Nginx: IP-Adresse nicht in Log-Files speichern

Wer aus Datenschutzgründen – DSGVO ist das Stichwort – möglichst wenige Daten speichern will, kann ein entsprechendes Logfile-Format definieren. Damit werden sowohl IPv4- als auch IPv6-Adressen anonymisiert.

Für die Error-Logs lässt sich leider kein neues Format definieren – hier kann man jedoch auch bei ausreichend kurzer Speicherfrist ein berechtigtes Interesse zum reibungslosen Betrieb annehmen. Die Einrichtung der anonymisierten Logfiles ist einfach: folgender Code wird in die zentrale nginx.conf eingefügt, dadurch werden bei IPv4-Adressen die letzten drei Ziffern durch „0“ ersetzt, bei IPv6-Adressen werden ebenfalls die letzten beiden Blöcke gelöscht.

map $remote_addr $ip_anonym1 {
default 0.0.0;
"~(?P<ip>(\d+)\.(\d+)\.(\d+))\.\d+" $ip;
"~(?P<ip>[^:]+:[^:]+):" $ip;
}

map $remote_addr $ip_anonym2 {
default .0;
"~(?P<ip>(\d+)\.(\d+)\.(\d+))\.\d+" .0;
"~(?P<ip>[^:]+:[^:]+):" ::;
}

map $ip_anonym1$ip_anonym2 $ip_anonymized {
default 0.0.0.0;
"~(?P<ip>.*)" $ip;
}

log_format anonymized '$ip_anonymized - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent"';

access_log /var/log/nginx/access.log anonymized;

Für die einzelnen Virtualhosts wird nun jeweils in der Access-Log-Zeile der Eintrag „anonymized“ hinzugefügt. Danach müssen einmal alle alten Logfiles gelöscht werden. Ab dem nächsten Server-Neustart werden dann die reduzierten Logfiles gespeichert, ansonsten funktioniert alles wie gewohnt. In Sachen Datenschutz ist man damit etwas näher an einer „sauberen Lösung“, die ganz im Sinne der EU-DSGVO-Datensparsamkeit ist. Diese Lösung wird auch auf diesem Server angewendet.

NodeMCU ESP8266: Feinstaubwerte selbst messen

Das Projekt „Luftdaten.info“ sammelt Feinstaub-Messwerte auf Basis von privaten Mess-Stationen, die von engagierten Nutzern betrieben werden. Ich habe eine solche Station auf dem Balkon eingerichtet.

ES8266 mit Feinstaub-Sensor
ESP8266 mit Feinstaub-Sensor
Die Einzelteile können entweder mit entsprechender Wartezeit über AliExpress bestellt werden (die Einzellieferungen liegen unter der Zollgrenze und werden mit der Deutschen Post zugestellt) oder für etwas höhere Preise bei Amazon bestellt werden.

Basis bildet ein ESP8266 Mikrocontroller, der mit der Arduino IDE angesprochen werden kann und einfach geflasht werden kann: unter Linux reicht es, den Controller mit einem Micro-USB-Kabel anzuschließen und den richtigen Port in den Flash-Befehl einzutragen. In meinem Fall war der ESP8266 unter /dev/ttyUSB0 zu finden.

FreeNAS: Pi-Hole & PiVPN in Ubuntu-VM

Wer FreeNAS 11 als NAS- bzw. Homeserver-Software verwendet, kann pi-hole sowie pi-vpn verwenden und sowohl auf das eigene Netzwerk zugreifen als auch Werbung zuverlässig blockieren.

PiVPN (http://www.pivpn.io/) ist ein Installations- und Verwaltungsscript für OpenVPN. Eigentlich gedacht für die Verwendung auf einem Raspberry Pi, funktioniert die Installation auch ohne Probleme auf einem Ubuntu 17.04, welches in einer bhyve-VM läuft. Der Ablauf ist der selbe wie beim „Bastelrechner“:

curl -L https://install.pivpn.io | bash

Das Installationsscript beschwert sich zwar, dass die verwendete Linux-Version gegebenenfalls nicht kompatibel ist und verweigert das automatische konfigurieren von einigen Dingen, am Ende läuft aber alles soweit problemlos durch. Wichtig: damit das deutleiten der VPN-Verbindung klappt, muss unter Ubuntu die Firewall „ufw“ (uncomplicated firewall – ein Commandozeilen-Tool für das einfache Einstellen von iptables-Regeln) installiert sein und der entsprechende Port freigegeben sein.

devolo GigaGate Bridge: Erfahrungsbericht

Um eine längere Strecke per WLAN zu überbrücken, bietet devolo mit GigaGate eine Lösung an. Ich habe diese mit dem Repeater von AVM verglichen.

GigaGate Monitor
GigaGate Monitor
Das GigaGate-Set besteht aus zwei Geräten: der Base, die an den Router angeschlossen wird, und einem Satelliten. Letzterer verfügt über einen Gigabit-LAN-Port und vier 100-Mbit/s-Ports. Außerdem kann der Satellit selbst ein WLAN aufbauen, leider nur im 2,4-GHz-Band.

Die Konfiguration ist einfach: beide Geräte mit Strom versorgen, Konfigurations-Knopf drücken und abwarten, bis die Status-LEDs signalisieren, dass die Verbindung hergestellt wurde. Danach kann der Satellit zu seinem eigentlichen Aufstellungsort gebracht werden.

AVM bringt Mesh-Funktion

Nachdem Google jetzt sein Wifi-System auch in Deutschland auf den Markt bringt, hat AVM mit einer Labor-Firmware „gekontert“.

Fritz!Box 7490 Mesh-Funktion
Fritz!Box 7490 Mesh-Funktion
Installiert man die Labor-Firmware 6.88 BETA (Download auf der AVM-Webseite), ändert sich die Netzwerk-Übersicht – ein ebenfalls im Netzwerk vorhandener Fritz!Repeater 1750E bekommt automatisch ebenfalls ein Update.

Neben dem 1750E Repeater kann auch der FRITZ!Powerline 1240E Adapter verwendet werden. Wie bei einem Mesh üblich, können mehrere Repeater zusammengeschaltet werden und dann zusammen arbeiten. Ebenfalls sinnvoll ist es, für das 2,4 GHz Band sowie für 5 GHz Geräte die selbe WLAN-SSID zu verwenden – das AVM-Mesh kann dann Dual-Band-fähige Geräte das Band zuweisen, welches für die besten Datenraten sorgt.

Hinweis: Ein Pop-Up-Blocker sollte für die IP der Fritz!Box deaktiviert werden, da sich sonst z.B. der SSID-Name nicht ändern lässt.


Raspberry Pi: WM 2018 selbst aufs Handy streamen

Gerade wer Sportereignisse wie die Fußball Weltmeisterschaft 2018 auch auf dem Handy verfolgen will, kann das bequem mit Hilfe eines Raspberry Pi mit tvheadend und VPN via PPTPD tun.

Alles was man für dieses Setup braucht ist bereits vorhanden, wenn man tvheadend auf einem Raspberry Pi mit DVB-C einsetzt. Ist dies nicht der Fall, sollte erst der genannten Anleitung gefolgt werden, damit der Fernsehempfang selbst schon einmal funktioniert. Ist dies geschafft, geht es weiter mit der Einrichtung des PPTPD-Servers.

Deutsche Bahn: Drossel nach 200 MB in der 2. Klasse

Die Deutsche Bahn bereitet derzeit den flächendeckenden Start des neuen WLAN-Angebots vor und hat nun Informationen zum Datenvolumen bekannt gegeben.

ICE im Bahnhof München
ICE im Bahnhof München
So soll es in der 2. Klasse 200 Megabyte „ungedrosseltes“ Datenvolumen geben. Wer nun glaubt, dass dieses ja innerhalb kürzester Zeit aufgebraucht sei: selbst ohne Drossel soll die Geschwindigkeit nur bei rund 1 Mbit/s liegen. Dies reicht zwar für die meisten Webseiten und E-Mail, Filme in HD-Qualität können darüber aber nicht bezogen werden.

Die Drosselung soll auch anders als bei normalen Handyverträgen recht moderat ausfallen und noch mehr als 128 kBit/s zur Verfügung stellen – gängige Handytarife drosseln meist auf 64 kBit/s oder weniger. Für Whatsapp oder für den Versand von reinen Text-Emails sollte auch diese Geschwindigkeit noch reichen.

WLAN über den Wolken – mit Norwegian

WLAN im Flugzeug führt immer noch ein Nischendasein, nur weniger Airlines bieten diesen Service an. Norwegian bietet diesen Service für alle Fluggäste auf vielen Verbindungen bereits an.

WLAN auf einem Norwegian-Flug
WLAN auf einem Norwegian-Flug

Während die Lufthansa und AirBerlin WiFi während des Fluges erst einführen bzw. nur auf einzelnen Strecken anbieten, bietet die „billig“ Airline Norwegian dies bereits an auf vielen Strecken an (ausgenommen sind die Transatlantik-Verbindungen). WLAN wird nach dem Start freigeschaltet und kann dann ohne weiteres genutzt werden. Meldet man sich am WLAN an, bekommt man zuerst die Daten des aktuellen Fluges sowie ein Angebot an kostenlosen Medien.

Die Geschwindigkeit der Verbindung ist dabei für „entspanntes“ surfen ausreichend – neue Geschwindigkeitsrekorde werden nicht gebrochen, aber um die Nachrichten zu lesen, ein Facebook-Update zu posten oder sich sonst wie die Zeit zu vertreiben reicht es locker aus. Wer will, kann natürlich auch produktiv sein und zum Beispiel E-Mails bearbeiten.

Congstar LTE: 20 GB „Flatrate“ für zuhause

Lange Zeit war LTE bei Congstar nicht zu bekommen, jetzt tut sich zumindest bei einem Tarif etwas in diese Richtung: Congstar Homespot bietet 20 GB im Monat – mit Einschränkungen.

Congstar LogoBeim Tarif „Homespot“ handelt es sich um einen reinen Datentarif, der über das LTE-Netz der Telekom 20 Mbit/s im Downstream bieten wird. Anders als bei den bisherigen Sprachtarifen von Congstar, die LTE nur inoffiziell ermöglichen, scheint LTE direkt Bestandteil des neuen Angebots zu sein.

Wesentliche Einschränkung: die Nutzung ist nur in einem festgelegten Bereich möglich. Ein Wechsel dieses Bereichs wird möglich sein, dafür jedoch gut 20,- EURO kosten. Zudem gibt es Meldungen, nach denen die Nutzung ausschließlich im LTE-Netz möglich ist – UMTS und EDGE-Verbindungen werden wohl nicht unterstützt, die offizielle Pressemitteilung geht darauf jedoch nicht weiter ein. Einschränkungen bei der Nutzung gibt es – abgesehen von nur 20 GB Volumen – nicht: VoIP und Instant Messaging ist anders als in anderen Tarifen explizit erlaubt.

Spannend bleibt, ob Congstar jetzt irgendwann noch grünes Licht bekommt, auch in den restlichen Tarifen offiziell das LTE-Netz der Telekom anbieten zu dürfen. Bei Verträgen, in denen es funktioniert, ist die LTE-Leistung trotz der Drosselung auf 7,2 Mbit/s sehr angenehm, da gerade auch die Latenzen deutlich geringer ausfallen. Mit 20 MBit/s ist bei ausreichendem Empfang sicherlich ein angenehmes Benutzen des Internets möglich.

Telekom-Nutzer zum Passwort-Wechsel aufgefordert

Im Darknet geistern anscheinend funktionierende Zugangsdaten von Telekom-Kunden umher. Kunden ruft der Bonner Konzern auf, ihre Passwörter zu ändern, verneint aber einen Server-Hack.

Die Telekom rät zum Wechsel der Passwörter
Die Telekom rät zum Wechsel der Passwörter
Der Seitens der Telekom vermutete Ursprung der Daten sind Phishing-Angriffe – ein Angriff auf die Server soll nicht stattgefunden haben. In den Darknet-Daten sollen laut der Mitteilung der Telekom auch die Zugangsdaten zu Konten bei anderen Unternehmen gehandelt werden. Welche dies sind lässt die Telekom offen – hat jedoch Anzeige erstattet und die zuständigen Behörden informiert.

Anhand von 90 Datensätzen hat die Telekom überprüft, dass die Zugangsdaten echt sind. Wie dies von statt ging wurde nicht erklärt, vielleicht handelt es sich dabei um Daten von Telekom-Mitarbeitern, die ihre Daten für eine entsprechende Überprüfung zur Verfügung gestellt haben. Eine andere Möglichkeit wäre der Abgleich von Hashes, diese können auch ohne Kenntnis des korrekten Passwortes abgeglichen werden.