-Authentifizierung als Extension einbinden und eine mariadb-Datenbank. Den Guacamole-Server richtet man aber am besten hinter einem Nginx-Server in der DMZ ein, er sollte nicht direkt ins Internet gestellt werden. Ausserdem könnte man mehrere Guacamole-Server einrichten und einen gemeinsamen Datenbank-Server verwenden. Nginx läuft dann als Reverse-Proxy in der DMZ und verteilt Anfragen per Round-Robin auf die Guacamole-Server.


Jitsi Meet

Jitsi Meet ist ein Videokonferenztool und kann auf einem eigenen Server betrieben werden. Moderne Browser unterstützen webrtc, so dass auf Client-Sicht keine weitere Software notwendig ist. Es sind Apps für Android und iOS verfügbar.  Folgende Schritte sind unter Debian GNU/Linux für die Serverinstallation notwendig:

wget -qO - https://download.jitsi.org/jitsi-key.gpg.key | apt-key add -
echo 'deb https://download.jitsi.org stable/' > /etc/apt/sources.list.d/jitsi-stable.list
apt-get -y update
apt-get -y install jitsi-meet

Der Landesbeauftrage für Datenschutz und Informationsfreiheit Baden-Württemberg empfiehlt Jitsi Meet.

Von Tools wie Zoom bitte Abstand nehmen. Update: Das scheint inzwischen behoben worden zu sein, aber da "closed source" nicht überprüfbar.


Sonstige Software, die in diesen Zeiten m. E. empfehlenswert ist:


Wer seinen Benutzern ein Betriebssystem an die Hand geben will, könnte ihnen einen Debian-Live-USB-Stick zur Verfügung stellen, damit keine Schadsoftware, die evtl. auf den privaten Rechnern installiert ist, Probleme bereitet. :)

Vielleicht sollten Entscheider mal überlegen, freie Software einzusetzen und zu unterstützen (public money, public code).

Falls Fragen bestehen, bitte unter diesen Artikel schreiben. :-)

 

 

COVID-19 in Deutschland: Dashboard

1 Min. Lesedauer

Vor einigen Tagen hatte ich einen Verweis zu einer visuellen Darstellung der weltweiten COVID-19-Fallzahlen gepostet.

Eine ähnliche Auswertung, die täglich aktualisiert wird, gibt es für Deutschland (bis auf Landkreisebene) (Institut für Hygiene und Öffentliche Gesundheit des Universitätsklinikums Bonn):

https://experience.arcgis.com/experience/478220a4c454480e823b17327b2bf1d4/page/page_1/

Website, Screenshot vom 14.03.2020

 

Coronavirus COVID-19: Website der Johns-Hopkins-Universität

1 Min. Lesedauer

Im Internet habe ich nach einer grafischen Darstellung gesucht, die die Ausbreitung des Coronaviruses COVID-19 zeigt. 

Gefunden habe ich folgende Website, die die Johns-Hopkins-Universität aus den USA betreibt.

Desktop:
https://www.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6

Mobile:
http://www.arcgis.com/apps/opsdashboard/index.html#/85320e2ea5424dfaaa75ae62e5c06e61

Bei github gibt es mehr Infos zu der Website.

Infos zum Coronavirus gibt es auf https://www.rki.de/covid-19 .

Screenshot, Website, Johns-Hopkins-Universität

Browser gegen Tracking-Methoden testen

1 Min. Lesedauer

Auf folgenden Webseiten läßt sich testen, ob der eigene Browser sicher gegen Tracking ist:

Immer wieder interessant.

Wie kann man aber das Tracking begrenzen?

Browser-Addons wie u. a. uBlock Origin, uMatrix, NoScript und Decentraleyes verwenden.

Nextcloud und die Dateizugriffskontrolle (file access control): Update erforderlich

2 Min. Lesedauer

Nextcloud ist eine freie Software zum Speichern von Dateien auf selbst-gehosteten Servern. Sie wird u. a. von der "Bundescloud" oder Siemens genutzt. Nextcloud ermöglicht es, den Zugriff auf Dateien zu beschränken. Hierzu gibt es die sogenannte Dateizugriffskontrolle (file access control). In bestimmten Konstellationen verhält sich die Dateizugriffskontrolle aber nicht so wie erhofft. Nextcloud prüft vor der Version 17.0.2 nicht nach dem Dateinhalt, sondern wandelt den vom Admin angegebenen MIME-Typ lediglich in die entsprechende Dateiendung um. Der Admin konfiguriert beispielsweise in der Dateizugriffskontrolle, dass Anfragen geblockt werden, wenn sie folgender Bedingung entsprechen:

Nextcloud: Dateizugriffskontrolle: Regel

Hiernach müßte Nextcloud in die Datei sehen und wenn es sich um eine Excel-Datei handelt, wird die Anfrage zugelassen. Aber Nextcloud prüft nicht den Dateiinhalt, sondern wandelt in der Version vor Version 17.0.2 diese Regel in "Dateiendung entspricht nicht .xls/.xla" um. So läßt sich die Dateizugriffskontrolle umgehen, indem ein Nextcloud-Benutzer einfach die Dateiendung ändert. Wenn ein Nextcloud-Benutzer bei aktiver Dateizugriffskontrolle Dateien beliebigen Inhalts uploaden möchte, ändert dieser einfach die Dateiendung in diesem Beispiel in xls.

Ende des letzten Jahres habe ich es Nextcloud mitgeteilt. Die Entwickler haben den Quellcode am 04.12.2019 mit Version 17.0.2 geändert.

Hier der Verweis zum Security Advisory von Nextcloud:
https://nextcloud.com/security/advisory/?id=NC-SA-2020-002

Der Report bei HackerOne:
https://hackerone.com/reports/697959

Mittlerweile gibt es eine CVE-Nummer:
https://nvd.nist.gov/vuln/detail/CVE-2019-15613
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15613

Falls also die Dateizugriffskontrolle von Nextcloud eingesetzt und nach Dateien bestimmten MIME-Typs geblockt wird, sollte IMHO (mindestens aus diesem Grunde) Nextcloud upgedatet werden. 

Nextcloud-Logo