Was ist mit Git push Github mit Two-factor Authentication (2FA) anders? Oder warum läuft die Git unterstüzung in NodeRED nicht?

Bisher konnte immer von der Komandozeile von einem Raspberry Pi die Dateien mit Git nach GitHub übertragen werden. Das schlug plötzlich fehl, und es wurden nicht sagende user.failed_login Fehlermeldungen im GitHub Account unter Security history angezeigt.

Da musst ich aber einiges ausprobieren, bis ich die Aktivierung der „Two-factor Authentication“ vor ein paar Tagen mit diesem Fehler in Zusammenhang bringen konnte. Es gibt da auch die Seite Creating a personal access token for the command line und die wo es ganz unten steht.

Also wenn die „Two-factor Authentication“ aktivert ist, geht die Übertragung nicht mehr mit dem User und Passwort sondern mit einem User Token, denn man auf der Seite „Developer Settings“ erzeugen muss:

Der generierte Token kann oder besser gesagt muss dann anstatt des Passwortes verwendet werden. Wenn man den Token nicht immer neu eingeben will, kann man den auch cachen mit:

# aktiviert den Cache für default 15 Minuten
git config --global credential.helper cache

# aktiviert Cache für 1 Stunde, timeout ist die Zeit in Sekunden
git config --global credential.helper 'cache --timeout=3600'

# aktiviert den Cache für default 15 Minuten

git config --global credential.helper cache

# aktiviert Cache für 1 Stunde, timeout ist die Zeit in Sekunden

git config --global credential.helper 'cache --timeout=3600'

„Was ist mit Git push Github mit Two-factor Authentication (2FA) anders? Oder warum läuft die Git unterstüzung in NodeRED nicht?“ weiterlesen

6. Januar 201824. Mai 2024

rtl_433 für den Raspberry Pi selbst compilieren um Temperatursensoren und Luftruck von Autoreifen (TPMS) uä. auf 433,92 Mhz zu empfangen

Wer eine Wetterstation hat, die auf 433,92 Mhz sendet kann die Daten empfangen. Oder wer keine hat, kann die von den Nachbarn mitbenutzen. Dazu reicht ein kleiner Raspberry Pi Zero W. Auf dem ein rtl_433 Programm läuft.

Voraussetzung:

rtl-sdr muss installiert sein, das hatte ich hier im Block aber schon mal beschrieben. Mit dem Empfänger kann man nicht nur Flugzeug-Transponder empfangen, sondern auch Kühlschränke, Wetterstationen und Autoreifen (Luftdruck, The tire pressure monitoring system (TPMS))…

Also wir müssen uns den Quellcode aus Git holen und das Programm selbst compilieren: „rtl_433 für den Raspberry Pi selbst compilieren um Temperatursensoren und Luftruck von Autoreifen (TPMS) uä. auf 433,92 Mhz zu empfangen“ weiterlesen

1. Januar 201822. Mai 2021

Wie kann Metasploit an Neujahr auf dem Raspberry Pi Zero W mit Ruby in 3 Stunden installiert werden?

Mit den Worten von Wikipedia, Metasploit ist ein „freies Open-Source-Projekt zur Computersicherheit, das Informationen über Sicherheitslücken bietet und bei Penetrationstests sowie der Entwicklung von IDS-Signaturen eingesetzt werden kann.“ Es ist in der Programmiersprache Ruby implementiert, ja es gibt auch eine JavaGui. Dazu später mehr.

Wie wird das nun aber auf einen Raspberry P Zero W installiert?

Ein Github Account und ein aktuelles Debian ist Vorraussetzung. „Wie kann Metasploit an Neujahr auf dem Raspberry Pi Zero W mit Ruby in 3 Stunden installiert werden?“ weiterlesen

27. Dezember 20177. September 2018

Sicherheit: gpg (GnuPG) Key Verwaltung mit pass auf dem Raspberry Pi oder sonst wo oder cooler kostenloser Passwort Manager für Raspberry Pi

Wer einen Passwort Manager braucht, kann pass verwenden. Den gibt es kostenlos für alle Betriebssysteme. Die Passwörter werden alle mit gpg Verschlüsselt und liegen in ~/.password-store so das sie leicht verwaltet werden können. Die Passwörter können mit unix shell Kommandos so leicht verwaltet werden. Auch eine bash Auto-Vervollständigung gibt es. Auch eine Git Integration ist möglich.

Wenn noch kein gpg Key auf dem Raspberry Pi angelegt wurde oder auch sonst noch keiner vorhanden ist, diesen einmal mit

gpg --gen-key

1	gpg --gen-key

erzeugen. Es muss nur der Name und die E-Mail Adresse angegeben werden, nach einem O muss man ein paar Minuten warten, bis der Key erzeugt wurde: „Sicherheit: gpg (GnuPG) Key Verwaltung mit pass auf dem Raspberry Pi oder sonst wo oder cooler kostenloser Passwort Manager für Raspberry Pi“ weiterlesen

25. Oktober 20177. September 2018

Automatische Überprüfung auf Sicherheitslücken im Java Code auf Basis der Internationalen National Vulnerability Database (NVD)

Sicherheit in Java-Projekten. Datenlecks in Java-Code entdecken. Reports mit bekannten Sicherheitslecks können leicht erstellt werden. Hier mal ein Beispiel Report im HTML Format:

Grundlage bildet die National Vulnerability Database (NVD) Datenbank für Sicherheitslücken, die vom National Institute of Standards and Technology (NIST) gepflegt wird. Wie können solche Reports erstellt werden?

Einfach in der Maven pom.xml das folgende Plugin DependencyCheck ergänzen: „Automatische Überprüfung auf Sicherheitslücken im Java Code auf Basis der Internationalen National Vulnerability Database (NVD)“ weiterlesen

21. Oktober 20177. September 2018

Wie schalte ich die Passwortabfrage in Eclipse Oxygen.1A für die Übertragung nach GitHub ab?

Wer nicht bei jedem Checkin nach GitHub sein Namen und Passwort eingeben will, kann die OS X Keystore Integration auch abschalten.

Wie schalte ich die Passwortabfrage in Eclipse Oxygen.1A für die Übertragung nach GitHub ab?

Unter: General – Security – Secure Storage

Und schon kann automatisch eingescheckt werden. Diese Fünfjährige, die sich selbst porträtiert hat, macht sich wie so viele keine Sorgen um Security 😉

19. Juli 201720. August 2023

Mac OS X: Installation von Java 1.8.141,15 nicht nötig, da schon 9.0.0.0.176 vorhanden!

Es gibt eine neue Java Version die zig Sicherheitslücken fixt. Download und …

Ok, stimmt, habe schon Java 9 installiert. „Mac OS X: Installation von Java 1.8.141,15 nicht nötig, da schon 9.0.0.0.176 vorhanden!“ weiterlesen

21. Juni 201710. April 2024

Airbus A380-841 (D-AIMG, „Wien“) – Lufthansa mit Raspberry Pi soeben erfasst

Gerade eine Pushover Nachricht bekommen, das ein A380 in Hannover landet.

Der ist bei uns am Küchenfenster vorbei, und dann in Hannover gleich wieder durchgestartet, wie man hier gut sehen kann:

Kommt ursprünglich aus Hamburg, und hat einige Testschleifen hinter sich:

Der 6 Jahre alte A-380 ist nun in Frankfurt gelandet, mal sehen wo es hingeht bei der Wärme … mit amtlichen 25,5 Grad C und PM10 von 9 µg/m3 in HAJ.

25. Mai 201725. November 2020

Feinstaub (Particulate Matter, Pył ) Messung mit dem Raspberry Pi aus einer JSON Datei und NodeRED – Teil 1

Man kann mit dem Raspberry Pi auch Feinstaub messen, wenn man einen entsprechenden Sensor hat.

In diesem 1. Teil, beschreibe ich, wie man Messwerte aus öffentlicher Quelle, auch um später Vergleichswerte zu haben auswertet. Die Niedersächsische Gewerbeaufsicht misst Umweltdaten und stellt sie zur freien Verfügung bereit. Unter LÜN gibt es z.B. das Ergebniss für Hannover. Da gibt es auch eine kostenlose App für diese Daten für alle Handys.

Hier nun die Architektur:

Die Daten für zur Zeit 27 Messstationen werden im JSON-Format (und auch XML) im Internet frei veröffentlicht unter der URL: http://www.luen-ni.de/JSON.txt und enthalten ua. folgende Daten:

- Feinstaub
- Stickstoffdioxid 
- Windrichtung
- Windgeschwindigkeit
- Ozon 
- Luftdruck
- Schwefeldioxid 
- Regendauer
- Kohlenmonoxid 
- UV-Index
- Temperatur 
- Globalstrahlung
- Rel. Luftfeuchtigkeit

- Feinstaub

- Stickstoffdioxid

- Windrichtung

- Windgeschwindigkeit

- Ozon

- Luftdruck

- Schwefeldioxid

- Regendauer

- Kohlenmonoxid

- UV-Index

- Temperatur

- Globalstrahlung

- Rel. Luftfeuchtigkeit

„Feinstaub (Particulate Matter, Pył ) Messung mit dem Raspberry Pi aus einer JSON Datei und NodeRED – Teil 1“ weiterlesen

24. Mai 201719. September 2020

Überwachung: Automatischer Ping an Server mit NodeRED auf Raspberry Pi

Mal etwas zur Entspannung. Manchmal will man wissen ob ein Server erreichbar ist. Dafür gibt es das Kommandozeilen Programm ping. Wenn man diesen ping z.B. alle 5 Minuten ausführt hat man eine leicht Überwachung ob der Server noch erreichbar ist. Gesagt getan. Einen kleinen flow der alle 5 Minuten einen Ping ausführt und bei Veränderung eine Pushover Nachricht auf das Handy sendet.

So kann der Flow zusammen geklickt werden:

Im hellgelben „adv ping Node“, kann die IP-Adresse angegeben werden. Im „function Node“ wird der Ping ausgewertet. „Überwachung: Automatischer Ping an Server mit NodeRED auf Raspberry Pi“ weiterlesen

23. April 20177. September 2018

Datei mit Sonderzeichen in Dateinamen läßt sich nicht per FTP löschen

Manchmal lädt man mehrere Dateien hoch, und es ist einem nicht immer bewußt, das auch im 21. Jahrhundert Umlaute zu Problemen führen können.

Wer z.B. eine Datei mit Namen „Testdatei für Umlauttest.txt“ mit einem FTP Client wie z.B. File Zilla auf einen Server hochlädt, der keine Serverunterstüzung für Nicht-ASCII-Zeichen hat, erhält nach dem upload den folgenden Dateiname:

Da der upload klappt und man keine Fehlermeldung erhält, merkt man es nicht immer.

Dann passen später die Links auf diese Datei uä. nicht, oder man verwendet den „richtigen“ Dateinamen.

Ein weiteres Problem. Man kann diese Datei mit dem FTP Client nicht mehr löschen. Wenn man es versucht, kommt die Fehlermeldung: „Datei mit Sonderzeichen in Dateinamen läßt sich nicht per FTP löschen“ weiterlesen

11. März 20177. September 2018

Raspberry Pi Zero W ohne Passwort mit Public RSA Key über SSH vom Mac aus zugreifen

Wenn man vom Mac aus auf einen entfernten Raspberry Pi (Zero W) zugreifen will, kann man das auch ohne jedesmal ein Passwort eingeben zu müssen. Dafür kann das Public RSA Key Verfahren verwendet werden.

Dazu muss auf dem Pi ein .ssh Verzeichnis mit einer authorized_keys Datei angelegt werden:

cd .ssh
touch authorized_keys
chmod 700 ~/.ssh/
chmod 600 ~/.ssh/authorized_keys

cd .ssh

touch authorized_keys

chmod 700 ~/.ssh/

chmod 600 ~/.ssh/authorized_keys

Dann in der /etc/ssh/sshd_config des Pi die folgenden Einträge setzen:

sudo vi /etc/ssh/sshd_config

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys

PasswordAuthentication yes

sudo vi /etc/ssh/sshd_config

RSAAuthentication yes

PubkeyAuthentication yes

AuthorizedKeysFile %h/.ssh/authorized_keys

PasswordAuthentication yes

Dann den SSH Service restarten und in der Konsole bleiben.

sudo /etc/init.d/ssh restart

1	sudo /etc/init.d/ssh restart

Dann einmalig auf dem Mac einen RSA Key mit der Größe von 2048 anlegen.

Dazu bin ich in das .ssh Verzeichnis gewechselt und habe einen Key nur für die Pis ohne Passwort wie folgt angelegt:

ssh-keygen -b 2048 -t rsa

1	ssh-keygen -b 2048 -t rsa

Bei der Nachfrage nach einem Passwort, einfach nur Enter eingeben.
Da ich mehrere Keys in Verwendung habe, habe ich den Key in einer neuen Datei gespeichert, z.B. pi_id_rsa
Es werden nun zwei Dateien generiert, die pi_id_rsa mit dem privaten Key und die pi_id_rsa.pub mit dem public key.

Da mein default Key im Mac ein anderer ist, habe ich in der ~/.ssh/config Datei des Macs, wie hier schon mal beschrieben, um den folgenden Eintrag IdentityFile mit dem Namen für den privaten Key für die Verwendung des eben generierten Key und nicht des default Keys eingetragen:

Host zero
	HostName pi-zero
	Port 22
	User pi
	IdentityFile ~/.ssh/pi_id_rsa

Host zero

HostName pi-zero

Port 22

User pi

IdentityFile ~/.ssh/pi_id_rsa

Weitere Optionen zur ~/.ssh/config gibt es in der umfangreichen Referenz.

Jetzt noch den Key vom Mac auf den Pi kopieren damit er in der ~/ssh/authorized_keys Datei eingetragen wird, dazu in das ~/.ssh Verzeichnis wechseln und:

cat pi_id_rsa.pub | ssh pi@zero 'cat>>.ssh/authorized_keys'

1	cat pi_id_rsa.pub \| ssh pi@zero 'cat>>.ssh/authorized_keys'

Jetzt von einer anderen Konsole testen ob alles läuft.

Wenn das Anmelden mit:

ssh zero

ssh zero

ohne Passwort nachfrage klappt ist alles ok. Sonst in der anderen Konsole fixen, sonst sperrt man sich selbst aus.

Habe ich was vergessen?

10. Februar 20177. September 2018

Video DIY USB Passwort Generator mit Attiny 85

Vor ein paar Tagen hatte ich schon mal den ATTINY 85 vorgestellt.

Das ist ein cooles Teil mit USB und das für 1 Euro. Er emuliert eine Tastatur (HID).

Also mal ein weiteres Programm, für folgendes Problem. Wer lange und komplizierte Passwörter verwendet, hat mit unter keine Lust, sie immer wieder einzugeben. Das ist auch fehleranfällig. Oder man möchte jemand anderes an seinen Rechner lassen, und ihn nicht das Passwort geben. Also gibt man den Generator weiter.

Wir erstellen also ein Programm, das das Passwort automatisch an den Rechner sendet. Man muss dann natürlich auf das Teil aufpassen, das es nicht in falsche Hände kommt. Wir senden nur einmal, das gespeicherte Passwort. Hier mal ein 45 Sekunden Demo Video:

Hier das C-Programm, es ist ein sehr einfaches Programm mit ein paar Zeilen: „Video DIY USB Passwort Generator mit Attiny 85“ weiterlesen

2. Juli 201620. August 2023

Gemeldete Telekom Sicherheitslücke mit Prepaid Karten nun auch in der „Hall of Fame“ vermerkt

Die Telekom hat es nun auch geschaft, eine von mir gemeldete Sicherheitslücke in ihren Prepaid Karten zu erwähnen. Auch wenn die Sicherheitslücke von tausenden Betroffenen Karten als Verpackungsfehler (verschleiern) deklariert wird.

Aber immerhin gibt es in der Hall auf Fame ( http://www.telekom.com/sicherheit/danke ) eine Danksagung:

Die Seite ist auch am 5.5.2017 im neuen Layout noch sichtbar, aber unter einer neuen Adresse und das sogar mit https 😉 „Gemeldete Telekom Sicherheitslücke mit Prepaid Karten nun auch in der „Hall of Fame“ vermerkt“ weiterlesen

23. November 201522. November 2021

Wie kann von einem iPhone, iPad und Android sicher mit SSH auf einem Raspberry Pi zugegriffen werden?

Der Zugriff geht über SSH mit dem Serverauditor Client von überall.

Hier mal eine Übersicht der guten App:

Diese Mindmap als pdf und weitere Mindmaps gibt es beim Kleinhirn.eu.

Welchen SSH Client findet ihr gut?

19. November 201522. November 2021

iPad Pro: VPN on Demand mit IPSec unter iOS 9.1 mit “shared secret” möglich oder wie kann ich sicher über Hotspots Daten austauschen?

Auch mit dem neuen iPad Pro und iOS 9.1 läuft VPN on Demand so wie in dem Beitrag schon einmal erwähnt (auch hier). Es sind keine Änderungen an der config Datei nötig, obwohl es einige Neuerungen gab, „iPad Pro: VPN on Demand mit IPSec unter iOS 9.1 mit “shared secret” möglich oder wie kann ich sicher über Hotspots Daten austauschen?“ weiterlesen

14. September 201522. November 2021

Raspberry Pi: Wie kann die History gelöscht werden, um neue Passwörter zu schützen?

Über die History können evl. erstellten Passwörter ausgelesen werden.

Z.B. ein Auszug der History:

    1  history
    2  print passwort GEHEIM
    3  history
    4  ls
    5  ls -la
    6  ls
    7  history

1 history

2 print passwort GEHEIM

3 history

4 ls

5 ls -la

6 ls

7 history

Das löschen ist einfach und schnell:

history -c

1	history -c

Aber besser ist es noch, die Passwörter gar nicht erst in der History erscheinen zu lassen, das geht mit einem oder mehrerer Space (Leerzeichen) vor dem Befehl z.B.

(Space) ls -la GEHEIM

1	(Space) ls -la GEHEIM

13. September 201520. August 2023

Wie kann sysv-rc-conf 0.99 auf einem Raspberry Pi installiert werden?

Gui und Kommandozeile für die SysV-init-runlevel-Bearbeitung auf dem Raspberry Pi. Das sysv-rc-conf stellt eine Benutzeroberfläche zur Verwaltung von symbolischen Verweisen von /etc/rc{runlevel}.d/ für die Kommandozeile zur Verfügung. So sieht die GUI aus:

Sie erlaubt das einfache Aktivieren und Deaktivieren von Diensten. Es können Startskripte für jedes runlevel editiert werden, nicht nur das des Aktuellen.

Das Programm wird wie folgt installiert und gestartet: „Wie kann sysv-rc-conf 0.99 auf einem Raspberry Pi installiert werden?“ weiterlesen

9. September 201522. November 2021

Raspberry Pi: Nach update läuft Fhem im Browser nicht mehr. Oder wie spiele ich ein Backup von der Konsole ein (restore)!

Zuerst Fhem stoppen und dann ein Backup wie folg einspielen:

# Fhem stopen
/etc/init.d/fhem stop
# Die Backups liegen in /opt/fhem/backup/ da eins auswhälen und mit ein restor machen
sudo tar -xvzf /opt/fhem/backup/FHEM-20150909_180000.tar.gz -C /opt/fhem/
# Fhem starten
/etc/init.d/fhem start
# Fhem status ausgeben
/etc/init.d/fhem status

# Fhem stopen

/etc/init.d/fhem stop

# Die Backups liegen in /opt/fhem/backup/ da eins auswhälen und mit ein restor machen

sudo tar -xvzf /opt/fhem/backup/FHEM-20150909_180000.tar.gz -C /opt/fhem/

# Fhem starten

/etc/init.d/fhem start

# Fhem status ausgeben

/etc/init.d/fhem status

6. September 201522. November 2021

Wie kann ein laufender Windows Rechner (oder Raspberry Pi) initial mit Debian 8 Jessie und WordPress 4.3 (mit SSL https) aufgesetzt werden?

Wie kann ein laufender Windows XP Rechner (oder Raspberry Pi) auf Debian 8 Jessie mit WordPress 4.3 (SSL), Apache2 (SSL, https), MySql und phpMyadmin erstellt werden? Hier die gewünschte Architektur:

Alle Daten auf den Windows Rechner müssen vorher gesichert werden, da das ganze System mit Linux überschrieben wird.

Debian Jessie

installieren
z.B. tools/win32-loader/stable/win32-loader.exe laden und installieren mit SSH Zugang, ohne GUI
Beim Raspberry Pi, analog vorgehen, wie hier im Blog schon beschrieben.

LAMP

installieren mit:

apt-get install apache2 mysql-client mysql-server php5 php5-mysql php5-curl php5-gd unzip phpmyadmin

1	apt-get install apache2 mysql-client mysql-server php5 php5-mysql php5-curl php5-gd unzip phpmyadmin

WordPress Database

erstellen

mysql -u root -p
# Passwort

# wpdatabase, wpuser und passwort selbst wählen
# evl. Database löschen mit
DROP DATABASE wpdatabase;
CREATE DATABASE wpdatabase; 
CREATE USER wpuser@localhost IDENTIFIED BY 'wppass'; 
GRANT ALL PRIVILEGES ON wpdatabase.* TO wpuser@localhost; 
FLUSH PRIVILEGES; 
exit

# Apache und MySql restarten
service apache2 restart 
service mysql restart

mysql -u root -p

# Passwort

# wpdatabase, wpuser und passwort selbst wählen

# evl. Database löschen mit

DROP DATABASE wpdatabase;

CREATE DATABASE wpdatabase;

CREATE USER wpuser@localhost IDENTIFIED BY 'wppass';

GRANT ALL PRIVILEGES ON wpdatabase.* TO wpuser@localhost;

FLUSH PRIVILEGES;

exit

# Apache und MySql restarten

service apache2 restart

service mysql restart

WordPress

4.3 laden erstellen

# ins tmp Verzeichnis gehen
cd /tmp 
# Wordpress aktuelle Version laden
wget -c http://wordpress.org/latest.zip 
# Archive auspacken
unzip -q latest.zip -d /var/www/html/ 
# oder wenn es ein tar.gz ist dann
tar zxf wordpress-4.5.3-de_DE.tar.gz -C /var/www/html/
# Rechte vergeben
chown -R www-data.www-data /var/www/html/wordpress 
chmod -R 755 /var/www/html/wordpress 
mkdir -p /var/www/html/wordpress/wp-content/uploads 
chown -R www-data.www-data /var/www/html/wordpress/wp-content/uploads
cd /var/www/html/wordpress/ 
# kopieren des Beispiel
cp wp-config-sample.php wp-config.php
# in wp-config.php den Databasenamen, User und Passwort eintragen
nano wp-config.php
# im Browser aufruen und Sprache und User wählen
http://localhost/wordpress/
# testen
# gleich noch den Datei upload Size vergrößern
# in der /var/www/html/wordpress/.htaccess die folgenden Einträge machen:
vi /var/www/html/wordpress/.htaccess
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
# unnötige Dateien löschen
rm wp-config-sample.php
rm readme.html
rm liesmich.html
rm /wp-admin/install.php
# Optional: Neue Sicherheitsschlüssel (Salt) generieren über https://api.wordpress.org/secret-key/1.1/salt/
# und diesen generierten Block in die <strong>wp-config.php</strong> Datei einfügen
#
#define('AUTH_KEY',         '-+jiH||`2);cZjy.Vy5C|!NX{KNv,Ov@=XK|SALR8++C.axK4b(Ep4U_RWAV|Ir;');
#define('SECURE_AUTH_KEY',  '.+WZ>Ul&)Qak2uhZ-.(Y^]},n!.&R.VRl~+o*~7*dP{{4s*iyMO7L^{o/#lq7Xs1');
#define('LOGGED_IN_KEY',    '_T)TC.YN6r9wxM*lRbjGc0dy2;<nQA+SBk|JYoU[1S~l0xLLBWbK2x+fl<1G*IP$');
#define('NONCE_KEY',        'vVrz#TDgM[,Te(v[hStvF][>ZfI;$K.^ IstOP`k>IfNo3j8h~|2rvxU&%=[eJ@w');
#define('AUTH_SALT',        '/ qC?UB4&>H&hy#=:;sP6m 0}[u~oDJGhBdqskc{gY+j1yJU~/>rBL91P8kGtnG_');
#define('SECURE_AUTH_SALT', 'tUd3QTYMV.g|86`=!-?EN_P~N+jB$LwD|q-b?g[G@E!9.,{G2n|1X1_2-+Fv,y=:');
#define('LOGGED_IN_SALT',   '?d`pE;|nVH?81n2#@[VYOB__Nh.l:v=4F5_uajQ4jp.,h$Z8#N2DZ}^=|sQi7?d4');
#define('NONCE_SALT',       'C*-+6P_j/o0FTQC1.(GHJ[tXNCpou<RyB.@:mx&spG@{-9< Wk|r!zoJUiwY@:M:');
# Optional die wp-config.php sichern mit folgenden Eintrag in der <strong>.htaccess</strong> Datei:
<FilesMatch "(wp-config.php)">
  order deny,allow
  deny from all
</FilesMatch>

# ins tmp Verzeichnis gehen

cd /tmp

# Wordpress aktuelle Version laden

wget -c http://wordpress.org/latest.zip

# Archive auspacken

unzip -q latest.zip -d /var/www/html/

# oder wenn es ein tar.gz ist dann

tar zxf wordpress-4.5.3-de_DE.tar.gz -C /var/www/html/

# Rechte vergeben

chown -R www-data.www-data /var/www/html/wordpress

chmod -R 755 /var/www/html/wordpress

mkdir -p /var/www/html/wordpress/wp-content/uploads

chown -R www-data.www-data /var/www/html/wordpress/wp-content/uploads

cd /var/www/html/wordpress/

# kopieren des Beispiel

cp wp-config-sample.php wp-config.php

# in wp-config.php den Databasenamen, User und Passwort eintragen

nano wp-config.php

# im Browser aufruen und Sprache und User wählen

http://localhost/wordpress/

# testen

# gleich noch den Datei upload Size vergrößern

# in der /var/www/html/wordpress/.htaccess die folgenden Einträge machen:

vi /var/www/html/wordpress/.htaccess

php_value upload_max_filesize 64M

php_value post_max_size 64M

php_value max_execution_time 300

php_value max_input_time 300

# unnötige Dateien löschen

rm wp-config-sample.php

rm readme.html

rm liesmich.html

rm /wp-admin/install.php

# Optional: Neue Sicherheitsschlüssel (Salt) generieren über https://api.wordpress.org/secret-key/1.1/salt/

# und diesen generierten Block in die <strong>wp-config.php</strong> Datei einfügen

#define('AUTH_KEY', '-+jiH||`2);cZjy.Vy5C|!NX{KNv,Ov@=XK|SALR8++C.axK4b(Ep4U_RWAV|Ir;');

#define('SECURE_AUTH_KEY', '.+WZ>Ul&)Qak2uhZ-.(Y^]},n!.&R.VRl~+o*~7*dP{{4s*iyMO7L^{o/#lq7Xs1');

#define('LOGGED_IN_KEY', '_T)TC.YN6r9wxM*lRbjGc0dy2;<nQA+SBk|JYoU[1S~l0xLLBWbK2x+fl<1G*IP$');

#define('NONCE_KEY', 'vVrz#TDgM[,Te(v[hStvF][>ZfI;$K.^ IstOP`k>IfNo3j8h~|2rvxU&%=[eJ@w');

#define('AUTH_SALT', '/ qC?UB4&>H&hy#=:;sP6m 0}[u~oDJGhBdqskc{gY+j1yJU~/>rBL91P8kGtnG_');

#define('SECURE_AUTH_SALT', 'tUd3QTYMV.g|86`=!-?EN_P~N+jB$LwD|q-b?g[G@E!9.,{G2n|1X1_2-+Fv,y=:');

#define('LOGGED_IN_SALT', '?d`pE;|nVH?81n2#@[VYOB__Nh.l:v=4F5_uajQ4jp.,h$Z8#N2DZ}^=|sQi7?d4');

#define('NONCE_SALT', 'C*-+6P_j/o0FTQC1.(GHJ[tXNCpou<RyB.@:mx&spG@{-9< Wk|r!zoJUiwY@:M:');

# Optional die wp-config.php sichern mit folgenden Eintrag in der <strong>.htaccess</strong> Datei:

order deny,allow

deny from all

</FilesMatch>

Optional ein paar gute Plugins installieren. Hier mal eine kleine Auswahl z.B.:

Schon alt, läuft aber noch „Limit Login Attempts„.
Wenn man sich da selbst aussperrt, einfach in der DB folgenden SQL absetzen:

UPDATE wp_options SET option_value = '' WHERE option_name = 'limit_login_lockouts'

1	UPDATE wp_options SET option_value = '' WHERE option_name = 'limit_login_lockouts'

Hier noch ein paar:

Optional kann noch ein PDF Export für die Tabellen integriert werden, wie hier beschrieben und auch gleich die Extension für das automatische URL converting.

Optional: PhpMyAdmin

installieren
In /etc/phpmyadmin/apache.conf den Eintrag

#<Directory /usr/share/phpmyadmin>
#    Options FollowSymLinks
#    DirectoryIndex index.php
Require ip 127.0.0.1 10.0.0.0/24
# Apache restart
service apache2 restart 
# Aufruf im Browser
(IP)/phpmyadmin
# Anmelden mit MySql Datenbankuser und Passwort

#<Directory /usr/share/phpmyadmin>

# Options FollowSymLinks

# DirectoryIndex index.php

Require ip 127.0.0.1 10.0.0.0/24

# Apache restart

service apache2 restart

# Aufruf im Browser

(IP)/phpmyadmin

# Anmelden mit MySql Datenbankuser und Passwort

Selbstsignierte SSL Zertifikate für Apache2

erzeugen und installieren

mkdir .ssl
cd .ssl
openssl req -new -days 999 -newkey rsa:4096bits -sha512 -x509 -nodes -out server.crt -keyout server.key
# Diese Fragen beantworten
# Country Name (2 letter code) [AU]:DE
# State or Province Name (full name) [Some-State]:Niedersachsen
# Locality Name (eg, city) []:Hannover
# Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Blog
# Organizational Unit Name (eg, section) []:Dept of Blogging
# Common Name (e.g. server FQDN or YOUR name) []:kleinhirn.eu 
# Email Address []:webmaster@yourdomain.com
sudo cp server.crt /etc/ssl/certs
sudo cp server.key /etc/ssl/private
service apache2 restart
# SSL Modul aktivieren
a2enmod ssl
service apache2 restart
# Rewrite Modul für später aktivieren
a2enmod rewrite
service apache2 restart
# Status anschauen
systemctl status apache2.service
# ergänzen der erzeugten Zertifikate in
sudo vi /etc/apache2/sites-available/default-ssl.conf
#
ServerName mydomain.com:443
SSLEngine on
SSLCertificateFile    /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key
# Default Seite aktivieren
a2ensite default-ssl.conf
# Server Restart
service apache2 restart
# http deaktivieren und https setzen in  /etc/apache2/sites-enabled/titled 000-default.conf
vi /etc/apache2/sites-enabled/titled 000-default.conf
# Inhalt der Datei:

        ServerName xxx
        ServerAlias www.xxx

    
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
                Require all granted
    

        ServerAdmin webmaster@xxx.de
        DocumentRoot /var/www/html/wordpress
        SSLEngine on
        SSLCertificateFile /etc/ssl/certs/server.crt
        SSLCertificateKeyFile /etc/ssl/private/server.key
        #SSLCACertificateFile  /home/me/domain.com.crt

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

# Test ob der Blog mit https und den Zertifikaten läuft im Browser
https://(IP)/wordpress/wp-login.php

mkdir .ssl

cd .ssl

openssl req -new -days 999 -newkey rsa:4096bits -sha512 -x509 -nodes -out server.crt -keyout server.key

# Diese Fragen beantworten

# Country Name (2 letter code) [AU]:DE

# State or Province Name (full name) [Some-State]:Niedersachsen

# Locality Name (eg, city) []:Hannover

# Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Blog

# Organizational Unit Name (eg, section) []:Dept of Blogging

# Common Name (e.g. server FQDN or YOUR name) []:kleinhirn.eu

# Email Address []:webmaster@yourdomain.com

sudo cp server.crt /etc/ssl/certs

sudo cp server.key /etc/ssl/private

service apache2 restart

# SSL Modul aktivieren

a2enmod ssl

service apache2 restart

# Rewrite Modul für später aktivieren

a2enmod rewrite

service apache2 restart

# Status anschauen

systemctl status apache2.service

# ergänzen der erzeugten Zertifikate in

sudo vi /etc/apache2/sites-available/default-ssl.conf

ServerName mydomain.com:443

SSLEngine on

SSLCertificateFile /etc/apache2/ssl/server.crt

SSLCertificateKeyFile /etc/apache2/ssl/server.key

# Default Seite aktivieren

a2ensite default-ssl.conf

# Server Restart

service apache2 restart

# http deaktivieren und https setzen in /etc/apache2/sites-enabled/titled 000-default.conf

vi /etc/apache2/sites-enabled/titled 000-default.conf

# Inhalt der Datei:

ServerName xxx

ServerAlias www.xxx

Options Indexes FollowSymLinks MultiViews

AllowOverride All

Order allow,deny

allow from all

Require all granted

ServerAdmin webmaster@xxx.de

DocumentRoot /var/www/html/wordpress

SSLEngine on

SSLCertificateFile /etc/ssl/certs/server.crt

SSLCertificateKeyFile /etc/ssl/private/server.key

#SSLCACertificateFile /home/me/domain.com.crt

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

# Test ob der Blog mit https und den Zertifikaten läuft im Browser

https://(IP)/wordpress/wp-login.php

Optional: Testen

welche Ports offen sind und deaktivieren!

nmap ip
# oder
sudo nmap -sT -O -v ip
# wenn der Port 80 noch offen ist, in
vi /etc/apache2/ports.conf
# Auskommentieren oder löschen der Zeile
# Listen 80
# Wenn der Port 111 rpcbind offen ist (wird für Samba gebraucht), kann der auch mit dem Tool sysv-rc-conf abgeschalte werden
# Tool installieren
sudo apt-get install sysv-rc-conf
# Tool starten
sysv-rc-conf
# in der letzten Spalte wo das S ist mit der Space Taste ausschalten
# in der Zeile mit rpcbind
# Rechner restarten
reboot
# neuer Check mit nmap
nmap ip
# alles ok, nur die gewünschten Ports sind offen 
# Checken welche Module installiert sind mit
apache2ctl -M
# Unnötige module deaktivieren z.B. das status_module (shared)
a2dismod status
# Server restart
service apache2 restart
# Checken ob das status modul deaktiviert wurde
apache2ctl -M

nmap ip

# oder

sudo nmap -sT -O -v ip

# wenn der Port 80 noch offen ist, in

vi /etc/apache2/ports.conf

# Auskommentieren oder löschen der Zeile

# Listen 80

# Wenn der Port 111 rpcbind offen ist (wird für Samba gebraucht), kann der auch mit dem Tool sysv-rc-conf abgeschalte werden

# Tool installieren

sudo apt-get install sysv-rc-conf

# Tool starten

sysv-rc-conf

# in der letzten Spalte wo das S ist mit der Space Taste ausschalten

# in der Zeile mit rpcbind

# Rechner restarten

reboot

# neuer Check mit nmap

nmap ip

# alles ok, nur die gewünschten Ports sind offen

# Checken welche Module installiert sind mit

apache2ctl -M

# Unnötige module deaktivieren z.B. das status_module (shared)

a2dismod status

# Server restart

service apache2 restart

# Checken ob das status modul deaktiviert wurde

apache2ctl -M

Optional: Vorhandenen Blog mit dem WP Plugin

„All In One WP Migration“

exportieren und importieren, wie hier schon mal beschrieben.
Beim export evl. in „Find (text) Replace with (another-text) in the database“ den Eintrag xxx.ALTE-DOMAINE durch YYY-NEUE-DOMAINE ersetzen.
Die *.wpress Datei dann importieren.

Optional testen, welche Apache Version läuft mit:

apachectl -V
# Ergebnis: Apache/2.4.10 (Debian)

1 2	apachectl -V # Ergebnis: Apache/2.4.10 (Debian)

Optional, die History löschen, so das die erstellten Passwörter nicht ausgelesen werden können

history -c

1	history -c

Super, der WordPress Blog läuft nun verschlüsselt über https 😉