Weblog

Viele von euch nutzen Pi-Hole. Ich habe mir eine vergleichbare Lösung gebaut, bevor es Pi-Hole gab, und bin über das Ausmaß etwas frustriert.

Ich nutzte einen Unbound mit eigener Filterliste, auf den ich einen Dnsdist gesetzt habe. Dieser liefert mir für iOS DoH (mit DNSCloak) und für Android und meine FritzBox DoT.

Technisch betrachtet ist es ein Merge aus Adblock-, Mailware-Domains und Fakeshops. Die Daten in den Listen sind zum großen Teil redundant.

Was finde ich frustrierend? 291371 geblockte Domains. Ein knapp 14 MB grosses Textfile.

Meine Filter-Quellen:

http://sysctl.org/cameleon/hosts
http://winhelp2002.mvps.org/hosts.txt
http://www.malwaredomainlist.com/hostslist/hosts.txt
https://adaway.org/hosts.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
https://hostfiles.frogeye.fr/firstparty-only-trackers-hosts.txt
https://justdomains.github.io/blocklists/lists/adguarddns-justdomains.txt
https://justdomains.github.io/blocklists/lists/easylist-justdomains.txt
https://justdomains.github.io/blocklists/lists/easyprivacy-justdomains.txt
https://justdomains.github.io/blocklists/lists/nocoin-justdomains.txt
https://mirror.cedia.org.ec/malwaredomains/immortal_domains.txt
https://mirror.cedia.org.ec/malwaredomains/justdomains
https://mirror1.malwaredomains.com/files/justdomains
https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt
https://raw.githubusercontent.com/notracking/hosts-blocklists/master/dnscrypt-proxy/dnscrypt-proxy.blacklist.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
https://someonewhocares.org/hosts/hosts
https://ybad.name/pub/hosts.txt
https://raw.githubusercontent.com/stonecrusher/filterlists/master/watchlist-internet.txt

Und zusätzlich eine eigene Black- und White-List.

An dieser Stelle möchte ich mich bei NLNETLABS für Unbound, bei PowerDNS für Dnsdist, den Erstellern der oben genannten Filterlisten und beim OpenBSD-Projekt bedanken. Auf OpenBSD 6.7 current ist inzwischen für Dnsdist TLSv1.3 mit LibreSSL nutzbar, was das Ganze beschleunigt und auch sicherer macht.

Bildnachweis: Unbound Logo copyright NLnet Labs

PuffyIch wollte noch einen Nachtrag zu PHP-FPM in chroot /var/www und mit MariaDB unter OpenBSD liefern.

Es ist immer zu bevorzugen, chroot für PHP-FPM zu nutzen. Damit MariaDB läuft, hat man im Grunde zwei Möglichkeiten.

Die einfachste ist nachteilig, denn es fällt immer Overhead für TCP an: bind-address = 127.0.0.1 oder z.B. 10.x.y.z. Das bietet sich nur an, wenn man MariaDB in einer eigenen vmm betreibt.

Der gute Weg ist, die Socket zu nutzen.

Hierzu gibt es eine sehr gute Anleitung (mit Performance Settings) von VULTR.

Zusammengefasst wird Folgendes gemacht

install -d -m 0711 -o _mysql -g _mysql /var/www/var/run/mysql

/etc/my.cnf in [client] und [mysqld]
- socket = /var/run/mysql/mysql.sock
+ socket = /var/www/var/run/mysql/mysql.sock

rcctl restart mysqld

Das Ergebnis testen:
mysql -uroot -p

Wenn man möchte, kann man noch folgendes setzen in /etc/my.cnf in [mysqld]
skip-networking

Innerhalb und außerhalb der chroot nutzbar machen:
ln -s /var/www/var/run/mysql /var/run/

Reboot sicher machen

Falls keine /etc/rc.local vorhanden ist:
cp /etc/examples/rc.local /etc/

Weil beim Reboot /var/run geleert wird:
echo „ln -s /var/www/var/run/mysql /var/run/“ >> /etc/rc.local

PHP-FPM und Hiawatha Webserver

In der /etc/php-<version>.ini:
mysqli.default_socket = /var/run/mysql/mysql.sock

in der /etc/php-fpm.conf setzen:
chroot = /var/www
listen.owner = www
listen.group = www
listen.mode = 0666; (wenn _hiawatha; 0660, wenn nginx oder httpd (user www)

... Perfomance Settings, PM = dynamic etc. je nach Anforderungen.

rcctl restart php<version>_fpm

Falls man Hiawatha ohne chroot nutzt in /etc/hiawatha/hiawatha.conf:
FastCGIserver {
  FastCGIid = PHP
  ConnectTo = /var/run/php-fpm.sock
  Extension = php
  SessionTimeout = 30
  ServerRoot = /var/www # weglassen falls mit chroot
}

Sollte bind-address genutzt werden und Banshee-PHP zum Einsatz kommen, muss /banshee/settings/website.conf noch geändert werden:
-DB_HOSTNAME = localhost
+DB_HOSTNAME = 127.0.0.1 # bzw die IP von bind-address

Damit der Mailversand aus Banshee-PHP klappt:
cp -p /bin/sh /var/www/bin/
cp -p /etc/resolv.conf /var/www/etc/

Ich hoffe es ist eine kleine Hilfe für Euch.

13. Mai 2020, 21:24

Ich wurde gestern gefragt, wie man Hiawatha mit einem chrooted php73_fpm nutzt.

Man könnte Hiawatha manuell selbst mit chroot /var/www starten, was durchaus Aufwand unter OpenBSD bereitet.

Wenn man sich weniger Mühe gibt und damit zufrieden ist, dass PHP-FPM chrooted ist und Hiawatha nicht privilegiert läuft, hat man folgende Möglichkeit:

ServerRoot = <path>
    If the FastCGI server is running in a chroot,
    use this setting to specify that chroot directory.
    Example: ServerRoot = /var/www/chroot

Ich möchte an dieser Stelle keine Empfehlung geben. Hiawatha mit chroot unter OpenBSD ist müssig, da es in Hiawatha selbst nicht vorgesehen ist. Für PHP-FPM ist das relativ schmerzfrei.

WireguardIch habe mich richtig gefreut, OpenBSD bekommt einen Kernel Patch für WireGuard!

OpenBSD 6.7 ist voraussichtlich für den 19. Mai angekündigt. Darin wurden bereits viele Änderungen vorgenommen. Vermutlich wird WireGuard in Version 6.8 offiziell enthalten sein.

Danke Jason.

Hey folks,

I'm delighted to announce that Matt has posted his OpenBSD kernel port
to the OpenBSD mailing list:

https://marc.info/?l=openbsd-tech&m=158926407905492&w=2
https://marc.info/?l=openbsd-tech&m=158926356005344&w=2

We've worked together closely on this for a long time, and I think
this is a high quality implementation with a lot of the same security
design principles as our Linux implementation. In a way, WireGuard's
minimalism fits into and was inspired by OpenBSD's overall design
philosophy. Looking forward to seeing how things pan out on the
mailing list there; I'm optimistic.

Users can try this out early by following the directions at:
https://git.zx2c4.com/wireguard-openbsd/about/

Regards,
Jason

Während die Medien fast ausschließlich über COVID-19 berichten, haben das U.S. Department of Defence (DoD) und die US-Marine Aufnahmen von ungeklärten Luftphänomenen veröffentlicht und deren Echtheit bestätigt. Das ist bemerkenswert. Sie sprechen dabei vorsätzlich nicht von Außerirdischen und nennen es „fortgeschrittene Bedrohungen aus dem Luftraum“. Vermutlich sind sie sich im Klaren darüber, um was es sich handelt. Denn sie hatten 22 Mio. Dollar zur Identifizierung solcher Gefahren im Haushalt versteckt. Wenn die USA, die Europäer und die Russen nicht in der Lage sind, Flugkörper mit diesen Eigenschaften zu bauen, wer bleibt dann?

„Wenn man das Unmögliche ausgeschlossen hat, muss das, was übrig bleibt, die Wahrheit sein, so unwahrscheinlich sie auch klingen mag.“
— Arthur Conan Doyle

Bildnachweis: ® AFP PHOTO / US DEPARTMENT OF DEFENSE/HANDOUT