Fryboyter

Bitte sichert eure Daten

Vergangener Sonntag. Ich wollte eben etwas für ein neues Projekt machen für das ich die seit langem brach liegende Domain planetlinux.de nutzen will als ich einen Anruf erhalten habe.

Ein Kumpel von mir war sichtlich mit den Nerven am Ende. Datenverlust. Wichtige Daten. Was sonst?

Was ist passiert? Er hat sich eine neue Festplatte als Datengrab gekauft und diese mit luks / dm-crypt verschlüsselt und für ihn wichtige Daten darauf verschoben. Leider hat er wohl auch nachträglich an der Partition herumgespielt und dabei (wie auch immer) den Header gekillt ohne den eine Entschlüsselung nicht mehr möglich ist. Ich konnte also nicht helfen, da keine Datensicherung vorhanden war.

Daher möchte ich an dieser Stelle dazu aufrufen Backups zu machen.

Bei Verschlüsselungen mit luks / dm-crypt kann man mittels cryptsetup luksHeaderBackup –header-backup-file (also zum Beispiel cryptsetup luksHeaderBackup –header-backup-file headerbak /dev/sda1) den Header der jeweiligen Partition sichern.

Das ist aber nur die halbe Miete. Auch eine HDD bzw. SSD kann defekt werden. Wenn es blöd läuft über Nacht. Daher sollte man auch zumindest seine wichtigen Daten regelmäßig sichern. Hierfür gibt es unzählige Programme. Ich nutze für Backups zum Beispiel Borg, da die Daten damit von Haus aus verschlüsselt werden und dank der Deduplikation der Speicherbedarf bei neuen Backups sehr überschaubar ist. Lokal speichere ich die Datensicherungen auf bis zu zwei unterschiedliche Datenträger. Je nachdem wie wichtig sie sind.

Das ist aber noch nicht die ganze Miete. Denn solche Datensicherungen nützen wenig wenn das Haus abbrennt oder eingebrochen wird. Daher sollte man immer auch noch ein sogenanntes “off-side backup” seiner äußerst wichtigen Daten haben, das überall nur nicht im betreffenden Gebäude liegt. Ich nutze hierfür den Dienst rsync.net aus drei Gründen.

Zum einen weil es das Unternehmen schon länger gibt. Zum anderen weil der Speicherplatz für Nutzer von Borg günstiger ist. Und weil offiziell empfohlen wird seine Daten vor dem Hochladen bitte selbst zu verschlüsseln.

Was aber nicht bedeuten soll, dass ihr die gleichen Tools nutzen sollt. Nutzt was ihr wollt. Nur macht bitte Backups eurer wichtigen Daten. Und zu einem Backup gehört auch, regelmäßig zu testen ob sich die Daten aus einem Backup wiederherstellen lassen.

OSBN | Linux

Gimp - fehlende Option bei Screenshots

Wie vielleicht dem einen oder anderen bekannt ist, kann man mit dem Programm Gimp auch direkt Screenshots erstellen. Hierzu wählt man im Menü “Datei” -> “Erstellen” -> “Bildschirmfoto…” aus. Dort sollte man eigentlich auch die Auswahlmöglichkeit habe einen bestimmten Bereich des Bildschirms auszuwählen.

Gimp Dbus

Unter KDE Plasma erscheint aber diese Option nicht. Die Lösung ist allerdings ziemlich einfach. Wenn man Gimp mittels dbus-lauch startet (z. B. dbus-launch gimp %U) startet, dann erscheint die gewünschte Option.

Bekannt ist das Problem scheinbar schon länger. Zumindest gibt es einige Bugmeldungen bei diversen Distributionen. Warum das Problem bei Gimp oder Plasma bisher nicht behoben wurde, kann ich nicht sagen.

OSBN | Linux

Luks1 zu luks2 konvertieren

Meine Rechner sind mittels cryptsetup und luks verschlüsselt. Bei meinem Notebook habe ich das schon vor Jahren gemacht, so dass hier immer noch luks in Version 1 verwendet wird. Bei luks in Version 2 wird allerdings Argon2 verwendet, was einen Angriff mittels Brute Force erheblich erschwert.

Wie kann man nun auf Version 2 wechseln ohne die Partitionen neu verschlüsseln zu müssen?

Als erstes sollte man überprüfen ob man nicht schon Version 2 nutzt. Dies erreicht man mit folgendem Befehl:

cryptsetup luksDump /dev/sda2 | grep -A1 "^LUKS"

Anstelle von /dev/sda2 muss man seine verschlüsselte Partition angeben. Dies gilt auch für alle weiteren Befehle. Wird hiermit Version: 2 angezeigt kann man sich weitere Schritte sparen. Wenn Version: 1 angezeigt wird, geht es weiter und man sollte man als erstes den Header sichern. Denn geht etwas schief kommt man nicht wieder an seine Daten. Zum Sichern führt führt man folgenden Befehl aus:

cryptsetup luksHeaderBackup /dev/sda2 --header-backup-file sicherung.dat

Die Datei sicherung.dat kopiert man anschließend auf einen USB-Stick oder auf einen anderen Rechner, da dies neben der Datensicherung (die natürlich jeder regelmäßig erstellt…) unsere Versicherung ist.

Nun geht es ans Eingemachte. Der folgende Befehl konvertiert luks 1 zu luks 2.

cryptsetup convert /dev/sda2 --type luks2

Nun nutzt die verschlüsselte Partition luks 2. Allerdings wird für das Passwort erst einmal nicht Argon2 verwendet sondern das was man ursprünglich angegeben hat. In meinem Fall pbkdf2. Also ist noch ein Befehl nötig um dies zu ändern.

cryptsetup luksChangeKey /dev/sda2 --pbkdf argon2id

Hierbei wird man aufgefordert sein bisheriges und ein neues Passwort einzugeben. Es ist aber auch möglich als neues Passwort erneut sein altes Passwort einzugeben.

Ein abschließender Test mittels cryptsetup luksDump /dev/sda2 sollte nun zum einen Version: 2 als auch die Verwendung von Argon2id anzeigen. Nutzt man mehrere Schlüssel, muss man den Befehl mit luksChangeKey für jeden Schlüssel wiederholen.

Funktioniert nach einem Neustart des Rechners alles wie gewohnt, sollte man vorsichtshalber noch die Header-Sicherung löschen.

OSBN | Linux

Benutzer automatisch ausloggen

Ich gehöre zu den Leuten die sudo nur für bestimmte Befehle und nicht als Ersatz von root nutzen. In fast allen Fällen bin ich so konsequent und beende die Sitzung mit Root-Rechten im Terminal Emulator nachdem ich diese Rechte nicht mehr benötige. Aber eben nur fast immer.

An sich ist das kein Problem, da ich alleiniger Nutzer meiner Rechner bin. Aber sicher ist sicher. Als Lösung kann man die Variable TMOUT nutzen. Mit dieser kann man definieren nach wie vielen Sekunden Inaktivität die jeweilige Session beendet wird. Inaktivität bedeutet hierbei, dass keine Eingabe über die Tastatur erfolgt.

Hierzu legt man die Datei /etc/profile.d/bash_autologout.sh an und trägt in diese folgendes ein.

TMOUT=600
readonly TMOUT
export TMOUT

Bei diesem Beispiel wird nach 600 Sekunden, also 10 Minuten, die jeweilige Session beendet. Dies betrifft sowohl Benutzerkonten als auch root. Diesen Wert kann man nach Belieben anpassen. Mit “readonly TMOUNT” verhindert man, das man die Variable im laufenden Betrieb ändern kann (z. B. mit unset TMOUT). Wer diese Möglichkeit weiterhin haben will, trägt die Zeile einfach nicht ein. Führt man einen Befehl aus der länger als der angegebenen Zeitraum läuft (z. B. sleep 650 && echo “Hallo Welt”), beginnt der Countdown erst nachdem der Befehl fertig ist. Wer nicht will, das auch normale Benutzer im Terminal Emulator ausgeloggt werden, verzichtet einfach darauf die Zeile “export TMOUT” einzutragen.

OSBN | Linux

Bashtop - Alternative für htop

System- und Prozess-Monitore gibt es wie Sand am Meer. Top, htop, atop und vermutlich noch viele mehr. Vor kurzem bin ich auf eine weitere Alternative mit dem Namen Bashtop gestoßen, die ich interessant finde. So wird zum Beispiel die Auslastung der Netzwerkverbindung und die der CPU grafisch dargestellt. Ansonsten ist die Anzeige etwas bunter als bei anderen Tools aber nicht aufdringlich.

Bashtop

Wer schicke Anzeigen mag, sollte sich das Tool einmal ansehen. Positiv finde ich auch, dass die Netzwerkverbindung erfasst wird. Diese vermisse ich ab und zu bei htop. Trotzdem werde ich htop erst einmal treu bleiben.

OSBN | Linux