1. Salamitaktik
Scheibchenweise werden wöchentlich neue Details zur Überwachungs- und Spionageaffäre veröffentlicht. Doch wozu diese Salamitaktik? Dient es der langsamen Heranführung an die Thematik? Oder wollen die Medien das Thema am »köcheln« halten, damit es nicht in Vergessenheit gerät? Letztendlich ist der politische Druck auf die Verantwortlichen noch immer nicht groß genug – im Gegenteil. Innenminister Friedrich fordert sogar eine Ausleitung des gesamten Internet-Traffics an Netzknoten. Damit wäre dann auch in Deutschland die Totalüberwachung des Internets Realität. Und damit nicht genug: Union und SPD wollen Vorratsdatenspeicherung.
Abermals wird deutlich: Von Seiten der Politik haben wir derzeit nichts zu erwarten. Wer seine Daten und damit sich selbst schützen möchte, der muss dies in eigene Hände nehmen. Im dritten Teil des Projekts »Raus aus der Cloud!« widmen wir uns den Konfigurationsmöglichkeiten von arkOS. Mittlerweile hat es sich der Raspberry Pi in seinem kleinen Kästchen gemütlich gemacht und wartet auf Input.
Kurze Zusammenfassung: Das Projekt »Raus aus der Cloud!« soll zeigen, ob Privatanwender in der Lage sind Kalender, Kontakte, E-Mails und weitere private Daten selbst zu hosten. Gelingt mit arkOS eine Flucht aus der Cloud-Isolationshaft?
Update
19.06.2017: Das arkOS Projekt wurde eingestellt. Der Quellcode ist weiterhin auf GitHub einsehbar.
- Projekt arkOS: Raus aus der Cloud!
- Projekt arkOS: Hardware und Installation
- Projekt arkOS: Erste Konfigurationsschritte
- Projekt arkOS: Installation SSL-Zertifikat
2. arkOS Crowdfunding-Kampange
Mittlerweile hat Jacob Cook, Gründer des arkOS-Projekts, eine Crowdfunding-Kampage gestartet. Aktuell sind bereits $26,578 zusammengekommen. Mit dem Geld soll die weitere Entwicklung von arkOS finanziert werden.
3. Erster Login
Unmittelbar nach der Eingabe »http://arkOS:8000« in die Adresszeile des Webbrowsers wird der Anwender mit der Eingabemaske begrüßt. arkOS lässt sich vollständig über das Genesis Web-Interface steuern und anpassen.
Web-Interface: http://arkOS:8000 Benutzername: admin Passwort: admin
Was erwartet uns hinter der Eingabemaske?
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3.1 Initiale Konfiguration
Nach erfolgreicher Eingabe von Username und Passwort startet der Konfigurations-Wizard. Er nimmt den Anwender an die Hand und begleitet ihn bei der initialen Erstkonfiguration von arkOS. In gelb gleich der erste Warnhinweis: Für eine sichere Kommunikation mit dem Server soll SSL aktiviert werden. Hauptsächlich wird SSL für die Absicherung zwischen Webbrowser und Webserver eingesetzt – also immer dann, wenn sensible Informationen über das unsichere Internet ausgetauscht werden sollen. Der Konfiguration von SSL widmen wir uns im kommenden Beitrag.
Im ersten Schritt wird eine Kombination aus Username und Passwort für den SSH-Zugang festgelegt. Vereinfacht ausgedrückt lässt sich damit eine verschlüsselte Verbindung zu arkOS aufbauen – darüber lässt sich das System über eine Kommandozeile administrieren. Wir ändern die Vorgabe »admin« und wählen einen neuen Usernamen aus. Anschließend generieren wir uns noch ein sicheres Passwort.
Passwort-Tipp:
- Nutzt einen Passwort-Manager. Gut geeignet ist das frei verfügbare KeePass. Neben Versionen für Windows, Linux, Mac OS X stehen sogar welche für iOS und Android zur Verfügung.
- Wem es an Kreativität mangelt oder einfach nicht weiss welche Kriterien ein sicheres Passwort erfüllt, der kann einen Passwort-Generator nutzen. Dieser ist in KeePass bereits eingebaut – oder hier zu finden. 12 Zeichen (inklusive Sonderzeichen, Groß-und Kleinschreibung und Zahlen) stellen einen vernünftigen Wert dar.
Weiter geht’s mit den initialen Systemeinstellungen. Hier lassen sich der Hostname, Zeitzone und weitere Einstellungen definieren. Aktiviert in jedem Fall das Häkchen bei »Expand arkOS to fit SD card?« – erst dann steht der komplette Speicherplatz (SD-Karte) für die Ablage zusätzlicher Daten zur Verfügung. Den Haken bei »Allow SSH as Root?« lassen wir deaktiviert und unterbinden damit einen direkten SSH-Zugang von root auf das System.
Im folgenden Schritt wird es interessant. Über Plugins (hier im Sinne von Anwendungen) lässt sich die Basis-Funktionalität von arkOS erweitern. Wir beschränken uns an dieser Stelle zunächst auf zwei Plugins:
- File Manager: Dient der Verwaltung von Inhalten auf dem arkOS.
- Task Monitor: Gibt Auskunft über aktuell laufende Prozesse / Programme auf dem arkOS.
4. Hauptansicht
Nach Abschluss der initialen Konfiguration wird der Anwender automatisch in die Hauptansicht weitergeleitet. Hierüber lassen sich diverse Optionen erreichen. In der Darstellung sind 7 Marker gesetzt. Diese werden im Folgenden näher beschrieben.
- System Monitor: Über den System Monitor lassen sich Statistiken über den aktuellen System Status darstellen. Mittels Widgets lässt sich die Ansicht nach eigenen Wünschen anpassen.
- Alters: Vergleichbar mit dem System Monitor werden unter der Alerts Anzeige Ereignisse zusammengefasst, die der Anwender selbst festlegen kann. So kann beispielsweise ein Monitor Plugin zur Überwachung der CPU angelegt werden. Wird ein prozentualer Auslastungswert überschritten, generiert arkOS im Alerts Menü eine entsprechende Warnung.
- Genesis Settings: Zugriff auf die Grundeinstellungen. Unter anderem lässt sich hier der Hostname, Port und das Update-Verhalten von arkOS einstellen.
- Network Settings: Erlaubt die Änderung der Netzwerkeinstellungen. Über das Menü lässt sich beispielsweise eine feste IP-Adresse festlegen. Weiterhin lassen sich weitere Hosts einbinden und zusätzliche DNS-Server hinzufügen.
- Applications: Über das Application Menü lassen sich die installierten Anwendungen verwalten, neue hinzufügen oder veraltete updaten. Eine Upload-Funktion ermöglicht sogar die Installation eigener Plugins bzw. solcher, die sich nicht direkt über arkOS beziehen lassen.
- Recovery: Eine integrierte Backup-Funktion ermöglicht die Sicherung der Konfiguration einzelner Anwendungen. Diese lassen sich anschließend herunterladen und archivieren. »Backup everything« legt ein komplettes Backup aller Konfigurationseinstellungen an.
- Installierte Anwendungen: Mit freundlicher Unterstützung des Konfigurations-Wizard wurden bereits zwei Anwendungen / Plugins installiert. Diese befinden sich direkt erreichbar in der linken Menüansicht.
5. Fazit
Eines wird bereits jetzt deutlich: arkOS befindet sich noch in einem frühen Entwicklungsstadium. Grund zur Klage gibt es bisher allerdings keine – jedenfalls nicht aus Sicht eines IT’lers. Allerdings sollten die Menüstruktur, Erklärungen und Benutzerführung in kommenden Versionen noch stark verbessert werden.
Noch ist unklar, ob Privatanwender mit arkOS in der Lage sind Kalender, Kontakte, E-Mails und weitere private Daten selbst zu hosten. Im kommenden Beitrag werden grundlegende Einstellungen behandelt – unter anderem die Konfiguration des SSL-Zertifikats. Aus meiner Sicht eine Mindestanforderung für den weltweiten Zugriff auf die eigenen Daten. Wie gut das funktioniert und ob damit die gewünschte Sicherheit erreicht werden kann, erfahrt ihr im nächsten Beitrag.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Projekt arkOS: Installation SSL-Zertifikat
Projekt arkOS: Hardware und Installation
Projekt arkOS: Raus aus der Cloud!
Anwendungen und Dienste nach meinem »Geschmack«
Datenschutzfreundliche Apps und Dienste – Android ohne Google?! Teil7
6 Ergänzungen zu “Projekt arkOS: Erste Konfigurationsschritte”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Hallo Mike,
nur kurz: bin vor einer Weile auf dein Blog gestoßen (Google/Startpage-Suche nach „owncloud…“) und bin immer wieder überrascht, dass wir uns unabhängig voneinander zeitnah mit ähnlichen Themen befassen: owncloud, xprivacy und jetzt ark-os. Besonders erfreulich das du diesmal zeitlich ein bißchen voraus bist und ich noch mehr als sonst an deinem Wissen und deinen Erfahrungen partizipieren kann. Danke dafür!
Gruß
Ken
P.S. Der Crowdfunding-Kampagne gönne ich, dass sie ihr Ziel erreicht, aber ich bezweifle das die Plattform für all die Ideen geeignet ist.
Hallo Ken,
ich wünsche Jacob bzw. dem Projekt auch die Erreichung des Crowdfunding-Ziels.
Schreibst du auch über deine Themen?
Mike
Hej Mike. Wann geht die Serie weiter? Wir warten schon gespannt …
Hallo Arthur,
zeitlich ist gerade eng bei mir. Vermutlich nächste / übernächste Woche. Die Serie wird in jedem Fall fortgesetzt – keine Angst. ;)
Mike
Hallo Mike,
auf der arkOS Website steht, dass arkOS derzeit nur für Tests genutzt werden sollte, da es immer noch nicht ausgereift ist. Wenn man dies auf einen „nicht öffentlichen“ Server aufspielt (um einfach im Heimnetz) Kalender, Daten etc. auzutauschen ist es dann empfehlenswert? Oder ist die Meldung für „öffentliche“ Server gedacht? Da es ein Betriebssystem ist, wenn es nicht ausgereift ist können doch auch Lücken in der Firewall etc. vorhanden sein…kann man sich hier extra absichern?
Nur für den Privatgebrauch verwenden. Am besten im Heimnetz, hinter dem Router. Zugriff von »außen« dann per VPN auf bspw. den Router und dann die arkOS.