Let’s Encrypt ist auf das automatische Abholen und Einrichten von TLS-Zertifikaten ausgelegt. Für Anwender, die mehr Kontrolle über den Prozess haben wollen, gibt es aber auch einen „Manual Mode“, der folgende Vorteile hat:
Die Zertifikate können von jedem Rechner aus abgeholt werden (Der LE Client muss nicht auf dem Zielserver laufen)
Der Webserver muss nicht wegen des LE Clients kurzzeitig abgeschaltet werden.
Und so funktioniert’s: Auf von einem beliebigen Rechner aus kann mit dem Let’s Encrypt ACME Client eine Zertifikatsanfrage abgeschickt werden. Zur Bestätigung des Domainbesitzes müssen in einem bestimmten Unterverzeichnis des Ziel-Webservers (Domain-Ziel) Dateien mit einem bestimmten Inhalt hinterlegt werden (=> Challenge-Dateien). Der ACME Server überprüft daraufhin, ob die Dateien unter den jeweiligen Domains erreichbar sind und der Inhalt korrekt ist. Wenn das der Fall ist, ist der Domainbesitz bestätigt und die Zertifikate werden ausgehändigt.
Vor ein paar Tagen habe ich mir einen Yubikey Neo zugelegt. Dabei handelt sich um eine Kombination aus One-Time-Passwort-Generator (OTP-Generator) und PGP-Smartcard. Außerdem können auch statische Passwörter hinterlegt werden. Der Yubikey unterstützt eine Fülle an Authentifizierungsmechanismen, egal ob online, über fremde oder eigene Server, oder offline.
In diesem Beitrag soll es um den Login an einem Arch Linux Rechner gehen – abgesichert mit dem Yubikey, oder Passwort + Yubikey (Two-Factor-Auth). Für eine PAM-basierende Authentifizierung, wie wir sie unter Linux und Mac OS haben, stellt Yubico ein Open Source PAM Modul zur Verwendung mit dem Yubikey bereit. Das Modul kann in zwei verschiedenen Betriebsmodi genutzt werden: Entweder in Kombination mit dem Yubico-OTPs über Yubico-eigene Server oder über ein HMAC-SHA1-basiertes Challenge-Response Verfahren, das auch offline (und damit unabhängig von Servern) funktioniert. Ich ziehe die offline-Methode vor, denn der große Nachteil der online-Variante ist: Wenn die Server offline sind (oder mein Rechner) kann ich mich nicht mehr einloggen.
Gestern habe ich die Arch Linux Installation auf meinem Asus UX31a Ultrabook erneuert. Eine Schwierigkeit bei dem Ultrabook ist dabei das UEFI System. Mein vorheriges Arch Linux Setup auf dem Gerät war ziemlich kompliziert (wie sich herausgestellt hat: unnötig kompliziert), aber inzwischen habe ich einfachere Wege gefunden, die ich mit diesem Beitrag mit euch teilen will. Das UEFI Setup ist gar nicht mehr so schwierig, wenn man die richtige herangehensweise gefunden hat. Statt 4 Partitionen werden nur noch 2 benötigt und das Setup ist wesentlich kompakter. Der Großteil des Betriebssytems (alles außer /boot) wird via LUKS verschlüsselt auf der SSD abgelegt.
Seit einigen Tagen verhält sich mein Arch Linux merkwürdig. Sämtliche Adressen zu Verzeichnissen werden auf einmal mit dem Audioplayer Audacious geöffnet, was natürlich in den wenigsten Fällen so gewollt ist. Eigentlich sollte sich ja Nautilus starten – mein Filebrowser. Wenn ich beispielsweise in meiner Gnome-Shell nach einem Ordner suche und diesen öffne, wird er nicht im Dateibrowser geöffnet, sondern Audacious öffnet diesen Ordner und durchsucht ihn nach Musikdateien.
Im Asus Zenbook Prime UX31a Ultrabook ist ein Intel Centrino Advanced N 6235 Wifi Chipsatz verbaut. Dieser beherrscht Bluetooth und sowohl 2,4 GHz WLAN als auch 5,0 GHz Netzwerke. Leider konnte ich mit diesem Chipsatz nie eine Geschwindigkeit von mehr als 90 MBit/s (Netto) erreichen – trotz passendem Router und installiertem Treiber (der im Linux Kernel bereits enthalten ist).
Wenn es um den Ruhezustand bei Computern geht, kann zwischen zwei Arten unterschieden werden: „Suspend to RAM“ und „Suspend to Disk„. Während bei „Suspend to RAM“ (im Folgenden nur „Suspend„) ein Abbild des laufenden Systems in den Arbeitsspeicher geschrieben wird, wird dieses Abbild bei „Suspend to Disk“ (im Folgenden „Hibernate„) auf die Festplatte geschrieben. Der große Vorteil von Hibernate ist: Auch, wenn der Strom ausfällt – zum Beispiel durch einen versehentlich gezogenen Netzstecker oder einen leeren Akku – bleiben die Daten erhalten. Die Festplatte behält die Daten schließlich auch ohne Stromversorgung, während der RAM seinen Inhalt bei Energiemangel verliert.
Über das PAM USB Modul kann die Anmeldung am Linux-Computer entweder bequemer oder sicherer gestaltet werden: Bequemer, wenn ein USB-Stick als real existierender „Schlüssel“ zur Anmeldung genügen soll, sicherer, indem neben einem Passwort auch der Besitz eines bestimmten Sticks nachgewiesen werden muss. Die Authentifizierung funktioniert systemweit – also wohl auf dem Anmeldebildschirm als auch in der Konsole z.B. beim Einsatz von „sudo“.
In den letzten Monaten ist mir aufgefallen, dass die Leistung meines Ultrabook mit der Zeit stark abnahm. Vorher war es kein Problem, 1 oder 2 virtuelle Maschinen nebenher laufen zu lassen – inzwischen war die Leistung aber so gering, dass es noch nicht einmal mehr möglich war, eine einzige VM laufen zu lassen und flüssig weiter zu arbeiten.
Natürlich habe ich die Systemauslastung beobachtet – mir ist aber nichts besonderes aufgefallen. Alle Werte lagen im mittleren Bereich mit Luft nach oben. Weder CPU noch RAM waren voll ausgelastet. Und trotzdem konnte man nicht mehr vernünftig arbeiten, wenn eine virtuelle Maschine in Hintergrund lief.