nginx unter Raspbian Jessie Lite mit sicherer SSL Konfiguration und PHP installieren und konfigurieren

2. September 20173. Juli 2017 Carsten Ein Kommentar

In diesem Beitrag beschreibe ich wie nginx mit einer sicheren SSL Konfiguration und PHP auf Raspbian Jessie installiert und konfiguriert werden kann.

nginx & PHP installieren

Zuerst müssen nginx und PHP mit nachfolgendem Befehl installiert werden.

$ sudo apt-get install nginx php5-fpm

PHP testen

Nun sollte überprüft werden das PHP auch tatsächlich funktioniert. Dazu muss die Konfiguration der nginx Standardseite (/etc/nginx/sites-available/default) angepasst werden. Es müssen vor folgenden Zeilen die Kommentarzeichen entfernt werden.

location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php5-fpm.sock;
}

Anschließend muss noch die nginx Konfiguration neu geladen werden, damit die Änderungen wirksam werten. Vorher sollte getestet werden, dass die Konfiguration keine Fehler enthält.

$ sudo /etc/init.d/nginx configtest
[ ok ] Testing nginx configuration:.
$ sudo /etc/init.d/nginx reload
[ ok ] Reloading nginx configuration (via systemctl): nginx.service.

Nun kann einfach eine Datei phpinfo.php mit nachfolgendem Inhalt im Verzeichnis der Standardwebsite (/var/www/html/) angelegt werden.

<?php phpinfo(); ?>

Abschließend kann die Datei einfach über den Webbrowser aufgerufen werden (z.B. über http://example.com/phpinfo.php). Die Ausgabe sollte folgendermaßen aussehen.

nginx Konfigurieren

Nach der Installation muss nginx noch konfiguriert werden. Dies ist etwas aufwendiger als für PHP. Die Hauptkonfigurationsdatei ist /etc/nginx/nginx.conf. Die Konfiguration der einzelnen Seiten befindet sich im Verzeichnis /etc/nginx/sites-available/ und die Konfiguration der aktuell aktivierten Seiten im Verzeichnis /etc/nginx/sites-enabled/.

/etc/nginx/nginx.conf

Schauen wir uns zuerst die Hauptkonfigurationsdatei genauer an.

Zu Beginn werden generelle Parameter festgelegt.

user definiert den Linux Benutzer unter dem nginx laufen soll. www-data ist der Standardnutzer unter dem Webserver unter Debian/Ubuntu laufen.
worker_processes ist die Anzahl der nginx Prozesse. auto versucht den besten Wert automatisch zu finden.
pid ist zur Kommunikation mit dem Betriebssystem und sollte auch bei dem Standardwert (\run\nginx.pid) belassen werden.
woker_connections innerhalb von events definiert die maximale Anzahl von Verbindungen pro nginx Prozess (768 ist der Standardwert).

user www-data;
worker_processes auto;
pid /run/nginx.pid;

events {

worker_connections 768;
        # multi_accept on;
}

[...]

Der nächste Block (http) definiert die Parameter für die eigentlichen Verbindungen.

Basiseinstellungen
- sendfile, tcp_nopush und tcp_nodelay erhöhen die Performance von nginx
- keepalive_timeout definiert die Zeit in Sekunden zu welcher eine Verbindung vom Webserver geschlossen wird. Danach muss eine neue TCP und TLS Verbindung aufgebaut werden.
- types_hash_max_size beschleunigt hashtable lookups
- server_tokens gibt an ob nginx seine Version als Antwort mitsenden soll oder nicht
- include /etc/nginx/mime.types lädt die mime Typen
- defaul_type setzt den zu verwendenden Standardtyp
SSL (Die hier verwendeten Parameter orientieren sich an dem Beitrag Strong SSL Security on nginx)
- ssl_protocols erlaubt nur TLS in Version 1.0, 1.1 oder 1.2.
- ssl_ciphers erlaubt nur Algorithmen mit Perfect Forward Security. Das bedeutet, dass auch wenn später der Private Key kompromittiert wurde die alten Verbindungen nicht entschlüsselt werden können.
- ssl_prefer_server_ciphers sagt das die Algorithmenpreferenz des Servers und nicht des Clients verwendet werden soll.
- ssl_session_cache definiert, dass es einen 10 MB Cache gibt in welchem Verbindungsinformationen zwischengespeichert werden. Dies erlaubt es bei Wiederaufnahme einer Verbindung einige Schritte im Verbindungsaufbau zu sparen.
- ssl_dhparam verweist auf selbst generierte EECDH/EDH Parameter welche verwendet werden sollen. Sie sind länger als die Standardmäßig verwendeten Parameter. Wie diese generiert werden beschreibe ich weiter unten.
- ssl_stapling und ssl_stapling_verify sagt das der Server Informationen über die Gültigkeit des Zertifikates überprüfen und beim Verbindungsaufbau an den Client schicken soll.
- ssl_ecdh_curve spezifiziert die Kurve welche für ECDHE verwendet werden soll. Die hier angegebene Kurve verwendet längere Schlüssel als die standardmäßig verwendete.
- ssl_session_tickets deaktiviert Session Tickets, da diese Forward Security aushebeln können.
Header
- add_header X-Content-Type-Options verbietet mime-sniff in Chrome und Internet Explorer
- add_header X-Frame-Options verbietet es die Website auf einer anderen Domain in einem frame oder iframe zu laden.
Logging
- access_log legt fest in welcher Datei alle Zugriffe geloggt werden sollen
- error_log legt fest in welcher Datei alle Fehlermeldungen geloggt werden sollen
Gzip
- gzip setzt ob gzip aktiviert werden soll oder nicht. Da all meine Webseiten nur per TLS erreichbar sind und gzip mit TLS ein Sicherheitsrisiko darstellt habe ich es deaktiviert.
Vitual Host Konfigurationen
- Lädt zusätzliche Konfigurationsdateien aus dem Unterordner conf.d sowie die aktiven Seiten im Unterordner sites-enabled.

[...]

http {

        ##
        # Basic Settings
        ##

        sendfile                      on;
        tcp_nopush                    on;
        tcp_nodelay                   on;
        keepalive_timeout             65;
        types_hash_max_size           2048;
        server_tokens                 off;

        include         /etc/nginx/mime.types;
        default_type    application/octet-stream;

        ##
        # SSL Settings
        ##

        ssl_protocols                   TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers                     'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
        ssl_prefer_server_ciphers       on;
        ssl_session_cache               shared:SSL:10m;
        ssl_dhparam                     /etc/ssl/certs/dhparam.pem;
        ssl_stapling                    on;
        ssl_stapling_verify             on;
        ssl_ecdh_curve                  secp384r1;
        ssl_session_tickets             off;

        ##
        # Header
        ##

        add_header X-Content-Type-Options       nosniff;
        add_header X-Frame-Options              "SAMEORIGIN";

        ##
        # Logging Settings
        ##

        access_log      /var/log/nginx/access.log;
        error_log       /var/log/nginx/error.log;

        ##
        # Gzip Settings
        ##

        gzip    off;

        ##
        # Virtual Host Configs
        ##

        include /etc/nginx/conf.d/*.conf;
        include /etc/nginx/sites-enabled/*;
}

dhparam generieren

Da ich längere Parameter verwenden möchte als die Standardkonfiguration müssen die dhparam selber generiert werden. Dies kann wie nachfolgend beschrieben im Terminal erledigt werden – es kann einige Stunden dauern bis der Befehl zum Generieren erfolgreich ausgeführt wurde.

$ cd /etc/ssl/certs
$ sudo openssl dhparam -out dhparam.pem 4096

Generating DH parameters, 4096 bit long safe prime, generator 2
This is going to take a long time
 ........................................................................................................................................................................................................................................................................................................................+......................................................................................................................................................................................................+.............................................................................+..........................................................................................................................................................................................................................................................+...............................................................................................................+......................+..........................................+......................................................................................................................................+......................................+................................+........................................+........................................................................................+...............................................+..............................................................................................................................+..........................................................................+.................................................................................+........+......................................................+...................................................................................................................................................................................................+................+................................................+.............................................................+....................................................................................................................+...............................................+...................................................................................................................................................................................................................................................+......................

[...]

Konfiguration für eine neue Seite erstellen

Die Konfigurationsdateien der einzelnen Seiten befinden sich im Verzeichnis /etc/nginx/sites-available/. Ich verwende immer nachfolgendes Template als Basis für meine PHP-Seiten. Die Konfiguration leitet HTTP Verbindungen automatisch auf verschlüsselte HTTPS Verbindungen um. Parameter wie der Domainname, Pfad zum SSL-Zertifikat und das Verzeichnis müssen natürlich für jede Website angepasst werden.

Die Konfiguration besteht aus zwei server Blöcken. Einer für Port 80 (HTTP) und einer für Port 443 (HTTPS).

Die Konfiguration des ersten server Blocks (HTTP)

listen gibt an auf welchen IP-Adressen und Ports die Website reagieren soll. 80 sagt aus, dass über alle verfügbaren IPv4 Adressen Verbindungen auf Port 80 akzeptiert werden sollen. [xxx:xxx:xxx::42]:80 sagt aus, dass die Website via IPv6 nur über die IP-Adresse xxx:xxx:xxx::42 und Port 80 erreichbar ist. Falls die Konfiguration als Standard verwendet werden soll, falls keine andere zur Anfrage passt, muss jeweils hinter der 80 noch default_server ergänzt werden.
server_name gibt die Domain an, für welche die Konfiguration gilt.
return leitet auf eine andere Website weiter. In diesem Fall mittels 301 (Dauerhaft Verschoben) auf die verschlüsselte Verbindung (HTTPS).

Die Konfiguration des zweiten Blocks (HTTPS). Die Pfade zum SSL Zertifikat bzw. dem zugehörigen privaten Schlüssel entsprechen denen, wenn Let’s Encrypt mit certbot verwendet wird. Wie dies Konfiguriert wird habe ich im Beitrag Let’s Encrypt SSL Zertifikate unter Raspbian Jessie Lite mittels nginx und webroot Plugin beziehen beschrieben.

listen ist identisch wie für den ersten Block außer das der Block auf Port 443 hört und nicht 80.
server_name gibt wie beim ersten Block die Domain an, für welche die Konfiguration gilt.
ssl_certificate gibt den Pfad zum SSL Zertifikat der Website an.
ssl_certificate_key gibt den Pfad zum Privaten Schlüssel des SSL Zertifikats der Website an.
add_header Strict-Transport-Security sagt dem Client, dass er die Website nur über HTTPS aufrufen soll und dies auch für alle Subdomains gilt. An dieser Stelle muss man vorsichtig sein und prüfen ob dies auch wirklich für alle Subdomains gilt. Außerdem sagt max-age für wie lange diese Einstellung gilt. Innerhalb dieser Zeit leitet der Browser den Besucher automatisch auf HTTPS weiter. Das heißt es ist nicht einfach möglich HTTPS abzuschalten, sondern benötigt eine Vorlaufzeit. Der Wert 63072000 entspricht 2 Jahren. Zum Testen sollte ein niedriger Wert wie z.B. 300 (5 Minuten) verwendet werden, welcher langsam erhöht wird. Es kann auch beantragt werden diese Einstellung fest in die gängigsten Browser aufzunehmen. Details dazu gibt es auf der Website der HTST Preload List.
root gibt das Verzeichnis an, in dem die Website liegt.
index gibt den Dateinamen der Datei an, welche angezeigt werden soll, falls ein Verzeichnis als URL angegeben wurde. Damit dies geschieht muss eine Datei mit diesem Namen in dem angefragten Verzeichnis vorhanden sein.
location \ sagt, dass zuerst nach einer Datei mit dem angefragten Namen gesucht werden soll, anschließend ob ein Verzeichnis mit dem Namen existiert. Falls beides nicht existiert wird ein 404 Fehler zurückgegeben.
location ~ \.php$ leitet PHP-Dateien an den Interpreter weiter.
include snippets/certbot-webroot.conf lädt die Konfigurationsparameter zur Aktualisierung der Let’s Encrypt Zertifikate wie im Beitrag Let’s Encrypt SSL Zertifikate unter Raspbian Jessie Lite mittels nginx und webroot Plugin beziehen beschrieben.

server  {
        listen          80;
        listen          [xxx:xxx:xxx::42]:80;

        server_name     example.com;
        return          301 https://$server_name$request_uri;
}

server  {
        listen          443 ssl;
        listen          [xxx:xxx:xxx::42]:443 ssl;

        server_name     example.com;

        ssl_certificate         /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key     /etc/letsencrypt/live/example.com/privkey.pem;
        add_header              Strict-Transport-Security "max-age=63072000; includeSubdomains;";

        root    /var/www/com.example;

        index   index.php;

        location / {
                # First attempt to serve request as file, then
                # as directory, then fall back to displaying a 404.
                try_files $uri $uri/ =404;
        }

        # pass the PHP scripts to FastCGI server
        location ~ \.php$ {
                include snippets/fastcgi-php.conf;
                fastcgi_pass unix:/var/run/php5-fpm.sock;
        }

        # snippet for updating letsencrypt certificates
        include snippets/certbot-webroot.conf;
}

Nun muss noch das Verzeichnis für die Webseitendaten erstellt werden.

$ sudo mkdir -p /var/www/com.example

Neue Seite aktivieren

Um die Konfiguration einer Seite im Verzeichnis /etc/nginx/sites-available/ zu aktivieren muss ein Symmetrischer Link zu dieser Datei im Verzeichnis /etc/nginx/sites-enabled angelegt werden.

$ sudo ln -s /etc/nginx/sites-available/com.example /etc/nginx/sites-enabled/

Konfiguration übernehmen

Nachdem die Konfiguration wie oben beschrieben geändert wurde muss sie nur noch von nginx neu geladen werden. Bevor sie geladen wird sollte allerdings noch geprüft werden, ob sie Fehler enthält.

$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
$ sudo /etc/init.d/nginx reload
[ ok ] Restarting nginx (via systemctl): nginx.service.

Nun kann noch die Seite des Qually Labs SSL Tests aufgerufen werden, welches die verwendete Sicherheitsverfahren und Algorithmen von Webservern prüft und bewertet. Wenn alles wie oben beschrieben konfiguriert wurde sollte die Bewertung A+ sein, was der Best möglichen Bewertung entspricht.

Ergebnis des Qualys SSL Labs SSL Server Test

Zertifikate mittels Easy-RSA 3 zur OpenVPN Authentifizierung generieren

31. August 201724. Juni 2020 Carsten Schreib einen Kommentar

Es gibt verschiedene Methoden wie Passwörter oder Zertifikate um sich an einem OpenVPN Server zu authentifizieren. Ich beschreibe in diesem Beitrag wie Zertifikate zur Authentifizierung mittels Easy-RSA 3 generiert werden können.

Headless Raspberry Pi mit Raspbian Jessie Lite einrichten

27. August 201722. Juni 2018 Carsten Schreib einen Kommentar

In diesem Beitrag beschreibe ich, wie ein Headless Raspberry Pi mit Raspbian Jessie Lite eingerichtet werden kann. Dazu wird neben dem Raspberry Pi auch eine passende (micro)SD-Karte mit mindestens 2 GB benötigt.

Ein Anleitung für das aktuelle Raspbian Stretch Lite ist hier verfügbar:

Raspbian Image herunterladen

Raspbian Jessie Lite ist eine auf Debian Jessie basierende Linux Distribution für den Raspberry Pi. Sie wird offiziell von der Raspberry Pi Foundation unterstützt. Ein Image kann auf der offiziellen Raspberry Pi Homepage heruntergeladen werden.

Nach dem Download (1) kann noch der SHA-1 Hashwert (2) überprüft werden. Wie dies mit dem Windows Subsystem for Linux erreicht werden kann habe ich in dem Artikel Hashwert einer Datei unter Ubuntu Linux 16.04 berechnen beschrieben.

Image auf (micro)SD-Karte kopieren

Nun kann das Image auf die (micro)SD-Karte geschrieben werden. Dazu kann das Programm Etcher verwendet werden. Es lässt sich einfach über die offizielle Homepage herunterladen.

Nach der Installation kann Etcher einfach über das Startmenü gestartet werden.

Zuerst muss das heruntergeladene zip-Image ausgewählt werden. Dazu muss zuerst auf „Select image“ geklickt werden.

In dem nun angezeigten Dialog muss zuerst das zip-Image ausgewählt werden (1). Anschließend muss es mit einem Klick auf „öffnen“ (2) bestätigt werden.

Image im ersten Schritt von Etcher auswählen

Anschließend muss das richtige Ziellaufwerk – die (micro)SD-Karte – ausgewählt werden, falls dies nicht schon automatisch geschehen ist. Dazu muss zuerst auf „Change“ geklickt werden.

Nun muss zuerst das Laufwerk ausgewählt (1) und anschließend auf „Continue“ (2) geklickt werden.

Ziellaufwerk im zweiten Etcher Schritt auswählen

Abschließend muss nur noch auf „Flash!“ geklickt werden.

Nun Startet der Kopiervorgang. Etcher kopiert zuerst das Image, validiert es anschließend und wirft zuletzt die (micro)SD-Karte aus.

Nach erfolgreicher Validierung wird eine Erfolgsmeldung angezeigt.

SSH Aktivieren

Da wir den Raspberry Pi Headless betreiben müssen wir uns per SSH auf ihn verbinden können. Aus Sicherheitsgründen ist SSH bei Raspbian standardmäßig deaktiviert. Um es zu aktiveren muss auf der Boot Partition eine Datei mit dem Namen SSH angelegt werden. Diese benötigt keinen Inhalt. Während des Startens prüft Raspbian, ob diese Datei vorhanden ist. Ist sie es wird SSH aktiviert und die Datei gelöscht. So ist es auch ohne Bildschirm und Tastatur möglich den SSH Server zu aktivieren. Damit diese Datei erstellt werden kann muss die (micro)SD-Karte durch aus und wieder einstecken erneut gemountet werden. Sie wurde von Etcher nach erfolgreichem Kopieren automatisch ausgeworfen.

Nun kann die (micro)SD-Karte ausgeworfen und in den Raspberry Pi gesteckt werden. Anschließend kann der Raspberry Pi mit einem Netzwerk- und Micro-USB Kabel verbunden werden.

Raspbian konfigurieren

IP-Adresse herausfinden

Um Raspbian konfigurieren zu können muss zuerst die IP-Adresse herausgefunden werden. Dies kann z.B. über die Weboberfläche des Routers, oder, falls Linux verwendet wird, über netdiscover erledigt werden. Falls netdiscover noch nicht installiert ist kann es einfach über die offiziellen Paketquellen installiert werden

$ sudo apt-get install netdiscover

Anschließend muss es als root gestartet werden und gibt alle Netzwerkgeräte inklusive ihrem Hersteller aus.

$ sudo netdiscover | grep Raspberry
192.168.0.126 b8:27:eb:72:a5:3c 1 60 Raspberry Pi Foundation

SSH-Verbindung aufbauen

Standardmäßig existiert unter Raspbian der Benutzername pi mit dem Passwort raspberry.

Mit diesen Informationen ist es nun möglich sich nun per SSH auf dem Raspberry Pi anzumelden.

$ ssh pi@192.168.0.126

Falls die von mir in Sichere SSH Konfiguration vorgestellte Client SSH Konfiguration verwendet wird kommt wird beim Verbindungsaufbau nachfolgende Fehlermeldung angezeigt

The authenticity of host '192.168.0.126 (192.168.0.126)' can't be established.
ED25519 key fingerprint is SHA256:WNOAK/cDizRRBkENqcHlCXiXCr5FXQJQhw3V5sOUVpU.
> Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.0.126' (ED25519) to the list of known hosts.
Permission denied (publickey,password).

Dies liegt daran, dass standardmäßig keine Passwörter zur Anmeldung an SSH Servern erlaubt sind. Daher muss wie im Beitrag SSH Authentifizierung über Passworte für einzelne Verbindungen erlauben beschrieben der Parameter PasswordAuthentication auf yes gesetzt werden um die Anmeldung über Passwörter für diese Verbindung wieder bzw. temporär zu erlauben.

Passwort ändern

Beim Einloggen über SSH wird eine Warnung angezeigt, falls der Benutzer pi noch das Standardpasswort raspberry nutzt.

$ ssh pi@192.168.0.126
> pi@192.168.0.126's password:

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon May  1 17:17:04 2017 from 192.168.1.137

SSH is enabled and the default password for the 'pi' user has not been changed.
This is a security risk - please login as the 'pi' user and type 'passwd' to set a new password.

Diese Warnung sollte ernst genommen werden. Mittels des Befehlt passwd kann das Passwort des Benutzers einfach auf ein sicheres geändert werden. Bevor das neue Passwort angegeben werden kann muss zur Bestätigung zuerst das alte eingegeben werden. Die Ausgabe sollte wie nachfolgend aussehen.

$ passwd
Changing password for pi.
> (current) UNIX password:
> Enter new UNIX password:
> Retype new UNIX password:
passwd: password updated successfully

Danach sollte die Warnung beim Verbinden nicht mehr angezeigt werden.

System aktualisieren

Bevor der Raspberry Pi weiter eingerichtet wird sollten zuerst alle Pakete aktualisiert werden. Dies kann einfach mit folgenden beiden Befehlen geschehen.

$ sudo apt-get update
$ sudo apt-get upgrade

Zeitzone anpassen

Standardmäßig wird UTC als Zeitzone in Raspbian verwendet. Die Zeitzone kann ganz einfach über das Tool raspi-config angepasst werden.

Um die aktuell eingestellte Zeitzone auszugeben kann der Befehl date verwendet werden.

$ date
Sat  26 Aug 07:41:35 UTC 2017

Zum Ändern der Zeitzone kann raspi-config verwendet werden.

$ sudo raspi-config

In dem nun Grafischen Menü muss zuerst 4 Localisation Options ausgewählt und mit Enter bestätigt werden

Jetzt muss I2 Change Timezone ausgewählt und mit Enter bestätigt werden.

Als Geographic Area nun Europe auswählen und bestätigen.

Gebiet der Zeitzone von Raspbian festlegen

Im nächsten Menü als Time Zone Berlin auswählen.

Nach dem Beenden von raspi-config (z.B. über Esc) wird die neue Zeitzone angezeigt.

Current default time zone: 'Europe/Berlin'
Local time is now:      Sat  26 Aug 09:42:52 CEST 2017.
Universal Time is now:  Sat  26 Aug 07:42:52 UTC 2017.

Nun kann nochmals mittels des date Befehls überprüft werden das die Zeitzone auch angepasst wurde.

$ date
Sat  26 Aug 09:43:08 CEST 2017

WLAN Kanäle konfigurieren

Pro Region bzw. Land sind andere WLAN Kanäle erlaubt. Daher sollte das WLAN Land auch gesetzt werden. Dazu wieder raspi-config starten

$ sudo raspi-config

Wie beim Einstellen der Zeitzone wieder 4 Localisation Options im ersten Menü auswählen und mit Enter bestätigen

Jetzt muss I4 Change Wi-Fi Country ausgewählt werden.

In der Liste der Länder nun DE Germany auswählen.

WLAN Land von Raspbian auf Deutschland setzen

Abschließend wird noch eine Bestätigung angezeigt.

Bestätigung der Änderung des WLAN Lands von Raspbian

Damit die Änderung des WLAN Lands übernommen werden muss der Raspberry Pi einmal neu gestartet werden. Dies wird beim Beenden von raspi-config über Finish im Hauptmenu automatisch angeboten.

Neustart von Raspbian nach Konfigurationsänderung

Alternativ kann auch nachfolgender Befehl im Terminal genutzt werden

$ sudo reboot

Hostname ändern

Es sollte auch noch der Name unter dem der Raspberry Pi im Netzwerk sichtbar ist, der sogenannte Hostname, angepasst werden. Dies kann auch wieder ganz einfach über raspi-config erledigt werden.

$ sudo raspi-config

Diesmal muss 2 Hostname im Hauptmenü ausgewählt werden

Direkt danach wird ein Hinweis angezeigt welche Zeichen im Hostnamen erlaubt sind

Nach dem Bestätigen kann der neue Wunschhostname eingegeben werden (1). Anschließend muss der Dialog mit OK (2) bestätigt werden.

Damit die Änderung des Hostnamens wirksam werden muss der Raspberry Pi einmal neu gestartet werden. Dies wird beim Beenden von raspi-config über Finish im Hauptmenu automatisch angeboten.

Alternativ kann auch nachfolgender Befehl im Terminal genutzt werden

$ sudo reboot

SSH Konfigurieren

Anschließend kann wie im Beitrag SSH Authentifizierung mittels Public-Keys beschrieben die SSH Anmeldung auf Public-Keys umgestellt werden. Anschließend sollte auch die SSH Konfiguration des Raspberry Pi’s wie im Beitrag Sichere SSH Konfiguration beschrieben abgesichert werden.

Aliase setzen

Ich verwende auf allen meinen Systemen bestimmte Aliase im Terminal. Das definieren der Aliase in Raspbian ist identisch mit dem in Ubuntu 16.04. Daher kann einfach meine Anleitung im Beitrag Terminal Aliase in Linux verwendet werden.

Nützliche Tools installieren

Es gibt einige Tools die ich immer wieder verwende die aber nicht alle standardmäßig installiert sind. Um sie nicht jedes Mal bei Bedarf installieren zu müssen installiere ich sie immer schon beim Einrichten des Systems. Meine Tools habe ich im Beitrag Nützliche Tools für Ubuntu Linux 16.04 Server beschrieben, welcher so auch für Raspbian gilt.

Automatische Sicherheitsupdates

Raspbian kann so konfiguriert werden, dass es Sicherheitsupdates automatisch installiert. Wie dies funktioniert habe ich im Beitrag Automatische Installation von Sicherheitsupdates unter Raspbian Jessie Lite beschrieben.

Statische IP-Adresse Vergeben

Eventuell möchte man dem Raspberry Pi eine statische IP-Adresse geben um ihn immer unter dieser erreichen zu können. Wie dies umgesetzt werden kann habe ich in dem Beitrag Einem Raspberry Pi mit Raspbian Jessie Lite oder Raspbian Stretch Lite eine Statische IP-Adresse zuweisen beschrieben.

Nun kann der Raspberry Pi nach den eigenen Bedürfnissen eingerichtet werden.

Automatische Installation von Sicherheitsupdates unter Raspbian Jessie Lite

26. August 201714. Oktober 2018 Carsten Schreib einen Kommentar

Sicherheitsupdates sollten nach Veröffentlichung so schnell wie möglich installiert werden um die Sicherheit des Systems zu erhöhen. Es ist möglich Raspbian Jessie Lite so zu konfigurieren, dass Sicherheitsupdates automatisch installiert werden. Weiterlesen

Hashwert einer Datei unter Ubuntu berechnen

26. August 201724. Juni 2020 Carsten Schreib einen Kommentar

Unter Linux ist es ganz einfach den Hashwert einer Datei zu berechnen. Unter Ubuntu oder dem Windows Subsystem for Linux sind die Tools dafür standardmäßig installiert.

Keine Verbindung zur Konsole einer KVM Virtuellen Maschine wegen bestehender Verbindung möglich

24. August 201724. Juni 2020 Carsten Schreib einen Kommentar

Wie im Beitrag Verbindung zur Konsole einer KVM Virtuellen Maschine mit virsh herstellen beschrieben kann über die Serielle Konsole eine Verbindung zu einer VM hergestellt werden. Falls beim Verbinden folgender Fehler angezeigt wird besteht bereits eine Verbindung über die Konsole zur VM.

Keine Ausgaben in der Konsole einer KVM Virtuellen Maschine

22. August 201724. Juni 2020 Carsten Schreib einen Kommentar

Wie im Beitrag Verbindung zur Konsole einer KVM Virtuellen Maschine mit virsh herstellen beschrieben kann über die Serielle Konsole eine Verbindung zu einer VM hergestellt werden. Je nach der Konfiguration von Grub kann es aber sein, dass die Konsole keine Ausgaben liefert.

Verbindung zur Konsole einer KVM Virtuellen Maschine mit virsh herstellen

20. August 201724. Juni 2020 Carsten Schreib einen Kommentar

Falls eine VM wie im Beitrag Neue KVM Virtuelle Maschine unter Ubuntu 20.04 erstellen beschrieben erstellt wurde hat die VM eine serielle Konsole, welche an ein PTY des Hosts weitergeleitet wird. Um sich z.B. mit der Konsole der VM mit dem Namen vm1 zu verbinden kann einfach nachfolgender Befehl genutzt werden.

Befehle zum Verwalten von Virtuellen Maschinen mittels virsh

20. August 201713. Juli 2020 Carsten Schreib einen Kommentar

Mittels dem Programm virsh lassen sich Virtuelle Maschinen verschiedener Hypervisoren wie Xen, QEMU oder KVM relativ einfach verwalten. In diesem Beitrag liste ich die wichtigsten Befehle.

Neue KVM Virtuelle Maschine unter Ubuntu Linux 16.04 erstellen

16. August 201724. Juni 2020 Carsten Schreib einen Kommentar

HINWEIS: Eine Aktualisierte Version dieses Beitrages für Ubuntu 20.04 ist >hier< verfügbar

In diesem Beitrag beschreibe ich wie eine neue KVM Virtuelle Maschine unter Ubuntu Linux 16.04 erstellt werden kann. Ich gehe davon aus, dass KVM bereits installiert ist. Im Beitrag KVM unter Ubuntu Linux 16.04 installieren und Bridged networking konfigurieren habe ich beschrieben wie KVM installiert werden kann.