Blog
Teil 1: Einleitung, Übersicht über die Funktionen und die Organisation von Schlüsseln und Daten mit TPM
„TPM“ ist die Abkürzung für „Trusted Platform Module“, was etwa mit „Vertrauenswürdiges Plattform-Modul“ übersetzt werden kann. Im Folgenden wird von „einem TPM“ als einer Komponente in einem Computer gesprochen.
In dieser dreiteiligen Artikelserie wird eine Übersicht über die Technologie TPM gegeben, und es wird anhand praktischer Beispiele die Benutzung von TPM mit dem Betriebssystem Linux gezeigt. Der erste Teil enthält eine Einleitung in das Thema und eine Übersicht über die Eigenschaften, Funktionen und Organisation der Daten einer TPM-Komponente. Die beiden späteren Teile sind praktischer Natur und zeigen den Umgang mit TPM auf Linux zur Verwaltung von kryptografischen Schlüsselpaaren für X.509-Zertifikate, OpenSSH sowie für die Datenträger-Verschlüsselung mit LUKS.
DEB-Paketierung auf dem Open Build Service (OBS)
In der Welt der Debian-basierten Distributionen sind DEB-Pakete die beliebteste Methode, Software zu verpacken und zu verteilen. Sie bieten eine saubere und verlässliche Möglichkeit, Anwendungen, Bibliotheken und andere Komponenten zu verwalten und zu installieren. Einen Schritt weiter geht der Open Build Service (OBS), eine leistungsstarke und flexible Plattform für die Paketerstellung und -verwaltung. Der OBS ist eine Kollaborationsplattform, die von der Open-Source-Community entwickelt wurde und es Entwicklern ermöglicht, Softwarepakete für verschiedene Linux-Distributionen zu erstellen und zu veröffentlichen. In diesem Artikel werden wir uns auf die DEB-Paketierung im Kontext des Open Build Services konzentrieren und zeigen, wie Installationspakete für Debian-basierte Distributionen sauber ausgeliefert werden können.
Random Numbers in Python
Step into the world of random numbers in Python, where chance and unpredictability reign supreme. From generating pseudo-random numbers to exploring true randomness with random.org, delving into the captivating realm of Gaussian random and uniform random, and harnessing the power of secrets library and UUID values.
Automatisierung von (open)SUSE Installationen
Das Installations- und Konfigurationswerkzeug SUSEbasierter Distributionen nennt sich YaST, Yet another Setup Tool. Bei der Installation führt YaST durch selbige und fragt die einzelnen Parameter wie z.B. Partitionierung, Netzwerkkonfiguration, Softwareauswahl usw. interaktiv ab. Sollen viele Systeme identisch, mit Ausnahme von Netzwerkkonfiguration, installiert werden, kann das schnell in monotone Fleißarbeit ausarten. Wie sich diese mit einem dynamischen Ansatz automatisieren lässt, zeigt der folgende Artikel.
Azure AD Federation with Keycloak as SAML identity provider using external B2B guest users – Using a different email domain in Azure AD and Keycloak
Here at B1 Systems, we recently had the challenge to give all colleagues access to resources in the Microsoft Azure Public Cloud.
Of course, we have an existing (OpenSource) authentication/authorization infrastructure, which is not Microsoft Azure, but consists of an OpenLDAP server for legacy applications and a Keycloak instance for “all things web”. If you have the same or a similar setup, this small howto might be interesting for you.
Out in the interwebs there are 100s of guides to use Microsoft Azure Directory (Azure AD) as an identify provider (IdP) in Keycloak. But we want it to be the other way around! Keycloak shall be a SAML federated IdP for Azure AD.
Azure AD Federation with Keycloak as SAML identity provider using external B2B guest users – Automating User and Group Sync from Keycloak to Azure AD
Here at B1 Systems, we recently had the challenge to give all colleagues access to resources in the Microsoft Azure Public Cloud. Of course, we have an existing (OpenSource) authentication/authorization infrastructure, which is not Microsoft Azure, but consists of an OpenLDAP server for legacy applications and a Keycloak instance for “all things web”. If you have the same or a similar setup, this small howto might be interesting for you.
Out in the interwebs there are 100s of guides to use Microsoft Azure Directory (Azure AD) as an identify provider (IdP) in Keycloak. But we want it to be the other way around! Keycloak shall be a SAML federated IdP for Azure AD.
Azure AD Federation with keycloak as SAML identity provider using external B2B guest users – Getting Started
Here at B1 Systems, we recently had the challenge to give all colleagues access to resources in the Microsoft Azure Public Cloud. Of course, we have an existing (OpenSource) authentication/authorization infrastructure, which is not Microsoft Azure, but consists of an OpenLDAP server for legacy applications and a Keycloak instance for “all things web”. If you have the same or a similar setup, this small howto might be interesting to you.
Buchtipp: Terraform – Das Praxisbuch für DevOps-Teams & Administratoren
Kollegen der B1 Systems GmbH und OSISM GmbH haben im vergangenen Jahr gemeinsam an einem Buch über Terraform geschrieben. Nein, wir haben nicht die Branche gewechselt und besiedeln nicht den Mars, sondern errichten und automatisieren mit Terraform komplexe Public Cloud Infrastruktur – bei z.B. Microsoft Azure, Amazon AWS und Google Cloud Platform – oder auch Private Cloud Infstrastruktur in OpenStack und VMware Vsphere. Beziehungsweise erklären wir euch und Ihnen, wie das geht.
Installation und Konfiguration von USBGuard
Im März 2015 veröffentlichte RedHat eine erste Version des USBGuards. Mit dem Tool könnt ihr euren Rechner vor BadUSB-Angriffen schützen – also vor USB-Geräten, deren Firmware verändert wurde, um einen Schadcode zu injizieren [1]. USBGuard benutzt dafür das im Linux-Kernel integrierte USB-Authorization-Feature. Durch White- & Blacklisting kann angewiesen werden, welche USB-Geräte zugelassen oder gesperrt werden.
Wie ihr USBGuard installiert und konfiguriert, wird in diesem Beitrag erklärt.
Verschlüsseltes DNS selber machen – Teil 2
In meinem Artikel im Februar habe ich ein Setup vorgestellt, in welchem der DNS-Loadbalancer dnsdist und der Resolver unbound verwendet wurden, um einen DoH- und DoT-Server zu betreiben. Die Kombination der beiden Programme ist notwendig, da der in Debian 11 Bullseye enthaltenen Version von unbound Funktionen fehlen und dnsdist selbst kein Resolver ist. Mit dem Knot-Resolver gibt es im Repository von Debian ein Programm, welches beide Rollen übernehmen kann. Dieser Artikel zeigt, wie der Knot-Resolver als DoH- und DoT-Server eingerichtet wird.
