HTTPS für Gitea aktivieren

Nach der Installation von Gitea läuft dieses standardmäßig über unverschlüsseltes HTTP. Um dies zu ändern muss die app.ini welche sich im Verzeichnis /home/git/gitea/custom/conf/ befindet bearbeitet werden:

nano /home/git/gitea/custom/conf/app.ini

In der Sektion server welche für gewöhnlich wie folgt aussieht:

[server]
SSH_DOMAIN       = localhost
DOMAIN           = localhost
HTTP_PORT        = 3000
ROOT_URL         = http://example.org:3000/
DISABLE_SSH      = false
SSH_PORT         = 22
LFS_START_SERVER = true
LFS_CONTENT_PATH = /home/git/gitea/data/lfs
LFS_JWT_SECRET   = plgd0f1J4RlmWFnk9K4oHeV6Wey_vI55x7uC81Rp5Mc
OFFLINE_MODE     = false

müssen einige Änderungen vorgenommen werden. Die Schlüssel PROTOCOL, CERT_FILE und KEY_FILE müssen hinzugefügt und die ROOT_URL angepasst werden. Danach sollte die server-Sektion in etwa so aussehen:

[server]
SSH_DOMAIN       = localhost
DOMAIN           = localhost
HTTP_PORT        = 3000
PROTOCOL         = https
CERT_FILE        = custom/https/cert.pem
KEY_FILE         = custom/https/key.pem
ROOT_URL         = https://example.org:3000/
DISABLE_SSH      = false
SSH_PORT         = 22
LFS_START_SERVER = true
LFS_CONTENT_PATH = /home/git/gitea/data/lfs
LFS_JWT_SECRET   = plgd0f1J4RlmWFnk9K4oHeV6Wey_vI55x7uC81Rp5Mc
OFFLINE_MODE     = false

Nachdem die Konfiguration gespeichert wurde muss das passende Zertifikat erzeugt werden:

cd /home/git/gitea/custom/
mkdir https
cd https
./gitea cert -ca=true -duration=8760h0m0s -host=example.org

Alternativ und in den meisten Fall sinnvoller ist es allerdings an dieser Stelle Zertifikate von Let’s Encrypt einzubinden. Dazu müssen die Zertifikate für die Domain im ersten Schritt erzeugt werden:

letsencrypt certonly

Anschließend muss die app.ini angepasst werden:

nano /home/git/gitea/custom/conf/app.ini

Dort werden die Werte für CERT_FILE und KEY_FILE so konfiguriert das sie auf die Let’s Encrypt-Zertifikate zeigen:

CERT_FILE    = /etc/letsencrypt/live/example.org/fullchain.pem
KEY_FILE     = /etc/letsencrypt/live/example.org/privkey.pem

Damit ist Gitea nach einem Neustart des Service per HTTPS und damit verschlüsselt erreichbar.

ZIP-Archive auf der Konsole unter Linux

ZIP-Archive können unter Linux nicht nur mithilfe von grafischen Anwendungen auf dem Desktop erzeugt werden, sondern ebenfalls über die Konsole. Dazu existieren die beiden Kommandos zip und unzip. Das Kommando zip dient der Komprimierung von Dateien und Ordnern. Soll eine oder mehreren Dateien zu einem Archiv verbunden werden, so sieht dies auf der Konsole wie folgt aus:

zip beispiel.zip text1.md text2.md

Auch die Komprimierung von ganzen Ordnern ist mit dem zip-Kommando möglich:

zip -r beispiel.zip texte

Neben der Erzeugung von normalen ZIP-Archiven, können auch verschlüsselte Archive mittels des Parameters -e erzeugt werden:

zip -e beispiel.zip text1.md text2.md

Nach der Eingabe des Kommandos wird der Nutzer nach einem entsprechenden Passwort für die Verschlüsselung gefragt. Soll ein Archiv wieder dekomprimiert werden, so wird das Kommando unzip genutzt.

unzip beispiel.zip

Das Kommando bietet nicht nur die Möglichkeit ein Archiv zu dekomprimieren, sondern kann den Inhalt des Archivs ausgeben, ohne dieses zu dekomprimieren:

unzip -l beispiel.zip

Probleme mit Festplatten und macOS

Seit dem Update auf macOS 10.14.4, zeigen bestimmte Festplatten beim Hochfahren des Systems eine ungewöhnliche Eigenart. Sie werden beim Start und auch beim Anstecken während des Betriebes nicht mehr automatisch gemountet. Betroffen von dem Fehler sind augenscheinlich nur verschlüsselte Festplatten.

Nach der Aktivierung kann die Festplatte wieder genutzt werden

Es scheint sich um ein Bug in der Version 10.14.4 von macOS zu handeln, welcher wahrscheinlich mit dem nächsten Update gefixt wird. Solange dies nicht der Fall ist, können die Festplatte über das Festplattendienstprogramm manuell aktiviert werden. Dazu wird dieses gestartet und anschließend mit der rechten Maustaste auf die betreffende Festplatte geklickt. Im sich öffnenden Menü wird der Punkt Aktivieren ausgewählt. Damit ist die externe Festplatte wieder eingebunden.

TLS – Schritt für Schritt erklärt

Wenn eine URL wie z.B. https://example.com über den Browser aufgerufen wird, erfolgt dieser Aufruf verschlüsselt. Zuständig dafür ist die Transport Layer Security kurz TLS. Wie genau die Aushandlung von TLS funktioniert, kann sich Byte für Byte auf der Webseite tls.ulfheim.net angeschaut werden.

The Illustrated TLS Connection

Auf der Seite wird in aller Ausführlichkeit der Verbindungsaufbau von TLS erläutert. Dabei wird wie es die Seite verspricht, jedes einzelne Byte entsprechend erklärt. Das Projekt, dessen Quelltext auf GitHub zu finden ist, ist unter der MIT-Lizenz lizenziert und damit freie Software.

Probleme mit dem cryptsetup-Workarround

Vor einigen Monaten veröffentlichte ich eine Anleitung zur Verschlüsselung eines Ubuntu-Servers. Da es einen Bug im cryptsetup gab, wurde in dem Artikel ein Workarround beschrieben. Mittlerweile wurde das cryptsetup-Paket aktualisiert und der entsprechende Bug gefixt. Allerdings führt dies zu Problemen mit dem Workarround. Möchte man den Server nun entsperren, erhält man folgende Meldung:

$ cryptroot-unlock
/bin/cryptroot-unlock: line 192: 2: parameter not set
/bin/cryptroot-unlock: line 192: 2: parameter not set
/bin/cryptroot-unlock: line 192: 2: parameter not set

Gelöst werden kann dieses Problem in dem folgendes Kommando genutzt wird:

sed 's/print $1, $5/print $1, $3/' /bin/cryptroot-unlock > /tmp/cryptroot-unlock; ash /tmp/cryptroot-unlock

Damit lässt sich der Server entsperren. Im zweiten Schritt kann nun der Workarround entfernt werden und das initramfs aktualisiert werden:

rm /etc/initramfs-tools/hooks/cryptsetup-fix.sh 
update-initramfs -u

Nach einem Neustart des Systems, kann dieses nun wie folgt entsperrt werden:

BusyBox v1.27.2 (Ubuntu 1:1.27.2-2ubuntu3) built-in shell (ash)
Enter 'help' for a list of built-in commands.

# cryptroot-unlock 
Please unlock disk cryptroot (/dev/md1): 
cryptsetup: cryptroot set up successfully
# exit

Anschließend wird das System hochgefahren und der Server steht zur Verfügung.