[matrix] – Ein offener Standard für Echtzeitkommunikation
Bildungs- und Forschungseinrichtungen [1], das deutsche Gesundheitswesen [2] und die Bundeswehr [3] setzen mittlerweile auf Matrix und unter OSS-Enthusiast:innen ist das »neue XMPP« längst kein Geheimtipp mehr. Im Folgenden soll der offene Standard für interoperable, dezentralisierte Echtzeitkommunikation vorgestellt und dessen Merkmale, Funktionsweise sowie Möglichkeiten beleuchtet werden.
Weiter lesen ...BigBlueButton 2.4 -- Let me upgrade you yet again
Wieder ist fast ein Jahr ins Land gezogen, seit wir die letzten Nachrichten über die Entwicklungen der Videokonferenzsoftware BigBlueButton verkünden konnten. [1] Und wieder war ein beträchtlicher Teil dieses Jahres durch Videokonferenzen aller Art begleitet. Und wieder ist mit BigBlueButton 2.4 eine neue Major Version von der auch bei unserem b1@home verwendeten Open-Source-Software erschienen. Mit vielen neuen Features und Möglichkeiten.
Weiter lesen ...How to run your own DNS resolver (using DNS-over-HTTPS) in Kubernetes using cloudflared
We recently had a blog post on how to secure your DNS traffic using DNS-over-TLS or DNS-over-HTTPS (German only). The article gave an introduction on how to run dnsdist as a local resolver on Debian11. In this case, dnsdist would accept queries using DNS-over-TLS (DoT) or DNS-over-HTTPS (DoH).
This surely is the right solution for those scenarios, where your clients are capable of speaking DoT or DoH natively. But what if they don’t? In this case you can create your own resolver that listens on the “usual” aka unencrypted DNS ports. The DNS traffic on your local network is then unencrypted, which might or might not be acceptable depending on your threat analysis. Once the requests have reached your local resolver, it will forward them using DoH to a server of your choice. Which one to pick is up to you, a list of available servers can be found at DNSprivacy.org.
In this article, we will run our own resolver in Kubernetes using a helm chart for cloudflared. Despite the name, it can be used with many different endpoints, not just the ones from Cloudflare.
Running the Blocky ad-blocking dns-proxy in Kubernetes
Blocky is a dns-proxy capable of blocking undesired content, i.e. ads or malware. It supports blocklist-based filtering, supports new DNS protocols like DoH (DNS-over-HTTPS) or DoT (DNS over TLS) and a gazillion of other features. It is being provided as a docker image, and while docker is a fascinating piece of software, who choses to run things in plain Docker when you can do so in Kubernetes? While not everyone might be running Kubernetes at home, with k3s this is really easy. And it uses the same Kubernetes resources you see in data centers and edge locations and windparks and cars and whatnot.
This article will describe how to setup Blocky within your Kubernetes cluster, how to make it available from the outside and how to start using it. The configuration of Blocky itself is explained in full details in the project’s documentation, and as the installation inside Kubernetes uses the same configuration file, all of it applies also to instances within Kubernetes.
Let’s get started, shall we?
Weiter lesen ...Getting started with Teleport
No, not the Star Trek thing. Teleport from goteleport.com. It is described as ‘The easiest, most secure way to access infrastructure.’ Let’s see what that means, and how to get things rolling.
Weiter lesen ...Forwarding SSH traffic inside Kubernetes using Traefik
Are you running a Gitea or Gitlab instance inside your Kubernetes cluster? And you want to reach it not only via HTTPS, but also via SSH for easier pulling and pushing?
This article describes how to setup Traefik as ingress controller to do that, using Gitea as an example.
Weiter lesen ...Verschlüsseltes DNS selber machen
Seit einiger Zeit gibt es Bestrebungen, die Namensauflösung kryptographisch abzusichern. Dafür existiert auf der einen Seite mit DNSsec eine Technik, die eigene Zone zu signieren und so gefälschte DNS-Antworten zu verhindern. Auf der anderen Seite existieren mit DNS over TLS (DoT) und DNS over HTTPS (DoH) zwei Techniken, mit denen die Anfragen zwischen Client und Resolver verschlüsselt werden können. Standardmäßig funktioniert die Namensauflösung komplett unverschlüsselt und kann beispielsweise vom Internet Service Provider oder dem Betreiber eines öffentlichen WLANs mitgelesen oder sogar verändert werden. Mit der Verschlüsselung kann das Mitlesen von DNS-Abfragen auf der Netzwerkverbindung zwischen Client und Resolver verhindert werden, zwischen Resolver und Nameserver bleibt sie unverschlüsselt. Auf dieser Verbindung ist eine Zuordnung der Anfragen zu einem Client in der Regel nicht möglich, weiterhin können viele Anfragen direkt aus dem Resolver-Cache beantwortet werden. Meist sind es jedoch große Konzerne, welche die dafür nötigen Resolver zur Verfügung stellen. Damit wird das eigentlich dezentrale DNS letztendlich doch wieder an wenigen Stellen zentralisiert.
Das muss aber nicht sein, denn der Betrieb eines eigenen Resolvers für DoT und DoH ist möglich. Die folgende Anleitung zeigt, wie das geht.
Weiter lesen ...Der Traefik Ingress Controller
Sollte man sich schon mal k3s, die kleine Kubernetes-Distribution von Rancher Labs, angeschaut oder allgemein in der Kubernetes-Dokumentation über die zusätzlichen Controller gestolpert sein, so wird man vielleicht schonmal “Traefik” gelesen haben und sich fragen: was ist das eigentlich?
Weiter lesen ...Prozesse automatisieren mit Ansible
Wer schon wiederholt vor der Aufgabe gestanden hat, entweder ein und dieselbe Maschine mehrfach hintereinander oder mehrere Maschinen auf einmal einrichten zu müssen, der ist ziemlich schnell auf die Idee gekommen diesen Prozess mit Skripten zu automatisieren, um nicht x-fach dieselben Befehle händisch hintereinander ausführen zu müssen. Schon an diesem Punkt sind die sogenannten Konfigurationsmanagementsysteme mehr als hilfreich, denn gegenüber einfachen Skripten sind sie übersichtlicher, einfacher wartbar, geben Rückmeldung über den Erfolg oder Misserfolg und verhalten sich zudem idempotent. Wenn es allerdings darum geht, eine gesamte Umgebung automatisiert einzurichten, so sind sie ziemlich unabdingbar, denn ihre Aufgabe besteht darin, genau dies zu tun: Horizontal skalierbar Systeme und Systemlandschaften sicher einzurichten und zu verwalten.
Weiter lesen ...Netzwerk-Probleme beim Upgrade auf Proxmox 7 vermeiden
Nach dem Upgrade von Proxmox 6 auf Proxmox 7 kommt es teilweise zu Problemen mit dem Netzwerk. Der Host ist in diesen Fällen nach dem abschließenden Reboot nicht mehr erreichbar. Eines dieser Probleme ist im Upgrade-Leitfaden von Proxmox beschrieben - einem anderen soll sich dieser Artikel widmen.
Weiter lesen ...