Thomas Wiebe (00:01)
So, hallo und herzlich willkommen zusammen beim SmartHütte Der Podcast für Smart Home, Self Hosting und Technikkram jeder Art. Heute wieder mit dabei, der Andre und meine Wenigkeit der Thomas. Hallo.
Andrej Friesen (00:20)
das Datum nennen.
Thomas Wiebe (00:21)
Das geht immer verloren. Also bei mir zumindest, bei dir nicht. Du hast da unglaubliche Disziplin. Danke. 15. November 2025 ist heute. Und wir haben ein bisschen was Buntes mitgebracht. Ein übergreifendes Thema, wenn man so möchte, mit ganz vielen relevanten Unterpunkten. Andrej, du hast es mitgebracht. Du darfst es einleiten.
Andrej Friesen (00:31)
Richtig.
Genau, wir wollten mal drüber sprechen über Sicherheit für einen Server, so einen groben. Was muss man oder was sollte man tun, damit wenn man einen Online-Dienst irgendwo auf einem Server laufen hat, dass das halt halbwegs sicher läuft. in meinen Augen haben die großen Cloud-Provider über die letzten Jahre sehr viel gemacht, zu sagen,
Das ist ganz gefährlich so einen Server zu machen. Ihr müsst unseren Dienst benutzen. daher habe ich darauf gekommen, weil halt alle nur noch... Also traut sich ja keiner mit SSH auf den Server zu gehen und deswegen kaufen sie für teuer Services ein. Genau und das wollte ich einfach mal mit dir besprechen, weil du bist ja schon seit über 20 Jahren in der Hostingbranche. Ich bin erst seit fast sechs Jahren in der Hostingbranche.
Und davor ein bisschen Hosting von Applikationen bei anderen Firmen, also auch Hosting. Also auch fast 10 Jahre. Genau, und das ist gar nicht so viel Magie, man sagen. Finde ich.
Thomas Wiebe (01:59)
Ich finde
das gut, dass du das Thema anbringst, tatsächlich, weil ich verbinde damit immer wieder diesen einen Moment. In der Firma, wo wir uns kennengelernt haben, ging es irgendwann das Thema, wir wollen Mails verschicken. Es war gar nicht so ein enormer Rahmen. Ich dachte, ja gut, dann ist klar. Attacke, setz mal einen Mailserver auf und los geht's. Und mich herum waren alle so, what? Was kann ich machen? Mailserver aufsetzen? Das ist voll kompliziert. Das geht auf jeden Fall in die Hose. Und ja.
Andrej Friesen (02:16)
Mach mehr!
Thomas Wiebe (02:28)
Es gibt Schwierigkeiten, gerade wenn du Massenmailings machst, Absolut, ne? Mit irgendwelchen Blacklisten kommen und weiß ich nicht. Aber wenn es erstmal nur ⁓ Mails in Anführungsstrichen geht, ne?
Andrej Friesen (02:34)
ja.
habe eine E-Mail, gibt seit wieviel Jahren? Keine Ahnung, gab es die erste E-Mail? Irgendwann 80ern oder sogar 70ern?
Thomas Wiebe (02:45)
jetzt haben wir das Thema wieder. weiß es nicht. 70er, glaube ich, war es.
Andrej Friesen (02:48)
Ich
glaube auch. Aber auf jeden Fall gibt es das schon fucking lange. das ist auch schwierig, wenn man massenmehr macht. In der vorherigen Firma, wo ich war, haben wir halt auch mehrere Millionen Mail am Tag oder in der Woche verschickt. Dann ist das ein ganz anderes Problem, was man da hat. Aber ich hoffe als Privatperson verschickt man nicht so viele E-Mails. Oder auch als Firma, wo du einfach nur bisschen Kundenkommunikation machst. Über eine Applikation, Loginversuche oder so.
Genau, einfach selber betreiben, was muss man da machen? Und da wir bei einem Hosting-Anbieter sind, wir auch häufig die typischen Fälle, wie Unternehmen oder Applikationen übernommen werden oder übernommen wurden. Und können einfach mal unserer Erfahrung, glaube ich mal, kundtun.
Muss man aber auch noch einmal trennen zwischen einer Server im Inner Cloud, also irgendwo kann auch eine Hardware Kiste sein, kann auch eine VM sein oder halt ein Zuhause. Würdest du das trennen?
Thomas Wiebe (03:55)
glaube, die Praktiken sind in etwa gleich. Es macht Sinn, aber natürlich zu Hause hast du diese Perimetersicherheit noch zusätzlich. Also in erster Linie erst sobald du anfängst es nach außen zu öffnen, dann wird es eigentlich identisch. Dann ist es vielleicht sogar fast kritischer, weil du, wenn du dich halt auf das Perimeter verlässt, dann eventuell bei dir zu Hause noch andere Systeme sind, die vielleicht nicht ganz sicher sind, die man vielleicht auch gar nicht absichern kann, weil das irgendeine
die gar keinen Auth unterstützt, dann würde ich sagen, die selben Praktiken auf jeden Fall berücksichtigen, die du auch ansonsten im Internet hast. Aber es ist fast egal. Wenn du was im Internet hast, dann ist es egal wo. Hast du was im Internet? Genau. Und dann ist es auch egal, ob das eine VPS ist oder ob das eine Cloud-Instanz ist, ob das Hardware ist oder das ist eine Wumpe.
Andrej Friesen (04:36)
Das war der Internet.
Genau, lass erst mal das Thema durchgehen. würde sagen, dass aller, aller, aller, aller wichtigste ... Updates. Das ist so simpel. Aber das ist wirklich das Kritischste. Macht Updates. Und es gab auch einen guten Grund, warum wir das Thema gerade auf dem Teller gekriegt haben, weil ... ... ich hab das bei mir so eingerichtet, dass von Montag bis Donnerstag ... ... jeden Morgen um 7 oder 6, je nachdem welche Zeitzone ...
Thomas Wiebe (05:03)
Mhm.
Andrej Friesen (05:18)
Also welche Zeitverschiebung wir haben, Winter oder Sommer. Läuft bei mir dieses Unattended Upgrade Programm. Oder Unattended Upgrades heißt es glaube ich bei Ubuntu. Und aktuiert einfach ein paar Pakete. Macht ein Update, kernel-Update, darf alles updaten. Und ich habe das doch so konfiguriert, dass es tatsächlich auch rebooted, sobald notwendig. Das ist ja dann notwendig bei kernel-Updates. Eigentlich auch bei mehr Sachen.
Es gibt auch viele Services, gerade Systemd Sachen. Die müssen auch mal durchgestartet werden. Eigentlich. Ich glaube, Uninterne Upgrades erkennt das nicht so gut. ganz ehrlich, wenn ein kleiner Kernel Patch kommt, dann reicht das auch völlig aus. Und dann hat man ein aktuelles System. Und das ist mir leider in den Fuß geschossen einmal. Ich weiß nicht, wie lange der Server läuft. 6, 7, 8 Jahre oder so, keine Ahnung.
und das ist jetzt das zweite Mal, glaube ich, dass der mal kurz down war deswegen. Und das war leider diesmal hat der Docker geupdatet und Docker hat einen Breaking Change gemacht. haben verlangt, die haben eine neue Mindest API Version, glaube ich, gepublished. Genau und mein Traffic Proxy und Watchtower, komme ich gleich noch zu, haben da wohl noch alten Code gehabt und auf eine alte API Hard Code gesetzt.
Und dementsprechend konnten die dann nicht mehr starten. waren kaputt. Gab die alte Abi nicht mehr, die haben Error bekommen, konnten nicht mehr starten. Genau.
Thomas Wiebe (06:54)
bei traffic ist es ja die, weil wir beide im Grunde diese Integration nutzen in docker, damit dieser docker socket, den du mit rein reißt, der wird dann benutzt, alle Container zu suchen, die gewisse Labels haben und dann so ein Auto Discovery oder Service Discovery zu machen und traffic automatisch zu konfigurieren anhand von Labels und deswegen ist es bei traffic. Watchtower ist was anderes, Watchtower basiert ja effektiv nur auf dem docker socket, wenn man so möchte. Ist klar, dass der nicht läuft, bei traffic läuft der halt nicht, weil...
Andrej Friesen (07:19)
Genau.
Ja, aber Watchtower war mein Problem, weil... Also Watchtower ist halt ein Tool, welches auf die Docker-Socker guckt und dann... je nachdem, du deine Tags gesetzt hast bei deinen Docker-Images, wenn du zum Beispiel drei Punkt... drei Punkt hast, also drei, Version drei von irgendwas. Und das Projekt... Publisht immer 3.1, 3.2, 3.5, 3.6 oder so, Dann holt er sich immer die neuesten Tags. Ich habe aber eine ganz, ganz alte Watchtower-Version benutzt.
dass die Originale und die wird seit drei Jahren oder nicht mehr weiterentwickelt. Und solange das funktioniert, ich gesagt, ach, kein Bock, das zu wechseln. Weil ich wollte, es gab jemanden, der einen Fork gemacht hat, der das übernommen hat. Ich war zu faul, funktionierte ja die ganze Zeit. Bis dann, letzte Woche, glaube ich, war es, dass es auch nicht mehr ging. Aber es war, ich hatte erst Angst, dass da ganz viel geändert wurde, weil Weiterentwicklung, neuer Maintainer heißt ja auch häufig, anderes Feature Set, vielleicht Migration von Daten, blablabla. Nö.
Thomas Wiebe (07:55)
Mmh.
Mhm.
Andrej Friesen (08:19)
waren nur Tag tauschen, also nur die URL und fertig.
Thomas Wiebe (08:23)
macht natürlich Sinn, technologisch du kannst es ja auch steuern, aber an der Stelle natürlich lustig, dass die Komponente, die dir alles aktuell hält, selber nicht mehr aktuell war.
Andrej Friesen (08:31)
Ja genau. Nee, der hat einfach aufgehört. Genau. das ist... Warum kommen wir jetzt auf Updates? Eigentlich sind die größten Sicherheitslücken... Ich meine, da gibt es zwei Ebenen. Einmal gibt es... Oder vielleicht drei. Einmal gibt es die Proxies, die Web Server. Die sollten definitiv up to date sein. Ist egal ob Traffic, Heddy, Nginx, Proxy. Was gibt es noch alles? Keine Ahnung. Und dann gibt es die Ebene...
Da drunter, andere Services, SSH, ganz wichtig. Da gibt es auch Home Assistant eine kleine Lücke. Shellbleed oder wie hieß das letzte Mal nochmal. Da hatten wir dann auch Spaß in der Firma. Mehrere hundert Instanzen erst mal updaten, Kunden informieren, wenn man ja dazu verpflichtet ist. Was ja auch eine gute Praxis ist. Und dann, Einfach diese zwei...
Wenn man diese zwei Tore schon up-to-date hat, dann hat man schon 90 % abgedeckt.
an Angriffsfläche. So, dann gibt es natürlich noch die dritte Ebene. Das ist die Applikation selber. Das sollte man natürlich auch machen.
Denn es ist jetzt egal, worauf die Applikation basiert. Auch die haben entweder Framework-Updates darunter oder bringen auch eine neue Auth-Methode rein. Meint wegen, sogar fügen sogar zwei Faktor hinzu, solche Dinge. Die muss man natürlich alle schön up to date halten. Das ist ein bisschen Aufwand, weil häufig nicht jede Applikation macht das easy für einen. Manchmal braucht man viele Migrationsstritte, Breaking Changes oder sowas.
Aber da kommt man leider nicht drum herum. Das ist halt der Preis, den man zahlen muss. Deswegen gehört das in meinen Augen, gerade im privaten Umfeld, voll in die Evaluation rein. Habe ich da Bock drauf, mich drum zu kümmern? Habe ich die Zeit dazu? Bei mir habe ich es ein bisschen automatisiert, dass die meisten Applikationen updaten sich selber und falls was kaputt geht, habe ich einen Backup und gehe zurück. Lieber als andersrum, weil ich kenne mich. Ich würde es vergessen und einfach nicht updaten.
und dann hast du da ein Scheuntor irgendwann im Internet rumstehen.
Thomas Wiebe (10:55)
Guter Punkt.
Andrej Friesen (10:58)
Also SSH, Proxy und Applikation erstmal selber. Update.
Thomas Wiebe (11:02)
Bei
all diesen Punkten gibt es immer so Perifere Aspekte. Die Softwarequalität liegt ja häufig gar nicht mal ganz direkt an dem Entwickler dieses einzelnen Projektes, sondern heutzutage ist es halt einfach so. Du verwendest sehr viele Frameworks, sehr viele Bibliotheken in deinem Code, zum Beispiel den Part zu machen, der die Web-Request entgegennimmt, routet und so weiter. Und viele Sicherheitslücken befinden sich dann einfach schon da drin.
kann man wahrscheinlich auch so unterscheiden. gibt halt Debugs, wo der Entwickler sich gedacht hat, eigentlich sollte der Code das und das machen und ich habe ihn einfach falsch geschrieben, deswegen macht er was falsch. Das ist die eine Kategorie und das andere ist so ein Sicherheitsaspekt. Kann man eventuell das Verhalten, was eigentlich dem Gewünschten entspricht, kann man das irgendwie exploiten. Kannst du also durch, sagen wir mal, präparierte Requests, kannst du vielleicht auslösen, dass die Software sich unter genau diesen Umständen eventuell anders verhält. Und im Idealfall...
Andrej Friesen (11:39)
Hm.
Thomas Wiebe (11:59)
so richtig low-level Bugs auslöst, so, weiß ich nicht, irgendein String geht in Speicherbereiche, die eigentlich gar nicht mehr gehen sollte oder so was. Und dadurch kannst du so die richtig tiefen Bugs auslösen. Ja, bei Docker auch ein guter Punkt, Docker-Container aktuell halten, da gibt es eigentlich eine gute Praxis für, wie man die Tags definiert. Und auch das macht aber leider nicht jeder, Weiß nicht.
Andrej Friesen (12:28)
Und nicht jeder
gleich. Das auch noch. Also wenn die es machen, dann auch bisschen unterschiedlich.
Thomas Wiebe (12:31)
Ja,
genau. hast du da nochmal einen separaten Punkt zu oder soll man einfach direkt rein stolpern? Okay, alles klar. Genau, also wie macht man das üblicherweise mit Docker-Containern? Und das ist halt auch elementar dafür, damit das Thema Watchtower so gut, also damit das Thema Watchtower funktioniert. Weil du brauchst in, du musst, du hast halt irgendwo deine Definition, den und den Containern möchte ich laufen lassen. Und einen Compose-Fall zum Beispiel, mit dem du es einmal händisch aufsetzt.
Und da definierst du dann den Tag, der verwendet werden soll von dem Image. Wenn du da jetzt zum Beispiel so was drin stehen hättest wie traffic-version 3.1.1, kann WatchDower nicht viel machen. was er machen kann ist, er kann immer wieder gucken, oder was macht er grundsätzlich, was macht WatchDower? Er guckt halt, ob er unter der Definition des Images, was da verwendet wird für einen Container, findet er auf der Registry eine neuere Version oder nicht. Wenn das Image immer noch identisch ist, macht er nichts. Wenn sich das Image verändert hat,
Andrej Friesen (13:13)
Genau.
Thomas Wiebe (13:30)
Dann lädt er das Image runter, stoppt und löscht den Container effektiv und erstellt neuen Container anhand derselben Definitionen. Was auch gar nicht so leicht ist bei Design. Du musst halt inspizieren, wie wurde der Container wohl erstellt und versuchen ihn genauso wieder zu erstellen. Das nimmt Docker einem tatsächlich an der Stelle nicht sonderlich gut ab. Aber elementar ist halt, was du immer für einen Tag verwendet hast, der muss abgedatet werden.
Andrej Friesen (13:41)
Hm.
Thomas Wiebe (14:00)
Und wenn das eine ganz konkrete Version ist, dann kannst du noch Glück haben unter Umständen, dass der Entwickler auch hin und wieder mal Images neu baut für Bestandsversionen, die einfach nur die Bibliotheken aktualisiert haben. Aber in der Regel ist das nicht der Fall. Und du solltest vielleicht sowas machen wie verwende den Image, äh, verwende den Image, verwende das Image mit dem Tag v3. So v3 kann dann halt heißen 3.1.1, 3.1.2, 3.2. Und alles Mögliche.
Das heißt, du ersetzt bestehende Tags anhand der neuesten Versionen, den Scope quasi, also den Rahmen, den der Tag inhaltlich definiert, erfüllen. Das kann auch eine 3.1 sein. Dann bist du halt auf das neueste Patch Release für 3.1. Aber wenn du sagst...
Andrej Friesen (14:49)
Das ist auch
super wichtig, es gibt zwar Semmler, aber jeder Benutzer ist anders. Manchmal gibt es halt auch... Man muss einfach schauen, wie sich das Projekt mit ihren Versionsnummern Bei Ghost, konkretes Beispiel, was ich auch für meinen Blog und für eine Smart-Höchse-Seite nutze, die machen das recht gut. Die haben drei Versionsnummern.
Ich habe jetzt die sechs einfach drin und der Rest ist wirklich meiner und Patch. Das heißt, mit meiner kommen paar neue Features rein, mit Patch kommen einfach Patches rein. Das funktioniert hervorragend. Es gibt aber auch Projekte, die sagen, es ist mir egal oder die sagen, ich mache nur null Punkt und dann gibt es nur neue Features und dadurch hast du viele Breaking Changes. Das muss man wirklich individuell fürs Projekt checken. Auch bei Datenbanken voll aufpassen. Also es gibt zum Beispiel
Auch Abhängigkeiten, das ist zum Beispiel, nehmen wir mal Ghost, habe ich jetzt nicht im Kopf ob das wirklich so ist, sagen wir mal die brauchen wir als SQL 8.1.12. Vielleicht kommst du noch drum rum die Patch-Version jedes Mal hochzuziehen. Aber musst du aufpassen, weil vielleicht brauchen die wirklich die Punkt 12 und die Punkt 13 ist schon wieder migrationsnotwendig. Da muss man dann im Endeffekt bei jeder Software nachgucken. Und oder bei den Frameworks.
Ghost ist jetzt kein Framework, ich glaube die haben das alles selber geschrieben. Also die nutzen auch Frameworks, klar, nicht so was wie Django. wenn du Django, zum Beispiel Paperdisk ist in Django geschrieben. Oder nicht in Django geschrieben, sondern in Python geschrieben und nutzt das Django Framework, so. Und dort wird halt eine Obstraktions-Ebene für die Datenbank genommen, zum Beispiel. Und da kannst du MySQL, Postgres und SQLite benutzen, so. Und da musst du halt dann verstehen, was unterstützt denn welche Django-Versionen? Welche Django-Versionen benutzen Paperdisk, oder?
Dann musst du dementsprechend anpassen die Datenbank. Bei der Datenbank wäre ich bisschen vorsichtiger. Vor allem weil Postgres zum Beispiel auch gar kein Auto-Update hat für Major-Versionen.
Da ist es glaube ich eher wichtiger die Applikation zu updaten. Es geht ja ums Thema Sicherheit und bei der Sicherheit ist eigentlich eher die Applikation das wichtige. Datenbank sollte sowieso nicht public sein. Hoffentlich.
Thomas Wiebe (17:19)
Alte Hase kommt mal kurz reingegraetscht und sagt, okay, klingt alles kompliziert. Man muss aber sagen, wir sind da schon viel weiter als früher. Früher war das halt das Problem, wenn du Dinge nicht in einem Container betreibst, sondern auf einem System installierst, dann hast du halt diese ganzen Abhängigkeiten auf Betriebssystem-Ebene schon und dann gibt es halt, weiß ich nicht, eine Version von Postgres. Und die muss halt dann laufen. Und wenn du dein Betriebssystem aktualisierst, dann aktualisiert sich auch die Version von Postgres eventuell und dann bricht dir eventuell ein ganzes...
Reihe von Software ab. Und du kannst halt dann auch nicht nur eine Software mal eben, also du kannst nicht schrittweise upgraden, zum Beispiel den Postgres für unser Afine zum Beispiel oder für irgendwas, sondern du upgradest das und dann guckst du mal wie viele Feuerenden irgendwie entstehen und dann versuchst die alle zu löschen. Also da sind wir auf einem ganz anderen Niveau unterwegs als vor, weiß ich nicht, 10, 20 Jahren.
Andrej Friesen (18:00)
Hmm.
Wobei, ich sehe es immer wieder in Foren und Diskussionen, dass Leute einen MySQL-Container betreiben, wo sie dann alle Applikationen zu verbinden. Ich kann das absolut nicht nachvollziehen, warum man das tut. Weil ja, es ist im ersten Augenblick einfacher, Backups zu machen und ein Update ist ein Update und nicht zehn. Aber du hast halt nicht die Kontrolle, wann das Projekt auf die neue MySQL-Version geht.
Thomas Wiebe (18:24)
Ja.
Andrej Friesen (18:42)
hast du einfach
Thomas Wiebe (18:44)
Ja, das ist, glaube ich, also meine Theorie ist, das ist einfach nur die alte Denke. Also man hat angefangen mit Containern zu arbeiten und man macht es weiter so wie vorher. Das finde ich somit übergangsweise, man lernt den Schmerz kennen in der Regel und dann denkt man vielleicht ⁓ Das ist vielleicht übergangsweise nicht schlecht, aber man merkt es halt auch, man stößt auch beruflich tatsächlich immer noch halbwegs regelmäßig auf diese Denke und
Andrej Friesen (18:51)
Ja, glaube ich auch.
Thomas Wiebe (19:12)
mit den Schmerzen, man früher erlebt hat, zum Beispiel diese, ja, also man muss jetzt vielleicht einen Datenbank-Server aktualisieren, weil, Punkt, Punkt, End of Life oder sonst was. Und dann musst du auf alle Entwicklerteams zugehen und nicht nur Entwickler, auch Operations Teams und denen sagen, okay, guck mal, wir wollen diese Datenbank aktualisieren. Funktioniert euer Kram mit der neuen Version und alle müssen sagen, ja, ja, und das innerhalb einem gewissen Zeitrahmen, weil du willst das ja irgendwann abschließen können und
Dann setzt du irgendwie drei Monate Frist und nach drei Monaten sind nur drei von sechs Teams, haben es getestet und dann verstreich das nochmal und das zieht sich hin. Das ist sehr, sehr, sehr mühselig und der Ansatz von ich habe hier pro Applikationen Datemang-Server, ja natürlich hat er einen gewissen Overhead, aber ich glaube die Kosten, die dadurch entstehen, die Impliziten, die sind viel geringer als alles andere.
Andrej Friesen (20:01)
Ja.
Naja, ich weiß das auch noch, weil ich erinnere mich noch an das Bewerbungsgespräch ... bei meiner vorherigen Firma. Die gibt es ja nicht mehr. Ich habe dann gefragt, wie viel Datenbank-Server habt hier. Ich glaube, waren fast 300. Für Internet ... Also für ... war schon ... Und davon waren einige ... instanziert, also im Sinne von viele Kunden drauf und einige ... ... hatten nur einen Kunde drauf, je nachdem, wie groß der Kunde war. Klar, das ist harter Pain. Das ist wirklich harter Pain.
diese einzelnen Dinge zu updaten. Aber mit DockHornCo ist das mittlerweile echt entspannt geworden.
Thomas Wiebe (20:39)
Ich habe da jetzt gar nicht drüber nachgedacht, aber ich würde einfach mal in den Raum stellen, meine persönliche These. Ich würde tendenziell lieber 300 Datenbanken betreiben, einer Datenbank pro Applikation oder pro Instanz und die singulär ohne Redundanz machen, als dass ich einen großen Datenbankpflaster mit Redundanz machen würde für 300 Applikationen. Also das ist dann auch wieder
Andrej Friesen (20:58)
Ja. Ja.
Thomas Wiebe (21:03)
Thema von Meantime to Recovery, Wenn da halt ein, also zum einen Blastradius, wenn eine Applikation down ist, selbst wenn es fünf sind, deine Hütte, die wird viel ruhiger sein als wenn es 300 sind. Das ist schonmal das erste Thema. äh, ja, also, genau.
Andrej Friesen (21:21)
Und der Rest kann es eskripten, automatisieren, testen.
also gut, so weit müssen wir nicht gehen. Ich hoffe, ihr habt keine 300xSQL-Tocker-Container bei euch auf dem Hosen. Und wenn doch, erzählt mir mal warum. Würd mich mal interessieren. Zumindest im privaten Umfeld. Ja. Wo waren wir denn eigentlich? Genau, Updates machen. Die alte Denke hängt da, ich, noch drin. Das ist jetzt nicht bös gemeint oder so, aber das ist einfach ein anderes...
anderes Schema, was man früher hatte, aus Gründen, die auch relevant waren, die sich aber durch neue Techniken einfach im Endeffekt im Winde verweht haben. Zumindest seit es Container gibt und Docker hat es dann ja sehr populär gemacht und auch einfach gerade mit Compose so paar kleine Dinge zu machen. Genau, also wichtig, Applikation selber hochhalten und deswegen, das können wir vielleicht darauf eingehen.
Wenn wir das ein paar Mal mitgekriegt haben, nicht so viel, weil wir nicht in dem Team waren, was da involviert war, aber ab und zu ging das halt mal durch die Firma auch, dann hieß es, ein Kundensystem wurde übernommen. Sondern ist ja erstmal groß Alarm. Und was war es im Endeffekt immer? Entweder war es so ein Standard, es ist H-Passwort wie Passwort. Oder was weiß ich? Ich weiß das Passwort natürlich nicht, aber so richtig simples Passwort einfach.
Thomas Wiebe (22:39)
Mhm.
Andrej Friesen (22:40)
So, und ich glaube daraufhin haben wir auch irgendwann Passwörter verboten, weil das so viel Arbeit war. Das heißt nur SSH Keys, ganz wichtig. Nur SSH Keys, ganz, ganz wichtiger Punkt. Ist egal welche, ist mir wirklich egal, Hauptsache kein Passwort. Und was auch sinnvoll ist, kein Routenzugriff über Internet. Also macht ihr euch das, macht euch das lieber per
Thomas Wiebe (22:49)
jeden Fall.
Andrej Friesen (23:09)
Lockt euch als User ein. Was ja die meisten Distros per Die voll machen. Lockt euch als User ein, gebt euch Sudo-Rechte. Mit Sudo könnt ihr nur auf Route gehen. Völlig fein. Oder Route nur über lokale Verbindungen. Also über eine virtuelle Konsole in dem Falle. Das ist auch okay. Würde ich jetzt mal behaupten. Das haben glaube ich noch die meisten konfiguriert. Kann man machen. Das heißt, das ist auch bei sehr vielen Distros der Standard. Da muss man schon viel rumfricken bis man das im Internet hat. Und der zweite Punkt.
Neben dem SSH-Passwort ist halt einfach ein schlechtes Applikationspasswort. Also es ist jetzt egal, was für eine Applikation. Ich erinnere mich an irgendeinen Jira-Instanz oder sowas. Und da ist auch der Witz.
Da witzes, wenn du die Applikation nicht updatest und du dann noch ein schwaches Passwort hast, dann ist es schwer das Ding zu updaten, weil du kannst jetzt sagen, alles klar, wurde kompromittiert, spielst den Backup ein, okay. Dann musst du dich aber beeilen, das Update zu machen oder es halt von außen zu sperren, was nicht unbedingt immer einfach ist.
wenn du das Update von außen triggern könntest. Es gibt ja auch Applikationen, so einen Self-Update-Button haben. Und ja, das ist dann ein bisschen lustig. heißt, haltet eure Software up to date, wenn sie Internet-facing ist. Ganz, ganz wichtig. Wenn es intern ist, dann kann man das auch so machen.
Thomas Wiebe (24:38)
Das lustige Geschichte. Ich kenne das auch noch aus dem Support, aus dem Hosting-Bereich von ganz, ganz, ganz früher. Systemkompromisiert. Kunde brauchen natürlich die Daten wieder, muss das wieder einspielen. Hat das Backup zum Glück, muss es aber wieder einspielen. Aber danach, gerade wenn du sowas hast wie eine WordPress-Sicherheitslücke, die wird halt automatisch gescannt. Da sitzt nicht irgendwie, da weiß ich nicht, irgendjemand vor seinem Rechner und tippt dann deine IP ein und sagt, und guck mal, da ist ein WordPress.
Andrej Friesen (24:38)
Ich glaube, es war mal...
Ja.
Ja.
Thomas Wiebe (25:07)
kann ich den nicht irgendwie hacken. Nein, das wird gescannt und automatisch ausgenutzt und ja, muss so flott sein.
Andrej Friesen (25:13)
Ja und
einfach mal im Kontext zu gehen für diejenigen, nicht in diesem Space sind und was ich auch mal häufig sehe ist, man sieht ja diese Logs manchmal von SSH und Co, dass sofort Leute versuchen sich zu authentifizieren. Woher kommt das? Warum passiert das? Kannst du mir das beantworten?
Thomas Wiebe (25:32)
Ich hoffe. Im Grunde dasselbe Thema wie gerade mit WordPress. Also irgendwo ist eine Sicherheitslücke bekannt geworden wahrscheinlich. Also mal anders. Es gibt Schritt zurück, weil es kann die Motivation dafür kann vielerlei Ursachen haben. Es kann schon anfangen mit, ja man kann ja auch einfach nur brute force, also hohe Gewalt oder bloße Gewalt, wenn man das übersetzen würde. Genau, Wörterbuchattacken oder Passwortlisten.
Andrej Friesen (25:56)
Passwortlisten ausprobieren. Fertig.
Thomas Wiebe (26:02)
User einfach Kombination wild ausprobieren solange es halt geht so mit dem tempo den der server dass das server erlaubt versuche ich einfach irgendeine kombination zu finden die schon passt wenn du halt dann Als password password nimmst oder so dann Ja trifft sich vielleicht halt auch schon mal das kann passieren
Andrej Friesen (26:22)
Ja und
wichtig ist, du kannst jetzt sagen, ja, aber ich teste die Instanz ja nur kurz und dann schalte ich sie wieder ab. Du hast vielleicht zwei Minuten und dann sind die Leute dann direkt. Also du kannst dir eine frische IP holen, frischen V-Server. Du hast zwei Minuten, wenn überhaupt. Und dann kommen schon diese automatischen Scripts und Bots und die dann tausend Dinge an Ports probieren, an Passwörtern, Usernamen, Passwortkombination. Das ist einfach so schnell.
Thomas Wiebe (26:53)
Also das ist eine gute Empfehlung. Nimm immer irgendwas halbwegs sicheres. Wenn es geht, machen manche Provider das sowieso schon mittlerweile. Die bieten es dir gar nicht mehr an, Passwort dazu zu bei neuen Cloud-Instanzen oder WPS-Instanzen. Du kannst dann einfach nur noch den SSH key reingeben und dich damit einloggen. Oder sie generieren ein Passwort für dich. Das gibt es teilweise auch noch, aber eher selten mittlerweile. Dann weiß man zumindest schon mal, das Passwort ist sicher. Aus Provider-Sicht ist das Passwort sicher. Der User kann es natürlich im Nachhinein ändern.
Andrej Friesen (27:19)
Mmh.
Thomas Wiebe (27:23)
Na ja, gut, es liegt halt im eigenen Verantwortungsbereich. Kann man leider nicht alles ausschließen. So.
Andrej Friesen (27:28)
Ich habe mir bei
meiner alten Bude mal einen Fehler gemacht und dann eine Demo darüber gemacht. Ich hatte mal zum Testen einen E-Mail Server, einen Relay, offen gelassen, weil ich nur kurz testen wollte, ob die E-Mails funktionieren und dann wieder zumachen. Wirklich, es eine E-Mail und wieder zumachen. Was nicht funktioniert hat, was ich nicht wusste, das war damals im Kubernetes Kontext, wenn du den Low-Band-Saw einfach deaktivierst,
Thomas Wiebe (27:47)
Mhm.
Andrej Friesen (27:56)
Oder wenn du den Service-Type änderst von Low-Pancer auf iClass IP, ist jetzt egal. Ich hatte die Intention, diesen Low-Pancer auszumachen, sodass das Ding nicht mehr public war. Ja, das funktioniert noch nicht. Und das Ding war dann die ganze Nacht offen. Nicht mal eine Autofizierung dran. Ich glaube, wir haben zwei, drei Millionen Mails verschickt an dem Tag. Und unsere IP-Validierung war weg. Und dann habe ich das natürlich geschlossen, alles gut. Und dann habe ich daraufhin mal bisschen gespielt und mal so einen Redis-Service online gestellt mit einem Port und geguckt.
wie lange braucht es, bis da, also ich hab da sofort Daten drauf gepackt, bis Datenabfluss ist. Ich hab einfach geguckt, wie viel, wie viel haben die dann rausgezogen. Ich glaube, ich hab 30 Sekunden gewartet und haben die schon die Redistartenbank komplett leer gezogen und wollten wissen, was da drauf ist und waren direkt da drauf, haben auch draufgeschrieben und ja. Und das hab ich dann mal nochmal ausprobiert und hab das mal von der versammelten Runde gemacht, das war ganz lustig. War schon für einige sehr schockierend.
Warum das denn passiert? Woher kennen die die IPs? dann, ne? Darauf kann man ja eigentlich gehen. Diese IP-Ranges sind mehr oder weniger bekannt. Die AWS hat einen Blog. Gridscale hat einen Blog. Also B-L-O-C-K. Nicht ein... Also ein IP-Blog. Clawflare hat einen Blog. Und die sind einfach bekannt, diese Listen. Die werden irgendwo gepflegt in ihren Skripts. Und die werden einfach automatisch runtergerattert. Tach. Jede Sekunde.
Thomas Wiebe (29:26)
Ja, es ist vielleicht eine gute Methode, das einfach mal zu präsentieren, wie schnell das geht, selbst wenn du in der Hosting-Branche bist, kommt es trotzdem leider immer wieder vor, dass man alle Entwicklerteams oder Operations, alle Teams mal darauf auffordern muss, bitte darauf zu achten, dass man keine unsicheren Passwörter verwendet. Das kommt leider einfach vor. Dementsprechend ist auch dieses Mittel von zumindest mal der SSH-Login von Anfang an sicher, weil nur SSH-Key
gestützt möglich das ist schon mal ein ganz wichtiger erster schritt schützt dich nicht vor einem offenen reddit oder vor einem offenen mail relay natürlich Ja da weiß ich auch nicht wie man das angehen soll außer durch guck mal hier ⁓
Andrej Friesen (30:08)
halt nicht öffnen.
war ja auch nur eine Demo nach dem ersten Fehler von meiner Seite aus. Ja, aber was ich sagen möchte, dazu ist auch, viele Leute diskutieren dann, wenn die das in den Logs sehen, wie können die das verhindern? Das ist jetzt nicht schlimm. Authentifizierungsversuche könnt ihr nicht verhindern. Die kommen. Und dann gibt es dann immer diese eine Lösung, dann kommt, da kriege ich immer schon, da sträuben sich bei mir die Haare und rollen sich die Zähne, wenn alles möglich passiert, ändert den Port von SSH. Also ich stehe da gar nicht zu.
den auf irgendeinem Podsende? Was hältst du davon?
Thomas Wiebe (30:41)
Ich habe es der Vergangenheit gemacht, aber ich glaube, es war größtenteils eher... Das war eher aus der Notwendigkeit heraus, weil du zum Beispiel nur eine öffentliche IP zu Hause hast und du hast mehrere SSH-Dienste, die du vielleicht nach außen geben musst. die Motivation war nie genau das, weil das ist ja irgendwie Security through Obscurity, wenn du möchtest. Ich versuche, Dinge unkenntlich zu machen von außen und verlasse mich darauf, dass...
Andrej Friesen (30:57)
Das ist gut oker Grund.
Thomas Wiebe (31:10)
wird schon nicht gefunden sozusagen oder
Andrej Friesen (31:12)
Aber das
ist halt bisschen falsche Denke, weil es gibt das Tool nmap.
Thomas Wiebe (31:16)
Zum Beispiel, ja, genau.
Andrej Friesen (31:18)
Und mit diesem Tool, was ich glaube, ich habe mal gelesen, dass es sogar in USA illegal deklariert wurde, weil mit diesem Tool haust du, kannst einfach eine IP-Adresse eintippen und dann haut er gegen jeden Port und dann findet er das raus.
Thomas Wiebe (31:32)
glaube, wir hatten das Problem sogar in Deutschland. Es gab doch mal den Hacker-Paragrafen und da wird dann erstmal die Annahme getroffen, dass wenn du auch nur Vorbereitungen triffst zum Ausspähen, dass das schon illegal ist. Und am Ende des Tages musst du quasi dann halt sicherstellen, dass du beweisen kannst, dass du das zum Beispiel machst, deine eigene Infrastruktur nach außen zu schützen. Du scans sie nur unter dieser Prämisse. Ich möchte gucken, was ist denn nach außen offen, weil das könnte mir ja schaden.
Andrej Friesen (31:54)
Mmh.
stimmt.
Thomas Wiebe (32:01)
Was natürlich
schwierig ist für Sicherheitsforscher, weil Sicherheitsforscher dann zum Beispiel im Auftrag für andere oder es gibt ja auch viele Whitehead Hacker, also Hacker, die eine positive Motivation haben, die scannen vielleicht proaktiv und sagen, guck mal, wir haben das und das gefunden und statt das irgendwie zu verkaufen oder auszunutzen direkt, dann geben sie das einfach an den Betreiber weiter oder an den Hersteller von einem Produkt weiter und sagen, guck mal hier, das haben wir gefunden, bevor es jemand anders ausnutzt, fix das doch bitte.
Und das ist im Grunde damit jetzt erstmal schwierig. Rechtlich.
Andrej Friesen (32:33)
Aber sag mal so,
wenn wir eine IP-Adresse haben und dann nmap, dann kannst du nmap einfach dagegen laufen lassen, dann findest du was. Du solltest es nicht tun gegenüber fremdem Server, das ist glaube ich, ich glaube bei Heise gibt es auch so ein Portscan, da steht auch immer drin, bitte nur auf deine eigenen Infrastruktur ausführen lassen. Ich weiß nicht wie die das detektieren und nachverfolgen, das ist die andere Frage und ich glaube die ganzen Scriptkiddies und Scriptpods und was weiß ich, die werden das trotzdem einfach machen, nobody cares.
Thomas Wiebe (33:00)
Ja, ist ja auch das Tool an sich, ist nicht illegal, es ist halt die Nutzung des Tools unter gewissen Umständen und das macht es schwierig. ShodanROO ist auch sowas, Shodan. Damit kann man dann einfach für beliebige IPs mal gucken, was wird denn da von außen erkannt und was könnte das für sich jetzt nicht mehr Probleme mit sich bringen oder auch einfach mal gib mir mal eine Liste von allen Webcams, die du so im Netz gefunden hast oder so,
Andrej Friesen (33:05)
Mhm.
Oh ja,
das Schodan ist echt crazy. Ich möchte es einfach mal irgendwie im Zuhause oder die Terrasse angucken, gehe einfach auf Schodan und Coalien Stream. Ja, aber ich sage mal so, TwinTits jetzt davon für mich ist, also den Port zu ändern bringt gar nichts. Traf... Ja, dann geht der Traffic nicht halt auf 22, sondern auf deinen 2222 vielleicht oder so ein Blödsinn.
Thomas Wiebe (33:48)
Hmm.
Andrej Friesen (33:50)
Und ganz ehrlich, die Leute sind schon viel weiter. Und mit KI und Co haben die sich auch ihre Tools jetzt umgeschrieben, dass die Essen scanen machen in aller Port und dann gehen die vielleicht da drauf. Also es bringt nichts.
Thomas Wiebe (33:59)
Es kostet natürlich
immer. Je mehr Aufwand du reinstecken musst, was zu finden, desto höher potenziell die Kosten, weil du vielleicht den Gesamtprozess verlangsamst. Aber die Leute sind ja nicht dumm. Dann wird das iterativ alles gescannt und ports und dann werden Listen verkauft mit Liste von SSH-Servern auf IP und Port-Kombination. Gut, dann kaufst du dir als böse Wicht eine Liste, wo steht, da haben wir einen SSH auf port 2222 gefunden.
die Ports ja an sich antworten und das ist ja bei den Diensten einfach so, du baust eine Verbindung auf und dann sagt der Server, guck mal hier ich bin SSH. So, dann lässt sich das rausfinden, auch wenn der auf einem anderen Port läuft. Dann gibt es Mittel und Wege, das zu verbreiten, dieses Wissen. Also sollte man sich nicht drauf verlassen.
Andrej Friesen (34:32)
Das
Nee, kann man sich sparen. meinen Augen. Außer du brauchst den Port für andere und du willst den Dienst mehrfach laufen lassen. Für das ist ein völlig legitimer Use Case. Ich glaube bei Homelessness US ist es auch so, du hast, wenn du PSSH drauf gehst mit diesem SSH Plugin, Addon, Entschuldigung, dann hast du 22, dann bist du aber im Docker-Container von Homelessness drin und wenn du dann auf dem Homelessness US willst, musst du halt 2, 2, 2, ich glaube 5x die 2 nehmen, ich weiß nicht mehr. Also weil halt du kannst nicht den Dienst 2x auf den gleichen Port laufen.
geht technisch.
Thomas Wiebe (35:19)
Ja, so wir waren ja bei dem Punkt der Frage warum also was, warum ist es schwierig irgendwas im öffentlichen Netz einfach so bereitzustellen und warum kommen da so ganz viele Verbindungsversuche? Ja, das ist das eine, da wird einfach gescannt und mit zum Beispiel Brute Force einfach versucht sich einzuloggen. Kost ja nichts in Anführungsstrichen. Dann gibt es natürlich noch den Ansatz von es werden Sicherheitslücken gefunden.
die irgendwo publiziert werden. Also im Idealfall geht man als Sicherheitsforscher hin und sagt, ich kontaktiere jetzt den Hersteller und ich gebe dem eine gewisse Zeit zu reagieren und die Lücke zu fixen, bevor ich das öffentlich mache. Sicherheitsforscher haben natürlich die Motivation, Dinge öffentlich zu machen. Am Ende des Tages verdienen sie auch irgendwie Geld und haben eine gewisse Reputation oder wollen eine Reputation aufbauen. Dann gehört es halt dazu, dass sie unter ihrem Namen auch sagen, guck mal, das und das haben wir gefunden. Wichtiger Bestandteil. Nur eben, wenn man das
Andrej Friesen (36:14)
Mmh.
Thomas Wiebe (36:18)
Wenn man das gewissenhaft macht, dann gibt man den Herstellern entsprechend Zeit. Und wenn die Hersteller wiederum natürlich auch gewissenhaft ihren Job machen, dann nutzen sie diese Zeit und fixen die Lücke und rollen die Updates aus. Das mal wieder. Na, da ja schon ein paar mehr, ne? Aber es gehen bestimmt immer mal wieder Themen unter. Das ist auf jeden Fall ein Problem. Aber an der Stelle wieder ganz wichtig, wie du sagtest, Updates einspielen ist halt sehr, sehr wichtig. Und da können auch, naja...
Andrej Friesen (36:31)
Meinst du die drei?
Ja.
Thomas Wiebe (36:47)
Wochen mal mindestens ein Faktor sein, also es nicht Wochen hinaus zu zögern, aber im Idealfall sogar täglich. ist gute Praxis.
Andrej Friesen (36:54)
Also wirklich ist es schon eine gute
Kendenz, wenn man das schafft. Man kann ja auch damit anfangen, falls man sich unsicher ist, das einfach manuell zu machen. Völlig fein. Ich weiß, ich halt irgendwann, hätte ich keinen Bock da drauf und würde es einfach nicht machen. Daher habe ich es automatisiert, in dem Zuge, den ich nicht richtig finde. Und das ist das Wichtigste. Es gibt nämlich ja nicht nur bekannte Sicherheitslücken, sondern auch unbekannte. Die sogenannten Zero Days, die werden ja im Darknet verkauft.
und dann genutzt, auf das Denim zu kommen, die von diesen Lücken noch gar nichts wissen. Und die können auch lange bestehen. Da muss ja erstmal jemand drauf kommen, diese Zero Day irgendwie zu finden. Ich meine, werden auch irgendwie von Sicherheitsforschern durch Forced kommen auch da dran. Aber daher ist Updates machen eigentlich das Allerwichtigste.
Thomas Wiebe (37:46)
Das sind dann die Leute, sagen, ich mache es fürs Geld. Ich gebe die Information nicht erst mal gewissenhaft dem Hersteller, sondern ich verkaufe die einfach direkt auf dem Schwarzmarkt, im Darknet. Kannst du beides machen, ja klar. Aber dann finanzierst du dich auf die Art und Weise. Das macht es allen Anwendern schwieriger, sich sicher zu halten, weil du gar keine Möglichkeit hast. Zumindest nicht mit Standardmitteln. Mit Standardmitteln im Sinne von der Applikation, eigentliche Ursache kannst du nicht fixen.
Andrej Friesen (37:57)
Kannst ja beides machen. ⁓
Thomas Wiebe (38:16)
Was du immer noch machen kannst, wir kommen noch glaube ich auf das Thema Firewalls, da gibt es halt auch das Thema Web Application Firewalls. Du kannst also zum Beispiel auf deinem Traffic oder Caddy oder was auch immer du als Reverse Proxy irgendwie so als Entry Point verwendest, kannst du auch eine Web Application Firewall installieren und konfigurieren. Gibt es zum Beispiel bei Traffic und Caddy gibt es Coraza. Die nutzen, die kann man auch füttern mit dem OWASP Core Wool Set.
Und Custom-Regeln natürlich auch. da ist natürlich immer das Ding, das ist halt eine... Das ist was Vorgeschaltetes, was versucht, bestehende Patterns, also Schematar, wie Requests erfolgen, was übermittelt wird, als böse zu klassifizieren. Also das sind den Rulesets dann schon drin. Und je nachdem, was du dann für ein Paranoia-Level definierst, werden diese Rulesets angewendet. Und da muss man ganz klar sagen...
Andrej Friesen (39:13)
Nussurus?
Thomas Wiebe (39:14)
Nee, privat momentan noch nicht. Beruflich sind wir gerade mal wieder aktuell an dem Thema dran. Genau. Was auch immer du da für Rulesets definierst, je höher das Paranoia-Level, desto wahrscheinlicher ist, dass irgendwas nachher nicht mehr geht. Und mit irgendwas ist halt nicht so das offensichtlichste, also dieses, ich kann mich nicht gar nicht erst einloggen, sondern irgendeine Funktion, irgendwo ein File-Upload oder sowas, oder irgendwas geht dann halt nicht mehr. Es so ein bisschen wie mit so einem Adblocker im Browser.
Andrej Friesen (39:31)
Normale Funktionalität.
Ja, ja, ja.
Thomas Wiebe (39:42)
Es funktionieren 99 % von den Dingen die man haben will, aber da gibt es halt diesen Prozent da wo du... verdammt das war doch wieder nur der Adblocker.
Deswegen, Web Application Firewalls, glaube ich, eine wichtige Sache. Und es gibt da, wie gesagt, die Paranoia Level und das Paranoia Level 1, da ist das Ziel, keinen negativen Impact zu haben, aber auch das ist nicht gesichert und da ist nur die Motivation von denjenigen, die die Regeln entwickeln. Wenn ihr was findet, wo was nicht funktioniert, meldet es bitte. Das heißt, Paranoia Level 1 sollte recht seamless sein. Aber sobald du höher gehst, es gibt vier,
Und bei zwei sind wir so bei einem Niveau von für Firmen, die personenbezogene Daten speichern. Bei drei sind wir so beim Online Banking. Und bei vier fahren wir nicht. Also wahrscheinlich so die Ecke.
Andrej Friesen (40:26)
Mhm.
Militär. Keine Ahnung. Ja, aber ich
würde sagen, dass... Jetzt auf den ersten Blick würde ich sagen, das ist schon harter Overkill, oder? Für privat. Entschuldigung, lass uns das... Also...
Thomas Wiebe (40:40)
Das ist
halt der Part, wenn du dich so gegen Probleme wie Zero Days schützen möchtest oder einfach Programmierfehler, sicherheitsrelevante Bugs, sowas. Ist im Framework zum Beispiel was drin. Irgendeine, weiß ich nicht, Cross-Site-Scripting-Geschichte, Sequel-Injection oder sowas. Genau, das kann das...
Andrej Friesen (41:03)
Klassiker.
Thomas Wiebe (41:06)
bedingt abfangen mit falls positive niveau nenn ich niveau mit falls positive Genau danke und wie gesagt variable also hier höher das paranoia level desto höher das falls positive risiko
Andrej Friesen (41:11)
Risiko.
Ja also ich sag mal, wenn du da ein RSS-Räder laufen hast, wie ich mit meinem MiniFlux dem Internet steht, muss man da jetzt noch mal Application Firewall vorschreiben? Weiß ich nicht. Jetzt mal ganz ehrlich, wenn die da drauf kommen, haben die halt meine RSS-Feeds. Das ist der Impact.
Thomas Wiebe (41:35)
Die Frage ist ja immer, was haben sie dann,
wenn sie reinkommen, wenn der Angreifer reinkommt, was hat er denn gewonnen? Ist er nur in einem Container drin? Schon mal gut. Hat der Container eventuell glücklicherweise keinen Zugriff auf das lokale Netz oder das Internet? Okay, kann man ja einstellen. Also auch bei Docker Netzwerken kannst du sowas sagen wie kein Internet oder so. Dann ist zumindest schon mal das Routing ins Internet für dieses Netz disabled. Das heißt Beispiel Setup.
Andrej Friesen (41:50)
Nix.
Thomas Wiebe (42:03)
Du hättest so einen Traffic zum Beispiel oder einen Caddy als Einstiegspunkt. Den stellst du mit Port Forwarding nach außen. Und nach innen hat dann zum Beispiel jede deine Applikation läuft auf einem separaten Docker Netzwerk. Und diese separaten Docker Netzwerke musst du natürlich dann dem Traffic auch zugänglich machen. Aber da sagst du dann, die haben keinen Zugriff ins Internet, sondern da darf wirklich nur die Kommunikation zwischen Traffic und den Containern in diesem Netz stattfinden.
Das funktioniert in vielen Fällen gut, weil du in vielen Fällen einfach keinen Zugriff ins Internet brauchst. Miniflux wäre jetzt zum Beispiel ein Beispiel, wo du damit nicht weiter kommen würdest, weil Miniflux eben dieser RSS-Rieder ist. Der muss Daten aus dem Internet beziehen, der muss RSS-Feeds abonnieren. Da kannst du diese Maßnahme nicht treffen. Das heißt, du hast zumindest schon mal, wenn du da einbrichst und keinerlei Firewall-Regeln zusätzlich handisch definierst, weil in Docker gibt es da halt einfach keinen Weg für, dann hätte derjenige zumindest schon mal Zugriff auf
Ein gesamtes privates Netz und eventuell auch die anderen Docker Netzwerke so ein bisschen implizit. Aber nur implizit, also nicht direkt. so, damit ist schon mal ein bisschen mehr zu holen. Dann ist der Miniflux zwar kompromittiert, aber nicht nur, sondern eventuell halt auch Zugriff auf, weiß ich nicht, deinen Drucker, der irgendwo nebenan steht und dann kommen da halt Seiten raus mit...
Andrej Friesen (43:25)
Nee, der Mehlflugs ist im Internet. Also in der Cloud.
Thomas Wiebe (43:29)
Achso, den hast du... ⁓ okay, okay, okay. Gut. Alles klar. Ja, dann Impact reduziert sozusagen, ne?
Andrej Friesen (43:30)
Der ist nicht zu Hause. Deswegen. So.
Genau,
also Impact durch reduziert dadurch, dass ich es ins Internet gepackt habe.
Thomas Wiebe (43:42)
Wenn man so möchte.
Okay, cool. Genau. die Klammer zuzumachen, es gibt halt auch Leute, die scanen nicht einfach nur brute force, sondern die scanen halt auch ganz gezielt. gucken, welchen Service finde ich im Internet? Wie identifiziert er sich? Hab ich da vielleicht auch noch die Versionsnummer drin? Wenn ich die Versionsnummer drin habe, dann kann ich vielleicht in irgendeiner CWI Datenbank, also wofür steht CWI? CWI Crew.
Andrej Friesen (44:09)
⁓
Wohne Böte
Thomas Wiebe (44:13)
Ja,
Common Vulnerabilities and Exposures, ist so eine öffentliche Datenbank, wo Sicherheitsprobleme registriert werden. Nicht die einzige, meine ich, aber... Ja, damit arbeiten.
Andrej Friesen (44:22)
Nee, da gibt es mehrere. Und das ist ja auch gerade
in Diskussion, weil die eine in USA liegt und die wollten das schließen oder so. War das nicht so das Thema?
Thomas Wiebe (44:30)
Ich habe mir vorbei glaube ich Ja, aber genau da gibt es diese Datenbanken und dann kann man halt gucken für welche versionen welche sicherheitslücken vorliegen aber man muss dazu sagen weil da ist wieder security through obscurity jetzt könntest du ja sagen ja dann setze ich meinen engine x da dann lasse ich da die versionsnummer verstecken ok es ist jetzt aber auch nicht so also natürlich kann man explorativ vorgehen und man kann gucken welche versions finde ich und gucke ob die
Andrej Friesen (44:32)
Okay, naja, dann lassen wir's.
Ja.
Thomas Wiebe (44:59)
Welches cv ist für die version man kann aber auch einfach hingehen und sagen ich habe hier mein set an nginx exploits und ich baller die alle durch und selbst wenn das ding sich nicht mal als nginx identifiziert sondern als irgendwas dann kann ich auch die wichtigsten einmal durchknallen das ist auch kein schutz also Da kannst du auch deine versionsnummer reinschreiben dann je nachdem Kann die versionsnummer sogar dir den aus sogar nach außen die information sein das ding ist gepatcht weil es gibt ja auch
Andrej Friesen (45:04)
Danke.
Ist ja jetzt kein Aufwand.
Thomas Wiebe (45:28)
Patches von Distributionen. Also wenn du einen NGINX aus deiner Distribution verwendest, dann ist das eventuell eine alte Version von NGINX, die hat aber zurückportierte Patches. So, und dann kriegt sie halt ein Patchlevel in die Versionsnummer gehaftet und das kann auch den positiven Effekt haben zu sagen, guck mal, das ist gepatcht. ja. Abbruch, Klammer zu.
Andrej Friesen (45:45)
Ja.
Genau, WAF, Web Application Firewall. Komplexes Thema. Ich glaube, das würde ich erst angehen, wenn das wirklich verdammt wichtige Daten sind und eher, ja, muss man schauen. Aber es gibt noch nicht nur die Web Application Firewall, sondern die ganz normale Firewall. Da gibt es in meinen Augen zwei, wo man drauf gucken sollte. Einmal die Lokale auf dem Server, wo man dann Port 80 freigibt, Port SSH 22, 443 vielleicht noch für HTTPS.
Ja, und dann, das reicht eigentlich schon für web. Mehr sollte man da nicht freigeben. Aber wenn jetzt Applikationen hat wie MQTT, also andere Protokolle, die über 1883, ist das 1883? Was auch immer. Auf jeden Fall andere Ports. Muss man die natürlich freigeben. Hier einen kleinen Hinweis. Docker ist ein bisschen blöd in der Standard-Konfiguration.
Thomas Wiebe (46:39)
Ich glaube ja.
Andrej Friesen (46:51)
Mit der Ubuntu Firewall, nee. Ist das UFW, ist die Ubuntu Firewall? ist das Unified Firewall? Ich weiß es nicht mehr. Auf jeden Fall dieses UFW-Paket. Kannst ja sagen. Kannst ja die Ports öffnen und schließen. Wenn man über Docker die Ports öffnet, dann ist Docker relativ egal, was die Firewall sagt. Der macht das einfach auf. Da gibt es auch schon seit Jahren Issues drüber, dass Leute sich beschweren, dass Docker um UFW mit Effekt rund umgeht, weil das
Ich weiß nicht, ob es IP-Tables oder NF-Tables heutzutage sind, low-levelig da was ändert. Und das hilft da leider nicht.
Thomas Wiebe (47:30)
kann Docker tatsächlich instruieren, nichts mit Firewall zu machen. ich weiß nicht, wie die Setting heißt, aber es gibt irgendeinen Docker-Deam-Setting, dann stellst du das quasi aus, dann musst du alles explizit machen. Aber man darf halt auch nicht vergessen, dass Docker ziemlich viel implizit macht, einfach nur, ⁓ Requests weiterzuleiten, Port Forwardings zu realisieren. es gibt auch.
Andrej Friesen (47:45)
Ja, Magic.
Das ganze Bridge
Netzwerk kann dann halt Probleme machen, was du dann benutzen möchtest. Deswegen ist das schon nett und deswegen habe ich da eine Lösung für mich und das ist die Firewall des Cloud Providers. Das jeweilige. Ich bin hier bei Hetzner, die haben auch ein Firewall Produkt. Dort kannst du dann auch 80, 443 etc. aufmachen. Oder auch explizit schließen glaube ich. auch. Nee, ich glaube die ist nur öffnen. Anyway, genau und dann...
Thomas Wiebe (47:55)
Ja,
Andrej Friesen (48:21)
Auch wenn Docker jetzt ein Port aufmacht auf der Linux Kiste kommt durch die Hetzner Firewall oder auch andere Produkte, ist ja egal ob es Hetzner, AWS und Co. kommt dann einfach kein Traffic rein, weil Hetzner das schon abfängt. Das hat auch einen kleinen Vorteil in meinen Augen und zwar macht man die Firewall-Geschichte auf dem Host selber, also auf der Linux, vor allem oder Hardware ist ja egal, dann kommt der Traffic erstmal an.
Auch wenn man den blockt, der kommt erstmal an und das braucht ein kleines bisschen Ressourcen. Und wenn man die Firewall nimmt von dem jeweiligen Cloud Provider, ist das für gewöhnlich ein eigenes Produkt, eine eigene Infrastruktur und die fängt das ab. Das heißt, das kommt erst gar nicht an deine VM. Wollen die ja auch nicht, weil die wollen ja im Endeffekt die Server schützen vor zu viel Traffic, also deren Netz halt auch.
Thomas Wiebe (49:16)
hängt dann auch an der Cloud-Provider-Infrastruktur, wie die einfach aufgebaut ist. Weil manche, die wenden dann diese Regeln direkt auf der Node an, auf der Computer, also auf dem Hardware, auf dem Blech, wo die VM läuft. So, ist der Traffic schon sehr weit gekommen, aber es gibt halt auch welche, die machen das ein bisschen früher, schon so auf Router geben oder so. Dann kann man auch natürlich je nachdem so ein bisschen das weitere Netz oder weitere Teile vom Netz noch so ein bisschen davor schützen.
Andrej Friesen (49:18)
voll.
Thomas Wiebe (49:43)
würde tatsächlich grundsätzlich sagen, wenn es irgendwie geht, macht beides. Also Firewall auf dem Betriebssystem und auf der Cloud-Plattform. Es kann immer passieren. Einfachstes Problem, dass irgendwas beim Bootfehl geschlagen ist und die Firewall im Betriebssystem nicht gestartet wurde sauber. Das fällt dann eventuell nicht auf. Es kann aber genauso gut sein, dass irgendwas bei der Plattform des Providers schiefgelaufen ist und die Firewall-Regeln nicht aktiv sind. Entweder einfach Bug eingebaut, also neue...
neue Funktionen geschrieben, Bug eingebaut, dass das irgendwie nicht klappt. Oder Corner Cases, also sowas wie was passiert denn, wenn die VM auf eine andere Node migriert wurde? Sind dann alle Firewall-Regeln sauber mit übernommen worden? Immer? Was ist, wenn das unter gewissen Umständen genau zu einem ungünstigen Zeitpunkt passiert ist? Oder wenn die Aktion aus irgendwelchen Gründen abgebrochen werden müsste und die VM musste auf dem Quellsystem wieder gestartet werden? Ganz viele Konstellationen. Und kann sein, dass gerade alles super läuft bei dem Provider?
kann aber auch sein, dass es dann bei einem neuen Feature kaputt geht und dass es einfach noch nicht in dem Umfang der Testspeed mit drin war. Dementsprechend grundsätzlich, wenn ihr könnt, macht es einfach mit beiden Ebenen.
Andrej Friesen (50:50)
Beides.
Ja, mach ich auch so. Ich habe immer meine UfW, die zwei, drei Dinger und dann in der Cloud Firewall.
Genau. Ein weiterer Faktor ist halt noch für Applikationssicherheit, versucht, zwei Faktor zu nutzen. Also auch Wörterbuchlisten, Passwörter sind sowieso nicht, also das darf man sowieso nicht benutzen. Aber zwei Faktor zu aktivieren ist auch keine schlechte Idee.
Das hilft auf jeden Fall, dass die Leute zumindest auf dem regulären Lockenversuch nicht mehr reinkommen, außer in dem Teil ist natürlich auch ein Floor drin, aber das sind halt so Dinge, da kann man sich nicht mehr großartig gegenschützen.
Thomas Wiebe (51:41)
Da muss ich sagen, ist mir Paperless vor kurzem noch ein bisschen den Keks gegangen. Also bei TOTP als zweiter Faktor, also diese time-based one-time passwords, diese 6-Ziffer-Tokens, da ist halt immer das Problem die Uhr. Weil du hast ein geteiltes Secret und dann wird es anhand von Zeit berechnet oder Zeit ist ein Faktor der Berechnung von dem Code, sagen wir es mal so.
Andrej Friesen (51:45)
Warum?
Hm.
Ja.
Thomas Wiebe (52:11)
Wenn du das stabil haben willst, du davon ausgehen, dass Server und Client-Seite nicht immer 100 % dieselbe Uhrzeit haben. Und außerdem gibt es ja bei jedem Code eben diese zeitliche Validitätsperiode. Das ist immer schwierig mit dem Englisch und dem Deutsch. Validity-Period, whatever. So und das kann ja, das kann drei Sekunden oder eine Minute sein. Dementsprechend, wenn ihr den Code generiert, fünf Sekunden vor Ablauf und ihr seid einfach zu langsam mit dem reinhemmern und abschicken, dann...
Andrej Friesen (52:37)
Ja.
Thomas Wiebe (52:41)
Dann muss der Server es implementieren, mehrere Codes intern zu generieren, also mit ein bisschen Zeitversatz und alle diese Codes zu akzeptieren. Anscheinend macht PaperList das nicht. Ich habe jetzt schon mehrmals Login-Versuche gehabt, wo ich wirklich dann wieder in den OneTime-Passwort-Generator reinhüpfen musste und den Code nochmal rausziehen musste, weil er war halt gerade an der Grenze. So, und das haben sie also an der Stelle nicht so gut implementiert, leider.
Andrej Friesen (53:10)
Ja, aber du tippst so langsam.
Thomas Wiebe (53:10)
Aber... Ich...
Ich mein, der Passwortmanager... Ehrlich gesagt, der Codecon aus dem Passwortmanager... Habt nicht gehört? Ähm, der Passwortmanager...
Andrej Friesen (53:18)
Was, was hast du gesagt?
Nee, ich hab's wirklich nicht gehört.
Thomas Wiebe (53:21)
Der kod kommt aus dem password manager habt ihr nicht gehört jetzt noch mal ganz deutlich und der wird Dann halt einfach direkt kopiert also ich muss den wirklich nur noch einfügen und enter drücken also eigentlich Bin ich da schon recht flott sagen wir mal so nichts desto trotz tritt das hin und wieder auf Dann gibt es natürlich auch noch den factor mit dem one time passports aber das ist das ist keine inconvenience wenn man so möchte macht es ja nicht unbequemer
Andrej Friesen (53:26)
Ach so.
Ja, okay, kannst du nichts mehr für ihn machen.
Thomas Wiebe (53:51)
sondern eher ein zusätzlicher Sicherheitsschritt benutzt der One-Time-Passwörter. Die sollten auch als verbraucht markiert werden auf Provider-Seite. heißt, kann manchmal schwierig sein, wenn du das einrichtest, dann wird ein Passwort generiert, du bestätigst das und je nachdem wie die Implementation ist und das dann wirklich als verbraucht markiert wird, selbst bei der Einrichtung, weil es ja ein One-Time-Passwort ist und du lockst dich sofort aus und willst dich wieder einloggen damit, dann kann das halt schon mal sein,
ist noch als verbraucht markiert. Oder du loggst dich einmal ein an sich, nachdem es schon aktiv ist, loggst dich aus Versehen vielleicht sofort wieder aus, willst dich wieder einloggen, zack, funktioniert jetzt das Passwort nicht mehr. Also wenn man sich da schon mal wundert, kann das auch einfach daran liegen. Es ist halt verbraucht, warte 30 Sekunden, versuch's nochmal mit dem aktuellen. Dann geht das.
Andrej Friesen (54:35)
Genau.
Ja so mega happy bin ich mit dem... auch nicht mit dem Zeug, aber... was so...
Thomas Wiebe (54:43)
Ja, Parskys sind halt noch nicht überall angekommen, ne? Parskys sind ne feine Sache.
Andrej Friesen (54:46)
und sind auch
nicht immer geil.
Thomas Wiebe (54:48)
Nicht?
Andrej Friesen (54:49)
Also das fängt ja erst gerade an, Also das ist ja schwierig, weil du kannst ja die Pass-Case entweder auf dem Betriebssystem speichern. Das heißt, die sind auf dem Gerät nicht universell. Ist jetzt kein Ersatz für das Passwort. Hilft dir ja nicht. Das Passwort ist ja immer noch da. Das heißt, du brauchst... Dann gibt es die Möglichkeit, du hast ja Password Manager, wo du die Pass-Case theoretisch speichern könntest.
Das wäre smart, weil dann ist es nicht mehr Gerät gebunden, aber halt im Passwortmanager und dann kannst du das theoretisch auf jedem Gerät diesen Passkey benutzen. Dann bräuchte man in der Theorie das Passwort nicht immer, das Passwort aber trotzdem noch. Das heißt für das Passwort muss man trotzdem noch irgendwie zwei Faktoren zufügen.
Thomas Wiebe (55:36)
Ja, hat Vor- und Nachteile, Also, weil es ja auch... Ja, erzählen das mal weiter.
Andrej Friesen (55:37)
Und dann gibt noch die
andere Ebene, Browser Plugins. Password Manager sind ja häufig auch Browser Plugins. Und das ist gerade noch so Misch. Ich merke das gerade mit meinem Bitworn. Manche Sachen kann ich nur auf dem Gerät speichern, manche Sachen kann ich nur auf dem Gerät auf dem Password Manager speichern. Je nach Betriebssystem auch. Bei Mac, Windows und Linux verhalten sich da anders. Und manchmal geht es dann nicht übers Browser Plugin.
sondern nur auf die echte... Also das ist echt noch viel zu kompliziert in meinen Augen. Da ist die Implementierung noch mitten im Gange. Es ist eine gute Sache. Nutze ich mit meinem MiniFlux zum Beispiel auch. habe jetzt pro Gerät, also mein Handy, mein Tablet, habe jetzt ein Passkey. Aber wenn ich diesen Passkey verliere oder das Gerät verliere und habe kein Passwort, so. Das Passwort ist ja nicht weg.
Thomas Wiebe (56:28)
brauchst du das Passwort. Genau,
das Argument ist sogar eigentlich da. Es sollte eigentlich sogar pro Gerät sein, weil dann hast du wieder den zweiten Faktor. Also du hast halt auch den physikalischen Zugriff auf das Gerät. Eigentlich ganz gut.
Andrej Friesen (56:44)
Hast du auch mit
dem Passwortmanager, weil du ja mit dem Passwortmanager interagierst auf dem Gerät.
Thomas Wiebe (56:50)
Ja gut, der Safe ist dann zumindest ja erstmal nicht mehr gerätgebunden. Aber es ist ein zweiter Faktor. Es ist ein Passwortmanager. Also er hat einen eigenen Masterpasswort und so weiter. man glaube ich auch argumentieren. Es ist ein komplexes Thema auf jeden Fall. Es nimmt dir halt so ein bisschen auch das Phishing-Problem etwas ab. Wenn du dich auf Parsky verlässt und dann die Applikation dir sagt, ich bin der und der, ich folgende ID, habe folgende Domain. So dann...
Andrej Friesen (57:03)
Wahnsinnig komplex.
Ja, das stimmt. Domain ist
Domainwert gecheckt. Ganz wichtig, es gibt ja auch diese... Das ist jetzt nicht mehr bei Self-hosting so interessant. Nee. Aber bei Public Diensten gibt es ja auch so Fake Domains, die dann kyrillische Buchstaben oder was auch immer für Buchstaben benutzen, die exakt gleich aussehen zu unseren normalen... Weiß nicht, ist das lateinische Buchstaben? Na, jetzt bin ich raus. Egal, auf die normalen Buchstaben halt. Und es ist eine völlig andere Domain. Und da dein Passwort einzutippen...
Thomas Wiebe (57:33)
Mmh.
Andrej Friesen (57:47)
zu machen, funktioniert, haben Sie es gefischt. Da aber dein Parsky zu benutzen, wird nicht funktionieren, weil der Parsky das theoretisch unterbinden sollte.
Thomas Wiebe (57:55)
Ich glaube du musst es dann kombinieren. du vielleicht machen musst ist sowas wie das was mich so nervt aber die Kombination ist dann okay. Du machst Parsky als Standardmittel dich einzuloggen. Du hast immer noch ein Passwort aber wenn sich jemand mit dem Passwort einloggt dann schickst du zusätzlich noch die E-Mail an die E-Mail Adresse oder an die Handy Nummer. ist nicht unkn... Jaja klar aber das ist ja dann nicht mehr bei jedem Login. Das ist ja dann nur nochmal...
Andrej Friesen (58:13)
E-Mail hasse ich.
Thomas Wiebe (58:20)
Wenn du irgendwie was recovern musst oder dich das erste Mal auf ein Gerät einloggst, dann finde ich es okay. Ist immer noch knackbar. Alles an allem, natürlich. Ähm... Bitte. Immer.
Andrej Friesen (58:30)
Darf ich mal ranten? So, Marker setzen.
Mir geht das so auf den Keks. Erstmal, früher, gut ist es, du hast ein Passwortfeld, Username, Passwort, du nutzt deinen Passwortmanager, klick, ausgefüllt, meinetwegen noch zwei Faktoren, klick, nochmal ausgefüllt, sagst du angemeldet bleiben, liest das, funktioniert. Mir geht das so auf den Keks, wenn dann Webseiten machen, hier tippt deine E-Mail ein, tippst deine, machst den Passwortmanager, E-Mail wird eingetippt.
Dann hier bitte tippt dein Passwort. Okay, tippt dein Passwort. Das heißt, du hast wieder mehr Interaktion. Und noch schlimmer finde ich, ich hasse es ja eigentlich komplett, diese Magic-Links über E-Mail. Oder am besten noch zwei Fokter über E-Mail, wo du dann irgendwo deine Zahlen kopieren musst. Lass mich das mit meinem blöden Passwortmanager machen. ist... E-Mail ist kein sicheres Kommunikationsmedium. In dem Sinne...
möchte das. Ich will einfach nur einmal klicken und nicht 38 mal noch den Tab wechseln oder noch in mein Thunderbird gehen und dann noch mal warten bis die E-Mail abgerufen wird. Das geht mir so auf den Keks. Ich verstehe das, was die da machen. Der Otto Normalo, meine Oma, deine Mutter, ist egal. Die können das alle nicht. Die verstehen das nicht. Das ist auch okay. Aber warum muss man das? Kann man nicht ein Setting machen von wegen Passwortmanager Version? Hier locken.
Thomas Wiebe (59:49)
Ja, es gibt ja diesen ganz fiesen Trend. Ich ob du das gerade auch in deiner Aufzählung drin hattest, ehrlich gesagt. Aber dieses, man hat wirklich gar keinen Passwort mehr. Du gibst nur noch die E-Mail-Adresse ein und mit jedem einzelnen Login kriegst du die Nachricht und du musst den Code bestätigen. Das triggert mich hart.
Andrej Friesen (59:58)
Ja.
tut mir leid, auch bei unserem Blog.
Also, ja, ist halt so. Ghost macht nur Magic Links und mich nervt das voll. Ich verstehe das. Man hat dann keine Passwortdatenbank, die geknackt werden kann, die Leute, dann hast du halt einen Cookie da sitzen oder so, der dann sagt, die ist für 30 Tage gültig oder so, aber mich nervt das ungem.
Ja, Randende. Nur kurz.
Thomas Wiebe (1:00:31)
Dafür lege ich aber kein eigenes Kapitel an. Das wird reingestreut, reingerieselt. So. Haben wir noch was? Ach so, ja. Ich gehe gerade mal unsere Liste durch und ich mache mal ganz geschickt.
Andrej Friesen (1:00:33)
Okay.
Der Ippmann kommt noch.
Thomas Wiebe (1:00:48)
Nochmal ganz an Anfang, Docker Update, weil ich wollte ein Statement noch hinterlassen, das hatten wir nämlich vor ein paar Wochen, als wir das Thema Docker hatten und wie das bei mir in den Updates immer fehlgeschlagen ist. Ich bleibe bei meiner Aussage, ich finde es ehrlich gesagt gut, das Docker von der Distribution zu nutzen, solange es geht natürlich. Ich hatte ja das Problem, dass es bei mir nicht mehr geht, weil es verbugt war, aber das Socket-Problem, das Socket-Thema, dass dann auf einmal ein Versionsupdate mitten im Betrieb ist, das hättest du damit halt nicht gehabt. Ubuntu Update, neue Version.
Eventuell dann ein Problem, ja. Aber einfach mal so, unattended upgrade, Docker-Version, bumm. Also, nö. Einfach nur mein Ansatz.
Andrej Friesen (1:01:28)
Weiß nicht, also das war
das erste Mal, dass ich deswegen ein Problem habe.
Thomas Wiebe (1:01:33)
Ja, man hatte es bei Docker. Okay, ist gut.
Andrej Friesen (1:01:34)
Und ich mache einen tenant upgrade seit immer.
Und es war ja
auch nicht Docker's Schuld. Für diesen konkreten Falle war es gar nicht Docker's Schuld, weil Trafik hat einfach irgendwo hart gecoded. Eine Minimum-Docker-Version, die niemand mehr benutzt hat, die einfach vergessen wurde. So, ob ich das GitHub-Issue zumindest verstanden habe. Und eigentlich nutzt man heutzutage so eine, wie heißt das, Negotiation, eine Verhandlung. Die machen eine Docker-API-Verhandlung, der client. Das heißt, die einigen sich auf eine Minist-API.
Thomas Wiebe (1:02:04)
Mhm.
Andrej Friesen (1:02:07)
Und das war einfach irgendwo hart gekröntet, weil das irgendwo mal so wichtig war vor Jahren. Und das haben die jetzt angepasst in der letzten Version. So, das heißt, es ist eigentlich ein Problem von Treffik gewesen, nicht Docker.
Thomas Wiebe (1:02:21)
Ja, die Kombination, war halt ein docker major upgrade, was das ganze ausgelöst hat. Dementsprechend kann immer ein breaking change mit reinkommen am ende. Aber ja, Das wollte ich nur noch loswerden, weil das hatte ich mir vorher noch notiert und dachte mir Mensch, das ist endlich mal ein Argument für meinen Weg der Wahl nämlich.
Andrej Friesen (1:02:37)
Ja, da sind wir ja ganz anders. Ich sag
immer, nimm das offizielle Docker aus dem Repo von Docker und du sagst immer, das. Ich hab noch nie das andere installiert, nur distro-docker.
Thomas Wiebe (1:02:49)
Ja,
aber ich bin anscheinend relativ alleine auf dieser Seite. Naja, ist so. Ich erinnere mich auch noch an...
Andrej Friesen (1:02:55)
Ich glaube die meisten Suits
testen halt auch gegen die offizielle, deswegen fahre ich da auch den Weg. Weil du kannst ja nicht gegen Distro-Docker testen, weil du... Ja... zu viel... eben.
Thomas Wiebe (1:03:00)
Das mag sein.
zu viele. Haben ja auch Backports teilweise drin und so.
Ist halt so, das stimmt schon. Das ist auch nur ein Ansatz von, naja, bei Docker tut sich halt nicht mehr so viel, deswegen Punkt Punkt. Aber wir hatten es ja auch mal, auch in einem Unternehmen, wo wir zusammengearbeitet haben, wo Puppet aus einem PPA kam und es gab ein, wie war das, Server?
Andrej Friesen (1:03:24)
Hier update ich die datenbank
ja diese hier
Thomas Wiebe (1:03:27)
Ich glaube der
Client wurde aktualisiert, weil die Clients auch aus dem PPA kamen und der Server war noch veraltet oder sowas und damit waren die Clients nicht mehr kompatibel zum Server und damit war effektiv halt alles irgendwie down und das war voll gut. nicht... Genau, deswegen ich bin immer sehr vorsichtig mit PPA. Also bisschen wie, weiß ich nicht, Adorns in Home Assistant, wenn's sein muss oder... Nee, Hacks. Also Integration in Home Assistant, wenn's sein muss, ja. Unter Kontrolle, aber wenn's sein muss. So.
Andrej Friesen (1:03:37)
Ja. Geht so.
Thomas Wiebe (1:03:56)
Mein Ansatz. So, ich glaube, jetzt haben wir es aber zum Thema unattainable Upgrades, Updates, bla bla bla. Wo waren wir jetzt?
Andrej Friesen (1:04:05)
Der Ippbann, das wollte ich noch kurz ansprechen.
Thomas Wiebe (1:04:06)
Ja,
da hippen. Fail to bein.
Andrej Friesen (1:04:09)
Es gibt ja das
IP-Ban, genau. Es gibt hier das Tool IP-Ban. Schon sehr, alt. Und im Endeffekt... File-to-Ban, das meine ich. Mein Gott! Deswegen habe ich so... Ich habe letztens auf meinem System gedacht, warum gibt es kein IP-Ban? Das heißt File-to-Ban. Oh ja. Das ist wirklich Asbach. Aber das nutzen halt noch viele und es wird auch immer wieder empfohlen.
Thomas Wiebe (1:04:19)
Meinst du Fail to Band oder ist es nochmal ein anderes? Okay.
Ja, genau. Das ist so aspach mittlerweile. ⁓
Andrej Friesen (1:04:39)
Ich weiß gar nicht, wie sinnvoll ich das halte. Also was macht das? Wenn du ein... Im Endeffekt verhinderts diese brute force Attack. Wenn jemand versucht, von der gleichen IP dreimal einzuloggen, kannst du natürlich konfigurieren wie oft, dann wird er für x-zeit gesperrt. So. Ja.
Aber heutzutage mit so vielen IP-Adressen und mit Botnetzwerken und weiß nicht, wie sinnvoll das ist, kann man eine einzelne... Zudem habe ich mich zum Beispiel auch mal selber ausgesperrt. Ich habe mal dieses IP-Ban bei Home Assistant-Konfigur. Das funktioniert überhaupt nicht in meinen Augen. werde ständig... Also ich kriege ständig in der Nacht... Wird mein Handy gesperrt.
Thomas Wiebe (1:05:11)
Ja.
Ach, interessant.
Andrej Friesen (1:05:23)
Super viele, also die IP-Band-Funktionenität, IP-Band ist ein Fail-to-Band-Funktionenität von Home Assistant, habe ich einfach dann deaktiviert, ich kam, ich habe, würde regelmäßig mein Handy gelockt, da muss ich wieder das Home Assistant per SSH drauf oder per SSH locken und wie das Code die Datei löschen, die gesperrte IP-Adresse ist und das ständig mein Handy.
Thomas Wiebe (1:05:46)
Interessant. Ich hab's beim Home Assistant gar nicht aktiv. Was ich aber hin und wieder mal hatte, ist, dass mir Home Assistant eine Notification schmeißt mit fehlerhafter Loginversucht von. Und dann denk ich mir, hä? Das war eine interne IP. Wer versucht sich denn hier einzuloggen? Und dann guck ich irgendwie, die IP gehört zu meinem Handy. Oder zu irgendwas. Und denk ich mir, warum? Was war denn da fehlerhaft? Also ich versteh bis heute nicht so ganz, warum man irgendwann fehlerhaften Loginversuch erkennt. Und wenn der natürlich dann gebannt wird, dann ja, sorry.
Andrej Friesen (1:05:49)
Ja, lasst es.
Ja, ja genau.
Und das ist ... Das habe ich auch ab und zu. Und ich sagte ... So
nervig, ständig bist du ... Das war fast jeden Tag bei mir. Nee, jetzt reicht es mir.
Thomas Wiebe (1:06:16)
Ja.
Ich habe irgendwann mal die Theorie entwickelt, ich bin... Also man muss dazu sagen, es gibt ja gewisse Dinge, die wundern einen, aber man bleibt faul genug, ⁓ nicht richtig tief einzusteigen. Das ist genau eines dieser Probleme. Ich habe irgendwann die Theorie entwickelt. Ich glaube, es wird schon gelockt, wenn du einfach nur die Login-Maske kriegst und dich nicht einloggst oder irgendwie sowas.
Andrej Friesen (1:06:31)
Haha, ja.
sein.
Thomas Wiebe (1:06:45)
Aber naja, irgendeine Theorie.
Andrej Friesen (1:06:49)
Ja, aber Fail-to-Bun ist halt so der Klassiker. Ich weiß nicht, wie sinnvoll das tatsächlich ist, weil im Endeffekt der Traffic kommt trotzdem an. Gut, geht dann nicht mehr auf die Applikation, also nicht mehr auf das Haar oder was auch immer, sondern wird halt weggeschmissen sofort von der Firewall.
Thomas Wiebe (1:07:02)
Du machst so bisschen dieses Scanning kaputt damit oder verlangsamst es, wenn du so möchtest. Weil im Grunde ja irgendjemand fängt an zu scannen, irgendwas. Entweder Brute Force Attacken, also Login Attempts oder... weiß ich, irgendeine andere Art von Scannen halt, also nach Sicherheitslücke und je nachdem, was das Fail-to-Ban macht. Fail-to-Ban klassisch ist, glaube ich, tatsächlich nur für Logins. Das war eine Komponente, früher zumindest, konntest du installieren. Ich meine sogar ein Pearlscript, wenn ich mich recht erinnere.
Andrej Friesen (1:07:07)
Hmm.
Ja, genau.
Ja, ich
glaube auch.
Thomas Wiebe (1:07:29)
Dem fütterst du gewisse Log-Dateien rein, damit er überhaupt erst mal die Informationen findet, die relevant sind, weil der setzt sich nicht wie eine Firewall zwischen dem Service und dem Client, das nicht, sondern er guckt dann halt in deinen Access-Log zum Beispiel rein oder in den SSH-Log und guckt dann danach versuchen und wenn ein gewisser Schwerwert überschritten ist, dann setzt er eine Firewall-Regel, die denjenigen aussperrt. Mittlerweile gibt es aber diesen Mechanismus auch in Komponenten integriert, zum Beispiel wie du sagtest in Home Assistant.
Andrej Friesen (1:07:36)
Mhm.
Thomas Wiebe (1:07:58)
Ich hab's im Stallwart gefunden, im Storeboard-Mail-Server. So hab ich mich damals, damals vor ein paar Wochen beim Initialen einrichten, weil einer meiner Clients sich nicht ganz sauber verhalten hat und ich das immer wieder versucht hab, hab ich mich irgendwann gewundert, warum krieg ich denn jetzt nicht mal mehr ne ordentliche Fehlermeldung nach Sekunden, sondern eher ne Minute in Timeout? Danke, ich bin in den, in den, genau, ich bin in den Fail-to-Ban sozusagen reingelaufen. Also fürs Debugging kann schon ein echter Pain sein, muss man sagen. Aber natürlich effektiv.
Andrej Friesen (1:08:14)
Weil er bloggt.
Thomas Wiebe (1:08:28)
Wenn du jemanden hast, einfach nur scannt und der wird nach, ich glaube bei Starward war es standardmäßig 30 Login versuchen. Interessant, dass ich die getriggert habe anscheinend. dann wird er halt, also getriggert geht er vielleicht auch schnell, wenn du so eine Mail-Client, das Konto einrichtest und wahrscheinlich dann den Testfunktion triggert, dann geht er wahrscheinlich auf Pop3, IMAP, IMAP-S, Blablabla, SMTP oder Submission. also ich bin da reingelaufen.
Andrej Friesen (1:08:37)
War auch schon einiges.
Ja, macht viele Request.
Thomas Wiebe (1:08:58)
Also effektiv machst du das Scannen schon schwieriger. Es wird einen Effekt haben, aber kannst du dich drauf verlassen? Am Ende nicht, weil...
Andrej Friesen (1:09:07)
Es stoppt halt Brute Force Attacken, definitiv. Aber halt keine, also DOS Attacken, Nee, ist das DOS? Es gibt DDoS, Distributed, was heißt das nochmal? Mein Gott. Genau, Denial of Service.
Thomas Wiebe (1:09:18)
Das heißt Denial of Service. Also das Ziel ist
einfach nur, dass du den Service lahm legst. Mit was für ein Mittel auch immer. Das kann auch einfach nur schiere Masse an Daten sein.
Andrej Friesen (1:09:22)
Genau. Genau, mit... Bam.
Aber es hilft halt nicht, sobald es von vielen IPs kommt und seitdem wir halt IPv6 haben und Botnetze mit IoT-Geräten und Co. Ich weiß nicht, wie sinnvoll das ist.
Thomas Wiebe (1:09:40)
Also ein interessanter Aspekt, weil v6 bedeutet ja effektiv, kannst innerhalb deines Präfixes eine beliebige Client-IP, also innerhalb des Präfixes, also zum Beispiel slash64, kannst du dann irgendeine IP verwenden, hast dieselbe Menge an Adressen zur Verfügung, wie eben das slash64 hat, also auch slash64, und das ist beliebig. Das heißt, der Fail-to-Van-Mechanismus müsste an der Stelle als Quell-IP nicht mehr die Quell-IP, sondern das Quell-Präfix benützen, verwenden.
Andrej Friesen (1:09:45)
viele IPs.
Hm.
Thomas Wiebe (1:10:09)
Das wiederum ist aber auch eventuell nicht ganz ungefährlich, weil manchmal kriegst du ja auch in gewissen Bereichen gar nicht einen ganzen Präfix und deine Einzel-IP. Eher unüblich. Normalerweise kriegst du halt einen Präfix. Aber die Gefahr ist halt da, dass du dann trotzdem Leute sperrst. Weil zum Beispiel, weiß ich nicht, Unternehmen, viele Mitarbeiter. Wir zum Beispiel jetzt, seit wir Teil von OVH sind, Reddit kannst du knicken.
Andrej Friesen (1:10:11)
Du es auch nicht immer machen.
Mhm.
Thomas Wiebe (1:10:37)
Also, man kostet einfach nicht mehr auf Reddit drauf. Zu viele Anfragen von zu vielen verschiedenen IPs oder derselben IP wahrscheinlich, weil wir halt irgendwie über irgendein Nut Gateway rausgehen oder so.
Andrej Friesen (1:10:37)
Stimmt. Ja.
Und ich wollte noch kurz eingehen, habe es selbst noch nicht genutzt. Failed to run gibt es nur für deinen Server. Block hat nur die IPs, die sich häufig bei dir anklopfen. Kann man machen, schützt jetzt aber nicht irgendwie vor. Es ist eher für Last und nicht für Sicherheit. Also Sicherheit im Sinne von Lock-ins oder oder SQL in Jackson. Das ist halt nur ein bisschen Last abdrücken.
Das es aber noch gibt, Crowdseq. So ein, ich glaube so ein Open Source Tool. Das ist ein bisschen so wie IPBan. Mein Gott, ich sage immer IPBan. Was ist mit mir? Failtubean. Das ist wie Failtubean. Aber mit einem Community Aspekt dahinter. ist ein Mehr Tooling. Und das installiert man sich. Und dann kann man sich dann über den Service von denen anmelden. Kostet auch nichts, die grundlegenden Sachen.
Und dann scheren die sich die IP-Adressen, die die meinen, die nicht in Ordnung sind. Netter Ansatz, das ist in Crowd, die Masse, Crowd Security. Das heißt, die üblichen Verdächtigen sind dann erstmal, werden dann weggebannt. Finde ich ist ein interessanter Ansatz. Habe ich nur einmal kurz versucht, zu konfigurieren. Weiß gar nicht mehr, warum ich aufgehört habe. glaube, Zeit war einfach kein Bock mehr oder so. Weiß nicht mehr. Aber kann man sich auch mal anschauen in meinen Augen.
gibt auch viele YouTube Videos zu dem Thema. ganz nett ist. Also die Idee finde ich super.
Thomas Wiebe (1:12:26)
Ja, spannend. Ich habe damit auch noch nicht gearbeitet. Leider an der Stelle tatsächlich, weil das wäre, glaube ich, ein guter Gut, wenn wir da von berichten könnten. Ich bin irgendwie über das Thema aber in den letzten Wochen noch mal gestolpert. Ich weiß nicht mehr, was es war, ob das irgendwas mit Stallwart war, mit dem Mail, weil der hat auch mehrere Sicherheitsmechanismen drin und Spamfilterungen auf Basis von DNS-Blocklisten und
selber klassifizieren LLM und so weiter, Pysor, Reputations-Tracking, was er selber dann durchführt und so weiter. Was so bisschen auch in Richtung Fail-to-Bang geht, eben für E-Mail-Mail-Server.
Ähm, ja. Ich weiß es leider nicht. Muss man sich mal anschauen.
Andrej Friesen (1:13:19)
Ja, ist nur mal ein Versuch wert. Wie viel das tatsächlich dann bringt, ist halt auch schwierig auszusagen. Gerade das Crowdsack und so, wenn du dafür dann bezahlst. Das ist natürlich dann auf Firmen ausgelegt, weil du zahlst als Privatperson jetzt keine 1000 Euro im Monat dafür, dass du jetzt eine aktuelle Blogliste hast für alle Applikationen mit diesen Rewrite-Rules und was weiß ich nicht alles. Haben, ich, auch einen Hobbyplan. So die grundlegenden Funktionen kann man definitiv als Hobby mal ausprobieren. Als Hobby.
im Hobbyumfeld.
Genau. würde sagen, das können wir dann abhaken. Hab da nicht großartig was zu sagen. Ist bisschen komplexer aufzusetzen, aber das war's dann auch schon. Du brauchst irgendwie so einen Agent, sich die ganze Zeit... Einer muss die Blockrules machen, dann installierst du verschiedene... Einmal einen für SSH, einmal einen für die Applikation. Irgendwie so war die Architektur ein bisschen... schöne Mikroservices, die wir alle lieben, weil die so einfach so deployen sind.
Thomas Wiebe (1:14:23)
Aber gibt es denn da vielleicht auch eine... weil ich finde ja den Ansatz, das crowdbasiert zu machen, ist ja total sinnvoll. Das wird ja auch an manchen Stellen schon gemacht. Also auch viele der Bloglisten, die man so im Netz findet, die werden halt so populiert. Aber... ja, weil ich war jetzt ein bisschen überrascht, ehrlich gesagt. Ich hatte mir das anscheinend dermaßen gar nicht angeguckt vorher, dass ich nicht wusste, dass das ein Bezahlprodukt ist.
Andrej Friesen (1:14:31)
Voll!
Doch, doch. Ich versuche jetzt gerade auch zu finden, wo der Free Plan ist. Finde ich jetzt nicht immer eben. Aber die hatten definitiv meine Version, wo du so grundlegende Funktionen zum Beispiel nutzt. Die Advanssachen, die waren dann hinter einer Paywall.
Thomas Wiebe (1:15:03)
Okay, ich sehe gerade hier deswegen war auch meine annahme glaube ich Genau es gibt halt auch die haben auf der webseite den github link dann landest in dem github link und dann steht halt diesen open source and participative security solution Ja, Dann ist es vielleicht tatsächlich einfach für community is fine nicht alle funktionen
Andrej Friesen (1:15:20)
Genau.
Dann konfigurierst den für Geneddy, für Docker, für die einzelnen Applikationen, für dein Proxy, was auch immer. Und dann guckt er in die Logs und dann dementsprechend. Der muss ja erstmal die Logs angucken. Dann gibt es dann einen Teil, dann diese ganzen Listen irgendwie up to date hält. Und dann musst du noch Regeln machen, die halt darauf reagieren. Das heißt, es bisschen mehr Arbeit.
Thomas Wiebe (1:15:44)
Packen das mal auf to do weil ich wollte mir auch mal tatsächlich ein bisschen waff im smart home oder im home lab anschauen also so als Nee nee nee Aber ich wollte mir das thema waff mal im home lab anschauen so wollte ich das sagen Und da könnte man sich das ja auch mal bei gelegenheit anschauen ich glaube waff im home lab das ist halt die frage von muse weil
Andrej Friesen (1:15:54)
Ist das eine Waffe? Würdest du das als Waffe bezeichnen? Ich kann's, ne?
Ja.
Thomas Wiebe (1:16:12)
Wie vorhin schon gesagt je effektiver du sie machst, desto schmerzhafter ist der Prozess um ans Ziel zu kommen, weil du eben halt ganz viele Exclusion Rules setzen musst, die besagen, okay das ist jetzt in dem Paranoia Level 3 das Ruleset, aber das und das und das und das bitte nicht, zumindest nicht für die und den Pfad, weil... Brauche ich halt, ne?
Andrej Friesen (1:16:33)
Da können wir vielleicht auf das andere Thema eingehen, weil das gerade passt. Zu Hause, Hosting vs. Cloud und dann VPN vs. Proxy.
Weißt du, weil jetzt gerade im häuslichen Umfeld ist es ja heutzutage so, dass man auch gar nicht, klar, du kannst von zu Hause aus deine Services public erreichbar machen über irgendeine Proxy, Treffig, KD, whatever, ist ja egal. Suchst dir eine Geschmacksrichtung aus. Aber musst du ja auch gar nicht, kannst einfach VPN benutzen und dann, wenn du VPN hast, brauchst du in der Theorie keine Web Application Firewall.
weil hoffentlich geht keiner auf seine Applikation drauf, weil dann VPN das ja absich hat. Genau.
Thomas Wiebe (1:17:18)
Ja, genau. Du musst erstmal ins VPN reinkommen, ne? Tailscale
oder sonst was. Kann ja alles sein, muss ja nicht Tailscale sein.
Andrej Friesen (1:17:24)
Das
kann ja auch von deinem Router sein, Fritzbox bringt das ja heutzutage alles mit, die Unify Produkte, viele Router haben mittlerweile, also entweder OpenVPN oder Wirecard Implementierungen, ist auch völlig wurscht, welche, das Ding ist dann nicht mehr öffentlich, das Einzige, noch öffentlich ist, dein VPN Punkt. Das ist dann natürlich ein riesen Vorteil. Nachteil, kann halt nicht jeder darauf zugreifen, weil das der Sinn des VPNs ist.
Thomas Wiebe (1:17:41)
Mhm.
Andrej Friesen (1:17:52)
Das ist aber doof, wenn du den mit deiner Familie teilen möchtest, mit Freunden, was weiß ich.
Thomas Wiebe (1:17:56)
Ja und da ist auch für jeden diese Einstiegs... Also die Frage ist, kannst du das tun? Ja natürlich kannst du das dann auch tun. Du kannst andere Leute ja auch in deinen VPN reinlassen, auch sogar selektiv. Talescale bietet dir zum Beispiel diese Funktion an. Du sagst dann zum Beispiel, Andre du hast ein Konto, ich habe ein Konto, ich gebe dir ein Invite und der Invite ist dann halt entweder...
Andrej Friesen (1:18:10)
ACLs, Access Control Lists.
Thomas Wiebe (1:18:18)
kannst in mein Tailscale rein und ich kann zusätzlich über komplexe ACLs sagen, worauf du zugreifen kannst. Oder ich kann dir auch, glaube ich, sogar sagen, ich teile dir nur ganz explizit eine Maschine aus meinem Tailscale-Netz. Das heißt, der Radius ist von Anfang an schon reduziert auf eine Maschine. Das Problem kommt dann zustande, wenn du, wie meine Wenigkeit, auf deinem Heim-Server fast alles auf einer Hardware laufen lässt und der Einstiegspunkt ist immer ein Traffic, eine Instanz von Traffic.
Und dann, ja, das heißt, quasi da terminiert dein Paperlist, da terminiert dein Affin, da terminiert dein, weiß ich nicht, Image oder so alles da. Und dann kann ich dir sagen, ok, Andre, du darfst auf meinen Server Punkt, Punkt, Punkt zugreifen. Dann kommst du aber potenziell an all diese Dienste ran, nicht nur noch an einen. Das ist die Schwierigkeit, das einzuschränken. Ehrlich gesagt, auf einem, also da gibt es Lösungen für.
Zum einen müsstest du erstmal jedem einen Tail Scale aufsetzen, der darauf zugreifen möchte, was bei Andrej jetzt nicht schwierig ist. Aber bei meiner Mutter sieht das wieder anders aus. Oder bei nicht so technisch versierten Freunden. Und dann müsstest du halt noch gucken, wie schränke ich den Zugriff ein. Du könntest natürlich einen zweiten Traffic laufen lassen, der nur für den Tail Scale Entry Point zuständig ist und nur die
Andrej Friesen (1:19:25)
der Knicken.
Thomas Wiebe (1:19:43)
Interfaces exposed die für andere relevant sind zum Beispiel oder für Familien Familie und Freunde relevant sind die müssen dann zweite DNS Eintrag haben dann brauchen die es beratet Zertifikate kannst alles machen aber der Aufwand war es nicht wert deswegen läuft zum Beispiel das Tool was wir aus meinem Homelad nutzen nämlich zusammen ist Affin dieses Notiz und Whiteboarding und sowas Tool das ist tatsächlich momentan das einzige was ich ins Internet posaune
Andrej Friesen (1:19:55)
Ach hör auf ey, das ist voll.
Thomas Wiebe (1:20:13)
Ja, damit du eben auch drauf kommst.
Andrej Friesen (1:20:16)
Genau und da wollte ich auch nochmal kurz, also du kannst ja VPR natürlich auch auf Cloud VPS benutzen. Sprich ja gar nichts gegen, wenn du jetzt nicht möchtest, dass niemand da drauf zurückkannst du deinen Talescale da installieren. Das Einzige was du da publik machst, ist dann deinen Talescale Port und deinen SSH vielleicht, damit du per SSH drauf kannst. Selbst das kannst du schließen, weil kannst du ja per Talescale drauf. In der Theorie. Und dann hast du deine Sache. Ja genau, kannst ja immer noch per virtuelle Konsole drauf. So und dann hast du halt
Thomas Wiebe (1:20:39)
Wenn du Vollback hast, ja.
Andrej Friesen (1:20:46)
Das Ding im Internet, hast du es nicht exposed und hinter VPN. Ist auch ein völlig gangbarer Weg. Genau der gleiche Weg wie zu Hause im Endeffekt. Zu Hause ist eher der Standardfall VPN zu nutzen. Proxy eher weniger. Je nach Use Case. Und da muss man sich halt bewusst sein, was exposed man da für eine Applikation. Zum Beispiel Paypalist. Habe ich ganz große Bauchschmerzen, public ins Internet zu stellen. Ganz große Bauchschmerzen, weil da ist alles drin. Da ist meine Geburtsurkuline drin. Da ist...
Mein Führerschein drin, ist alle meine Zertifikate, mein Bachelor, mein Master, Ip und Zap. Du brauchst nur das eine Ding und kannst mich komplett in meinen Identitätsdiebstahl machen. Das ist bei mir zu Hause und VPN. Ist nicht public, deswegen du nicht. Ja, Ja, also deswegen muss man sich halt klar sein.
Thomas Wiebe (1:21:28)
Wo hast du das jetzt drauf, Sascha?
Wie komm ich da dran? Achso. Achso, blöd. Das nächste Mal, ich bei dir bin im W-Lan.
Andrej Friesen (1:21:44)
Was für ein Impact das hat, ne? Das ist ein riesen Impact Paperless. Wenn du jetzt aber auf meinen, wie ich vorher gesagt hatte, RSS, der ist jetzt bei mir im Internet, wenn du den jetzt, du hast den ja bei dir zu Hause stehen, ne? Wenn ich jetzt auf dein RSS komme, so what? oder auf deine Musik, oder was weiß ich du da hast. Man muss sich einfach klar machen, was für ein Impact das hat. Und dementsprechend kann man dann die Entscheidung treffen, hey, das mach ich nicht beim VPN und das ist leider auch, und nicht nur die Applikation, sondern wie du die Applikation nutzt, sorry.
Thomas Wiebe (1:22:00)
Mhm.
Andrej Friesen (1:22:14)
eben noch zu Ende führen. Home Assistant. Hab ich jetzt im Internet ... ... Public. Weil ich glaube ich diese Google Home Geschichte ... brauchte Internet ... um Rückkanal zu haben für Smart Voice und so ein Kram. Kannste nicht mit VPN machen. Und ... ... für mich jetzt nicht so schlimm, weil ... ... ich habe jetzt kein Türschloss. Du kannst mir das Rollo zumachen. Du kannst mir Licht an- und ausschalten. Du kannst mir einen Staubsauger anmachen ... wenn du mich hackst. Okay. Passiert jetzt erstmal nichts Böses.
Aber hättest du zugeworfen auf mein Schloss von meiner Eingangstür, kannst du die Garage hoch und runter fahren. Sind das wiederum andere Dinge. Und natürlich nicht vergessen, wenn man drauf kommt, kannst du ja auch überwachen, wo die Person ist, durch Präsenzerkennung. Sowas, Je nachdem, wie du die Applikation nutzt, ist es halt mehr oder weniger Impact und dementsprechend kann man entscheiden, mach ich es dann doch lieber mit dem VPN oder ist Public Fine.
Thomas Wiebe (1:23:10)
Wir hatten ja mal so einen Kollegen, Liebe Grüße gehen raus an Ingo. Nee, der wird das nicht hören. Aber wenn er es doch mal hört, fühlt er sich gegrüßt. Ich erinnere mich noch, wir waren im Büro und es war spät und Ingo war zu Hause, wenn ich mich recht erinnere.
Andrej Friesen (1:23:12)
Dann wird das nicht hören, aber
Ich hatte...
Ne, ja doch. Es war so. Er hatte ein Raspberry Pi mit einem Display auf der Arbeit, womit er sein Haus steuern konnte. Und ich habe mir Zugang verschafft zu diesem Gerät, habe die SD-Karte mir geschnappt und mal eine kleine Sicherungskopie gemacht.
Thomas Wiebe (1:23:39)
Mhm.
Andrej Friesen (1:23:51)
Und das alles wieder zurückgängig gemacht und über die nächsten Tage Wochen hatten wir richtig viel Spaß mit seinem Smartphone. Die Rollos gehen die ganze Zeit hoch und runter. Was ne Scheiße hier.
Thomas Wiebe (1:24:05)
Ich hatte auch Kameras,
meine ich, und man konnte so bisschen was sehen.
Andrej Friesen (1:24:09)
Ich glaube, sind auch mal mit dem Auto vor seinem Haus gefahren, mit ein paar Kollegen und haben dann mal bisschen rumgespielt. Und dann hat er uns glaube ich draußen gesehen, ich weiß gar nicht, schon ewig her. Und dann haben wir herzlich gelacht und gesagt, hier kommt, jetzt ist vorbei der Spuk.
Thomas Wiebe (1:24:16)
Schade, da war ich nicht dabei.
Alles harmloser Spaß, aber genau. Also das zeigt auch an der Stelle, irgendwo sich auf Arbeit ein Terminal für seine Heimautomatisierung zu Hause zu stellen. Die braucht Credentials in irgendeiner Form und ja, da kommt man ran.
Andrej Friesen (1:24:36)
Nicht so smart.
ja, da hast du mich an was erinnert, das war lustig, meine Herren. Das war auch der erste Gedanke, ich hatte, er mir das Ding gezeigt hat.
Ja.
Thomas Wiebe (1:24:53)
Schön.
Andrej Friesen (1:24:56)
You know.
Thomas Wiebe (1:24:57)
Wo waren wir eigentlich? Ach so, ja, genau.
Andrej Friesen (1:24:58)
Zuhause, VPN, Proxy, Impact.
Muss man sich einfach, denke ich, selber Gedanken darüber machen, was passiert, wenn. Und dann einfach entscheiden. Ich glaube, die Default-Geschichte ist eigentlich VPN und wenn man es wirklich braucht, man halt eine Proxy machen. Ist halt immer eine Frage, wie viel Aufwand man haben möchte, Leuten darauf Zugriff zu geben. Oder vielleicht sollte man einfach darüber nachdenken, nee, lass es, das ist einfach nur für dich. Das ist, ich, also viele Leute sehen immer so den Reddit und was weiß ich wo.
Ja, ich möchte das dann alle meine Familie drauf so, wollt ihr ernsthaft der Admin für all diese Leute sein und dann das machen? Oder wollt ihr einfach... Ja...
Thomas Wiebe (1:25:31)
Ja und eben das offenstellen macht plötzlich macht dich
viel angreifbarer als vorher und dann halt mit den daten die eventuell deine familie da rein pumpt die dann auch irgendwie am ende dir vertrauen dass das alles sicher liegt schwierig mir kam gerade noch der gedanke auf in diesem kontext Es spricht sogar gewisse sachen sprechen dann sogar dafür dinge zu separieren welcher form auch immer also wenn du halt wirklich sowas laufen lasst wie jetzt kompromittiert der mini flux
Mit dem man aber dann ja eventuell auch ins Netz kommt oder den auch vielleicht sogar aus Docker ausbrechen kann. meine, es gibt ja sogar Sicherheitsprobleme, die sind aus VMs ausgebrochen, Aus Windows in die VM bis hin in den Hypervisor und so weiter. Also kann man alles nie immer ganz ausschließen und dann willst du vielleicht nicht das Paperless Zeug auch noch auf derselben Kiste liegen haben. Ich weiß es nicht.
Andrej Friesen (1:26:04)
Hm. Auf System.
Ja, es Freaks, die das können.
Thomas Wiebe (1:26:29)
Bei mir ist das so. Also es läuft alles auf derselben Maschine. Bisschen abgesichert mit den Docker Netzen, aber noch nicht so richtig, weil das eben mit der Firewall und Docker leider nicht so ganz sexy ist. Da brauchst wahrscheinlich dann schon eher so was wie ein kleines Kubernetes K3S mit Silium als Network Plugin. Da kannst du dann halt wirklich genau definieren, wer wohin funken darf. Es wird dann über eBPF sichergestellt und so weiter. Da geht was, aber...
Andrej Friesen (1:26:32)
Mögen wir auch.
Ach, hör auf!
Geht
immer weiter, aber ob man das möchte ist die Frage,
Thomas Wiebe (1:26:59)
Absolut. Absolut.
Gut, Durchbruch.
Die Frage ist halt, welcher Durchbruch und was ist die Konsequenz? Wenn irgendwas kompromittiert ist, stellt sich auf jeden Fall dann immer die Frage, wie komme ich denn wieder auf einen sicheren Zustand? Das hatten wir ja vorhin ganz kurz mit dem Thema, ich kann das jetzt recovern, aber wenn die Kiste direkt wieder am Netz ist und es wird einfach wieder gescannt und wird wieder kompromittiert, dann habe ich ein Problem. Aber ganz wichtig natürlich...
Andrej Friesen (1:27:26)
vor allem wenn das Update
im Hintergrund noch lange dauert oder sowas.
Thomas Wiebe (1:27:30)
Ja, also Firewall, und das ist wiederum in der Cloud natürlich einfacher, da kannst du dann ja Firewall-Regeln für eine Instanz oder bei einem PBS auch definieren, sicherzustellen, nur ich komm drauf. Von außen als Admin. Während du aber auf einem dedizierten Server, also baremetal, läuft irgendwo als Stück Metall im Rechenzentrum, wenn dein Provider dir die Funktion nicht anbietet, zufällig am Switch irgendwelche Firewall-Regeln zu setzen, was mein letzter Stand eher unüblich ist, dann, ja.
dann musst du dich auf die Maschine einloggen und irgendwie sicherstellen, dass du der einzige bist. Aber das kannst du halt von außen eventuell nicht machen. Schwierig.
Andrej Friesen (1:28:08)
oder hinfahren, Kabel ziehen.
Thomas Wiebe (1:28:11)
Ja, genau. So, aber überhaupt erst mal da hinzukommen, dass du recovern kannst, ist ja schon mal das Wichtigste. Du brauchst Backups, Was hast du für Möglichkeiten? Je nachdem, wo du eben deine Daten hostest, nehmen wir jetzt mal an, zu Hause, weil zu Hause hast du ja effektiv alles an Möglichkeiten, dass es eben so gibt. Aber sagen wir mal, du bist irgendwo bei einem WPS-Anbieter, dann hast du da erst mal Möglichkeiten.
Andrej Friesen (1:28:12)
remote hands
Thomas Wiebe (1:28:39)
Snapshots slash Backups. Ich sage das jetzt mal ganz verschwommen anzulegen. ist halt nicht dasselbe. Backups sollten immer offside liegen. das Medium brechen sozusagen und Snapshots können im einfachsten oder sind üblicherweise. Es gibt da Implementationen, die nutzen verwirrende Terminologie. Deswegen sage ich das jetzt mal so bisschen vorsichtig. Aber eigentlich ist ein Snapshot nichts weiter als ein Point-in-Time-Sicherung, die irgendwo mit in demselben Medium existiert. Also zum Beispiel
Andrej Friesen (1:29:00)
Mhm.
Thomas Wiebe (1:29:09)
Hast du einen DistributedSafe Storage, dann existiert der Snapshot in demselben Safe, in demselben Pool, wie auch der aktuelle Datenträger. Oder hast du einen ZFS, machst einen Snapshot oder einen BuddhaFS, liegt der derselben Platte rum. Dementsprechend ist kein Backup, wenn die Platte kaputt ist oder das Dateisystem so kaputt, dass der Snapshot auch unbrauchbar ist, dann hast du das Problem. Oder jemand komponiert das System und löscht das. heißt, Backup muss halt eigentlich einen Medienbruch haben, Offside sein oder sonst was.
Andrej Friesen (1:29:28)
oder der Typ ist schlecht.
Thomas Wiebe (1:29:36)
Aber deine Cloud-Anbieter bietet dir sicherlich irgendwas für Backups an. Und das kannst du natürlich nutzen. Hast du schon mal ein erstes Level. Also zum Beispiel tägliche Backups für sieben Tage. Hast du schon mal ein bisschen was gewonnen. Ist einfach, Kostet irgendwie 20 % vom Monatspreis der Instanz und hast du sieben Tage lang zumindest schon mal Daten.
Andrej Friesen (1:29:48)
mache ich auch bei Hetzner. Snapshot jeden Tag 1-7 Tage reicht.
Und die Implementierung
ist einfach ein Button. Also da haben sie mich. Das ist einfach ein Button. Nichts mit irgendeinem Tool installieren, noch einen Remote Server aufsetzen oder dies und das. Einfach nur ein Button. Und ich hab's auch schon einmal genutzt.
Thomas Wiebe (1:30:02)
Ja.
Tatsächlich?
Andrej Friesen (1:30:14)
Ja, ich hab'n Upgrade kaputt gemacht von meinem Ghost und dann war die Datenbank futsch und dann so, naja. Server...
Thomas Wiebe (1:30:19)
Okay, wichtig an
der Stelle, wenn du so eine Funktion beim Cloud-Anbieter hast, der macht dann zum Beispiel täglich Backups, dann wäre es halt sehr gut, wenn er dir auch eine Jetzt-Backup-anfertigen Funktion anbietet, damit du das ganz gezielt auch anwenden kannst vor einem Upgrade zum Beispiel. Ja, das ist gut.
Andrej Friesen (1:30:33)
Das ich immer dann. Du kannst auch
die Backlabs holden, Sinne von länger dalassen als die sieben Tage. Zeit hat dafür, das ist auch völlig fein. Zumindest bei Hetzer kannst das machen.
Thomas Wiebe (1:30:44)
Hm, okay. Das
wusste ich nicht.
Andrej Friesen (1:30:49)
Und dann nach einem Monat schmeiße ich es dann auch wieder weg, wenn ich es nicht mehr brauche.
Thomas Wiebe (1:30:52)
Cool. ist gut. Nachteil ist, Recovery ist halt alles oder nichts. Oder du gehst hin und nimmst das Backup und professionierst eine neue Instanz damit und dann kopierst du selektiv raus, was du brauchst. Aber das ist jetzt nicht so, als hätte es nachher ein Filebrowser, weil das ist halt... ...Filesystem agnostisch. Ja.
Andrej Friesen (1:31:08)
Nee, das ist dann zweite Kiste, PSSH drauf, Daten kopieren
mit R-Sync und dann, ja, das hab ich dann auch gemacht.
Thomas Wiebe (1:31:15)
Genau, dann hast du natürlich noch die Möglichkeit, kannst ein Backup-Tool installieren. Das Thema Backup steht bei uns irgendwie noch bisschen aus, weil die letzten Jahre sind Andrej und ich gleich gefahren. haben beide Kopiar verwendet oder wie auch immer man es ausspricht. Ich kommt aus dem Polnischen, wenn ich mich das richtig in Erinnerung habe.
Andrej Friesen (1:31:33)
Das wird mir nicht helfen bei der Aussprache.
Thomas Wiebe (1:31:36)
Tatsächlich.
Genau, ist ein Go-Tool. Man kann es vom Funktionsumfang vergleichen mit so was wie Borg, Restick, so die Ecke. heißt, es hat so Deduplizierungen, hat Verschlüsselungen, es hat den Support für verschiedenste Backends wie S3 zum Beispiel auch oder auch ein kopierter Server mit Vor- Nachteil. Immer wenn du so Sachen haben willst, wie du möchtest verhindern, dass
jemand backups löschen kann mit dem system das auch welche anlegen kann wenn es dann halt kompromittiert wird dann brauchst du in der regel irgendwas ansonder funktionalität wenn es drei als backer nutzt kannst du natürlich so was sagen wie weil sich nicht versionierung einschalten und und Wie nennt sich dieses feature noch gleich ich komme gerade nicht drauf Ja dass sie dass sie mindestens 30 tage lang oder so vorgehalten werden irgendwie sowas irgendwas period
Andrej Friesen (1:32:23)
dass du die Sachen da einfrierst in S3?
Ja, vergess nicht wie
heißt, aber ich weiß was du meinst.
Thomas Wiebe (1:32:33)
Das kann es natürlich machen, ist S3 als an sich mal generisches Backend dahingehend schon mal sehr sinnvoll. ⁓
Andrej Friesen (1:32:40)
Das auch gut gegen Ransomware Attacken. Wenn du
deine Daten verschlüsselt kriegst, ... dann hast du immer noch so eine Art Cold Storage, ... ... nicht angefasst wurde.
Thomas Wiebe (1:32:52)
Ja, das ist gut. Wenn du aber z.B. SFTP benutzt als Backend, was ich bei Kopia in der Regel mache, dann hast du diesen Vorteil leider nicht. Dann kann auch jeder die Daten wieder löschen. Du kannst es natürlich machen könntest. Du könntest auf dem Ziel-Server noch hingehen und da z.B. Snapshots machen. Für einen Monat oder so. Dann hast du so eine gewisse Sicherheit, die dadurch wieder erkauft. Aber wenn du es richtig machen willst, dann musst du wohl Kopia auch als Server verwenden. Das war es mir bis jetzt nicht wert. Weil ich da auch immer den...
Aspekt sehe ich will halt eigentlich nicht den Backup Server öffentlich ins Internet stellen. Lieber ein SSH, wo dann das Backup hinterliegt. ist schon irgendwie ein bisschen abgehangen.
Andrej Friesen (1:33:31)
Oder
ein S3, hat 6€ Monat für ein halbes Terabyte und easy peasy.
Thomas Wiebe (1:33:35)
Oder das, ja, genau. Du nutzt Backblaze, glaube ich, bei S3.
Andrej Friesen (1:33:39)
Ich nutze Backplates,
habe letztens ... Michael, unser Kollege, mir letztens einen anderen Anbieter gesagt. Ich habe mal vergessen, wie er heißt. Der wohl sehr, sehr günstig sein soll. Die sechs Euro tun mir nicht so weh, dass ich jetzt Bock hatte, da wegzumigrieren. Sagen wir so, ne? Das ist schon ... Wieder einen neuen Account aufmachen, dann wieder die S3-Secrets und dann wieder mit Policies arbeiten. Ist immer so ein Horror mit den Policies, ne? ist ... Je nachdem, wie sie implementiert sind.
Thomas Wiebe (1:33:54)
Ja.
Mhm.
Hetzner bietet auch Objects heute an. Da kann man auch gucken. Ist auch nicht so teuer.
Andrej Friesen (1:34:10)
Ja, damals noch nicht.
Vielleicht
aber auch Smart da, ne, also ... eine andere App, wir dazu benutzen, weil ... ... das kann ja, also Ceph ... bietet ja auch S3 an. Nicht nur Block Storage, ne, ... kennen wir auch bei unserer Firma aus und ... ... wenn das der gleiche Ceph ist und der Datenzentrum ... Datacenter heißt Datenzentrum, ne.
Thomas Wiebe (1:34:24)
Mhm.
Rechenzentrum. Du hast so T-Shirt. Oder? Warst das nicht? Hast du nicht das Rechenzentrum-T-Shirt?
Andrej Friesen (1:34:37)
Rechenzentrum. Mist!
Hä? Nein, das ist Homesystem.
Ach so das, ja doch, wo der Rechen drauf ist, also der für den Garten. Was soll ich sagen, ja, kann auch mal abbrennen, so ein Rechenzentrum und dann, wenn die keine Redundanzintern haben oder das Feuer größer wird, UVH. ⁓
Thomas Wiebe (1:34:47)
Genau. Genau.
Ja, Separater Standort.
Andrej Friesen (1:35:03)
ist ja auch mal abgebrannt. haben Firmen halt ihre, also ernsthaft, die haben ihre Daten verloren, die waren weg und wer da nicht off cloud ein Backup hatte, hatte ernsthaft gesagt einfach Pech. Was krass ist.
Thomas Wiebe (1:35:04)
Ja.
Also wirklich ein ernst gemeinter Tipp am Rande. Cloud kümmert sich zwar in der Regel darum, dass deine Daten irgendwie gesichert sind, aber da kann halt auch was schief laufen. Oder du bist vielleicht in einem jungen Unternehmen, was vielleicht einfach noch in einer Phase ist, wo sie das Backup-Thema selber auch nur so als ausgelagert betrachten, als sie basieren ja auch nur auf einer Cloud. Und wenn das aber niemand ganz bewusst testet und als Priorität sieht, dann kannst du ein Problem haben. Also nur darauf verlassen, dass deine Daten in der Cloud existieren, würde ich nicht.
Andrej Friesen (1:35:44)
Ne.
Thomas Wiebe (1:35:45)
Selbst
Google hat schon öfters Datenverlust gehabt.
Andrej Friesen (1:35:47)
Ja und Dropbox auch, also solche Services, nur für Speicher da sind, ne. Da gibt es einen ganz bekannten Fall, da habe ich jetzt den Link nicht zu, aber da hat ein Fotograf alle seine Fotos bei Dropbox, da hat jemand weg. Einfach weg. Und das ist halt sein, sein alles, Schon lange her, soweit ich weiß. Daher, ich bin eigentlich ein ganz großer Verfechter gegen Multicloud, also gerade bei Infrastruktur und so. Also in Projekten, in Firmenprojekten finde ich das immer wahnsinnig komplex und bringt auch nicht so viel.
Thomas Wiebe (1:35:52)
Mhm.
Andrej Friesen (1:36:18)
weil das Cloud-agnostisch gibt es nicht. Anderes Thema. Aber beim Backup sage ich auf Cloud auf jeden Fall ... ... woanders hinfahren. Ist egal was. Ist wirklich, literally egal was. Hauptsache woanders.
Thomas Wiebe (1:36:26)
Ja. Und selbst wenn du
dein Beispiel von vorhin, selbst wenn man sagt, ja, der Ceph fürs Object Storage ist ein anderer als der fürs Block Storage, was in der Regel der Fall ist, weil allein schon, allein schon aus Kostengründen, ehrlich gesagt, Object Storage machst du meistens mit Platten.
Andrej Friesen (1:36:38)
Ja.
SSDs,
ähm ja Object Storage alte Platten.
Thomas Wiebe (1:36:46)
Genau, große. Da geht es halt einfach diese großen Datenmengen und da ist die Geschwindigkeit nicht ganz so relevant. Blockstorage brauchst halt in der Regel irgendwie in WMIs oder so. dementsprechend. Tja, genau. So, wo waren wir? Kopier. Genau, wenn du sowas nutzt, also wenn du dieser Ebene Backups machst, dann...
Andrej Friesen (1:37:03)
Recovery-Kopia.
Thomas Wiebe (1:37:08)
Zum einen unterstützen die meine ich alle auch irgendwie mehrere Ziele. Kannst du also potentiell auch Backups in mehrere Ziele machen, ist aber jetzt nicht irgendwie so, als wenn das super trivial wäre. Das muss man dann schon konfigurieren und...
Andrej Friesen (1:37:18)
Der
Gruppierer muss zu dreier mehrfach laufen lassen. Das ist bisschen blöd, aber hey.
Thomas Wiebe (1:37:20)
Ja, genau.
Und ansonsten ist es so, Kopier besteht zum Beispiel aus einem Server-Teil und aus einem UI-Teil. Du so beide separat voneinander laufen lassen und auch über UI konfigurieren. was aber, worauf ich eigentlich hinaus will, das ist der wichtige Part. Du kannst auch Notifications konfigurieren, wenn irgendwas mit dem Backup nicht geklappt hat. Und das ist natürlich an der Stelle eine große Empfehlung, damit man das wenigstens mitkriegt. Gerade wenn du so, weiß ich nicht, deinen Mail-Server immer wieder wegsichern willst und du irgendwie musst du es ja mitkriegen, ob das...
Backup aktualisiert wird.
Andrej Friesen (1:37:55)
Ja
da habe ich so ein HineEye Problem. HineEye, da weiß ich nicht ob es da richtig beruht ist, aber... Möchte ich jeden Tag darüber informiert werden, dass mein Backup funktioniert hat? Eigentlich nicht. Möchte ich informiert werden, wenn das Backup gefällt hat? Ja. Weiß ich, dass der Notification Service funktioniert, wenn ich nicht jeden Tag eine Nachricht bekomme? Nein. Das ist so nervig.
Thomas Wiebe (1:38:16)
Absolut. Boah, das ist so schwierig.
Andrej Friesen (1:38:21)
Das habe ich auch mit den E-Mails bei Other Tenant Upgrades geschickt, wenn auch jeden Morgen eine Liste von wegen was geupdatet wurde. Nervt mich eigentlich eher mehr. Mittlerweile, nach ein paar Jahren.
Thomas Wiebe (1:38:32)
Ja, aber es ist... Also mir persönlich in der Vergangenheit, über die Jahrzehnte IT-Erfahrung, ist wirklich nicht selten vorgekommen, dass gerade der Mechanismus, der dich über einen Fehlerfall informiert, weil der ja vielleicht nur einmal im Jahr gebraucht wird, gerade der geht kaputt. Weil, weiß ich nicht, Credentials sind abgelaufen oder so für den Mailversand oder für den Connect zum Pushover oder was auch immer du da gerade nutzt. Irgendwas passiert.
Andrej Friesen (1:38:42)
Mhm.
Ja.
Es passiert irgendwas.
Thomas Wiebe (1:39:00)
oder zusätzlich ist das Internet gerade down und die Notification wird halt nicht gespoolt. Irgendwas ist immer. Das ist leider nicht einfach das Problem. Du müsstest wirklich Metriken sammeln, wann das letzte Backup erfolgreich passiert ist, um dann Alarm darauf zu setzen und dann hast du wieder das selbe Problem. Funktioniert der Alarm noch? Man weiß es nicht.
Andrej Friesen (1:39:21)
Ja, aktuell ist bei mir jeden Morgen eine Mail. Deswegen wusste ich dann, du hast mir ja geschrieben, dass die Seite dauernd von mir oder so. Aber ich wusste es auch schon im Endeffekt.
Thomas Wiebe (1:39:28)
Ja, wie hab ich's gesehen?
In meinem Mini Flux. Da hab ich in rot das... Genau, ich hab deine Seite einfach mal hinzugefügt, sonst krieg ich's ja nicht mit, wenn du was postest. bin jetzt nicht... Also... gehör zwar noch zu der alten händischen Fraktion bei so Sachen wie Updates ausführen. Da mach ich das meistens tatsächlich wirklich so durch den regelmäßigen Control-R-Upgrade. Und dann wird irgendein Kommando rausgeballert, was das macht, aber... Nee, sonst würd ich das nicht im Schirme... Ja, genau.
Andrej Friesen (1:39:33)
Ach, wegen dem RSS Feed.
Ja.
Geil.
Thomas Wiebe (1:39:58)
Dadurch ist aufgefallen.
Andrej Friesen (1:40:02)
Monitoring durch RSS geht auch.
Thomas Wiebe (1:40:04)
Ja, absolut. mein, Mails, den momentan nicht gemonitert, weil ich einfach momentan davon ausgehe, irgendeines meiner Devices wird mir ein rotes Ding präsentieren, wenn man die Mails nicht abrufen kann. Man muss auch manchmal bisschen pragmatisch sein, sonst verliert man sich an diesen Details.
Andrej Friesen (1:40:13)
⁓ ja.
Die perfekte Welt kann
man sich nicht bauen bei sowas, das ist zu teuer und zu auf...
Thomas Wiebe (1:40:24)
Hm.
Andrej Friesen (1:40:26)
vor allem es Security geht.
Thomas Wiebe (1:40:27)
Das ist nämlich genau
das Thema mit dem... Du musst halt diesen Einstieg einfach halten, ne? Wenn du immer dieses perfekte Setup haben möchtest, wie zum Beispiel, ich lass bei mir zu Hause nichts laufen, wenn es nicht mindestens auf dem K3S Cluster läuft, über neun Raspberry Pi's verteilt, wann bist du so weit, dass du das machst? Also, nein, fang einfach an.
Andrej Friesen (1:40:44)
⁓
Und
wenn du fertig bist, musst du schon wieder updaten und dann hast du schon die Schnauze voll, weil das Thema überall Breaking Changes ist. Also vergiss es. Nee. Machen.
Thomas Wiebe (1:40:55)
Einfach anfangen, Low
Entry Barrier, nimm dir einen Docker oder so, das geht schnell, kannst du einen Container ausführen, machst du wenigstens mit einer Composer, solltest du schon machen, wenn es irgendwie geht. das Ding ist ja, du wirst Schmerzen verspüren und jeder dieser Schmerzen, die du verspürst, sagt dir, warum eine Erweiterung oder eine Verbesserung in irgendeine gewisse Richtung, warum das sinnvoll ist. Und dann hast du eine Motivation, das zu tun und du hast noch was dabei gelernt.
Wenn du direkt nach best practice quote an quote gehst, weil irgendjemand im Internet schreibt, du musst unbedingt mindestens x, y und z haben, warum? Ist genauso.
Andrej Friesen (1:41:32)
Spoiler
alert, best practices gibt es nicht.
Thomas Wiebe (1:41:35)
Viele, das ist wie mit Standards.
Andrej Friesen (1:41:39)
... hängen vom Kontext ab.
Thomas Wiebe (1:41:41)
Best ist halt relativ an der Stelle.
weil best ist halt für dich, was ist denn dein bestes... So, vielleicht ist es einfach nur...
Andrej Friesen (1:41:47)
Ja und löst es dein Problem.
Mein Lieblingsthema ist dann immer, ne das Docker Image darf auf gar keinen Fall einen Gigabyte groß sein. Wenn du das einmal irgendwo pullst, noch nicht mal public ist, das nur in deiner internen Firma ist, du brauchst das nur einmal da laufen lassen, das wird einmal im Jahr geupdatet. Who cares, es ist absolut kein Problem. Wenn du wie wir dieses Docker Image über hunderte Kunden oder tausende Kunden verteilen,
Dann sollten wir darüber nachdenken, weil sonst unser Netz down ist, wenn wir Kunden gleichzeitig einen Docker-Container-Update machen. Anderes Problem, der Kontext.
Thomas Wiebe (1:42:21)
Genau, da wäre nämlich ein Router zum Flaschenhals, VPNs.
Ja, absolut. Der Zeitfaktor an der Stelle natürlich auch, ne? Der kann auch ein Problem sein, wie lange es einfach dauert, irgendwas zu provisionieren. Genau, ja, wichtiger Punkt.
Noch mal das ganze Thema schon durch.
Andrej Friesen (1:42:39)
Ich glaube schon.
Also, Maria, sind Sie da?
Thomas Wiebe (1:42:43)
du hast hier oben noch
einen, willste... Weiß nicht, wie viel ist das noch? ⁓ ist weg. Okay.
Andrej Friesen (1:42:47)
Ich wollte nur kurz
zusammenfassen. Können wir mal eine Zusammenfassung machen. Updates machen von eurem System. OS wichtig, weil da halt SSH, die Library drauf läuft. Der SSH, DIMO und Co. Und Applikationsupdates und nur das Exposen, was ihr meint. Keine Datemang und sowas. Das ist natürlich ganz wichtig. Das ist tatsächlich eine Best Practice. Die sollte man schon einhalten. Und ja, macht einfach eure Updates und dann seid ihr schon...
Ohne Witz, dann seid ihr schon 99 % besser als die meisten anderen. Das ist traurig, aber wahr.
Thomas Wiebe (1:43:21)
Ui ja.
Andrej Friesen (1:43:23)
Und das gleiche gilt auch für interne Systeme wie so ein kleines Proxmox, was man zu Hause rumlaufen hat.
Thomas Wiebe (1:43:30)
Wie war der Spruch? No Backup, no... Ja, genau.
Andrej Friesen (1:43:38)
Ich weiß nicht, was die Englische ist. Ah, no mercy. Ah, okay. Kannte ich ja noch nicht.
Thomas Wiebe (1:43:41)
No backup,
Ja, es ist hart. Es ist wirklich hart. Wahrscheinlich kennt jeder irgendwie Ecken jemanden, der mal seine Bilder sammeln verloren hat und dann eine Platte irgendwo einschicken muss zum Recoveren oder so.
Andrej Friesen (1:43:58)
Das ist auch der Impact, was ich meine. Den Impact hat man nicht nur mit Security, falls jemand anders dran kommt, sondern auch der Impact, was verlierst du? Wenn ich jetzt mein RSS-Feed verliere, ja, ein bisschen Arbeit, okay. Wenn ich jetzt aber meine Bilder sammle und verliere, und das sind Familienfotos von den Kindern vielleicht sogar, das sind Dinge, die kriegt man nie wieder. Wirklich nie. Und den muss man sich bewusst machen. Hab die Diskussion noch mal mit einem befreundenen Pärchen gemacht.
Die wollten wissen, wie sollen die Zahlen für iCloud kramen und die sind nicht sonderlich technisch und haben auch keine Zeit und keinen Bock darauf. Ich gesagt, hör auf die Frage zu stellen, wie viel das Geld kostet, frag dich, was passiert, wenn die Fotos weg sind. So und dann war das ganz einfach beantwortet. Dann sind die x Euro im Monat auch ganz schnell ausgegeben. Man muss einfach nur die richtige Frage stellen, warum geht's? Das sind Erinnerungen, die nie wieder kommen. Bei Musik und
irgendwelche Dokumente, mein Gott, das kriegt man irgendwie hin. Muss man halt zum Amt fahren, sich die Geburtstheorien nochmal holen lassen, was weiß ich, wenn du die wirklich nur noch digital hast, sollte man nicht machen, aber egal. Ich glaube, der Punkt ist rüber bekommen.
Thomas Wiebe (1:45:14)
Jawoll.
Andrej Friesen (1:45:16)
Haken dran. Das war's. Security.
Thomas Wiebe (1:45:20)
Markiert.
Andrej Friesen (1:45:22)
Na gut, du jetzt noch die... ich habe auch gemackert, na egal. Willst jetzt noch die kleinen Rembl-Themen da machen?
Thomas Wiebe (1:45:29)
Zumindest ein paar davon können wir noch machen, denke ich.
Andrej Friesen (1:45:30)
Jo, ich hab noch ein... Ja,
ja, das... Ich hab noch einmal aufgeschrieben... Du hast ja gesagt, deinen Miniflux hast du zuhause laufen, oder ein RSS-Rider. Ich hab meinen ja im Internet. Ich hab endlich ein Argument gefunden, warum das sinnvoll ist. Lange gesucht. Nee, der eine ist ja theoretisch... Ich hab das ja teilen mit jemandem, hab ich aber nicht. Deswegen ging das nicht. Aber ich hab durch Zufall heraus gesehen, du kannst beim Miniflux auch ein Feed teilen, oder einen Artikel.
Thomas Wiebe (1:45:44)
lange gesucht.
Andrej Friesen (1:46:00)
Und ich dachte dann schickt er dir einfach die Original URL. Nö. Du kriegst halt die URL von meinem E-Flux mit dem Text da drin.
Thomas Wiebe (1:46:11)
⁓ Okay.
Andrej Friesen (1:46:14)
... not selling it. Ich wollte es nur erwähnen, ... dass mich das sehr überrascht hat, ... man, wenn man das teilt, ... dass man halt auch einfach den Mini Flux Link bekommt ... ... anstatt den Link des Original Tickets. Aber keine Ahnung. Ja, naja.
Thomas Wiebe (1:46:15)
Nee, es reicht nicht, aber...
mich auch her ist das multi user fähig das tour ja ne
okay stimmt das gibt es doch auch gehostet meine ich von von den na gut
Andrej Friesen (1:46:35)
Ja, der Typ bietet das als Hostingservice an. Ja, aber vielleicht
macht es Sinn, wenn du einen Feed hast und dann ist der Text bei den meisten Feeds sehr lokal gespeichert auf dem Server. Und wenn es den Originaltext vielleicht nicht mehr gibt.
Thomas Wiebe (1:46:53)
Ja, könnte sein. Ich bin jetzt jedenfalls auch zum fleißigen RSS-User geworden, so als Update dazu. Ja, funktioniert gut. ich muss sagen, es hat Vor- Nachteile, Absolutes wie immer. Also der Vorteil ist auf jeden Fall diesen einen Einstiegspunkt zu haben in das gesamte Neuigkeiten-Thema und zwar egal wo die herkommen, aber die irgendwie, die ich für mich relevant empfinde. Das ist
Andrej Friesen (1:46:55)
Wäre das dann hilfreich?
⁓ hat er es darf gezogen.
Wies ist das Leben nach RS-
Thomas Wiebe (1:47:22)
total cool. muss nur noch das Ding ansurfen, wenn ich so möchte, plus YouTube. das ist so mein... Nein, das ist ein Zulie-... Könnte ich auch... Ich hab auch ein paar Channels dran, das schon, aber jetzt sagen wir mal, was der Algorithmus mir vorwirft. Ich weiß nicht, wie es dir geht. Ich bin seit ein paar Jahren YouTube Premium User geworden, weil ich das...
Andrej Friesen (1:47:28)
YouTube kannst du auch einschmeißen.
⁓ schon immer,
weil ich hab gar keinen Bock auf Werbung. Und du kriegst Musik dabei.
Thomas Wiebe (1:47:46)
Ja, stimmt, du bist
der... genau, du nutzt
Andrej Friesen (1:47:49)
Also
wenn du die Musik mit nutzt, ist es eigentlich das beste Preis-Leistung, wenn man drüber nachdenkt. Weil diese Werbung bei YouTube auf gar keinen Fall gebe ich mir das.
Thomas Wiebe (1:47:54)
Und
Kann ich auch nicht, geht gar nicht. Wird, ist super nervig. die... Im Browser ist das ja manchmal kein Problem, je nachdem, was du für Netblocker verwendest und wie das gerade so ist, aber ich guck's halt auch hin und wieder mal gerne irgendwie am Fernseher oder auf dem Beamer oder so. Einfach nur, weil ich gerade da bin. Deswegen lohnt sich das.
Andrej Friesen (1:48:14)
Ich zu 90%. Ich daddle auf dem
Handy, schicke das Video auf dem Fernseher und dann ...
Thomas Wiebe (1:48:20)
So und deswegen den auf den Algorithmus möchte ich mich schon also den möchte ich halt weiterhin haben aber meine persönliche Beobachtung ist also seit geschätzt zwei Jahren ist der wirklich richtig schlecht
Andrej Friesen (1:48:33)
Ja, ich hab jetzt auch so, ne, zwei Jahre jetzt nicht, ... die letzten Monate ist der mir auch auf den Kekse gegangen. Weil der nichts Interessantes vorstellt. Und früher war es halt so, ... die Subscription definitiv waren auf der Homepage. Das hast du jetzt nicht mehr. Du musst immer explizit in die Subscription gehen. Und wenn du da ... sagen wir mal mehrere 100 Abos hast, ... ... weil es gibt ja auch YouTube-Channels, die einfach stoppen, nicht mehr machen, ne. Dann ist es auf dem Fernseher wirklich beschissen.
Thomas Wiebe (1:48:45)
Mhm.
Andrej Friesen (1:49:00)
dadurch zu gehen, weil du an die erst mal klicken musst, ... bis du den Channel gefunden hast und ... ... wenigstens sortieren die noch. Es gibt noch ein Feed, wo dann ... Let's Last Updated war, aber jetzt zu einem bestimmten Feed ... zu gehen und da ein Video zu suchen, ist eine Katastrophe. Das musst du am Handy machen.
Weil ⁓
Thomas Wiebe (1:49:18)
Mmh.
Ja, ich weiß nicht was da passiert ist mit dem Algorithmus. Das ist auf jeden Fall wirklich schlecht geworden. Und im Fernseher ist es sogar so, bei mir jetzt konkret, Apple TV, da haben sie die Funktionen rausgenommen auf der Hauptseite, dass du, normalerweise bieten sie eine Auswahl aus allem möglichen an, du bei dir in den Subscriptions hast oder so.
Andrej Friesen (1:49:43)
Hm.
Thomas Wiebe (1:49:48)
Du kannst aber dann immer noch einzelne Bereiche auswählen, sowas wie Heimkino oder Musik oder Podcasts. Aus irgendeinem Grund ist diese Auswahl bei mir jetzt sogar auf dem Apple TV weg, während ich sie immer noch auf dem iPad und auf der Webseite und so, da ist sie immer noch da. Das heißt, das ist besonders schlecht gerade nochmal. Der Algorithmus ist kacke, euch so klar zu sagen zu müssen. Das ist wirklich nicht gut. dann auch noch das.
Andrej Friesen (1:49:53)
Hm.
weggepatcht.
Thomas Wiebe (1:50:17)
Klammer, Feed. So, das ist das Gute. Alles läuft irgendwie zentral zusammen. Und Dinge, die ich in der Vergangenheit eben nicht so zentral zusammenlaufen lassen konnte, wie zum Beispiel dein Blog oder andere private Blogs. Also quasi, ich hatte meine Standardselektion an Newsseiten, die auch so bisschen unterschiedliche Quellen haben, Berichten. Dementsprechend war da eine gewisse Vielseitigkeit drin. Also so was wie Slash dort halt für so Nerdkram.
Aber eben dieser private Part, ist nicht reingekommen. Und du kannst halt auch, weiß ich nicht, Releases von Traffic oder irgendwelchen GitHub-Repos noch mit reinbringen, du die lieber da hast als in deiner Inbox vom Mail-Client. Nachteil, wenn du so Seiten hast wie Hacker News oder Hacker Day oder so was, da hast du 100 Einträge am Tag, die da reinkommen und das...
Andrej Friesen (1:51:08)
Alter, Vater, ja.
Ja.
Thomas Wiebe (1:51:17)
Ja.
Andrej Friesen (1:51:17)
Ich
habe mir das jetzt so gemacht, ich die Kategorien, wo Hacker News und sowas drin ist, dass ich die einfach so einstelle, dass die nicht in meinen Hauptfeed landen. Und wenn mir das dann einfach zu viel ist, dann gehe ich da rein und klick einfach auf alles gelesen, I don't care. So und dann scott ich da mal durch. Bei mir ist es halt auch so, Phronix lese ich ganz gerne oder habe ich zumindest den Überblick. Ich lese die Artikel nicht viel, aber ich habe gerne den Überblick, wie es die Lienungskönnenentwicklung bla bla bla.
LWN-Net, auch so ein Linux-Kram, da lese ich auch nicht jeden Artikel, aber ich will zumindest wissen, was geht ab in der Szene, was mit System D los, was ist hier und da. Golem, ja, auch mehr Überschriften und dann die Artikel, die ich interessant fand, lese ich dann so und dann, ja, aber ...
Und dann habe ich halt die 99 % Wobei gar nicht, vom Inhalt her sind natürlich die ganzen News Seiten viel mehr, weil die halt viel viel mehr Content produzieren. Aber davon lese ich nicht wieder, aber die privaten Blogs, da lese ich eigentlich alle durchgehend, die ich abonniert habe.
Thomas Wiebe (1:52:22)
Danke dir für den Tipp mit dem gewissen Feats nicht auf den Allstream einlaufen zu lassen. Ein Nachteil, er funktioniert tatsächlich nur in Miniflux. Ich nutze momentan Netnewswire als Client auf meinem iPhone. Da ist das leider nicht drin und da habe ich bis jetzt...
Andrej Friesen (1:52:40)
Ach so, Da musst du ja mit den Kategorien arbeiten. Also da
musst du die Kategorien halt an-surfen, ne? Ja, das hab ich auch gesehen.
Thomas Wiebe (1:52:50)
Nichtsdestotrotz, alles in allem schon ein großer Gewinn. Ein Problem, das aufgetreten ist, dieses, guck mal wie voll diese Inbox geworden ist. Früher war das einfach so, mit den vier News Seiten, ich angesurft habe, da sehe ich immer nur die letzten ein, zwei Seiten. Und wenn da ein paar Tage dazwischen waren, wo ich nicht geschaut habe, dann war das kein Problem, weil ich habe es halt nicht aufgedrückt bekommen. Da war nirgendwo so ein Bobble, der sagt, guck mal, noch 200 sind ungelesen.
Andrej Friesen (1:53:00)
Noch ein Ding zum Prüfen, ne?
Thomas Wiebe (1:53:18)
Das hast du da jetzt schon. Ich gehe dann auch den Wegs. Ich mache dann als erstes mal Hacker News, Hacker Day und so weiter. Wird dann erstmal als gelesen markiert, einfach ein bisschen Struktur reinzukriegen oder Überblick. Aber ein neues Problem entstanden dadurch tatsächlich. So ein Informationsüberfluss, wo einem wirklich nochmal ganz klar gemacht wird, guck mal, das weißt du alles noch nicht oder das hast du dir alles noch nicht angeschaut. Punkt Punkt Punkt.
Andrej Friesen (1:53:41)
Ja, ich würde sagen, da muss man einfach aufpassen. Das soll ja keine Arbeit sein. daher, mach es dir so, wie du es magst.
Wenn du halt fietst, kann man einfach hochschmeißen, das ist ja auch kein Problem.
Thomas Wiebe (1:53:52)
Na gut.
Aber wie du sagst, manchmal den Überblick zu bewahren, ist es trotzdem noch ganz sinnvoll. Die grobe Struktur, die grobe Entwicklung von Körnelentwicklung oder weiß ich nicht was.
Ich habe noch einen Nachtrag zum Thema MQTT. Wir hatten nämlich beim letzten Mal geschaut, was haben wir denn alles so an Komponenten laufen, die das überhaupt benutzen. Und ich sagte, ich habe auch nur Zigbee2MQTT. nee. Wo habe ich geguckt in Home Assistant und zwar in den Entitäten, die von Integration erstellt wurden. Da waren wirklich nur Zigbee2MQTT Sachen drin. Aber ich habe noch paar Anwendungsfälle, wo ich mir dachte, die kann man ja mal teilen. Einfach nur als Inspiration vielleicht oder...
Andrej Friesen (1:54:23)
Mhm.
Thomas Wiebe (1:54:42)
Das ist interessant. Was ist drin? Irgendwann mal Thema Präsenzerkennung. Wie kannst du gucken, wer ist zu Hause? Gibt es ja verschiedene Ansätze. habe ganz früher das mit dem nmap Modul gemacht. Das ist irgendwann fehlgeschlagen. Ich frage mich jetzt gerade, warum. Ob das der Schritt war, wo du angefangen...
Andrej Friesen (1:54:58)
ob das Gerät im Wi-Fi ist.
Thomas Wiebe (1:55:09)
angefangen haben diesen Privacy Mode zu aktivieren, aber ich glaube das war es nicht, es war noch irgendwas anderes. Ich kam auf jeden Fall damit nicht weiter. Oder weil ich das Netz damals segmentiert habe, das könnte auch der Grund gewesen sein und ich konnte mit Nmap an der Stelle jetzt nur auf das Netzsegment scannen, wo der Home Assistant drin war und nicht auf die anderen. Und dann bin ich damals gewechselt auf, ich habe momentan noch den Mikrotik Router, der die Access Points waren zu dem Zeitpunkt unterschiedlicher Hersteller.
Dementsprechend konnte der Mikrotik-Router auch wenn der... Also hier oben war Mikrotik-Router und Mikrotik-Access-Points. Und dementsprechend hast du zwei Möglichkeiten zu sehen, wer gerade im Netz ist. Zum einen sind das die DHCP-Leases, zum anderen sind das die... Wie haben sie es noch genannt? Na die Connected-Clients, wie auch immer, Weil der Mikrotik-Router, wie über dieses Feature Capsman, auch eine zentrale Steuerung der Access-Points über Normatten, somit siehst du doch alle Connected-Clients.
verbundene Clients. Das funktionierte aber mit den verbundenen Clients wiederum nur für die Access Points von Mikrotik und das war nicht im ganzen Hause. Wenn man also mal unten war, zum Beispiel im Erdgeschoss und das Handy verbindet sich mit dem anderen Netz, dann bist du gleich rausgeflogen. Wenn du wieder hoch kommst, es sein, dass das Handy immer noch mit dem anderen Netz verbunden ist und auf einmal bist du nicht zu Hause. was ich damals gemacht habe, ist selbst gebastelt. Ich habe mir so ein kleines Skript geschrieben, was die Mikrotik API
Andrej Friesen (1:56:28)
Ja, ja.
Thomas Wiebe (1:56:38)
ansteuert und dann dort, ich glaube über die DHCP-Lises geht, also im Grunde gab es da keine gute Integration zu dem Zeitpunkt. Und dann über MQTT schreibt, wer anwesend ist anhand der DHCP-Daten, die man da halt so hat. DHCP ist ja auch manchmal ein bisschen verräterisch, das war zumindest zeitweise so, ja, was ich damit meine ist, es war zumindest
Andrej Friesen (1:56:59)
Verrät.
Thomas Wiebe (1:57:03)
Damals, wenn mich mein Gedächtnis nicht ganz täuscht, gab es dann dieses Privacy-Feature, was irgendwie die MAC-Adresse immer wieder neu generiert hat. Dementsprechend hast du auch ständig, also jedes Mal wenn du dich irgendwie mit einem neuen WLAN verbindest, dann hast du ständig eine neue IP bekommen, aber der DRCP-Client hat immer noch den Device-Namen mitgeschickt. Das heißt im DRCP-Server siehst halt immer noch, ja, okay, das ist halt jetzt hier das Handy. Ein iPhone von Thomas oder so was.
So und das konntest du dann abfangen und das habe ich mit dem Presence-Kram unter anderem gemacht und dann habe ich in MQTT irgendwie reingefeuert wer ist connected und wer nicht. Und das ist für meinen Anwendungsfall. Damit bist du auch wieder außerhalb von Home Assistant und kannst Informationen unter anderem für Home Assistant nutzbar machen.
Andrej Friesen (1:57:50)
Mhm.
Thomas Wiebe (1:57:51)
Dann Jellyfin. Jellyfin. zwar, worum ging es? Im Heimkino wollte ich... Was war denn der Use Case? Ich glaube der Use Case war, die Vorstufe bietet es an, verschiedene Arten von Beleuchtung zu machen. quasi das Display, was integriert ist, hat eine Beleuchtung und eine Helligkeitsstufe. Und dann gibt es eben noch so eine...
Andrej Friesen (1:57:55)
Jellyfinger. Okay.
Thomas Wiebe (1:58:20)
ambient Beleuchtung die das Gerät selber integriert hat und wenn ich Film gucke möchte ich immer das Schwarze Höhle so soll die Beleuchtung auch sein alles mögliche und wenn ich irgendwie Musik höre da ist es okay wenn das ein bisschen ambiente Beleuchtung da ist zumindest zeitweise Und dann wollte ich das steuern ich weiß früher habe ich mal mit Plex da gab es auch irgendwelche Webhooks die du an trian lassen konntest als ich noch Plex verwendet habe da konntest du dann irgendwie an diese
Andrej Friesen (1:58:44)
Hmm.
Thomas Wiebe (1:58:48)
Wie hieß das bei Home Assistant? Da konntest du auch so Webhooks definieren. Da du so einen Endpunkt mit irgendeiner URL. Da konntest du gegenfeuern. Das gibt es auch jetzt noch. Früher habe ich es genutzt. Und da kannst du auch sogar ein Body übermitteln. Also irgendwelche Daten. Das habe ich damals, glaube ich, benutzt für Plex, wenn ich mich recht erinnere. Und bei Jellyfin habe ich gesehen, es gibt ein... Wie hieß das Plugin? Das Plugin heißt Webhooks. Genau. Wenn du reingehst, kannst du einen MQTT-Server definieren.
Andrej Friesen (1:58:55)
Ja.
Aber auch Webhooks, oder?
Thomas Wiebe (1:59:18)
Und dieser MQTT-Server kannst du dann auch sagen, welche Events sollen da rein gefeuert werden. Und schickt dir halt Messages rein, wenn, also nicht nur wenn, sondern ClientX mit einem Namen, Client hat dann einen Namen, hat angefangen, irgendein Medium abzuspielen. Und dann auch die ganzen Updates im Fortschritt, bomm, bomm, bomm, wird alles reingepustet. Der Stopp wird reingepustet, eine Pause wird reingepustet. Alles Mögliche ist dann quasi im MQTT drin. Also du kriegst eine ganze Latte an Messages rein. Du kannst filtern lassen, einen Jellyfin einstellen. Und dadurch kannst du zum Beispiel, weiß ich nicht.
Andrej Friesen (1:59:28)
Mhm.
Thomas Wiebe (1:59:47)
dynamische Beleuchtung machen. Irgendwas.
Andrej Friesen (1:59:49)
Aber es gibt auch eine Jellyfin-Integration direkt in Home Assistant.
Thomas Wiebe (1:59:54)
Macht ihr das auch? Also auch so welcher client was wo wie abruft und welcher status da gerade ist?
Andrej Friesen (2:00:01)
sein, dass nur Media
Player ist.
Thomas Wiebe (2:00:04)
Okay, das müsste man sich mal anschauen. Weil für mich relevant war, muss halt erstmal wissen, es ist der Apple TV. Und zwar der Apple TV, der im Kino steht. Und wenn der zum Beispiel dann auf Pause geht, kann ich auch die Raumbeleuchtung, die ambiente Raumbeleuchtung einschalten. Weil ich zum Beispiel ausstehen will und mir was zu trinken holen möchte oder so. Und solche Use Cases waren das, die ich damit abbilden wollte. Ich hab halt angefangen vor ein paar Jahren mit so einer programmierbaren Fernbedienung, der Logitech Harmony.
hat man glaube ich schon mal ein Produkt, ich... Ja genau, also Hardware ist nicht schlecht und Software ist kacke. bedient eine Nische im niedrigpreisigen Segment, aber dummerweise haben sie halt aufgehört das Ding herzustellen. Ich fand's nie gut, also nie so richtig gut, weil eben die Software so schlimm ist, aber es hat halt Probleme gelöst und unter anderem konntest du auch, wie haben das genannt, Sequenzen definieren. Also wenn du zum Beispiel auf Pause drückst, dann wird dann...
Andrej Friesen (2:00:37)
Gut, Zofferkacke.
Thomas Wiebe (2:01:00)
Pause gesendet und im nächsten Schritt wird noch ein anderes Signal gesendet, das Licht einzuschalten. Das wäre dann Video-Player-agnostisch. Das wäre dann halt nur über die Fernbedienung. Aber das habe ich jetzt gerade nicht und dementsprechend dachte ich mir, komm, das habe dann mit Plex mal gearbeitet. Plex ist aber weg und dann habe ich bei Jellyfin diese Lösung gefunden. Das coole ist wirklich, dass es passiert halt dann zentral vom Server. Also der Server schickt die Nachrichten und er sagt halt auch welcher Client gerade was macht.
Andrej Friesen (2:01:23)
Das ist cool.
Das heißt, du hast auch in Homes eine Datenbank, welche Filme du wann wie lange geguckt hast oder Serien etc. Das ist lustig. Das will man vielleicht auch gar nicht wissen.
Thomas Wiebe (2:01:32)
könnte ich machen. Das hat mich an der Stelle nicht interessiert. Ich habe mal so etwas eingetragen.
Ich hatte mal irgendwo so einen Binairsensor definiert. Gucke Film oder höre Musik, einfach nur zu sehen, wie viel Zeit war leichter. Ich habe es irgendwann nicht mehr geschaut, weil es war traurig.
Andrej Friesen (2:01:51)
Ich habe auch gerade kurz zwischendurch geguckt, die Jellyfin Integration in Home Assistant ist ein Mediaplayer. Der der addet den Jellyfin als Media-Source, da kannst du dann Commandos machen wie Movie Night und dann wird halt ein bestimmtes Ding abgespielt.
Thomas Wiebe (2:01:58)
Okay.
Ja, fand ich cool MQTT mal aus dem Medienbereich zu sehen. Und dann tatsächlich das letzte Thema auf meiner Seite, was ich momentan noch mit MQTT mache, ist, wie gesagt, Logitech Harmony. Ich will von dem Produkt weg. Ich habe noch eine da, aber will sie nicht mehr nutzen. Und dann dachte ich mir, komm, ich brauche irgendwas, was programmierbar ist. Du hattest mir damals gesagt, komm mal hier, gib Makro Pads.
Andrej Friesen (2:02:15)
Hm.
Thomas Wiebe (2:02:37)
Bei den Makropads, die haben so ein paar Tasten, ist ein bisschen wie so ein mechanisches Keyboard, ein paar Tasten, eben manchmal haben noch einen Drehregler dran oder so. Das Problem war die Komplexität und die Zeit, die ich dafür brauchte, das irgendwie ans Laufen zu kriegen, weil du brauchst halt nicht nur das Pad, das Ding braucht Strom, dann musst du das aber, irgendwelche Signale müssen irgendwo hingehen, damit die überhaupt erst mal interpretiert werden. Dann brauchst vielleicht noch ein paar, das Ding dann portabel auf dem, auf der Heimkino-Couch zu haben.
war dann für mich auch ein Faktor. das ist eine Fernbedienung einfach mal was anderes als das. Und dann kam mir der Gedanke, warum nehme ich nicht einfach irgendeine Art Bluetooth-Fernbedienung oder so, irgendwas, was ich an einen Pi schicken, womit ich Signale an Pi schicken kann, der ja nicht direkt neben mir dann stehen muss, weil das ist ja Funk. Und dann kann ich da eventuell irgendwie was auslösen. Und das, was ich mir da gebastelt habe, eine alte Fire TV-Fernbedienung. Die hat genug Tasten, würde ich mal sagen.
Vorsichtig, das ist so eine wirklich alte so vor zehn Jahren oder sowas. Und die funktioniert noch per Bluetooth und das hat sich anscheinend irgendwann geändert. Die gilt noch als ganz normales Input Device im Sinne von ist wie ein Keyboard.
Andrej Friesen (2:03:51)
Ja,
Hit Device, Human Interface Device dann.
Thomas Wiebe (2:03:54)
Und dann kriegst du in Linux über dieses... wie ist das? EVDEV glaube ich heißt das. Also EVDEV kriegst du dann die einzelnen Tastendrücke übermittelt und zwar mit dem wird gerade... also Druckprozess... also wird jetzt gerade gedrückt, wird gehalten, wird losgelassen und so weiter. Und dann dachte ich mir, okay diese Informationen brauche ich, ⁓ Aktionen zu triggern, ⁓ quasi das was ich mit der Logitech vorher gemacht habe zu machen.
Die brauche ich irgendwo in meiner Heimautomatisierung. Wie kriege ich sie dahin? Heimautomatisierung ist räumlich auch zu weit entfernt. Das heißt, ich kann einfach nicht den Bluetooth-Pilöpel da reinstecken. Dann habe ich mir einen Pi in einen Raum gehangen, irgendwo, die beiden miteinander gepaart und dann ein kleines Tool geschrieben. Sowas gab es, glaube ich, auch schon in Python, aber ich wollte es irgendwie kompakter haben und brauchte ein Projekt, mal bisschen Go zu spielen. Habe ich das in Go geschrieben, einfach nur EVDEV2MQTT.
Andrej Friesen (2:04:29)
den Dämonen.
Thomas Wiebe (2:04:48)
leider noch nicht open source, wollte ich immer mal polieren es rauszugeben, aber momentan ist es das noch nicht. das schickt einfach jedes dieser Signale, alles, also auch die ganzen Repetitionen, wenn du die Taste hältst, einfach eins zu eins, ich hätte nicht gedacht, dass das so gut funktioniert, ballert es in den MQTT rein, einfach pro sozusagen.
Andrej Friesen (2:05:06)
hab dafür bräuchte ich noch nicht mal ein Pie.
Thomas Wiebe (2:05:09)
Wahrscheinlich.
Andrej Friesen (2:05:10)
Du kannst da einfach einen ESP nehmen. brauchst noch nicht mal ganz das Linux darunter. Weil da gibt es auch genug MQTT Libraries. Und schieß das einfach darüber. Du sparst den ganzen Betriebssystem overhead.
Thomas Wiebe (2:05:14)
Mhm.
könnte sein, ja. Ich weiß nicht, warum ich damals... Ich hatte zum Glück noch den alten, alten Pi 3 oder so rumliegen, wo irgendwann mal Home Assistant drauf lief. Oder ein Home Assistant. separates. Interessanter Gedanke geht vielleicht auch damit. Ich hab's jetzt mit dem Pi gemacht. Da läuft ein Binary drauf wirklich in das System, die Unit und dieses Ding... Das läuft. Das verbindet sich mit dem MQTT-Server, findet das Device und dann liest es halt einfach alle Events und Posts durch. Es ist dumm.
Andrej Friesen (2:05:39)
Ja, läuft.
Thomas Wiebe (2:05:51)
bewusst. Und in Home Assistant auf der Seite, ich nutze ja für, sagen wir mal, erweiterte Funktionalität, habe ich beides im Einsatz aus historischen Gründen, Node-RED und AppDaemon. Und an der Stelle ist es AppDaemon, der verbindet sich direkt mit MQTT, deswegen hatte ich auch keine Entität in Home Assistant drin. Der liest einfach alle Events, die darüber reinkommen und er merkt sich sowas wie, mal, da wird eine Taste gedrückt und die ist nur kurz gedrückt oder sie wird gehalten, also das Pattern.
Andrej Friesen (2:06:09)
Mhm.
gedrückt.
Thomas Wiebe (2:06:21)
Wiederholt sich bis sie losgelassen wird und triggert dann unterschiedliche Aktionen. Somit habe ich die Möglichkeit über einmal normal drücken und über lang drücken zwei verschiedene Sachen zu triggern. Und darüber hinaus, das war dann der Spaß der aus den programmierbaren Tastaturen kommt. Zum Beispiel die ZSA Tastatur, die Voyager, die bei mir ja immer noch rumliegt, aber die ich nicht mehr aktiv benutze. Da gibt es ein Layer System. Wenn du eine gewisse Tasse drückst, dann switchst du den Layer.
Andrej Friesen (2:06:51)
Ja. Nee.
Thomas Wiebe (2:06:51)
Und das habe ich nachgebaut in AppDeam, mehr oder weniger.
Also wenn ich quasi eine Taste drücke, dann switcht er den Layer auf den zweiten. Dann habe ich da also andere Funktionen drauf und entweder das Timeoutet nach zehn Sekunden, wenn du keine Tasten drückst, dann switcht er wieder auf den Default Layer oder du kannst explizit nochmal auf den Default Layer switchen. dann sogar zwei Stufen eingebaut. Ist noch Overkill, aber naja. Nachteil? Du musst dir halt merken, genau wie mit der Tast programmierbaren Tastatur, du musst dir merken, welcher Layer wann was wie wo macht. Die Tastatur ist, die Fernbedienung ist nicht beleuchtet. Das heißt du...
Andrej Friesen (2:07:13)
Jaja, das ist mehr muscle memory.
Kein Feedback,
Thomas Wiebe (2:07:20)
Du siehst halt nicht ganz genau.
Aber für meinen Use Case ist es eine klitzekleine Fernbedienung. Sie funktioniert mit diesen AAA Batterien. Das heißt, das erste Mal hat die, glaube ich, halbes Jahr gehalten oder so. Weil ich wahrscheinlich auch viel damit rumgespielt habe. Aber mal im Ernst. Das heißt, ich habe nicht das Problem, dass der Akku irgendwie irgendwann in der Fritten ist. Und für mich löst das das Problem. Es funktioniert zufällig. Das einzige Ding ist halt...
Wenn ich anfange sie zu benutzen, muss ich einmal eine Taste drücken, damit ihr die Verbindung aufbaut. Das dauert dann so 2-3 Sekunden.
Andrej Friesen (2:07:50)
Das wollte ich dich gerade fragen.
Ich habe ja auch so ein Nvidia Shield seit Ewigkeit, noch ein altes. Ein TV Shield, ach whatever. Ein Nvidia Gerät, was bei mir die Android TV macht. Und die Firmware kann es in der Tonne klappen. Zumindest die, ich habe. Ich muss zwei Minuten warten, bis sie sich verbindet. Dann ist da so eine blöde Knopfzettel drin, die gefühlt jeden Monat leer ist. Es geht mir so auf den Senkel, dieses Ding. Ich benutze die nicht mehr. Ich nutze nur noch die vom Fernseher.
Thomas Wiebe (2:07:56)
Mhm.
Es ist hart.
Andrej Friesen (2:08:20)
Und eigentlich ist die Kacke, weil das Steuerkreuz nicht gut ist, diese Gummitasten, die wabbeln so rum, da triffst nicht immer richtig und dann muss man voll feste drücken für Play und Pause. Ich würde gerne wieder das Ding benutzen, jedes Mal da zwei Minuten zu warten, bis die sich verbunden hat und das ist halt zwei Meter weit weg.
Thomas Wiebe (2:08:38)
Das dauert wirklich so lange, ja? Also übertreibst jetzt grad nicht?
Andrej Friesen (2:08:39)
Ja, Katastrophe.
Du kriegst das doof rum und kriegst einfach kein Feedback. Und manchmal ist es dann leer. Keine Ahnung, ich mag dieses Ding gar
Vielleicht muss ich mir aber klein anzeigen, was ein billiges Ding holen.
Thomas Wiebe (2:08:52)
Also bei dem Fire TV ist das absolut kein Problem. Du drückst durch eine Taste, das dauert ca. 2-3 Sekunden, wenn es verbunden ist. Und erst wenn es verbunden ist, erscheint im UDEV, also im virtuellen Dateisystem für die Devices, erscheint auch erst dann erst das Device. Das heißt, dieses evidev für MQTT muss dann regelmäßig scannen, finde ich jetzt das Device, das ich suche.
Andrej Friesen (2:08:58)
Das ist fein.
Mmh.
Thomas Wiebe (2:09:16)
Und wenn ja, dann verbinde ich dann öffne ich das und dann erst dann kann er natürlich auch lesen das heißt der erste das erste Signal geht verloren ich drücke also einfach irgendeine Taste wenn ich mich in den Raum bewege loszulegen und das gute ist aber die Verbindung wird lange aktiv gehalten also Wir reden hier von zwei drei Stunden oder sowas nach dem letzten drücken dementsprechend Genau also es passiert sehr sehr sehr selten dass wenn ich mal auf der Couch einschlafen oder sowas dann kann das ja passieren dass ich irgendwie
Andrej Friesen (2:09:32)
Mhm. Das ist gut. Ja. Das ist gut, während so Film abend, ne? Reicht das?
Thomas Wiebe (2:09:45)
wenn ich das nachher ausschalten möchte mit dieser Fernbedienung, dass sie dann nochmal die Verbindung verloren hat. Aber das ist wirklich kein Problem.
Andrej Friesen (2:09:51)
Warum möchte ich das die... Und das ist auch das andere Problem bei der Verbindung. Bei mir verliert die ständig die Verbindung. Stromsparen, weil nur Knopfzelle drin. Nehm ich an, das ist jetzt nur eine Annahme. Krass, dass ich ein Scheißgerät hab. Und ich bin ja so wahnsinnig genervt von den Abmischen von den neuen Filmen und TV-Serien. Wir gucken aktuell eine Serie nicht. Ich nenne sie die Flüster-Serie. Weil du verstehst nichts. Alles ist laut.
Thomas Wiebe (2:10:00)
Mhm.
Mmh.
Andrej Friesen (2:10:20)
Außer die Sprache. Und du kannst nichts verstehen. Und das heißt, ich bin die ganze Zeit am Hoch- und Runterscrollen mit dem... Mit der Fermin ist das cool. kannst du mit Touch, geht das richtig cool, ne? Da hast du so in der Mitte so ein kapazitiven... Kapazitives Feld. Kannst eben schnell hoch und runter machen. Mit der Fermin, die du vom Fernseher musst, da klick, klick, klick, klick, klick. Die so Volume-Buttons halt. Und das macht dich wahnsinnig. Und dann...
reguliere ich das halt so, dass wenn es laut wird, dann mache ich manuell. Ich weiß nicht was mit den heutigen Fernsehern oder vielleicht bin ich auch zu doof. Ich habe sogar alles schon probiert mit Lautstärke normalisieren. Solche gibt es ja glaube ich im Shield und dann gibt es das in Jellyfin. Habe ich auch aktiviert, dass der jeden Film durchgeht jede Nacht und dann die Audiospur dann normalisiert. Es ist eine Katastrophe. kann das, diese eine Serie kann ich nicht gucken, weil die zu leise bei den Gesprächen.
Thomas Wiebe (2:11:12)
verrückt. Es ist oftmals wirklich einfach eine Frage der Abmischung. Aber es kann auch Raumprobleme sein, das darf man auch nicht vergessen. Ich ihr habt ja auch ein recht hohe Decken und so und einen recht offenen Raum. Ich meine, es gibt einfach gewisse Effekte, die du hast in gewissen Frequenzbereichen, dass gewisse... Also zum einen kann es Überlagerung sein. Wenn also der Tieftonanteil zu hoch ist, dann gehen die ja...
Andrej Friesen (2:11:16)
Ja.
Ja, aber wir sitzen ja nicht weit weg vom Fernseher. Gut, ... Ach so, meinst wegen Schall und Ja, okay, wegen Echo, Hast recht.
Wir haben keinen Tiefton, haben den Fernsehlautsprecher.
Thomas Wiebe (2:11:41)
Dann gehen dir die mitten vielleicht verloren oder die Höhen.
Das kann es sein, dann kann es halt einfach sein, Raummoden und gewisses Dröhnen entsteht und das verstärkt das ganze Problem wieder oder aber irgendwelche Reflektionen. Je mehr Reflektion du im Raum hast, desto weniger präzise wirkt das Signal und dein Ohr interpretiert das dann als ein langgezogenes Signal und dadurch wird es ein bisschen verwaschener. Das kann auch sein, aber es gibt da wirklich viele Faktoren und dann ist es manchmal einfach die verkackte Abmischung.
Andrej Friesen (2:11:51)
Mmh.
Thomas Wiebe (2:12:09)
Weil der irgendeine der im Tuchtonstudio sitzt sagt, da muss knallen. So, dann machen sie der Bassmoos rauf. So und der Ton ist dann halt irgendwo... Ich weiß es nicht. Das ist fies.
Andrej Friesen (2:12:13)
Ja, die Explosion muss richtig knallen.
Ja, mich nervt
das voll. mir für das schwer mittlerweile was zu gucken, weil ich möchte das nicht laut haben. Ich hab ein dreimonat altes Kind hier rumliegen. Das soll nicht von einer Explosion wach werden, während ich den Fernseher nab. Wenn du da schläfst und ich möchte das einfach verstehen. Ich möchte nur den Content genießen. Geht aber häufig.
Thomas Wiebe (2:12:41)
Es gibt ja bei manchen auch so einen Sprachverständlichkeitsmodus, wo wirklich der Tiefton reduziert wird, wo einfach nur noch die Höhen drin bleiben, damit das halt deutlicher ist. Okay. Ja.
Andrej Friesen (2:12:46)
Hm.
Das ich nehmen, aber das funktioniert nicht.
Ja,
kurzer Einfall. Ich hab mal kurz gegoogelt und Gemini benutzt, während du gequatscht hast. Geht sogar mit ESPHome in der Theorie. Gibt eine externe Komponente, der nützt auch einen Fire TV Stick 3. Generation. Und die Nvidia Sheet Firmendienung. Hallo! Hab ich gesehen. Okay, ich muss gleich mal was testen. Und mach dann auch MQTT-Verbindung.
Thomas Wiebe (2:13:06)
Uhu!
Hahahaha
Huh?
Andrej Friesen (2:13:25)
Das heißt, du sparst den gesamten Linux Stack, kannst das dann in Home Assistant direkt... Dann brauchst ja noch nicht mal MQTT. Ja doch, brauchst MQTT. Musst ja das verarbeiten können. Ich weiß nicht, ob funktioniert, ist natürlich nur Gemini gerade. Muss man dann jeden Tastendruck auch definieren und so. Ich meine, so viele sind es ja nicht auf so einer Tasse. Auf so einer Tastatur meine ich mit Steuerkreuz und ein paar Enter- und Zurückbuttons.
Thomas Wiebe (2:13:36)
Ja genau, irgendwo muss das Signalleitern kommen.
Ich glaube ich habe hier tatsächlich die Fernbedienung ist von der ersten Generation Fire TV. Ich gucke mir gerade die Fernbedienung an und ja sieht so aus. So das richtig alte Teil das hat aber wie gesagt auch noch keine kein Akku verbaut und nichts sondern einfach nur Batterie rein. Ja das ist echt. Wenn es lang genug hält und das tut es in der Regel dann ist das schon okay.
Andrej Friesen (2:14:07)
⁓ praktisch.
Ja.
Thomas Wiebe (2:14:17)
Ja cool. Können wir abhaken von mir aus. So, mal das was wir noch auf dem Schirm hatten, das machen wir einfach nächstes Mal.
Andrej Friesen (2:14:21)
Ja, machen wir.
Joa, ich wollte nochmal das Notiz tun, aber das reicht jetzt auch. Muss auch noch weg. Termine.
Ja gut. ja, wir sind jetzt professionell, wir müssen noch das Auto machen. So, ich mach mal einfach. Die Sendung ist hiermit beendet. Wir bedanken uns natürlich bei allen Zuhörern. Falls ihr irgendwelche Kritik, Ideen oder auch Meinungen habt zu unserem Quatsch, wir erzählen, bitte her damit. Per mastodon oder auch an die podcast at smarthuette.de
Thomas Wiebe (2:14:36)
Ja cool.
Andrej Friesen (2:15:04)
Und empfehlt uns weiter, lasst irgendwo Kommentare hinter. Apple Podcasts und so, das soll angeblich helfen. Ich weiß nicht, ob es wirklich hilft. Macht's einfach. Und ich sag mal, bis zur nächsten Sendung. Tschö.
Thomas Wiebe (2:15:15)
Bis zum nächsten
Mal. zusammen.