Nutzung von IEEE 802.1X Authentifizierung mit HP und Netgear-Switches mit OpenWRT

Das Ziel dieses Artikels ist es, die Konfiguration von HP- und Netgear-Switches zu erläutern, um sicherzustellen, dass angeschlossene Geräte eine Authentifizierung durchführen müssen. Nach erfolgreicher Authentifizierung wird der Switch-Port direkt dem zugehörigen VLAN zugeordnet. Mithilfe von OpenWRT ist es anschließend möglich, ein WLAN mit WPA2-Enterprise einzurichten.

Mit proprietären Daten trainierte KI-Chat-Anwendung

In der sich schnell entwickelnden Technologielandschaft hat sich die Fähigkeit, Chat-Anwendungen mit künstlicher Intelligenz zu entwickeln und einzusetzen, für Unternehmen weltweit zu einem entscheidenden Vorteil entwickelt.

Stellen Sie sich das Potenzial vor: Indem Sie die Leistung von KI nutzen und firmeneigene Daten verwenden, haben Sie die Möglichkeit, die Interaktion Ihres Unternehmens mit Kunden, Klienten und Partnern maßgeblich zu verbessern. Mithilfe von Künstlicher Intelligenz können Sie eine Chat-Anwendung erstellen, die nicht nur allgemeine Fragen beantwortet, sondern auch maßgeschneiderte Informationen und Empfehlungen anbietet. Dieses hohe Maß an Personalisierung fördert die Kundenbindung und -treue und erlaubt damit den Einsatz in untrschiedlichsten Anwendungsszenarien.

Mit Künstlicher Intelligenz sind in diesem Artikel individualisierte, große Sprachmodelle (Large Language Models - LLM) gemeint. Also KI-Architekturen basierend auf Deep Learning und neuronalen Netzen, die gelernt haben auf Nutzereingaben in natürlicher Sprache zu antworten. Was viele nicht wissen: Es gibt eine riesige Open Source Community, die Open Source Sprachmodelle zur Verfügung stellt – und sie können mit den großen Modellen der führenden Unternehmen wie OpenAI mithalten. Diese Open Source Sprachmodelle können nach Belieben angepaßt und individualisiert werden. Vor allem lassen sie sich auch lokal innerhalb ihrer Organisation betreiben, was wiederum Datenschutz und Datensouveränität garantiert.

1. Erweiterung der Datenbasis einer KI mit einem Vektorspeicher
2. Training (Feinabstimmung) eines Modells für ein individuelles Anwendungsszenario

Mit debbuild Debianpakete im OBS bauen

Der Open Build Service (OBS) und Bau von Debian Paketen war bereits im Artikel DEB-Paketierung auf dem Open Build Service (OBS) Thema. Dort wurde gezeigt, wie aus entsprechenden Beschreibungsdateien ein “echtes” Paket für Debian und vergleichbare Distributionen erstellt werden kann.

Für einfach aufgebaute Pakete, die z. B. nur ein paar Dateien/Scripte im Dateisystem ablegen sollen, geht dies aber auch einfacher, wenn bereits ein RPM Paket existiert und im OBS gebaut wird. Dazu wird das Tool debbuild eingesetzt, welches der OBS automatisch zum Bau nutzt, sobald keine Debian-spezifischen Baudateien vorhanden sind und das passende Projekt im Buildtarget definiert ist.

DEB-Paketierung auf dem Open Build Service (OBS)

In der Welt der Debian-basierten Distributionen sind DEB-Pakete die beliebteste Methode, Software zu verpacken und zu verteilen. Sie bieten eine saubere und verlässliche Möglichkeit, Anwendungen, Bibliotheken und andere Komponenten zu verwalten und zu installieren. Einen Schritt weiter geht der Open Build Service (OBS), eine leistungsstarke und flexible Plattform für die Paketerstellung und -verwaltung. Der OBS ist eine Kollaborationsplattform, die von der Open-Source-Community entwickelt wurde und es Entwicklern ermöglicht, Softwarepakete für verschiedene Linux-Distributionen zu erstellen und zu veröffentlichen. In diesem Artikel werden wir uns auf die DEB-Paketierung im Kontext des Open Build Services konzentrieren und zeigen, wie Installationspakete für Debian-basierte Distributionen sauber ausgeliefert werden können.

Random Numbers in Python

Step into the world of random numbers in Python, where chance and unpredictability reign supreme. From generating pseudo-random numbers to exploring true randomness with random.org, delving into the captivating realm of Gaussian random and uniform random, and harnessing the power of secrets library and UUID values.

Automatisierung von (open)SUSE Installationen

Das Installations- und Konfigurationswerkzeug SUSEbasierter Distributionen nennt sich YaST, Yet another Setup Tool. Bei der Installation führt YaST durch selbige und fragt die einzelnen Parameter wie z.B. Partitionierung, Netzwerkkonfiguration, Softwareauswahl usw. interaktiv ab. Sollen viele Systeme identisch, mit Ausnahme von Netzwerkkonfiguration, installiert werden, kann das schnell in monotone Fleißarbeit ausarten. Wie sich diese mit einem dynamischen Ansatz automatisieren lässt, zeigt der folgende Artikel.

Azure AD Federation with Keycloak as SAML identity provider using external B2B guest users - Using a different email domain in Azure AD and Keycloak

Here at B1 Systems, we recently had the challenge to give all colleagues access to resources in the Microsoft Azure Public Cloud.

Of course, we have an existing (OpenSource) authentication/authorization infrastructure, which is not Microsoft Azure, but consists of an OpenLDAP server for legacy applications and a Keycloak instance for “all things web”. If you have the same or a similar setup, this small howto might be interesting for you.

Out in the interwebs there are 100s of guides to use Microsoft Azure Directory (Azure AD) as an identify provider (IdP) in Keycloak. But we want it to be the other way around! Keycloak shall be a SAML federated IdP for Azure AD.

Azure AD Federation with Keycloak as SAML identity provider using external B2B guest users - Automating User and Group Sync from Keycloak to Azure AD

Here at B1 Systems, we recently had the challenge to give all colleagues access to resources in the Microsoft Azure Public Cloud. Of course, we have an existing (OpenSource) authentication/authorization infrastructure, which is not Microsoft Azure, but consists of an OpenLDAP server for legacy applications and a Keycloak instance for “all things web”. If you have the same or a similar setup, this small howto might be interesting for you.

Out in the interwebs there are 100s of guides to use Microsoft Azure Directory (Azure AD) as an identify provider (IdP) in Keycloak. But we want it to be the other way around! Keycloak shall be a SAML federated IdP for Azure AD.

Azure AD Federation with keycloak as SAML identity provider using external B2B guest users - Getting Started

Here at B1 Systems, we recently had the challenge to give all colleagues access to resources in the Microsoft Azure Public Cloud. Of course, we have an existing (OpenSource) authentication/authorization infrastructure, which is not Microsoft Azure, but consists of an OpenLDAP server for legacy applications and a Keycloak instance for “all things web”. If you have the same or a similar setup, this small howto might be interesting to you.

Installation und Konfiguration von USBGuard

Im März 2015 veröffentlichte RedHat eine erste Version des USBGuards. Mit dem Tool könnt ihr euren Rechner vor BadUSB-Angriffen schützen – also vor USB-Geräten, deren Firmware verändert wurde, um einen Schadcode zu injizieren [1]. USBGuard benutzt dafür das im Linux-Kernel integrierte USB-Authorization-Feature. Durch White- & Blacklisting kann angewiesen werden, welche USB-Geräte zugelassen oder gesperrt werden.

Wie ihr USBGuard installiert und konfiguriert, wird in diesem Beitrag erklärt.

Verschlüsseltes DNS selber machen - Teil 2

In meinem Artikel im Februar habe ich ein Setup vorgestellt, in welchem der DNS-Loadbalancer dnsdist und der Resolver unbound verwendet wurden, um einen DoH- und DoT-Server zu betreiben. Die Kombination der beiden Programme ist notwendig, da der in Debian 11 Bullseye enthaltenen Version von unbound Funktionen fehlen und dnsdist selbst kein Resolver ist. Mit dem Knot-Resolver gibt es im Repository von Debian ein Programm, welches beide Rollen übernehmen kann. Dieser Artikel zeigt, wie der Knot-Resolver als DoH- und DoT-Server eingerichtet wird.

Konfiguration von Traefik mit CRDs

Wie bereits in Teil 1 der Artikelreihe zu Traefik angedeutet, kann man Traefik nicht nur über Annotationen und über Parameter von Deployment bzw. Chart konfigurieren, sondern auch mit Custom Resource Definitions (CRDs). Hierbei wird die sogenannte dynamische Konfiguration von Traefik dann nicht mehr über Annotationen an den zu verwaltenden Objekten wie einem Ingress gemacht, sondern statisch als eigenständiges Objekt, welches unabhängig konfiguriert wird.

Ob man das als Vorteil oder Nachteil sieht, hängt stark von der eigenen Benutzung und auch der Designphilosophie des (hoffentlich vorhandenem) Code Repository ab. CRDs zu benutzen ist bestimmt nicht gerade zielführend mit einer kleinen k3s-Instanz, die eine handvoll Dienste nach außen verfügbar macht. Mit steigender Komplexität ist es aber weder trivial noch ratsam, die Logik komplett in der Hand von Annotationen zu lassen.

How to run your own DNS resolver (using DNS-over-HTTPS) in Kubernetes using cloudflared

We recently had a blog post on how to secure your DNS traffic using DNS-over-TLS or DNS-over-HTTPS (German only). The article gave an introduction on how to run dnsdist as a local resolver on Debian11. In this case, dnsdist would accept queries using DNS-over-TLS (DoT) or DNS-over-HTTPS (DoH).

This surely is the right solution for those scenarios, where your clients are capable of speaking DoT or DoH natively. But what if they don’t? In this case you can create your own resolver that listens on the “usual” aka unencrypted DNS ports. The DNS traffic on your local network is then unencrypted, which might or might not be acceptable depending on your threat analysis. Once the requests have reached your local resolver, it will forward them using DoH to a server of your choice. Which one to pick is up to you, a list of available servers can be found at DNSprivacy.org.

In this article, we will run our own resolver in Kubernetes using a helm chart for cloudflared. Despite the name, it can be used with many different endpoints, not just the ones from Cloudflare.

Running the Blocky ad-blocking dns-proxy in Kubernetes

Blocky is a dns-proxy capable of blocking undesired content, i.e. ads or malware. It supports blocklist-based filtering, supports new DNS protocols like DoH (DNS-over-HTTPS) or DoT (DNS over TLS) and a gazillion of other features. It is being provided as a docker image, and while docker is a fascinating piece of software, who choses to run things in plain Docker when you can do so in Kubernetes? While not everyone might be running Kubernetes at home, with k3s this is really easy. And it uses the same Kubernetes resources you see in data centers and edge locations and windparks and cars and whatnot.

This article will describe how to setup Blocky within your Kubernetes cluster, how to make it available from the outside and how to start using it. The configuration of Blocky itself is explained in full details in the project’s documentation, and as the installation inside Kubernetes uses the same configuration file, all of it applies also to instances within Kubernetes.

Let’s get started, shall we?

Getting started with Teleport

No, not the Star Trek thing. Teleport from goteleport.com. It is described as ‘The easiest, most secure way to access infrastructure.’ Let’s see what that means, and how to get things rolling.

Forwarding SSH traffic inside Kubernetes using Traefik

Are you running a Gitea or Gitlab instance inside your Kubernetes cluster? And you want to reach it not only via HTTPS, but also via SSH for easier pulling and pushing?

This article describes how to setup Traefik as ingress controller to do that, using Gitea as an example.

Verschlüsseltes DNS selber machen

Seit einiger Zeit gibt es Bestrebungen, die Namensauflösung kryptographisch abzusichern. Dafür existiert auf der einen Seite mit DNSsec eine Technik, die eigene Zone zu signieren und so gefälschte DNS-Antworten zu verhindern. Auf der anderen Seite existieren mit DNS over TLS (DoT) und DNS over HTTPS (DoH) zwei Techniken, mit denen die Anfragen zwischen Client und Resolver verschlüsselt werden können. Standardmäßig funktioniert die Namensauflösung komplett unverschlüsselt und kann beispielsweise vom Internet Service Provider oder dem Betreiber eines öffentlichen WLANs mitgelesen oder sogar verändert werden. Mit der Verschlüsselung kann das Mitlesen von DNS-Abfragen auf der Netzwerkverbindung zwischen Client und Resolver verhindert werden, zwischen Resolver und Nameserver bleibt sie unverschlüsselt. Auf dieser Verbindung ist eine Zuordnung der Anfragen zu einem Client in der Regel nicht möglich, weiterhin können viele Anfragen direkt aus dem Resolver-Cache beantwortet werden. Meist sind es jedoch große Konzerne, welche die dafür nötigen Resolver zur Verfügung stellen. Damit wird das eigentlich dezentrale DNS letztendlich doch wieder an wenigen Stellen zentralisiert.

Das muss aber nicht sein, denn der Betrieb eines eigenen Resolvers für DoT und DoH ist möglich. Die folgende Anleitung zeigt, wie das geht.

Der Traefik Ingress Controller

Sollte man sich schon mal k3s, die kleine Kubernetes-Distribution von Rancher Labs, angeschaut oder allgemein in der Kubernetes-Dokumentation über die zusätzlichen Controller gestolpert sein, so wird man vielleicht schonmal “Traefik” gelesen haben und sich fragen: was ist das eigentlich?

Netzwerk-Probleme beim Upgrade auf Proxmox 7 vermeiden

Nach dem Upgrade von Proxmox 6 auf Proxmox 7 kommt es teilweise zu Problemen mit dem Netzwerk. Der Host ist in diesen Fällen nach dem abschließenden Reboot nicht mehr erreichbar. Eines dieser Probleme ist im Upgrade-Leitfaden von Proxmox beschrieben - einem anderen soll sich dieser Artikel widmen.

Let's-Encrypt-Zertifikate für interne Hosts

Viele Webseiten verwenden Zertifikate von Let’s Encrypt zur Absicherung des Datenverkehrs zwischen Benutzer und Server. Dies hat vor allem zwei Gründe: Zum einen sind diese Zertifikate kostenlos, zum anderen lässt sich die Erneuerung automatisieren, sodass abgelaufene Zertifikate der Vergangenheit angehören. Es gibt allerdings auch einen kleinen Nachteil: Die zur automatisierten Verifikation des Domainnamens in der Regel eingesetzte HTTP-01-Challenge erfordert, dass der Host auf Port 80 aus dem Internet erreichbar ist. Dies ist bei öffentlichen Webseiten kein Problem, für interne Dienste ist die Ausstellung von Zertifikaten auf diesem Weg aber nicht möglich. Neben der HTTP-01-Challenge gibt es noch weitere Challenge-Arten. In diesem Artikel soll gezeigt werden, wie die DNS-01-Challenge genutzt werden kann, um ein Let’s-Encrypt-Zertifikat für einen Intranet-Server auszustellen.

Pi-KVM nutzen

Hersteller von Server-Hardware haben unterschiedliche Lösungen, um remote, also ohne Monitor und Tastatur, auf ihre Server zugreifen zu können. Entweder man entscheidet sich für solch einen Hersteller, oder man hat einen „Wildwuchs“ an Hardware und somit unterschiedliche Arten des Remote-Zugriffs. In diese Bresche will Pi-KVM zwar nicht schlagen – aber es ist damit möglich, zur initialen Installation und Einrichtung eine „moderne“ und einheitliche Oberfläche zu nutzen. Weiterhin kann es auf postalischem Weg zu einem Kunden versendet werden und so ohne großen Aufwand Zugriff auf die Remotekonsole bieten.

Eine Einführung in nftables

Neben dem älteren und den meisten Linux-Administratoren wohlbekannten iptables gibt es seit einiger Zeit den Paketfilter nftables, der iptables zukünftig komplett ablösen soll. Da nftables gegenüber iptables einige Vorteile bietet, lohnt sich der Umstieg bereits heute.

OpenStack und Nvidia Grafikkarten – Nachtrag

Im Herbst 2020 beschrieb ich, wie eine Nvidia-Grafikkarte an eine virtuelle Maschine weitergereicht werden kann. Ein Treiber-Update verspricht nun Abhilfe, wenn auch - noch nicht - in allen Fällen.

Automatische Netzwerkkonfiguration mit IPv6 in OpenStack

Die Bedeutung von IPv6 nimmt auch im privaten Cloudumfeld stetig zu. IPv6 bietet neben einem Ausweg aus der Adressknappheit von IPv4 auch Möglichkeiten zur automatischen Netzwerkkonfiguration. Eine dieser Möglichkeiten ist die Präfix-Delegation, um nachgelagerte Router und Netzwerke mit ihrer Konfiguration zu versorgen – wie OpenStack dieses Feature umsetzt, zeige ich in diesem Artikel.

Let's play the cluster game

We reached the end of a three-part series on installing, configuring and handling a loadbalancer in front of two webservers. We already looked at haproxy [1], including installation and configuration, as well as the installation and configuration of a cluster based on pacemaker/corosync [2].

Clustering made easy with pacemaker/corosync

In the first part of this series, you learned how to set up your webservers and the loadbalancer. Now, let’s move on with how to plan, build and configure a cluster with high availability.

Loadbalancing made easy with haproxy

This is the start of a three-part series showing you how to install, configure and handle a loadbalancer in front of two webservers. We will also learn how to integrate a cluster taking ownership of the components running on each node.

None but your Business — Privatsphäre im Internet mit selbstgehosteten Open-Source-Tools unter Linux

Das Internet ist ein offenes Meer, in dem viele Ohren schwimmen. Diese versuchen aus unterschiedlichen Gründen, an allem zu lauschen, was da an ihnen vorbeizieht. Im Folgenden werden ein paar Tools vorgestellt, mit denen dafür gesorgt wird, dass die eigenen Daten auch die eigenen Daten bleiben.

Let you entertain you! - Eigene Dienste unter Linux hosten

Im Jahr 2020 ist es selbstverständlich, dass digitale Werkzeuge in nahezu allen Lebensbereichen Einzug halten, um etwa Daten, Bilder oder Texte zu teilen, gemeinsam Termine zu planen oder sich einfach zu unterhalten. Ebenso besteht für den eigenen Bedarf manchmal das Bedürfnis, seine Musik-, Film- oder E-Book-Sammlung zu sortieren um dann ggf. über Wlan oder das Internet darauf zuzugreifen. Für all diese Bedürfnisse gibt es, zum Großteil kostenfreie, Angebote von großen Firmen, auf die viele Menschen gerne zurückgreifen. Allerdings gibt es eine Reihe von Gründen, die dagegen sprechen, diesen Diensten seine Daten anzuvertrauen. Welche das sind und wie Sie die meisten dieser Dienste mit ein wenig Aufwand durch Open-Source-Lösungen ersetzen können, lesen Sie im folgenden Artikel.

Accessing Java Web Start based Server Remote Boards using Firefox

Accessing most server remote boards requires the browser to support Java, also known as Java Web Start (JWS). Unfortunately Java Web Start has been deprecated starting from Java version 9. Also current Firefox versions do not support Java anymore.

This makes accessing server remote boards increasingly difficult with current browsers. To make life a little easier, and by the help of Docker, we can still use an old Java version supporting Java Web Start together with an old browser version of Firefox to access Java based server remote boards.

OpenStack und Nvidia Grafikkarten

Grafikkarten berechnen bestimmte Aufgaben effektiver als Prozessoren. Rechenintensive Anwendungen wie KI und Deep Learning profitieren davon besonders. Nvidia stellt auf genau diese Anwendungsfälle spezialisierte Highend-Grafikkarten her, die in virtuellen Umgebungen parallel in mehreren virtuellen Maschinen betrieben werden können. Das lässt sich der Hersteller aber auch dementsprechend teuer bezahlen. Von Lizenzkosten für die benötigte Software ganz zu schweigen. Der Kauf einer solche Karte will also wohlüberlegt sein. Es stellt sich die Frage: Geht das nicht auch mit aktueller Gaming Hardware?

Create virtual machines with a grain of salt

Salt [1] is not only useful for configuration management or infrastructure automation in general but also a flexible platform to build your own specialized solutions on top. This blog post shows how easy it is to leverage Salt from within your own Python code and how it helped us to simplify and enhance a complex deployment process based on Xen-Hypervisors [5] and virtual machines.

From Docker to podman: On the why and how

When Docker was released it felt like a revelation to developers and admins. For the first time a user space utility combined some old but very nifty kernel features in an easy-to-use package. But after some time, weaknesses of the Docker architecture were observed and alternatives to it emerged. In this article, we take a quick look at one of these alternatives and showcase its use with a popular internal use case at B1 Systems.

Check tcp connections and firewall rules across networks using nc

Larger companies have a big network with different network segments. Often they have active components like routers and firewalls inside the network to avoid bad traffic and unauthorized connections. If you now like to implement a new (open source) software, which needs a connection to another server, you have to ensure that the connection is possible. You have two options for solving this problem. We’ll look into both of them.

How to make git show information in your bash prompt

In a previous blogpost we learned how to use git and bash aliases and also use bash completion. Another nifty feature is showing some git information in your bash prompt. This blogpost will show you how.

How to use bash completion for your own git aliases

If you are like me, you will likely work on several different projects on a daily basis - and all of them will be stored in git.

Sure, git is easy to use. But typing the same set of commands multiple times, every day, can be quite annoying. Fortunately, using bash and git together allows to create some user-defined shortcuts.

BigBlueButton - Selbst gehostete Videokonferenzen

Videokonferenzen erfreuen sich gerade in Coronazeiten großer Beliebtheit, passen aber auch so ins 21. Jahrhundert, in dem Meetings auch online abgehalten werden können. Die Open Source Videokonferenzplattform BigBlueButton zeigt, wie dies auch mit eigenem Hosting unabhängig und datenschutzkonform möglich ist.

Locking your screen when you remove your U2F device

Universal Second Factor (U2F) devices were invented as a second factor for websites using two factor authentication. The website sends a challenge, the U2F device responds if its button is pressed. A small LED starts blinking, you press your button and thus confirm the usage.

But you cannot only use U2F devices for websites. Using PAM’s pam_u2f module, you can plug it into any service that uses PAM. This was described in my previous article.

If you want to use your U2F device to unlock your running session, you need to treat it like a key. So, when you leave your desk to grab a cup of coffee, you need to take your key with you. You should of course lock your screen when you leave your desk, too. But wait – couldn’t you combine these steps? Lock your screen by removing your U2F device?

Having fun with U2F devices

Inspired by a recent article series in the German magazin c’t (1, 2, 3), I got my hands on two simple U2F devices to find out if their usage might help my work pattern.

Imagine sitting in public transportation and having to retype your (root) password for each and every sudo call you issue. Imagine having to retype your password each time your screen lock engages. Imagine just having to touch a small button on a USB device instead.