Die Ghost-Software, die diesen Blog betreibt, hat leider keine integrierte Kommentarfunktion. Dieser Beitrag beschreibt, wie man die aktuelle Version der netten, kleinen Lösung „Isso“ auf einem Uberspace 7 einbindet.

Anmerkung: Das meiste gilt grundsätzlich auch bei auf andere Weise erzeugten statischen Webseiten, nehme ich stark an. Außer Isso mit Python laufen zu lassen, muss letztlich nur irgendwie etwas JavaScript eingebunden werden können.

Alternativ gibt es natürlich allerlei Rechner-anderer-Leute Cloud-basierte Lösungen (Disqus wäre ein prominentes Beispiel, das auch von den Ghost-Leuten vorgeschlagen wird), aber so etwas scheidet aus, weil Datenschutz.

In meinem Fall lief Ghost nebst Isso vorher auf einem Uberspace 6, was ich aber unter anderem wegen der Node.js-Version ändern wollte. Im gleichen Zug wollte ich auch auf die neueste Isso-Version upgraden. Die hat nämlich schöne Features bekommen, zum Beispiel ist so ein Admin-Interface netter als die Verwaltung nur über E-Mails. Der Umzug von Ghost ist im Wesentlichen Fleißarbeit – alte Daten (Inhalt, Theme) exportieren, neue Instanz aufsetzen, Daten importieren, bisschen Links korrigieren usw., am Ende A- und AAAA-Records der Domain auf die neuen Server-Adressen ändern.

Zu (aktuellem) Isso auf (aktuellem) Uberspace habe ich dagegen im Netz nichts gefunden, bzw. nichts, das hinreichend half, daher habe ich im Folgenden die einzelnen Schritte aufgeschrieben:

Im Einzelnen braucht es folgende nicht sehr überraschende Zutaten:

• Ghost auf Uberspace 7
• Eine (Sub-) Domain für den Blog
• Eine Subdomain für Isso
  Eine andere Domain würde wegen der Same-Origin-Policy Schwierigkeiten machen; CORS ist bei Uberspace (noch) nicht vorgesehen. Alternativ kann man einen Teilpfad wie example.org/isso über ein eigenes Web Backend der Macht von Ghost entreißen. Habe ich aber auf U7 nicht probiert.

Installieren von Isso

Ich benutze die Version 3.6 von Python.

pip3.6 install isso --user

Damit sollte die Installation durchlaufen. --user ist wichtig, weil wir keine Admin-Rechte haben.

Anpassen der Konfiguration von Isso

Die Datei unter  ~/etc/isso/user.cfg wie folgt editieren. Dabei mindestens dbpath und host anpassen.  
Die IP für den listen-Parameter muss bei Uberspace 0.0.0.0 sein. Den Port (hier: 9000) kann man zwischen 1024 und 65535 frei wählen, er sollte halt unbelegt sein. Für alles Weitere sei auf die Isso-Doku verwiesen.

[general]
dbpath = /home/<user>/etc/isso/comments.db
host = https://example.org/
notify = smtp

[server]
listen = http://0.0.0.0:9000

[smtp]
username = <user>
password = ...
host = localhost
port = 587
security = starttls
to = isso@example.org
from = blog@example.org

[guard]
enabled = true
ratelimit = 2
direct-reply = 3
reply-to-self = false
require-email = false

[hash]
salt = Eech7co8Ohloopo9Ol6baimi
algorithm = pbkdf2

[admin]
enabled = true
password = ...

Testen ob es geht mit diesem Befehl:

 isso -c ~/etc/isso/user.cfg run

Erfreulicherweise hat meine „Datenmigration“ funktioniert, indem ich die comments.db-Datei der alten Isso-Instanz einfach an die neue Stelle laut dbpath kopiert habe. Schlichtes SQLite hat durchaus Vorteile.

Subdomain für Isso verbinden

Die Adresse und gegebenenfalls den Port entsprechend anpassen:

uberspace web domain add comments.example.org

uberspace web backend set comments.example.org --http --port 9000

Alternativ für die Lösung ohne Subdomain (example.org/isso):
uberspace web backend set /isso --http --port 9000 (Ungetestet! Ich weiß nicht, ob das gleichzeitig mit Ghost gescheit geht. Auf U6 mit RewriteCond/RewriteRule-Einträgen in der .htaccess ging es jedenfalls…)

Test der Admin-Oberfläche

Falls die Administrationsfunktion benutzt werden soll (also die Parameter unter  [admin] entsprechend gesetzt sind):
Im Browser sollte die URL analog zu „comments.example.org/admin“ eine Login-Seite zeigen; Aufruf von „comments.example.org“ allein sollte ein „Bad Request – missing uri query“ liefern. (Für die Admin-Seite in ganzer Pracht muss man leider im Browser gemischte Inhalte zulassen.)

Konfigurieren von Supervisor

Wenn Isso funktioniert, eine Datei unter ~/etc/services.d/ mit Namen isso.ini und diesen Inhalts erstellen (<user> anpassen!):

[program:isso]
command = /home/<user>/.local/bin/isso -c /home/<user>/etc/isso/user.cfg run
autostart = true
autorestart = true

Danach den Service mit diesen beiden Befehlen zum Laufen bringen:

supervisorctl reread
supervisorctl update

Änderungen im Ghost-Theme

Die Kommentarfunktion muss jetzt nur noch an der gewünschten Stelle in der Webseite eingebunden werden. Ich möchte sie nur auf den „Post“-Seiten zur Verfügung stellen, nicht auch auf den „Pages“ (also nicht beim Impressum und ähnlichem). In dem Fall die posts.hbs-Datei des Themes wie folgt ändern oder eben entsprechende andere Seiten. Alternativ lässt sich der <script ... </script>-Teil auch mit der „Code Injection“-Funktion in der Ghost-Adminoberfläche einbinden.
Die Bedeutung des Parameters und weitere Optionen stehen in der Isso-Dokumentation.

    (...)						  
            </footer>
            <script data-isso="https://comments.example.org/" src="https://comments.example.org/js/embed.min.js"></script>
            <section class="post-full-comments">
                <div id="isso-thread"></div>
            </section>
        </article>

Anmerkung: Die eine Script-Zeile und das leere div sind in der Tat alles, was nötig ist. Den restlichen Inhalt liefert Isso, also das Python-Backend!  

Titelfoto: Steve Johnson / Unsplash

Und zwar so, dass es schön(er) aussieht und gut zu benutzen ist.  

Ein recht spezieller Beitrag in eigener Sache, sozusagen. Aber ich hatte wegen unschönen Kleinigkeiten länger in den Style Sheet-Dateien herumsuchen müssen – das kann ich vielleicht anderen ersparen.

Motivation

Wenn man wie ich hin und wieder Code-Schnipsel in seinem Ghost-basierten Blog hat, sollen die möglichst schön dargestellt werden, mit Hervorhebungen passend zur benutzten Sprache (bei mir zum Beispiel gern Bash-Skripte). Außerdem wäre auch eine Option für die Leser nett, alles per Klick in die Zwischenablage zu kopieren… bitte sehr: prism.js.^[1]

Problem

Leider passte die Lösung von der Stange nicht ganz perfekt zu meinem (leicht angepassten) „Casper“-Theme: Die Boxen ragten links und rechts über die Seiten, passten sich nicht der Seitenbreite an – sie waren auf kleineren Bildschirmen also nicht wirklich benutzbar, und von responsivem Design konnte keine Rede sein.

Lösung

Aber von vorn: Zunächst muss hier die gewünschte Variante heruntergeladen werden. (Das ist aus Datenschutzsicht gegenüber dem Einbinden von Drittquellen eh vorzuziehen.) Der Link liefert gleich meine Auswahl – das gut passende „Coy“-Thema mit zusätzlicher Sprachunterstützung für Bash und Markdown, sowie der Copy-to-clipboard-Erweiterung. Nach Bedarf anpassen. Man bekommt zwei Dateien: prism.css und prism.js.

Änderungen in prism.css

Damit die Code-Boxen sich schön in die Textbreite einfügen, reichen die beiden folgenden zusätzlichen Zeilen für max-width und min-width. Weiterhin fand ich die Schriftgröße für den Code zu groß:

div.code-toolbar {
	position: relative;
    max-width: 100%;
    min-width: 100%;
    font-size: 75%;
}

Die folgende Ergänzung ist optional, falls man eine eigene, zum Design passende Schriftart für den „Kopieren“-Button benutzen möchte (das muss natürlich nicht Alegreya Sans sein):

div.code-toolbar > .toolbar .toolbar-item {
	display: inline-block;
    font-family: "Alegreya Sans",-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen,Ubuntu,Cantarell,"Open Sans","Helvetica Neue",sans-serif;
}

Änderungen in prism.js

Wie erwähnt, versuche ich auf unnötiges Einbinden von Drittquellen zu verzichten (weil Datenschutz, wissenschon). Deshalb habe ich auch die Abhängigkeit clipboard.js heruntergeladen und in Ghost unter assets/js gespeichert. Damit nicht mehr Cloudflare benutzt wird, diese Zeile in der prism.js-Datei

script.src = 'https://cdnjs.cloudflare.com/ajax/libs/clipboard.js/2.0.0/clipboard.min.js';

durch diese ersetzen:

script.src = '/assets/js/clipboard.min.js';

Bzw. den entsprechenden Teil in der Minified-Version

o.src="https://cdnjs.cloudflare.com/ajax/libs/clipboard.js/2.0.0/clipboard.min.js",'

ersetzen durch:

o.src="/assets/js/clipboard.min.js",

Schließlich habe ich auch noch die Texte für die Kopier-Buttons übersetzt, also

  linkCopy.textContent = 'Copy';
(…)
  linkCopy.textContent = 'Copied!';
(…)
 linkCopy.textContent = 'Press Ctrl+C to copy';
(…)
  linkCopy.textContent = 'Copy';

jeweils durch 'Kopieren', 'Kopiert!', etc. ersetzt. In der Minified-Version:

(…)
return t.textContent="Kopieren",r?o():i.push(o),t;function o(){var o=new r(t,{text:function(){return e.code}});o.on("success",function(){t.textContent="Kopiert!",n()}),o.on("error",function(){t.textContent="Strg+C zum Kopieren",n()})}function n(){setTimeout(function(){t.textContent="Kopieren"},5e3)}})}else console.warn("Copy to Clipboard plugin loaded before Toolbar plugin.")}();

Upload

Dann bloß noch die beiden fertigen Dateien auf den Webspace in die Ordner
<Ghost Installation>/content/themes/<aktives Theme>/assets/css bzw. …/js hochladen.

Code Injection in den Ghost-Einstellungen

Um die neuen Script- und Stylesheet-Dateien einzubinden, kann man die „Code Injection“-Funktionalität im Ghost-Editor benutzen. Dazu die beiden Zeilen ins globale Site Footer-Feld oder ins Post Footer-Feld des jeweiligen Beitrags kopieren, je nachdem, ob man die Dateien immer ausliefern will (einfacher) oder nur, wenn's nötig ist (eleganter, aber man muss auch dran denken…):

<script src="/assets/js/prism.js"></script>
<link rel="stylesheet" type="text/css" href="/assets/css/prism.css" />

Titelfoto: Markus Spiske / Unsplash

Mittlerweile sind zwei Jahre seit dem letzten Beitrag zum Pi-Hole vergangen (krass!). Da wird es Zeit, ein paar Notizen zu Verbesserungen, hilfreichen Tricks und Tipps zur Fehlerbehebung aufzuschreiben.

Für mich selbst als Referenz, weil ich dazu tendiere, soche Sachen wieder zu vergessen, und natürlich für alle anderen auch. ☺
Die folgenden Informationen habe ich mir nicht selbst ausgedacht, sondern an verschiedenen Stellen zusammensuchen müssen, hauptsächlich stammen sie aus dem Pi-Hole-Forum.

Inhalt

• HTTPS schneller machen
• DNS-Einstellungen
  • Topologie
  • Empfehlungen zu FritzBox-Einstellungen
  • Noch mehr IPv6-Einstellungen
• Fehler bei dnsmasq beheben
  • Fehlerhafte Startkonfiguration
  • Inkompatible Versionen
• Backup der Pi-Hole-Konfiguration machen

HTTPS schneller machen

Es ist sinnvoll Regeln für die Firewall auf dem Raspi einzutragen, damit der HTTPS-Seitenaufbau schneller geht. Das Blockieren von HTTPS-Verbindungen dauert länger, weil nur gewartet werden kann, dass die Verbindung in einen Timeout läuft, während beim unverschlüsselten HTTP der Pi-Hole einfach selbst Zieladresse spielt und eine eigene HTML-Seite zurückschickt.^[1]

Dazu die folgenden Befehle absetzen (einmal für IPv4, einmal für IPv6):

sudo iptables -A INPUT -p tcp --destination-port 443 -j REJECT --reject-with tcp-reset
sudo iptables -A INPUT -p udp --destination-port 80 -j REJECT --reject-with icmp-port-unreachable
sudo iptables -A INPUT -p udp --destination-port 443 -j REJECT --reject-with icmp-port-unreachable
sudo ip6tables -A INPUT -p tcp --destination-port 443 -j REJECT --reject-with tcp-reset
sudo ip6tables -A INPUT -p udp --destination-port 80 -j REJECT --reject-with icmp6-port-unreachable
sudo ip6tables -A INPUT -p udp --destination-port 443 -j REJECT --reject-with icmp6-port-unreachable
sudo apt install iptables-persistent

Der letzte Befehl sorgt dafür, dass die Einträge dauerhaft gespeichert werden und nach einem Reboot noch vorhanden sind. Beide Male mit „Ja“ antworten. ↩︎

DNS-Einstellungen

Die Angaben im letzten Beitrag zum Pi-Hole sind teilweise überholt – weil das FritzOS inzwischen mehr kann und vor allem, weil ich was dazugelernt habe.

Topologie

Ich habe zwei Netzwerk-Topologien ausprobiert – die eine ist eleganter, aber die andere tut besser. Die jeweilige Namensauflösung funktioniert wie folgt:

1. FritzBox sagt Clients, dass Pi-Hole der zuständige (lokale) DNS-Server ist.
   Client fragt Pi-Hole nach Namensauflösung > Pi-Hole (benutzt den Cache oder) fragt externen DNS-Server > Pi-Hole gibt Client Ergebnis bekannt (oder blockiert) > Client baut Verbindung über FritzBox auf.
2. FritzBox sagt Clients, dass Pi-Hole der zuständige (lokale) DNS-Server ist.
   Client fragt Pi-Hole nach Namensauflösung > Pi-Hole (benutzt den Cache oder) fragt FritzBox > FritzBox fragt externen DNS-Server > FritzBox gibt Pi-Hole Ergebnis bekannt > Pi-Hole gibt Client Ergebnis bekannt (oder blockiert) > Client baut Verbindung über FritzBox auf.

Auch wenn Lösung 2 etwas umständlicher ist (wobei ich keinen Unterschied durch den zusätzlich zurückgelegten Weg bemerken konnte) – auf diese Weise funktioniert die Auflösung der internen Namen (fritz.box, fritz.nas) problemlos. Für die Pi-Hole-IPs und -Namen sollte man trotzdem Ausnahmen beim DNS-Rebind-Schutz der FritzBox eintragen (Netzwerk > Netzwerkeinstellungen > DNS-Rebind-Schutz).

• Um Lösung 1 zu realisieren, wählt man in den Pi-Hole-Einstellungen die bevorzugten (externen) DNS-Server aus.
• Um die von mir favorisierte Lösung 2 zu realisieren, gibt man im Pi-Hole die IP der FritzBox als DNS-Server ein.

In der FritzBox stellt man beide Male die IP des Pi-Hole als lokalen DNS-Server ein, wie im nächsten Abschnitt erläutert.
Empfehlungen zu Privatsphäre-verträglichen DNS-Servern gibt es zum Beispiel in der Empfehlungsecke vom Kuketz-Blog.

Empfehlungen zu FritzBox-Einstellungen

Die FritzBox erlaubt es (ab FritzOS 6.50), für das Heimnetz einen eigenen DNS-Server anzugeben. Das ist natürlich genau, was wir wollen.

1. Falls nicht schon bekannt, sollten vorher wir noch herausfinden, wie die IPv4- und die IPv6-Adresse des Pi-Hole lauten. Das geht zum Beispiel per ip -4 a bzw. ip -6 a Befehl, oder auch über nslookup pi.hole. Wenn es nur darum geht herauszufinden, wie die im Pi-Hole konfigurierte IP-Adresse lautet, bietet dessen Weboberfläche den einfachsten Weg: Unter Settings > System werden diese und weitere Informationen präsentiert.
2. Die Einstellung in der FritzBox ist dagegen etwas versteckt (und nur in der Erweiterten Ansicht möglich):
   Unter Heimnetz > Netzwerk den Reiter Netzwerkeinstellungen wählen. Weiter unten auf der Seite sind dann die Knöpfe IPv4-Adressen und IPv6-Adressen zu finden.
   
3. In den IPv4-Einstellungen die IP-Adresse des Pi-Hole als Lokaler DNS-Server eintragen.
   
4. Für die IPv6-Einstellungen ist etwas mehr zu tun:
   DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006) aktivieren und die Adresse als Lokaler DNSv6-Server eintragen.
   Darunter DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren > Nur DNS-Server zuweisen auswählen.
   

Noch mehr IPv6-Einstellungen

Wo wir gerade schon dabei sind, sollten wir sicherstellen, dass immer die gleiche, lokale IPv6-Adresse zugewiesen wird:

1. Weiter oben auf der Netzwerk > Netzwerkeinstellungen > IPv6-Adressen-Seite der FritzBox sollte Unique Local Addresses (ULA) immer zuweisen ausgewählt sein, sowie ULA-Präfix manuell festlegen (fd00 sollte reichen).
2. Wird hier etwas geändert, ist es sinnvoll danach den Raspi neu zu starten und dann zu überprüfen, ob er eventuell eine andere IPv6-Adresse bekommen hat. (In dem Fall dann wie oben beschrieben auch den DNS-Server anpassen.)
   Weil IPv6-Adressen so überreich vorhanden sind, bleibt es aber normalerweise bei der einmal festgelegten Adresse. (Deshalb gibt es hier auch keine Option analog zu „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.“) ↩︎

Fehler bei dnsmasq beheben

Aufgrund von Inkompatibilitäten gibt es leider mehrere mögliche Gründe, warum der „dnsmasq“-Service, also ein zentraler Bestandteile unseres DNS-Filtersystems, nicht startet.

Fehlerhafte Startkonfiguration

Eine Änderung im Paket „dns-root-data“ führte bei mir dazu, dass nach einem Reboot dnsmasq nicht mehr startet. Das äußert sich in der folgenden Reihenfolge von Erkenntnissen:

• Pi-Hole funktioniert nicht, denn
• das pihole status Kommando ergibt DNS service is not running, denn
• das sudo systemctl status dnsmasq.service Kommando ergibt
  (...) dnsmasq: Mist in der Kommandozeile (...).
  (Da steht wirklich „Mist“, bzw. englisch dnsmasq: junk found in command line.)

Das Problem lässt sich beheben (es ist ein bekannter Bug):

1. In der Datei /etc/init.d/dnsmasq die folgende Zeile suchen^[2]
   DNSMASQ_OPTS="$DNSMASQ_OPTS sed -e s/". IN DS "/--trust-anchor=.,/ -e s/" "/,/g $ROOT_DS | tr '\n' ' '"
2. Die Zeile durch diese ersetzen:
   DNSMASQ_OPTS="$DNSMASQ_OPTS sed -e s/'.*IN[[:space:]]DS[[:space:]]'/--trust-anchor=.,/ -e s/'[[:space:]]'/,/g $ROOT_DS | tr '\n' ' '"
   Am Ende soll der Abschnitt in der Datei so aussehen:

# If the dns-root-data package is installed, then the trust anchors 
# will be available in $ROOT_DS, in BIND zone-file format. 
# Reformat as dnsmasq --trust-anchor options.

ROOT_DS="/usr/share/dns/root.ds"

if [ -f $ROOT_DS ]; then
 DNSMASQ_OPTS="$DNSMASQ_OPTS `sed -e s/'.*IN[[:space:]]DS[[:space:]]'/--trust-anchor=.,/ -e s/'[[:space:]]'/,/g $ROOT_DS | tr '\n' ' '`"
fi

3. Danach dnsmasq starten mit sudo service dnsmasq start und alles müsste wieder laufen.

Inkompatible Versionen von dnsmasq und Pi-Hole

Bei Debian/Raspbian 8 „Jessy“ ist die enthaltene Version von dnsmasq zu alt und unterstützt eine neue Option nicht, die ab Pi-Hole 3.3 benutzt wird.
Die Lösung, die ich gewählt habe (und die funktioniert), besteht im manuellen Upgrade von dnsmasq. Alternativ kann man auf eine frühere Version von Pi-Hole zurückgehen. Bei einem neuen System sollte man dagegen eh nicht mehr Jessy nehmen, sondern Raspbian 9 „Stretch“, da taucht das Problem nicht auf.^[3]

1. Neue Setups herunterladen:
   wget https://archive.raspberrypi.org/debian/pool/main/d/dnsmasq/dnsmasq-base_2.76-5+rpi1_armhf.deb
wget https://archive.raspberrypi.org/debian/pool/main/d/dnsmasq/dnsmasq_2.76-5+rpi1_all.deb
2. Sicherstellen, dass zwei Abhängigkeiten vorhanden sind:
   sudo apt install libnetfilter-conntrack3 libmnl0
3. Neue Version installieren:
   sudo dpkg -i dnsmasq-base_2.76-5+rpi1_armhf.deb
sudo dpkg -i dnsmasq_2.76-5+rpi1_all.deb
4. Prüfen, dass dnsmasq -v als Version Dnsmasq version 2.76 ... ausgibt. ↩︎

Backup der Pi-Hole-Konfiguration machen

Die „Teleporter“ genannte Export- und Importfunktion der Pi-Hole-Weboberfläche (Settings > Teleporter) erleichtert das Wiederherstellen der Konfiguration nach einem Neuaufsetzen oder anderen Problemen sehr. Zum Beispiel muss man nicht die Blockierlisten umständlich einzeln (wieder) eingeben. Per Klick wird dabei eine TAR.GZ-Datei zum Herunterladen exportiert mit dem folgenden Inhalt:
01-pihole.conf, adlists.lists, auditlog.list, blacklist.txt, setupVars.conf, whitellist.txt, wildcardblocking.txt.
Dieselbe Datei lässt sich dann später wieder genauso importieren. ↩︎

Titelfoto: Ben Moore / Unsplash
Pi-hole® is a registered trademark of Pi-hole LLC

Irgendwer hat sich den 31.3. als „Weltweiten Backup-Tag“ ausgesucht. Je nun, solche Thementage gibt es bekanntlich mehr als täglich, aber wie auch immer: Es ist ein ehrbares, wichtiges Anliegen und alle Nutzer datenverarbeitender Gerätschaften sollten Backups ihrer Daten machen. Denn: Backups braucht man fast nie. Aber wenn du ein Backup brauchst, und du hast keins, ist es zu spät.

USB-Festplatte und alles wird gut

Selbstverständlich gibt es auch eine eigene Website zum Tag . Auf ihr finden sich schon die wesentlichen Tipps (für Einsteiger). Es läuft darauf hinaus, die Bordmittel des jeweiligen PCs zu nutzen um auf einer USB-Festplatte automatisch Backups abzulegen.

Der Empfehlung, die USB-Platte immer angesteckt zu lassen, kann ich allerdings nur bedingt folgen:
Vor allem bei den besonders durch Erpressungstrojaner gefährdeten Windows-Rechnern kann es da passieren, dass die Sicherungskopie gleich mit verschlüsselt wird.
Dagegen hilft, entweder (zusätzlich) hin und wieder eine DVD oder CD mit den wichtigsten Daten zu brennen, die USB-Platte nur einmal die Woche oder so anzuhängen (das dann aber wirklich!) oder dafür zu sorgen, dass die Platte nicht wie ein Laufwerk vom normalen Benutzer erreicht werden kann, sondern nur vom Backup-Programm.
Oder halt kein Windows zu benutzen. Was uns zu meiner persönlichen Anekdote führt

Warum es wirklich gut ist ein aktuelles Backup zu besitzen

1. Paar sitzt so abends auf dem Sofa. Sie will noch Fotos bearbeiten, aber das Programm befindet sich noch nicht wieder auf dem relativ neuen Linux-Rechner.
2. Deshalb will er „noch eben schnell“ das Programm installieren.
   Erwähnte ich, dass die beiden schon zwei Gläschen Wein getrunken haben?
3. Gesagt, getan. Das Skript fragt nach dem Installationsort, er ändert ihn.
4. Das Programm ist jetzt in /op /<programmname> installiert.^[1]
5. Er merkt, dass der Installationsort nicht der ist, den er haben wollte. Mist.
6. Na gut, wieder löschen: sudo rm -r /op /^[2]
   Die zwei Gläser Wein hatte ich erwähnt, oder?
7. Diese SSD-Festplatten sind schon verdammt schnell. Zum Beispiel, wenn sie wie gewünscht /op löschen. Oder, wie meist eher nicht erwünscht, wenn sie außerdem auch / löschen, also alles…
   Ein hektisches, viel zu spätes Strg+C rettet auch nichts mehr.
8. *beeeeeeeeeeeeeeeeeeeeeep*
9. Am nächsten Tag: Wiederaufsetzen des Betriebssystems gelingt dank des vom Hersteller bereitgestellten Skripts zügig und schmerzfrei.
10. Es gibt ein Backup der persönlichen Daten und Einstellungen auf der an der FritzBox angeschlossenen USB-Festplatte!^[3] Und das Zurückspielen klappt sogar problemlos.
11. Alles wieder gut.
    Und er hat gelernt: Anführungszeichen sind wichtig. (sudo rm -r "/op /" wäre gut gegangen. Trotzdem zu riskant.)
    Und vor allem: Don't drink and mess with your drives!

Merke: Ein Backup hilft nicht nur im Fall von abrauchender Hardware oder fiesen Dingen, die böse Menschen tun, sondern auch und vor allem bei Taten, die aus eigener Blödheit entspringen.
In diesem Sinn: Frohes Backup-en!

Titelfoto: Piotr Chrobot / Unsplash

So, heute kommen wir zum Ende der kleinen Reihe zum Thema
„Malware- und Adblocking mit Pi-Hole“.

Im ersten Teil ging es um die Grundlagen (warum das ein tolles Projekt ist und was man dafür braucht), im zweiten um die Installation der „Pi-Hole“-Software auf dem Raspberry Pi.

Hinweis (16.1.2019):
Inzwischen gibt es einen neueren Artikel mit Ergänzungen und Tipps: Pi-Hole: Tipps & Tricks & Troubleshooting – bitte auch lesen.

Was jetzt noch fehlt, ist die Einrichtung des Heimnetzes, damit die angeschlossenen Geräte auch nur die gefilterten Webseiten erhalten.
Die folgende Beschreibung geht von einer FritzBox 7490 aus, das ist halt mein Router (also eigentlich DSL-Modem/Router/WLAN-Access Point/NAS/Medienstreamdienst, und was diese eierlegenden Wollmilchsäue noch so alles können).

Andere Geräte haben andere Bedienoberflächen, aber die Funktion sollte mehr oder weniger bei allen ähnlich sein.

1. Als Erstes an der Administrationsoberfläche anmelden.

2. Dem Raspi eine statische IP-Adresse zuweisen bzw. den DHCP-Dienst immer die gleiche IP-Adresse zuweisen lassen. Das ist wichtig, sonst bekommt der Raspi womöglich irgendwann eine neue und die Namensauflösung geht nicht mehr.

3. Unseren Pi-Hole-Raspi als neuen (und einzigen) DNS-Server konfigurieren. Die IP-Adresse haben wir im letzten Teil bestimmt. Ersatzweise kann man sie in der Geräteliste der Router-Administration nachschauen.

Wenn alles stimmt, wird jetzt viel der unerwünschten Werbung (und Schadsoftware) gefiltert und durch harmlose, leere HTML-Seiten ersetzt. Und zwar bei allen Geräten, die sich über dieses Netzwerk verbinden, sei es per Kabel oder WLAN.

Pi-Hole bietet auch eine nette Oberfläche, auf der man sich Statistiken sowie den Filterverlauf anschauen kann. Außerdem kann man auch eine White- und Blacklist pflegen, falls man bestimmten Seiten doch Zugriff erlauben bzw. verwehren möchte.
Erreichen kann man die Seite über http://<IP-Adresse des Pi-Hole-Raspis>/admin.

Sollte die Seite auf ein vorhandenes Update hinweisen, so kann man selbiges leicht installieren, indem man sich beim Raspi anmeldet (PuTTY, ssh oder direkt) und folgenden Befehl ausführt: pihole -up.

Titelfoto: Paul Shore / Unsplash

Weiter geht's mit der Einrichtung von Pi-Hole auf einem Raspberry Pi. Der erste Teil ist hier zu finden. Dort steht auch, warum das eine gute Idee ist. (Ist es, echt!)

Hinweis (16.1.2019):
Inzwischen gibt es einen neueren Artikel mit Ergänzungen und Tipps: Pi-Hole: Tipps & Tricks & Troubleshooting – bitte auch lesen.

Installation – Hardware

Für Fragen zur Beschaffung und Ersteinrichtung sei auf die wirklich umfangreiche und hilfreiche, deutschsprachige Seite raspberry.tips verwiesen. (Es gibt auch noch jede Menge andere Webseiten zum Thema, einfach mal die Suchmaschine der Wahl anwerfen.^[1])

Seit kurzem ist auch PiBakery am Start, das sieht sehr vielversprechend aus. Es handelt sich um ein fertiges Programm (bisher leider nur für Windows und Mac), das man runterlädt, ausführt und das dann die SD-Karte beschreibt. Der besondere Clou ist, dass man vorher noch mit einem simplen grafischen Editor festlegen kann, welche Tätigkeiten beim ersten oder bei jedem Start des Raspberrys ausgeführt werden sollen.
Sobald ich Zeit habe, werde ich das mal testen. Die Konfiguration von Pi-Hole sollte damit auch gleich mit erledigt werden können.

Installation und Konfiguration – Software

Der Raspberry läuft, auf dem Bildschirm ist was zu sehen, Tastatureingaben sind möglich und er kommt sogar ins Internet? Gut, dann geht es jetzt so weiter:

• Folgenden Befehl eingeben:
  curl -L https://install.pi-hole.net | bash
  Erklärung: Mit curl wird das Installationsscript von der Adresse https://install.pi-hole.net geholt und per Pipe (|) an die Bash (eine Shell, also ein Kommandozeileninterpreter) übergeben, die das Script dann ausführt.^[2]
  Alternativ kann man das Script auch erst einmal herunterladen und in eine Datei speichern:
  curl -L https://install.pi-hole.net > script.sh
  Anschauen mit nano script.sh, ausführen dann mittels bash script.sh.^[3]

• Den Anweisungen folgen:

  1. Enter drücken.

  2. Lesen, und dann Enter drücken.

  3. Die zu benutzende Netzwerk-Schnittstelle auswählen. Da gibt bei Raspis nicht so viele Optionen. eth0 ist die erste (und einzige) Ethernet-Schnittstelle, das sollte gewählt werden. (Oder wlan0, wenn über WLAN verbunden wird. Ich rate eher ab.)
     Aus- oder abwählen kann man mit Leertaste, navigieren mit Tab.

  4. Wählen, welches Protokoll unterstützt werden soll: IPv4 und/oder IPv6. IPv4 ist aller-höchstwahrscheinlich im Einsatz; IPv6 ist sicher auch sinnvoll. Ich rate dazu beide zu wählen. Also beide Möglichkeiten mit Sternchen versehen (Leertaste) und dann Ok, Enter.

  5. Als nächstes wird die derzeitige IP-Adresse des Raspis angezeigt. Die brauchen wir später, denn unter dieser Adresse konfigurieren wir den „DNS-Server“ im Router. Also, besser aufschreiben!^[4]

  6. Es kommt noch einmal ein Hinweis, dass die IP-Adresse für unseren neuen „DNS-Server“ (d. h. Raspi) immer dieselbe blieben muss. Das legen wir später im Router fest. Enter drücken.

  7. Falls IPv6 auch gewählt wurde, sieht man die IPv6-Adresse. Die brauchen wir später, denn unter dieser Adresse konfigurieren wir den DNS-Server für IPv6 im Router. Also, besser notieren!^[5]
     Enter drücken.

  8. Jetzt müssen wir festlegen, welche (echten) DNS-Server benutzt werden sollen. Die Google-Server z. B. (8.8.8.8, 8.8.4.4) sind zwar schnell, aber eigentlich wollen wir ja weg von diesen ganzen bösen Trackern. Ich habe daher Custom gewählt und auf der nächsten Seite die Server meines DSL-Anbieters eingegeben (der weiß notgedrungen eh immer, was ich im Netz tue...).

  9. In meinem Fall, 1&1, sind die DNS-Adressen 217.237.151.115, 217.237.148.102. Leider kann sich das ändern und so richtig leicht machen sie's einem auch nicht, die Adressen herauszufinden. Für mich am einfachsten ist der Blick in das Verbindungsprotokoll des Routers: Bei jeder neuen DSL-Verbindung (einmal am Tag wird ja zwangsgetrennt) schreibt der Router auch die aktuellen DNS-Daten ins Log.^[6]

  10. Eingaben kontrollieren und dann Enter drücken.

  11. Noch einmal prüfen, ob alles stimmt und dann Enter drücken. Es folgen einige Aktionen im Terminal und dann ist die Einrichtung des Raspis vollbracht.

Das wurde jetzt ein etwas längerer Beitrag. Der letzte Schritt – Konfiguration des Routers – folgt hier.

Titelfoto: Paul Shore / Unsplash

..., das man zumal nur einmal hinstellen muss und um das man sich danach kaum noch kümmern muss (klingt gut, oder?):

Malware- und Adblocking mit Pi-Hole

Die Struktur dieses Beitrags ist wie folgt. Abkürzungen nehmen ist selbstverständlich erlaubt:

1. Worum geht's?
2. Voraussetzungen
   Im nächsten Blogbeitrag:
3. Installation – Hardware
4. Installation und Konfiguration – Software
   Im letzten Blogbeitrag:
5. Router-Konfiguration am Beispiel FritzBox

Hinweis (16.1.2019):
Inzwischen gibt es einen neueren Artikel mit Ergänzungen und Tipps: Pi-Hole: Tipps & Tricks & Troubleshooting – bitte auch lesen.

Worum geht's?

Add-ons für Browser, die unerwünschte Werbung blockieren, sind ja bekannt und dürften bei vielen Nutzern zum Standard gehören.^[1]
(Ich selbst bin inzwischen geradezu schockiert, wenn ich, selten einmal, mit einem derart ungeschützten Browser das Internet besuche – plötzlich ist alles voll mit nervigem Kram.)

Es gibt aber noch einen anderen Grund Werbung zu blockieren: Über die Werbenetzwerke wird in unerfreulich nennenswertem Umfang Schadsoftware verteilt, vor allem einfach deshalb, weil sie sich einen Sch... um die Sicherheit des von ihnen ausgelieferten „Produkts“ scheren. Das sehr sehenswerte Video unten zeigt das überdeutlich. Nach den relevanten Informationen zum Thema führen die zwei Jungs vom Chaos Computer Club darin live vor, wie leicht es für sie war, selbstgebaute (harmlose) Malware über Standardwege der Ad-Netzwerke auszuliefern.

Wenn man nun daheim mit einem Browser im Internet unterwegs ist, kann man so ein Add-on benutzen und gut. Was ist aber mit den ganzen anderen internetfähigen Geräten, zuvörderst Smartphones im WLAN, aber auch Smart-TVs, von den ominösen „smarten“ Kühlschränken (die, die immer mit dem Joghurt reden) ganz zu schweigen?^[2]

Man könnte im DSL-Router eine Blacklist (oder Whitelist) pflegen, was aber meines Wissens immer einen Haufen immer wiederkehrende Handarbeit nach sich zieht.

Hier kommt das wirklich schlaue „Pi-Hole“-Projekt zum Einsatz.

Technischer Hintergrund (wen's interessiert)

Anstatt die Inhalte zu filtern, wie es Browser-Add-ons tun, basiert Pi-Hole auf dem System der Namensauflösung (DNS). Der Pi-Hole-Rechner holt sich aus dem Netz Listen mit Servern, von denen Tracking und Werbung geliefert wird, und liefert bei Anfragen nach denselben nur eine leere Seite zurück. Man muss dann nur diesen Rechner als (Pseudo-) Namensserver für das eigene Netzwerk einrichten (das ist leicht; siehe „Installation und Konfiguration – Software“ im nächsten Beitrag), und fertig.

Und hier noch ein Hinweis meines imaginären Rechtsberaters:
Nein, daraus folgt nicht die Garantie, niemals wieder mit Werbung oder Schlimmerem behelligt zu werden. Es wird nur deutlich weniger.

Voraussetzungen

Was braucht's dafür – an Hardware, Vorwissen, etc.?

Nötiges Wissen

Wer jemals ein Linux-Terminal (oder auch einen Command Prompt bei DOS) gesehen und ein bisschen benutzt hat, kann sich eigentlich getrost zurücklehnen. Wer nicht: keine Sorge, Copy&Paste reichen.

Gerätschaft

• Einen Raspberry Pi, logisch. Es geht mit dem Raspberry Pi B/B+, aber wenn man eh einen neuen besorgt, sollte es besser Variante 2 oder 3 sein. Wenn die Netzanbindung über WLAN sein soll/muss: 3, der kann das von Haus aus. Kostenpunkt: unter 40 €.
  Ein Gehäuse ist nett, lässt sich auch selbst basteln; Kühlkörper oder gar Lüfter braucht es nicht (für dieses Projekt schon mal gar nicht und auch sonst eher weniger).
• Stromversorgung. Da reicht ein USB-Netzteil wie für jedes Handy, es sollte allerdings genug Strom liefern können (≥ 500 mA). Die ganz billigen dürften wegen schlechteren Wirkungsgrads auch mehr Energie in unnütze Wärme transformieren. Apropos:
  So ein Raspberry ist übrigens sehr genügsam – die Leistungsaufnahme steigt nie über 4 Watt, es kostet also auch bei Dauerbetrieb nur eine Handvoll Euro pro Jahr.
• Kabel. Eins fürs Netzwerk (es sei denn, man benutzt nur WLAN); optional: ein HDMI-Kabel um den Monitor anzuschließen. Die Alternative ist, sich nur per Fernverbindung über einen anderen Rechner anzumelden (z. B. mit PuTTY unter Windows, ssh unter Linux).
• Einen Monitor und einen Rechner. Falls dieser Text gerade an einem solchen gelesen wird: der tut's (Windows, Linux; Apple sicher auch; Smartphone... könnte herausfordernd werden).
• Eine SD-Karte. Bei besserer Qualität bleibt die Freude länger erhalten, immerhin ist sie das Analogon zur Systempartition bei PCs.
• Ein Betriebssystem, üblicherweise Raspbian. Die ganz Faulen können den Raspi gleich mit fertig bespielter SD-Karte kaufen. Alternativ lädt man sich das „Image“ herunter und schreibt es mit einem geeigneten Tool auf der Karte.
• Einen Router. Für die hier vorgestellte Variante muss man die DNS-Einstellungen ändern können. (Sonst hat man nicht die elegante Lösung, sondern muss jedes Internet-nutzende Gerät einzeln konfigurieren. – Keine Ahnung, ob z. B. die Telekom-Speedports die Kunden dahingehend bevormunden. Internet über Kabel könnte auch schwieriger sein, da kenne ich mich aber nicht aus.)

Für alle obige Punkte gibt es reichlich Informationen im Netz, die sind kaum zu verfehlen.
Also, alles besorgen und schön herrichten. In der Zwischenzeit schreibe ich den Folgebeitrag und dann machen wir weiter.

Titelfoto: Paul Shore / Unsplash

Ein Skript wie hier präsentiert hat mir schon ein paarmal viel lästige Arbeit abgenommen. Vielleicht findet es jemand nützlich?

Was ist das jetzt wieder... brauch' ich das?

Nun, nur, wenn folgende Bedingungen erfüllt sind:

• Es wird eine ownCloud-Instanz betrieben.
  Bei mir ist das ein Raspberry Pi 2, aber vermutlich gilt das so ähnlich auf anderen Linux-Systemen auch.
• Es ist nötig oder erwünscht, manuelle Upgrades durchzuführen.
  Wer z.B. ein Repository benutzt, das immer die aktuelle ownCloud-Version vorhält (gibt's sowas??), braucht sich freilich nicht plagen: sudo yum update o.ä. reicht dann (vielleicht – wir reden hier immerhin von ownCloud...).
  Ich finde das so inzwischen bequemer als den eingebauten Updater, dem traue ich nicht so ganz, außerdem muss man da auch mit den Zugriffsrechten vorher/nachher jonglieren.

Wem das jetzt alles gar nichts sagt – dann ist das kein Problem, sondern nur ein Fall von „falsche Zielgruppe erwischt“. In dem Fall gilt:

„Bitte gehen Sie weiter, es gibt hier nichts zu sehen.“

Weil ich selbst kein fertiges Skript im Netz klauenfinden konnte, musste ich mir doch tatsächlich selbst eines schreiben. Damit dem geneigten Leser/der geneigten Leserin^[1] dieses schröckliche Schicksal erspart bleiben möge, stelle ich das Skript hier zur Verfügung. Das Skript versucht zwar, erst mal Backups von der Datenbank und dem Installationsverzeichnis zu machen, jedoch: Alles ohne Gewähr, wie man sich wohl denken kann. Deshalb an dieser Stelle der Profi-Tipp:

Führe keine Skripte aus, die du nicht (zumindest grob) verstanden hast!

Außerdem wichtig:

• ownCloud mag es nicht, wenn man über mehrere Versionen hinweg Upgrades macht. Über Major Releases eh nicht (also z. B. 7 > 9), aber auch bei den Minor Releases sollte man sich an die empfohlene Reihenfolge halten, also: 7.0.x > 7.0.14 > 8.0.13 > 8.1.8 > 8.2.7 > 9.0.2.
• Apps sollten vorher deaktiviert werden (und hinterher wieder aktiviert).

Das Upgrade-Skript

Das Skript sollte so für Nginx funktionieren; für Apache oder lighttpd sollte es genauso gehen, man muss dann nur Start und Stopp des Services entsprechend anpassen.
Weiterhin geht das Skript davon aus, dass

• ownCloud in /var/www/owncloud installiert wurde,
• der Webserver mit dem User www-data läuft,^[2]
• eine USB-Festplatte unter /media/usb-hd gemounted wurde, mit einem existierenden Verzeichnis raspberrypi_backups für Backups.

Diese Einstellungen sind in den Variablen am Anfang konfiguriert, ebenso wie die herunterzuladende, neue ownCloud-Version.
Das Skript läuft ohne Eingaben durch, mit der Ausnahme des Datenbank-Passworts und einiger Pausen, die mit Return bestätigt werden müssen. Sie sollen sicherstellen, dass bei etwaigen Fehlern abgebrochen werden kann.

#!/usr/bin/env bash

# Hier die neue Version eintragen!
export VERSION_OWNCLOUD=8.2.7

# Download-Pfad, sollte sich nicht aendern
export SOURCE_OWNCLOUD=https://download.owncloud.org/community/owncloud- 

# Pfad zum Backup-Verzeichnis, Anpassen erforderlich!
export path2backup='/media/usb-hd/raspberrypi_backups'

export htuser='www-data' # User unter dem der Webserver laeuft  
export ocpath='/var/www/owncloud' # Pfad zur ownCloud-Installation

ROOTUID="0"
if [ "$(id -u)" -ne "$ROOTUID" ] ; then
    echo "Dieses Skript braucht Root-Rechte."
    exit 1
fi

echo "Schalte Maintenance Mode ein..."
read -p "Return druecken oder mit CTRL-C abbrechen"
sudo -u ${htuser} php ${ocpath}/occ maintenance:mode --on
echo -e "\nStoppe Nginx..."
read -p "Return druecken oder mit CTRL-C abbrechen"
service nginx stop

echo -e "\n Backup der DB... (du brauchst gleich das DB-Passwort!)"
read -p "Return druecken oder mit CTRL-C abbrechen"
mysqldump --lock-tables -u root -p  owncloud > ${path2backup}/owncloud-sqlbkp_`date +"%Y%m%d"`.bak
echo -e "...erledigt.\n"

echo "Backup der Owncloud-Installation..."
rsync -Aax ${ocpath}/ ${path2backup}/owncloud-dirbkp_`date +"%Y%m%d"`/
echo -e "...erledigt.\n"

echo "Hole neue Version..."
mkdir ~/owncloud-Download-$VERSION_OWNCLOUD
cd ~/owncloud-Download-$VERSION_OWNCLOUD
wget $SOURCE_OWNCLOUD$VERSION_OWNCLOUD.tar.bz2
echo "...und entpacke sie..."
tar xjf owncloud-$VERSION_OWNCLOUD.tar.bz2
echo -e "...erledigt.\n"
cd owncloud

echo "Verschiebe altes Owncloud-Verzeichnis..."
read -p "Return druecken oder mit CTRL-C abbrechen"
mv ${ocpath} ${ocpath}_before_$VERSION_OWNCLOUD
cp -r ~/owncloud-Download-$VERSION_OWNCLOUD/owncloud /var/www/

echo "Kopiere neues Owncloud-Verzeichnis..."
read -p "Return druecken oder mit CTRL-C abbrechen"
cp ${ocpath}_before_$VERSION_OWNCLOUD/config/config.php ${ocpath}/config/

echo "Setze Rechte..."
find ${ocpath}/ -type f -print0 | xargs -0 chmod 0640
find ${ocpath}/ -type d -print0 | xargs -0 chmod 0750
chown -R root:${htuser} ${ocpath}/
chown -R ${htuser}:${htuser} ${ocpath}/apps/
chown -R ${htuser}:${htuser} ${ocpath}/config/
# Dieses Verzeichnis ist oft ausgelagert, in dem Fall ggfs. anpassen:
# chown -R ${htuser}:${htuser} ${ocpath}/data/ 

echo "Starte Nginx..."
service nginx start

echo "Schalte Maintenance Mode aus..."
sudo -u ${htuser} php ${ocpath}/occ maintenance:mode --off

Skript ausführen

Was jetzt noch zu tun ist:

1. Skript von oben kopieren und in eine Datei speichern (z. B. upgrade-oc.sh).
2. Mindestens die Variablen am Anfang anpassen.
3. Datei ausführbar machen: chmod +x upgrade-oc.sh
4. Starten: sudo ./upgrade-oc.sh
5. Hoffen...

Wenn alles funktioniert hat, muss man jetzt noch das ownCloud-interne Update ausführen, entweder im Browser oder mit dem occ-Tool und evtl. Apps aktivieren.

Titelfoto: Lim changwon / Unsplash