Posts by ThomasL

    könntest du mir da behilflich sein?

    Ja klar, gerne.... und nicht nur ich kann da behifllich sein... hier gibts haufenweise Leute, die mehr wissen als ich. Mach einfach einen neuen eigenen Thread auf, das ist hier nämlich eine 5 Jahre alte Mumie.


    Erkläre genau, was unter welchen Umständen, mit welcher Hardware, durch was ausgelöst, von wem erledigt werden soll. Je präziser das erklärt ist, umso einfach gestaltet sich die Lösungssuche. Und wenn Du schon irgendwas zur Problemlösung unternommen hast, bitte auch das kurz erklären, ebenso, wenn es dabei zu Fehlern gekommen ist. Je besser Du das Problem erklärst, für uns fremde, die wir alle keine Ahnung haben, was Dein Ziel ist, welche Hardware bei Dir am Rennen ist, wie der logische Ablauf Deines Prozesses von Anfang bis Ende sein soll, umso besser kann man helfen.

    kenne mich nicht so wirklich in dem thema aus.

    Dann würde ich Dir dazu raten, keine Zeit mit solchen alten und vermutlich nicht auf aktuelle Gegebenheiten angepasste Tutorials zu verschwenden. Zudem ist die Frage auch so ein bisschen ähnlich wie "Ich habe keinen Führerschein und noch nie ein Auto gefahren und ich hab gerade mal eben das Quickstart-Guide des Wagens durchgeblättert... was muss ich tun, wenn ich jetzt von Hamburg nach München fahren will?"


    Bevor Du irgendwelche Projekte startest wäre mein Rat, hier vorher mal zu sagen, was Du gerne erreichen möchtest und dann zu fragen, wie der beste Weg dahin wäre. Für ein Gäste-WLAN-Netz brauchts eigentlich so'n Quatsch nicht, das kann eigentlich jede moderne Fritzbox viel besser.


    jm2c

    Wie verbringt man die Wartezeit auf den angekündigten Orkan? Ganz einfach ... mal ne neue Distribution testen. Ich habe heute mein erstes Archlinux installiert... mannomann... wie ein debootstrap-Debian ohne alles... *lol*... aber es läuft erst mal.


    Und jetzt gerade habe ich mich noch mal ein wenig mit der AL-Philosophie befasst und das folgende hier zum Thema passende gefunden.... ein erster Einstieg in die Basics, der wie mein Vorschlag zunächst beim Client anfängt. BTW, ich will jetzt keinesfalls Arch einem Anfänger empfehlen, das wäre geradezu gemein und vorprogrammierter Frust... aber deren Standpunkte gefallen mir:


    https://wiki.archlinux.de/title/Sicherheit



    PS

    Hier hebts mir gleich das Dach ab... :mad_GREEN:  :fies:

    Und genauso wie jeder der ein Auto fährt nicht die Zusammenhänge der Systeme versteht

    Richtig, niemand erwartet, dass Du den Linux-Kernel erklären können musst, ebensowenig wie einen Verbrennungsmotor. Nur bevor man mit einem Auto auf eine anspruchsvolle Rennstrecke geht, was die meisten sowieso nie tun, sollte man mit den Fahr-Basics in einer Fahrschule anfangen und anschließend eine gewisse Routine im Alltag erwerben.

    Nur gilt genau das nicht bei den Computern, es wird sofort mit den anspruchsvollsten Projekten angefangen, quasi im Blindflug, was dem entgegen in der IT-Business-Welt nur von ausgebildeten Fachleuten geleistet wird. Letztlich sieht das dann im Privaten so aus, als würde man einen Text chinesischer Zeichen vor sich haben und eigene Zeichen (aus irgendeiner Quelle abgezeichnet) dort einfügen, ohne zu wissen, was vorher da stand, was die neuen Zeichen bedeuten und welche Botschaft der Text jetzt mitteilt. Und dann sagt ein Chinese "so ist's falsch, bitte korrigieren" und der Schreiber hat keine Ahnung, was er meint, was falsch ist.


    Ich habe Dir noch ne PM gesendet... schau einfach mal....

    ...würde ich mich über ein paar konkrete Lösungsansätze freuen.

    Für diese Anforderungen gibt es - so glaube ich- wirklich nur einen einzigen seriösen Rat, um private IT-Sicherheit und Datenschutz herzustellen... und der lautet "Sachwissen erwerben". Wenn Du darauf verzichtest, Sachwissen zu erwerben, verzichtest Du letztlich auf Sicherheit... so einfach ist das oder Du erreichst bestenfalls eine zufällige Sicherheit, die von der "Gnade" anderer abhängig ist. Das heisst, Du selber hast dann keine Kontrolle darüber, was mit Deinen Daten passiert.


    Es gibt gewisse technische Werkzeuge, die die Herstellung von Sicherheit unterstützen, so wie es gewisse Werkzeuge gibt, um ein Haus zu bauen... aber wenn Du nicht über das notwendige Sachwissen verfügst, baust Du ein Haus auch nur ohne Garantien, dass es nicht bei erster Gelegenheit zusammenfällt. Das gleiche gilt für ein privates Netzwerk, was in seinen Anforderungen nicht minder anspruchsvoll ist.


    Es gibt verschiedene Perspektiven auf dieses Thema:

    • Ich habe nichts zu verbergen, bei mir gibts keine geheimen Daten. Ja toll... da mach Dir doch auch keine Gedanken über Datenschutz... und auch nicht darüber, wie asozial und demokratiefeindlich eine solche Haltung ist.... weil sie doch der Haltung entspricht "Ich habe keine eigene Meinung, also macht es auch nichts und es betrifft mich nicht, wenn die Meinungsfreiheit abgeschafft wird."
    • Wird schon nichts passieren. Ja, richtig, es wird nichts passieren, weil man mit einer kompletten Medienkontrolle und dem umfassenden Zugang zu privaten Daten durch anschließendes Meinungsmanagement eine effektive Kontrollle in der Form etablieren kann, dass die Leute gar nicht mehr erkennen können, dass sie kontrolliert und manipuliert werden... genau so wie auch durch die Mainstream-Medien erreicht wurde, dass die Leute glauben, mit ihrer Wählerstimme hätten sie einfluss und könnten etwas verändern und sie würden in einer Demokratie leben.
    • Ich installiere eine Firewall und einen AV-Scanner und dann bin ich sicher. Ja, klar, damit bist Du genau so sicher, als würdest Du mit einem Regenschirm anstatt eines Fallschirms aus dem Flieger springen.
    • Sicherheit und Datenschutz ja, aber ich habe davon keine Ahnung und viel Arbeit investieren will ich auch nicht. Dann gibts nur 2 Möglichkeiten: erstens, verzichte auf die Speicherung sensibler persönlicher Daten oder zweitens, verleugne die Tatsache vor dir selber, dass Du dein digitales Leben mit der Welt (irgendwelchen Konzernen) teilst, für die Du nur eine Tracking-ID bist, die mit Deinem digitalen Leben Geld verdienen und die diese gewonnenen Daten sogar gegen Dich verwenden.

    Das große Problem bei dem Thema "informelle Selbstbestimmung" ist die völlig fehlende Medienkompetenz in der Breite der Anweder, die zwar alles haben wollen, aber über nichts verfügen, um dann über das, was sie eingerichtet haben, eine Kontrolle zu haben ...die die Brisanz dieses Themas gar nicht verstanden haben, die die im Hintergrund lauernden Wahrheiten verleugnen oder ignorieren, die die Gefahren des Verlustes der Verfügungshoheit auf unsere Daten für uns alle unterschätzen. So lange ich mich mit diesem Thema befasse, noch nie zuvor habe ich eine solche Ignoranz über die Wichtigkeit des Rechts auf informelle Selbstbstimmung wahrgenommen wie dort, wo man ständig über IoT liest oder wie auch in den typischen Social-Medias für Profilneurotiker.


    Ich finde es deshalb richtig gut, dass es selten auch noch Leute gibt, die nicht nur Fragen nach Lösungen stellen, die sie einfach nur abtippen können, ohne überhaupt zu verstehen, was sie da tippen... die mit Hirn im Kopp vielleicht sogar wirklich erahnen, dass sie dem Thema Datenschutz deutlich mehr Beachtung widmen müssen.


    Meine konkreten Vorschläge zur Herstellung von Datenschutz sind gar nicht so schwierig, am Anfang sind sie sogar alle nur organisatorisch und disziplinarisch:

    1. Datenschutz bedeutet Verzicht... bist Du nicht bereit, auf gewisse Dinge zu verzichten oder nach sicheren Alternativen zu suchen, bleiben alle Bemührungen erfolglos. Datenschutz bedeutet primär eine deutliche Veränderung des bisherigen unsicheren Verhaltens zu sicherem Verhalten
    2. Kein Windows als Betriebssystem verwenden. Bist Du nicht bereit, auf Windows zu verzichten, springe ans Ende des Textes... Du hast jeden Versuch Datenschutz herzustellen, mit dieser Entscheidung blockiert. Wenn Windows als Zockercomputer doch unumgänglich ist, diesen Win-Rechner vom lokalen Netzwerk isolieren, keinen Zugang zu Daten, Mails, Dokumenten, Netzwerkressourcen... nur Zugang zum Zocker-Internet.
    3. Keine hybriden Linux-Betriebsyssteme verwenden, also sowas wie z.B. Linux Mint.... da gibts wohl noch ein paar andere. LM ist im besten Fall ein Ubuntu mit angeflanschten Fremdquellen. Das bedeutet, generell keine Linuxdistribution mit aktiven Fremdquellen betreiben, egal ob die systemisch vorgegeben sind oder manuell hinzugefügt werden müssen... in welcher Form auch immer, Fremdquellen sind tabu und ein signifikant hohes Risiko für Exploits und Störungen. Wer Fremdquellen in seinem Betriebssystem verwendet, hat die Sicherheit deaktiviert.
    4. Sichere Linux-Betriebssysteme sind die ohne Fremdquellen, wie z.B. Debian, imho auch Fedora, Ubuntu und Archlinux, ich denke auch Raspbian (weil das ja nur ein Debian für ARM ist). Ganz sicher sind die, wo keine Firmeninteressen (Canonical, RedHat) dahinter stehen.
    5. Keine von Drittquellen (anonynm=dubios) erzeugten ausführbaren Container, Snaps, Flatpaks, AppImages verwenden.
    6. Keine Verwendung von Free-Accounts, wie GMX, WEB.de, kostenlose Cloud-Dienste... für alles, was kostenlos ist, bezahlt man mit den privaten Daten seines digitalen Lebens. Wenn man eine eigene Homepage hat, kann man wunderbar den dort fast immer enthaltenen Mailserver kostenlos nutzen. Teilweise sind die im Endkunden-Level mit bis zu 100 Postfächer enthalten. Mit diesen Möglichkeiten gibt es wirklich keinen einzigen vernüftigen Grund, die Postfächer der großen Datensammel-Konzerne zu nutzen. Wenn man häufig bei Amazon einkauft, richtet man sich ein eigenes Postfach in der eigenen HP nur für Amazon ein, eines nur für Ebay, eines für Ottoversand, eines für das raspi-forum, eines für den Fussball-Verein, eines für den Angelverein, eines mit Real-Namen für Banken- und Behördenschriftverkehr. Das hat den Erfolg, dass jede fremde Instution nie was anderes zu sehen bekommt, als nur expliziten Mailverkehr... und die datensammelnden Mailprovider sehen gar nichts.
    7. Google-Domains im Browser komplett sperren... nicht ein einziger Google-Tracker wird ausgeführt. Das gilt natürlich auch für die anderen großen Tracker-Unternehmen.
    8. Facebook, Instagram & Co, google drive, gmail, ms onedrive, etc. sind natürlich tabu.... wenn ich meine Daten mit entsprechenden Apps freiwillig zu denen transportiere, kann ich eigentlich sofort aufhören, über Datenschutz nachzudenken.
    9. Die heimische LAN-Infrastrukur ist so einzurichten, dass Zugänge von außen aus dem Internet nicht möglich sind und das ein datenvorhaltendes Gerät (Fileserver, Mailserver) keine ständigen Userinteraktionen vorsieht und keine freien ausgehenden Zugänge zum Internet hat.

    Also wie ich zu Beginn sagte, Datenschutz bedeutet Veränderungen und Verzicht. Du musst Dir wirklich keine großen Gedanken über Datenschutz machen, wenn es keine Bereitschaft dazu gibt oder wenn Du Deine digitale Privatspähre sowieso auf 1000 anderen Wegen lautstark mit dem Smartphone ins Internet bläst. Und wenn Du in Deine Hausautomatisierung solche Sachen wie Garagenöffner via App, Rolladen-Steuerung oder andere Schließmechanismen einbaust, alles via App... ist Deine ganz Sicherheit in beträchtlichem Maßen von den obigen Punkten 1-9 abhängig... oder es bleibt eben nur ein reines Zufallsprodukt... soll heissen, es ist genau solange sicher, wie keiner die mangelnde Sicherheit für sich und gegen Dich verwendet.

    Bei diesem letzten Punkt bin ich mir ziemlich sicher, dass einige Leute im Laufe der Zeit noch ziemlich übel in die Realität zurückgeholt werden, wenn ihre dilettantische IT-Administration irgendwelchen Fremden einen unberechtigten Zugang ermöglicht hat. Es besteht natürlich auch die große Wahrscheinlichkeit, dass sie nie etwas davon merken, wenn sich eine fremde Organisation einfach nur umfassenden Zugriff auf die heimische Infrastruktur verschafft hat... und sei es nur, um sie zu den privaten Ruhezeiten für sich selber arbeiten zu lassen oder regelmäßig Daten, Mails, Konten, Finanzbuchaltung zu lesen, ohne dabei etwas zu zerstören.


    Also, das waren jetzt nur ein paar kleine organisorische Ansätze.... die aber eine wesentliche Basis für private IT-Sicherheit und Datenschutz darstellen... verlangen sie doch ein gehöriges Maß an Disziplin. 'Ne Desktop-Firewall und nen gutes Gefühl deswegen haben mit Sicherheit überhaupt nichts zu tun. Aber wenn es schon an diesen einfachen organisorischen Anforderungen scheitert, ist die Lösung wirklich simpel: Einfach alles machen, wie es einem in den Sinn kommt und nicht weiter über Datenschutz und Sicherheit nachdenken.


    Mein Rat: Bevor Du dir Gedanken über Lösungen machst, fang mit dem Erwerb von Sachwissen an und beseitige das erste Problem, und zwar Windows. Linux-Kompetenz zu erwerben ist beste und einzige Weg, der meiner Meinung nach langfristig zum Erfolg führt.

    Da bin ich aber froh... danke für die Rückmeldung. Und ja, ohne jeden Zweifel... das sind die gemeinsten Fehler überhaupt. :fies: Das menschliche Auge und der Verstand arbeiten da manchmal leider nicht synchron. X/ Das Auge sieht den Fehler, der Verstand aber überlagert und interpretiert es mit dem, was da eigentlich stehen müsste. Wie sehen den Sch**ß und verstehen es trotzdem, als wäre alles korrekt:


    "Gmäeß eneir Sutide eneir elgnihcesn Uvinisterät ist es nchit witihcg, in
    wlecehr Rneflogheie die Bstachuebn in eneim Wrot snid, das ezniige was
    wcthiig ist, ist, dass der estre und der leztte Bstabchue an der
    ritihcegn Pstoiion snid. Der Rset knan ein ttoaelr Bsinöldn sien,
    tedztorm knan man ihn onhe Pemoblre lseen. Das ist so, wiel wir nciht
    jeedn Bstachuebn enzelin leesn, snderon das Wrot als gseatems."

    Das ist doch die richtige vorgehensweise, oder?

    Ja, alles richtig gemacht.

    Verhält sich der Postfix nach außen wie ein Client, oder wie ein Server?

    In dem Fall würde ich sagen, er ist ein Client. Postfix muss sich ja auf dem Server des Mail-Providers anmelden... und das tut er imho als Client. Ist das die einzige Email-Adresse mit dieser Fehlerreaktion? Gibt es bei diesem Mail-Provider andere Adressen, die gehen? Gibt es bei anderen Providern das gleiche Problem? Gibt es überhaupt Adressen, die fehlerfrei funktionieren?


    Also Fakt ist, der Anmelde-Prozess schlägt in diesem Fall fehl.... die Fehlermeldung ist eigentlich eindeutig... die Anmeldedaten sind falsch. Wir wissen jetzt nur noch nicht, warum die falsch sind. Das bedeutet, die müssen nicht mal zwangsläufig aufgrund der Zeichenfolgen falsch sein.... aber ich hoffe, dass Du Password UND Name wirklich sorgfältig verglichen hast und die in der 'relayhost_passwd' eingetragenen Daten per Copy/Paste auch mal direkt im Terminaltest probiert hast.


    Eine weitere Problemquelle kann der Port sein. Mich irritiert Port 25 in Deinen Logs.... eigentlich sollte das für SMTP über Port 587 laufen. Kannst Du mal bitte folgende Variante versuchen und jeweils eine von den zwei folgenden Zeilen anfügen:

    mail.your-server.de smtp:mail.your-server.de:587

    your-server.de smtp:your-server.de:587


    Code
    # cat /etc/postfix/rules/check_local_transport_maps
    # Lokal sender, local recipient - prevents transmission
    # over the Internet, processes only local Traffic
    #=======================================================
    mail lmtp:unix:private/dovecot-lmtp
    mail.your-server.de smtp:mail.your-server.de:587

    Nach der Änderung wieder kompilieren und Postfix restarten:

    Code
    systemctl stop postfix
    systemctl start postfix
    systemctl status postfix

    Wenn das im Dialog-Modus im Terminal funktioniert, muss Postfix das auch können. Wenn Postfix dann mit dieser Meldung

    said: 535 Incorrect authentication data)

    scheitert, ist die Ursache klar... die von Postfix verwendeten Anmeldedaten sind fehlerhaft hinterlegt.


    Das bedeutet, diese Datei ist zu kontrollieren, und zwar zeichenweise:

    /etc/postfix/rules/get_relayhost_passwd


    Und je nachdem, womit diese Datei erzeugt wurde, kann das auch eine Fehlerursache sein. Also wenn Du zuvor diese Datei mit einem Windows-Editor erstellt hast, bin ich sogar sicher, dass das der Fehler ist. Diese Datei muss zwingend mit einem Linux-Editor bearbeitet werden, wie nano, vim oder ne, oder auch dem internen Editor vom Midnight-Commander. Wenn Name und Password zweifelsfrei korrekt enthalten sind und keine falschen Leerzeichen eingefügt sind, trotzdem einmal alle Zeilenvorschübe erst entfernen und dann mit der Entertaste direkt hinter dem letzten Zeichen wieder einfügen. War Windows im Spiel liegt ein fehlerhaftes CR/LR (0x0d,0x0a) vor, Linux verwendet nur 0x0a.


    Nach durchgeführten Änderungen in der Datei nicht vergessen, diese wieder in das *.db-Format zu kompilieren....

    Bitte poste Terminal-Ausgaben in Code-Tags... in der obigen Forum, bunt und fett und variable Schriftgröße ist für alle eine Zumutung. Code-Tags sind das Icon </> in der Toolbar-Leiste:

    Code
    root@raspimail:/home/pi# dpkg -l libsasl2-modules
    | Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
    |/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
    ||/ Name Version Architektur Beschreibung
    +++-================-============-============-=================================
    un libsasl2-modules <keine> <keine> (keine Beschreibung vorhanden)


    Die Lösung kann die Installation des fehlenden Pakets sein... danach zur Sicherheit einfach alles neu starten und testen, ob der Fehler behoben ist.

    Code
    apt update
    apt full-upgrade (wenn Pakete als verfügbar/upgradable angezeigt werden)
    apt install libsasl2-modules
    systemctl reboot

    Das ist jetzt fummelei..... und sucherei.... mal sehen. Wie sind die Ausgaben der beiden folgenden Befehle, jeweils als root:

    Code
    # dpkg -l libsasl2-modules
    # postconf -n | grep smtp_sasl

    Und zweitens, ist sichergestellt, dass der Absender ("from" im Mail-Header) identisch mit der Postfach-Adresse bei gmail ist? Also das der Replace in check_generic_replace_from mit der richtigen from-Adresse ersetzt?

    An dieser Stelle noch einmal ausdrücklich meinen Dank an Lutz und Manu für einige wirklich hilfreiche Anregungen, die ich heute endgültig produktiv gesetzt habe.


    Das ist jetzt der aktuelle Stand dreier relevanter Code-Zeilen, die ich heute morgen ca 'ne halbe Stunde lang mit Stresstests und provozierten Fehlersituationen genervt habe... und verdammte hacke.... alles hat zu meiner großen Freude perfekt funktioniert... (:

    Code
    VirtUser=$(echo "$USER" | sed 's/^[ \t]*//;s/[ \t]*$//')
    LinuxUser=$(awk '$1 == "'$VirtUser'" {print $2;exit}' /etc/dovecot/alias_maps)
    LinuxUser_UID=$(/usr/bin/id -r -u "$LinuxUser" 2>/dev/null)

    ich finde mixed-quoting unschön

    Ja, das stimmt... der Vorteil hierbei ist allerdings, mir fällt die Interpretation bzw. das Verstehen der Bedeutung des Statements beim Lesen einfacher.... weil weniger Elemente..... was natürlich aber auch nur meinen subjektiven Vorlieben entspricht.... und ein wenig dem Alter entgegenkommt *fg*.


    Ich habe jetzt jedenfalls diese Variante produktiv übernommen... womit ich im Moment eigentlich auch zufrieden bin. Die anschließenden Tests haben auch keine Umstimmigkeiten ergeben.

    LinuxUser=$(awk '$1 == "'$VirtUser'" {print $2;exit}' /etc/dovecot/alias_maps)


    Danke Euch beiden.... :thumbup:

    und das geht mit Shell-Vars nicht bzw. wie du schriebst, nur mit wildem, fehlerträchtigen Escapen.

    Anscheinend gehts ja auch ohne escapen, wenn mit ' (vorne und hinten) verhindert wird, dass die Shell-Var expandiert wird. Das heisst, es geht, wenn die Shell-Var als Namen übergeben wird, aber nicht der Inhalt. Und der Inhalt kann nicht übergeben werden, weil die ganze Condition mit ' eingepackt ist, was wiederum die Expansion verhindert.... *hmmm*

    lutz, danke, das habe ich verstanden... ich bin zum einen an der Logik {print $NF;exit} hängengeblieben...und auch an der Tatsache, dass eingabe, greppen, if-condition und ausgeben alles in einem einzigen Statement stattfindet.... welches schließlich an einer Stelle zusätzlich irritierend auch noch eine bestimmte Rückschluss-Logik verwendet.... und zwar wird das letzte Feld von der Anzahl "Number of fields" zurückgegeben, was bei mir quasi nur zufällig mit dem gewollten Ergebnis als Feld 2 übereinstimmt. In meinem Fall eindeutiger und etwas leichter zu verstehen wäre jedoch die Variante {print $2;exit}.


    Aber insgesamt ist das schon starker Tobak.... und wiedermal bin ich total von den Möglichkeiten in Linux beeindruckt.... aber gleichzeitig auch etwas abgeschreckt... weil ich Sourcecode immer eher nach der Prämisse "hohe reproduzierbarkeit" erstellt habe. :conf:

    ...würde ich das gerne verstehen:

    Du hast tatsächlich Recht, das war wirklich nicht das Problem, sondern die Tatsache, dass es mehrere Postfächer gibt, die mit dem Wort "thomas" anfangen.... also nach dem Muster "vorname.nachname@domain.tld". Ich habe 3 Echt-Namen-Postfächer bei 3 Mailhostern. Dementsprechend angelehnt sind die virtuellen User bei Dovecot bezeichnet.

    Das funktioniert.... :conf:... allerdings versehe ich dieses Statement nicht... ich kanns nicht lesen... denn awk ist ja viel mehr, als nur mal eben ne Feld-Ausgabe... und so tief bin ich da leider nicht drin. Meine Version ist zwar länger und offensichtlich auch umständlicher, aber die verstehe wenigstens.... ich bin jetzt echt hin- und hergerissen. :daumendreh2: