diff --git a/.vscode/settings.json b/.vscode/settings.json new file mode 100644 index 0000000..9e26dfe --- /dev/null +++ b/.vscode/settings.json @@ -0,0 +1 @@ +{} \ No newline at end of file diff --git a/crumbforest-admin-vektor.md b/crumbforest-admin-vektor.md index 6891a10..fc4ba98 100644 --- a/crumbforest-admin-vektor.md +++ b/crumbforest-admin-vektor.md @@ -38,6 +38,9 @@ Jede **Crumbpage** behandelt ein Kernthema und baut auf dem vorherigen auf. Du l | **12** | **Das Gedächtnis** (Git) | `#init #commit #push #gitea` | 🆕 Neu | | **13** | **Der Tunnel** (Pipes) | `#grep #awk #sed #pipe` | 🆕 Neu | | **14** | **Das Cockpit** (Env) | `#bashrc #alias #tmux #a11y` | 🆕 Neu | +| **15** | DNS - Das Telefonbuch | `#bind #records #dig #zones` | 🆕 Neu | +| **16** | VPN (OpenRouter) | `#openvpn #tunnel #security #keys` | 📝 In Arbeit | +| **17** | Die Workstation | `#ubuntu #mate #hardware #security` | 📝 In Arbeit | --- diff --git a/crumbforest-introduction-warum-und-wie.md b/crumbforest-introduction-warum-und-wie.md index 307417c..70b172b 100644 --- a/crumbforest-introduction-warum-und-wie.md +++ b/crumbforest-introduction-warum-und-wie.md @@ -19,10 +19,12 @@ 7. [LLM Token Logs](#llm-token-logs) 8. [Sensoren & Hardware](#sensoren--hardware) 9. [Der Kodex](#der-kodex) -10. [Die Crew](#die-crew) -11. [Technologie-Stack](#technologie-stack) -12. [Wie es begann](#wie-es-begann) -13. [Wie du mitmachen kannst](#wie-du-mitmachen-kannst) +10. [Das Fundament: Recht & Gesetz](#das-fundament-recht--gesetz) +11. [Ethical Hacking & Security Mindset](#ethical-hacking--security-mindset) +12. [Die Crew](#die-crew) +13. [Technologie-Stack](#technologie-stack) +14. [Wie es begann](#wie-es-begann) +15. [Wie du mitmachen kannst](#wie-du-mitmachen-kannst) --- @@ -312,28 +314,121 @@ stack = { --- +--- + +## 🏛️ Das Fundament: Recht & Gesetz + +Bevor wir uns wie Wächter *fühlen* dürfen, müssen wir wissen, was wir *dürfen* und *müssen*. +Die Gesetze sind keine "lästigen Hürden", sondern die Spielregeln, die unsere freie Gesellschaft (und unsere Daten) schützen. + +### 1. DSGVO (Datenschutz-Grundverordnung) +Das "Warum" hinter Privacy. Wir sammeln keine Daten, nicht weil wir faul sind, sondern wegen: +- **Datensparsamkeit:** Nur erheben, was technisch zwingend nötig ist. +- **Zweckbindung:** Daten für A erhoben, dürfen nicht für B genutzt werden. +- **Recht auf Vergessenwerden:** Jeder User muss seine Spuren löschen können. + +**Für Crumbforest bedeutet das:** +Keine Analytics, keine Cookies (außer Session), kein Speichern von Chat-Logs ohne expliziten User-Wunsch (Opt-In). + +### 2. BSI IT-Grundschutz +Das "Wie" der Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik gibt uns Standards: +- **Datensicherung:** Backups sind Pflicht, keine Kür. +- **Verschlüsselung:** Transport (TLS) und Storage (LUKS) müssen verschlüsselt sein. +- **Zutrittskontrolle:** Wer darf in den Wald (Login)? + +### 3. StGB (Strafgesetzbuch) +Die rote Linie. Überschreitest du sie, bist du kriminell. +- **§ 202a (Ausspähen von Daten):** Zugangssicherung überwinden = Straftat. +- **§ 202b (Abfangen von Daten):** Mitlesen (Sniffing) = Straftat. +- **§ 202c (Vorbereiten des Ausspähens/Abfangens):** Der "Hackerparagraf". + * Der *Besitz* von Tools (Dual Use) ist heikel. + * Der *Einsatz* ohne Auftrag ist strafbar. + +> *"Unwissenheit schützt vor Strafe nicht. Aber Wissen schützt vor Dummheit."* + +--- + +## 🛡️ Ethical Hacking & Security Mindset + +### Whitehat vs. Blackhat + +> *"Mit großer Macht kommt große Verantwortung."* — Ben Parker (und jeder gute Admin) + +In Crumbforest und im "Admin-Vektor" lernst du mächtige Werkzeuge kennen. `nmap`, `wireshark`, `metasploit` (vielleicht später) sind Dual-Use Tools. Sie können reparieren oder zerstören. + +**WIR SIND WHITEHATS (Die Guten):** +- **Erlaubnis:** Wir testen NUR Systeme, die uns gehören oder für die wir eine *schriftliche* Erlaubnis haben. +- **Zweck:** Wir finden Lücken, um sie zu schließen (Defense), nicht um sie auszunutzen (Offense). +- **Transparenz:** Wir melden Funde verantwortungsvoll (Responsible Disclosure). + +**WIR SIND KEINE BLACKHATS (Die Bösen):** +- Kein ungefragtes "Testen" fremder Systeme. +- Kein Stehlen von Daten. +- Kein Zerstören von Infrastruktur. +- Das ist illegal, unethisch und verstößt gegen den Crumbforest Kodex. + +### Der "Grey Man" (Die Kunst der Unauffälligkeit) + +Im Kontext von OpFlow (Operational Flow) und physischer Sicherheit: +- Sei unauffällig. +- Keine "HACKER" Aufkleber im Café. +- Keine unnötige Aufmerksamkeit auf dein Equipment lenken. +- Sicherheit durch Unscheinbarkeit, nicht durch Security-Theater. + +### Rechtlicher Rahmen (Deutschland/EU) + +Wir operieren streng im Rahmen der Gesetze: +- **§ 202c StGB (Hackerparagraf):** Der Besitz von "Hackertools" ist heikel. Wir nutzen sie als Admin-Werkzeuge zur Diagnose. +- **DSGVO (GDPR):** Datenschutz ist unser höheres Ziel. Wir schützen Daten, wir leaken sie nicht. +- **BSI-Grundschutz:** Unsere Bibel für sicheren Betrieb. + +**Merke:** +> *Ein Crumbforest Admin baut Schutzwälle, keine Rammböcke.* 🏰 + +👉 **Vertiefung:** Lies das [Guardian Manifesto](crumbforest-manifesto-guardian.md) für die volle Philosophie. + +--- + ### Säule 2: Menschen **Die Crew:** ``` -🦉 Krümeleule (Die Weise) -├── Expertise: ADHS, Autismus, Neurodiversität -├── Personality: Geduldig, verständnisvoll -├── Dokumente: 721+ indexiert +🦉 Krümeleule (System-Architektin) +├── Expertise: Shell, Systemarchitektur, Schutz kindlicher Fragen +├── Personality: Weise, geduldig, verständnisvoll +├── Style: "Stille Wasser sind tief" └── Rolle: Wissens-Hüterin -🦊 FunkFox (Der Schlaue) -├── Expertise: Tech, Coding, Erklärungen -├── Personality: Pragmatisch, direkt -├── Style: "Wie funktioniert das eigentlich?" -└── Rolle: Tech-Erklärbär +🦊 FunkFox (Hip Hop MC) +├── Expertise: Technik-Erklärungen mit Flow +├── Personality: Motivierend, reimend, gut gelaunt +├── Style: "Yo, check den Code!" +└── Rolle: Der Beat im Terminal -🐛 Bugsy (Der Detaillierte) +🐍 SnakePy (Python Expertin) +├── Expertise: Python, Clean Code, Geduld +├── Personality: Freundlich, leise, präzise +├── Style: "The Pythonic Way" +└── Rolle: Code-Flüsterin + +🐙 DeepBit (System Octopus) +├── Expertise: Low-Level, Assembler, C, Bits & Bytes +├── Personality: Multitasking, tiefgründig +├── Style: "01001000 01100101 01101100 01101100 01101111" +└── Rolle: Core-Versteher + +⚡ CapaciTobi (Elektronik-Ingenieur) +├── Expertise: Elektronik, Physik, Löten +├── Personality: Energiegeladen, funkensprühend +├── Style: "Spannung steigt!" +└── Rolle: Hardware-Hacker + +🐛 Bugsy (Quality Guardian - Legacy & Heart) ├── Expertise: Details, Edge Cases, Qualität -├── Personality: Präzise, gewissenhaft -├── Style: "Hast du daran gedacht...?" -└── Rolle: Quality Guardian +├── Personality: Präzise, gewissenhaft, unbestechlich +├── Style: "Ohne Fehler keine Berechtigung?" +└── Rolle: Die letzte, die geht. + DU (Der Waldläufer) └── Rolle: User, Contributor, Teil des Waldes diff --git a/crumbforest-manifesto-guardian.md b/crumbforest-manifesto-guardian.md new file mode 100644 index 0000000..08b5630 --- /dev/null +++ b/crumbforest-manifesto-guardian.md @@ -0,0 +1,84 @@ +# 🦉 Der Crumbforest Kodex: Wächter des Atems + +**Subtitle:** *Warum wir den Wald schützen & verstehen* +**Für:** Die Flipper-Zero Generation & Die Old School Wächter +**Vibe:** #Metaebene #DeepDive #Philosophy + +> *"Die Cloud ist nur der Computer eines anderen. Der Wald hingegen... der Wald atmet."* 🌲 + +--- + +## ⚡ Die Illusion der Magie (Flipper Zero & 5G) + +Wir leben in einer Welt der "Schwarzen Magie". +Deine Kids drücken einen Knopf auf dem Flipper Zero, und der TV geht aus. +Sie sehen "5G" auf dem Display, und das Video läuft. +Sie speichern in der "Cloud", und die Datei ist überall. + +**Das ist Konsum. Das ist Oberfläche.** + +Für einen **Crumbforest Wächter** (Guardian) ist das unbefriedigend. +- Wir wollen nicht nur den Knopf drücken. Wir wollen wissen, **warum** der TV ausgeht. (Infrarot-Protokolle, Carrier Frequencies). +- Wir wollen wissen, was "5G" wirklich ist. (Frequenzen, Funkzellen, Backbones). +- Wir wissen, dass die "Cloud" aus lauten, heißen Serverräumen besteht, die Strom fressen und von Menschen gewartet werden müssen. + +--- + +## 🌬️ Die atmenden Prozesse des Waldes + +Ein Wald steht nicht einfach nur da. Er passiert. + +- **Wurzeln (Netzwerk):** Ohne sie kippt der Baum. TCP/IP ist nicht "langweilig", es ist der Boden, auf dem wir stehen. +- **Saftstrom (Datenfluss):** Packets fließen wie Wasser. Wenn ein Strom stockt (Latenz), leidet der ganze Organismus. +- **Photosynthese (Verarbeitung):** CPUs wandeln Energie in Information um. +- **Jahresringe (Logs):** Die Geschichte von allem, was passiert ist. Unveränderlich, ehrlich. + +**Krümel im Crumbforest zu sein bedeutet:** +Nicht nur die Bäume (Apps) zu sehen, sondern das Atmen (die Prozesse) zu hören. +Wenn ein Service "hängt", rebooten wir nicht blind. Wir fühlen den Puls (htop), hören auf den Atem (logs) und finden die Krankheit (Root Cause). + +--- + +## 🛡️ Warum wir schützen (Ethik des Wächters) + +Warum geben wir uns diese Mühe? Warum lernen wir BIND Configs, wenn es Cloudflare gibt? + +1. **Unabhängigkeit:** Wer versteht, wie Feuer funktioniert, muss nicht warten, bis Prometheus es bringt. +2. **Resilienz:** Wenn die "Magie" (Internet, Cloud) ausfällt, sind wir es, die das Licht wieder anmachen können. +3. **Verantwortung:** Wir haben die Keys to the Kingdom (Root). + +**Das Flipper-Paradoxon:** +Es ist lustig, TVs auszuschalten. Es ist "Hacking" für 5 Sekunden. +Aber es ist **keine Macht**. +Wahre Macht ist es, das Netzwerk so zu bauen, dass der TV gegen Angriffe geschützt ist. Oder zu verstehen, wie man die Signale analyisert, um eigene Fernbedienungen zu reparieren. + +> *Blackhats brechen Dinge, um sich stark zu fühlen.* +> *Whitehats verstehen Dinge, um sie stark zu machen.* + +--- + +## 🧘 Die Heilige Metaebene + +Im Crumbforest akzeptieren wir, dass Technologie komplex ist. Wir vereinfachen sie nicht durch Ignoranz ("macht die AI schon"), sondern durch Struktur. + +- Wir dokumentieren, weil wir unsere zukünftigen Selbst respektieren. +- Wir automatisieren, weil wir Zeit für Wichtigeres brauchen (z.B. Nachdenken). +- Wir teilen Wissen, weil ein einsamer Wächter überfordert ist. + +**An die nächste Generation:** +Spielt mit dem Flipper. Freut euch an der Magie. +Aber wenn ihr bereit seid, den Vorhang wegzuziehen und die Zahnräder zu sehen... +Wenn ihr bereit seid, nicht nur User, sondern **Admin** zu sein... + +**...dann willkommen im Wald.** 🦉💙 + +--- + +**Version:** 1.0 +**Status:** Manifesto +**Tags:** #Ethik #Philosophie #Mindset #NextGen + +--- + +**Navigation:** +[← Zurück zur Introduction](crumbforest-introduction-warum-und-wie.md) | [Zum Admin-Vektor](crumbforest-admin-vektor.md) diff --git a/crumbpage-15-dns.md b/crumbpage-15-dns.md new file mode 100644 index 0000000..e8dbf26 --- /dev/null +++ b/crumbpage-15-dns.md @@ -0,0 +1,223 @@ +# 🌐 Crumbpage 15: DNS - The Phonebook of the Internet + +**Subtitle:** *Namensauflösung verstehen und beherrschen* +**Pfad:** 15 von X +**Schwierigkeit:** ⭐⭐⭐⭐ (4/5) +**Zeit:** ~4 Stunden +**Voraussetzungen:** [Netzwerk Basics](crumbpage-06-netzwerk.md), [Services & Ports](crumbpage-10-services-ports.md) + +> *"It’s not DNS. There’s no way it’s DNS. It was DNS."* 🕵️‍♂️ + +--- + +## 📋 Was du in diesem Pfad lernst + +``` +✓ Geschichte: Von HOSTS.TXT zu BIND +✓ Theorie: Rekursion vs. Iteration, Zones & Records +✓ Server: BIND9 Konfiguration & Zonefiles +✓ Client: Resolver, nsswitch.conf & hosts +✓ Debugging: dig, host & Logfiles +``` + +--- + +## 🎯 Lernziele + +Nach diesem Pfad kannst du: + +- [ ] Den Unterschied zwischen autoritativen und rekursiven Servern erklären +- [ ] Eine Zonefile Syntax (SOA, NS, A, MX, CNAME) lesen und schreiben +- [ ] Client-seitige DNS-Probleme diagnostizieren (`/etc/resolv.conf`) +- [ ] Mit `dig` komplexe Abfragen durchführen und Antworten analysieren + +--- + +## 🌱 Grundkonzepte & Geschichte + +### Konzept 1: Die Geschichte (Old School Wissen) + +**Vor 1983:** +Das Internet (damals ARPANET) war klein. Es gab eine zentrale Datei: `HOSTS.TXT`. +- Verwaltet vom NIC (Network Information Center) am SRI (Stanford). +- Jeder Admin musste diese Datei via FTP herunterladen. +- **Problem:** Nicht skalierbar. Namenskollisionen. Traffic. + +**1983 - Die Lösung:** +Paul Mockapetris entwarf DNS (RFC 882, 883). +- **Hierarchisch:** Root (`.`) -> Top-Level (`.com`, `.de`) -> Second-Level. +- **Dezentral:** Verantwortung wird delegiert. +- **Datenbank:** Verteiltes System statt einer Textdatei. + +### Konzept 2: Die Infrastruktur + +**Die Hierarchie:** +Ein FQDN (Fully Qualified Domain Name) wird von rechts nach links gelesen: `www.example.com.` +1. **Root (`.`)**: Die Wurzel aller DNS-Anfragen. Verwaltet von der IANA. Es gibt 13 Root-Server-Identitäten (A-M). +2. **TLD (`.com`)**: Top-Level-Domain. Verwaltet von Registries (z.B. Verisign). +3. **SLD (`example`)**: Second-Level-Domain. Deine Domain. +4. **Subdomain (`www`)**: Hostname in deiner Zone. + +**Abfrage-Typen:** +- **Iterativ:** "Ich kenne die Antwort nicht, aber hier ist die IP vom Server, der es weiß." (Verhalten der Root/TLD Server). +- **Rekursiv:** "Ich frage für dich nach und gebe dir das fertige Ergebnis." (Verhalten deines lokalen Resolvers/ISPs). + +--- + +## 🔧 Server & Zonen (Theorie & BIND) + +Der De-Facto Standard im Unix-Umfeld ist **BIND** (Berkeley Internet Name Domain). Auch wenn es modernere Alternativen gibt (Unbound, Knot), ist BIND "das Original". + +### Zonendateien (Zone Files) +Das Herzstück. Textdateien, die die Records enthalten. + +**Wichtige Resource Records (RR):** + +| Typ | Erklärung | Beispiel | +|---|---|---| +| **SOA** | **Start of Authority**. Der wichtigste Record. Definiert Zonen-Parameter (Serial, Refresh, TTL). | `@ IN SOA ns1.example.com. admin.example.com. ...` | +| **NS** | **Name Server**. Wer ist autoritativ für diese Zone? | `IN NS ns1.example.com.` | +| **A** | **Address**. Hostname -> IPv4. | `www IN A 192.0.2.1` | +| **AAAA** | **Quad-A**. Hostname -> IPv6. | `www IN AAAA 2001:db8::1` | +| **CNAME** | **Canonical Name**. Alias auf einen *anderen Namen* (nicht IP!). | `ftp IN CNAME www.example.com.` | +| **MX** | **Mail Exchange**. Wo gehen Mails hin? Mit Priorität. | `IN MX 10 mail.example.com.` | +| **PTR** | **Pointer**. Reverse DNS (IP -> Name). Wichtig für Mailserver. | `1 IN PTR www.example.com.` | +| **TXT** | **Text**. Beliebiger Text. Oft für SPF, DKIM, Verification. | `IN TXT "v=spf1 ..."` | + +**Anatomie eines SOA Records:** +```dns +@ IN SOA ns1.example.com. hostmaster.example.com. ( + 2023120801 ; Serial (YYYYMMDDnn) - Immer erhöhen bei Änderungen! + 3H ; Refresh (Wie oft Slaves fragen) + 1H ; Retry (Wenn Refresh fehlschlägt) + 1W ; Expire (Wann Slaves aufgeben) + 1D ) ; Minimum TTL (Negatives Caching) +``` + +--- + +## 🔌 Client & Anbindung (Linux/Unix) + +Wie weiß dein Server, wen er fragen muss? + +### 1. `/etc/nsswitch.conf` +Der "Dispatch Manager". Regelt die Reihenfolge der Namensauflösung. +```text +hosts: files dns +``` +Bedeutet: Erst in lokalen Files (`/etc/hosts`) schauen, dann DNS fragen. + +### 2. `/etc/hosts` +Die moderne `HOSTS.TXT`. Nützlich für lokales Testing oder overrides. +```text +127.0.0.1 localhost +192.168.1.10 internal.server.local +``` + +### 3. `/etc/resolv.conf` +Die Konfiguration des Resolvers. +```text +nameserver 8.8.8.8 +nameserver 1.1.1.1 +search example.com +domain example.com +``` +⚠️ **Achtung:** Wird heute oft von Systemdiensten (systemd-resolved, NetworkManager) überschrieben. Prüfe, ob es ein Symlink ist! + +--- + +## 🛠 Tools & Logs + +### Dig (Domain Information Groper) +Das Werkzeug der Wahl für Profis. Vergiss `nslookup` (deprecated/inkonsistent). + +```bash +# Standard Abfrage (A Record) +dig example.com + +# Bestimmten Record-Typ abfragen +dig example.com MX + +# Bestimmten Nameserver befragen (Bypass lokaler Resolver) +dig @8.8.8.8 example.com + +# Trace vom Root bis zur Antwort (Sehr lehrreich!) +dig +trace example.com + +# Reverse Lookup (IP -> Name) +dig -x 192.0.2.1 +``` + +### Logs +DNS Fehler sind oft still. Logs sind dein Freund. +- **Syslog**: `/var/log/syslog` oder `/var/log/messages` (such nach `named`). +- **Query Log**: Kann in BIND aktiviert werden (vorsicht: riesig!). + +### Häufige Fehlercodes +- **NOERROR**: Alles gut (auch wenn Antwort leer ist -> NOERROR mit 0 Answers bedeutet "Name existiert, aber nicht dieser Record-Typ"). +- **NXDOMAIN**: Non-Existent Domain. Der Name existiert nicht. +- **SERVFAIL**: Serverfehler. Config falsch, DNSSEC broken, oder Upstream down. +- **REFUSED**: Server verweigert Antwort (z.B. falsche ACL für Rekursion). + +--- + +## 🎓 Hands-On Übungen + +### Übung 1: Manuelle Auflösung "Spielen" + +**Aufgabe:** +Verfolge den Pfad einer Domain von der Root an. + +**Schritte:** +1. Finde die Root-Server: `dig . NS` +2. Nimm einen davon (z.B. a.root-servers.net) und frag nach `.de`: `dig @a.root-servers.net de. NS` +3. Nimm einen TLD-Server und frag nach einer Domain: `dig @[TLD-SERVER-IP] crumbforest.de NS` +4. Frag den autoritativen Server nach der IP. + +### Übung 2: Record Analyse + +**Aufgabe:** +Analysiere die Mail-Setup von `gmail.com`. + +**Befehl:** +`dig gmail.com MX` + +**Frage:** +Warum gibt es mehrere Einträge mit unterschiedlichen Zahlen (Preference)? + +--- + +## 💭 Reflexion + +**Was war neu für mich?** +``` +[Deine Notizen] +``` + +**Warum ist "It was DNS" ein Meme?** +Weil DNS eine kritische Infrastruktur ist. Wenn DNS ausfällt, geht *scheinbar* nichts mehr, obwohl die Leitungen stehen. Ping auf IPs geht, Browser geht nicht. + +--- + +## 🦉 Crystal Owl's Weisheit + +> *"Ein guter Admin kennt seine Zonen. Ein sehr guter Admin vergisst nie, die Serial zu erhöhen."* + +``` +Krümel-Tipp: +Wenn du Änderungen an einer Zone machst und nichts passiert: +1. Hast du die Serial erhöht? +2. Hast du `rndc reload` (bei BIND) ausgeführt? +3. Cached dein Client oder Resolver noch die alte Antwort (TTL)? +``` + +--- + +**Version:** 1.0 +**Status:** Theory Draft +**Tags:** #DNS #BIND #Netzwerk #Theorie + +--- + +**Navigation:** +[← Zurück: Environment](crumbpage-14-environment.md) | [Admin-Vektor Übersicht](crumbforest-admin-vektor.md) diff --git a/crumbpage-16-vpn.md b/crumbpage-16-vpn.md new file mode 100644 index 0000000..6262de7 --- /dev/null +++ b/crumbpage-16-vpn.md @@ -0,0 +1,132 @@ +# 🌐 Crumbpage 16: VPN - Der Geheimgang + +**Subtitle:** *Sicher durch das unsichere Netz* +**Pfad:** 16 von X +**Schwierigkeit:** ⭐⭐⭐ (3/5) +**Zeit:** ~2 Stunden +**Voraussetzungen:** [Netzwerk Basics](crumbpage-06-netzwerk.md), [SSH Basics](crumbpage-07-ssh-basics.md) + +> *"Das Internet ist ein dunkler Wald. Ein VPN ist dein unsichtbarer Umhang."* 🕵️‍♂️ + +--- + +## 📋 Was du in diesem Pfad lernst + +``` +✓ Konzept: Tunnel & Verschlüsselung +✓ Protokolle: OpenVPN, WireGuard, IPsec +✓ Praxis: OpenRouter & Config Files (.ovpn) +✓ Security: Split-Tunneling vs. Full-Tunneling +✓ Troubleshooting: Routing & MTU +``` + +--- + +## 🎯 Lernziele + +Nach diesem Pfad kannst du: + +- [ ] Erklären, wie ein VPN deine Daten schützt +- [ ] Eine `.ovpn` Datei verstehen und nutzen +- [ ] Routing-Probleme im Tunnel diagnostizieren +- [ ] Den Unterschied zwischen "Firmen-VPN" und "Privacy-VPN" verstehen + +--- + +## 🌱 Grundkonzepte + +### Konzept 1: Der Tunnel + +Stell dir vor, du schickst einen Brief (Datenpaket) durch eine gläserne Rohrpost (Internet). Jeder kann sehen, an wen er geht und was drin steht (Header & Payload). + +Ein **VPN (Virtual Private Network)** ist wie ein gepanzertes Rohr *innerhalb* des gläsernen Rohrs. +1. **Encapsulation:** Dein Brief wird in einen neuen Umschlag gesteckt. +2. **Encryption:** Der Inhalt wird unlesbar gemacht. +3. **Authentication:** Nur Sender und Empfänger haben den Schlüssel. + +### Konzept 2: Protokolle + +- **OpenVPN:** Der Klassiker. Sehr flexibel, nutzt SSL/TLS (wie HTTPS). Läuft meist über UDP 1194 (oder TCP 443 um Firewalls zu umgehen). Stabil, aber etwas langsamer ("Context Switches"). +- **WireGuard:** Der neue Star. Extrem schnell, moderne Kryptographie, weniger Code (weniger Bugs). Läuft im Kernel-Space (Linus Torvalds approved). +- **IPsec/IKEv2:** Der alte Enterprise-Standard. Oft native in OS integriert, aber komplex zu konfigurieren. + +--- + +## 🔧 Praxis: OpenRouter VPN + +In deinem Szenario ("OpenRouter") hast du spezielle Regeln und Zugriff auf verteilte Home-Verzeichnisse. Das klingt nach einem **Site-to-Site** oder **Remote-Access** Setup mit granularer Access Control. + +### Verbindung aufbauen (Linux Client) + +Meistens bekommst du eine Konfigurationsdatei (`client.ovpn` oder `wg0.conf`). + +**OpenVPN (Terminal):** +```bash +sudo openvpn --config mein-zugang.ovpn +``` +*Pro-Tipp: Starte es in `tmux` oder als Service, damit es nicht stirbt, wenn du das Terminal schließt.* + +**NetworkManager (GUI):** +1. Einstellungen -> Netzwerk +2. `+` (Hinzufügen) -> VPN -> Import from file... +3. Wähle die `.ovpn` Datei. + +### Routing & "Eigene Regeln" + +Ein VPN kann zwei Modi haben: + +1. **Full Tunnel (Redirect Gateway):** + - *Alles* geht durch den Tunnel (Internet surfen, Spotify, Arbeit). + - Deine öffentliche IP ist die des VPN-Servers. + - **Vorteil:** Sicherheit im Café WLAN. + - **Nachteil:** Langsam, Netflix motzt evtl. + +2. **Split Tunnel:** + - Nur Traffic für spezifische Netze (z.B. `10.0.0.0/8` - das RZ) geht durch den Tunnel. + - Surfen geht weiterhin direkt über deinen Provider. + - **Vorteil:** Performance. + - **Risiko:** Wenn DNS nicht auch getunnelt wird -> **DNS Leak**! + +--- + +## 🔍 Troubleshooting Checkliste + +Wenn "nichts geht", obwohl der Tunnel steht: + +1. **Ping durch den Tunnel?** + `ping 10.10.x.1` (Gateway Adresse). Geht das nicht -> Tunnel kaputt. + +2. **Routing Table prüfen:** + `ip route show` + Siehst du Routen für das Zielnetz, die auf das `tun0` Interface zeigen? + +3. **DNS?** + Wenn `ping 10.10.x.1` geht, aber `ping fileserver.internal` nicht -> DNS Problem! + Nutzt du den internen DNS Server? (siehe `crumbpage-15-dns.md`) + +4. **MTU (Maximum Transmission Unit):** + Manchmal ist das Paket inkl. VPN-Header zu groß für die Leitung. + *Symptom:* Ping (klein) geht, SSH (groß) hängt. + *Fix:* `mssfix` in OpenVPN Config. + +--- + +## 🦉 Crystal Owl's Weisheit + +> *"Ein VPN macht dich nicht anonym, es verschiebt nur das Vertrauen vom Café-Besitzer zum VPN-Betreiber."* + +``` +Krümel-Tipp: +Wenn du im Homeoffice bist und auf einmal der Drucker nicht mehr geht -> Check ob du im "Full Tunnel" bist und dein lokales LAN nicht mehr erreichen darfst! +``` + +--- + +**Version:** 1.0 +**Status:** Draft +**Tags:** #VPN #OpenVPN #Security #RemoteWork + +--- + +**Navigation:** +[← Zurück: DNS](crumbpage-15-dns.md) | [Admin-Vektor Übersicht](crumbforest-admin-vektor.md) diff --git a/crumbpage-17-workstation.md b/crumbpage-17-workstation.md new file mode 100644 index 0000000..3f8453f --- /dev/null +++ b/crumbpage-17-workstation.md @@ -0,0 +1,143 @@ +# 🌐 Crumbpage 17: Die Workstation - Die Axt des Waldhüters + +**Subtitle:** *Dein tägliches Werkzeug perfektionieren* +**Pfad:** 17 von X +**Schwierigkeit:** ⭐⭐ (2/5) +**Zeit:** ~3 Stunden +**Voraussetzungen:** [First Access](crumbpage-11-first-access.md), [Environment](crumbpage-14-environment.md) + +> *"Ein unscharfes Werkzeug ist gefährlicher als ein scharfes."* 🛠️ + +--- + +## 📋 Was du in diesem Pfad lernst + +``` +✓ Hardware: Framework 13 & AMD Ryzen Besonderheiten +✓ OS-Wahl: Debian vs. Ubuntu (MATE) vs. Mint +✓ Security: Full Disk Encryption, Fingerprint & SSH Agent +✓ Workflow: Browser-Isolation, Meeting-Setup +✓ Backup: Timeshift & Restic +``` + +--- + +## 🎯 Lernziele + +Nach diesem Pfad kannst du: + +- [ ] Eine begründete Entscheidung für dein OS treffen +- [ ] Verstehen, warum Fingerprints "Usernamen" und keine "Passwörter" sind +- [ ] Deine Workstation für Meetings (Webcam/Audio) und Sysadmin-Arbeit (SSH/VPN) härten +- [ ] Strategien gegen "Evil Maid" Attacken anwenden + +--- + +## 💻 Die Hardware: Framework 13 (AMD Ryzen 7040) + +Eine exzellente Wahl! Modular, reparierbar, zukunftssicher. +**AMD Ryzen 7040 Series** bedeutet: +- Starke Performance +- Gute Linux-Unterstützung (ab Kernel 6.1+, besser 6.5+) +- AI Engine (Ryzen AI) - unter Linux noch experimentell, aber kommt. + +### Hardware-Checkliste für Linux +- **WLAN:** Meist MediaTek oder Intel AX210 (Funktioniert super). +- **Fingerprint:** Goodix Sensor. Braucht `fprintd` und manchmal Firmware-Updates via `fwupd`. +- **Webcam/Audio:** Privacy Switches beachten! (Mechanische Schalter am Bezel). + +--- + +## 🐧 Die Wahl des Betriebssystems + +Du stehst vor der Wahl: **Debian** vs. **Ubuntu (MATE)** vs. **Mint**. + +### 1. Debian (Stable/Bookworm) "The Rock" 🪨 +- **Pro:** Maximale Stabilität, keine Überraschungen, keine Zwangs-Snaps. +- **Contra:** Software oft älter. Für Ryzen 7040 brauchst du zwingend einen neueren Kernel (Backports) und Non-Free Firmware. +- **Fingerprint:** Kann frickelig sein, Pakete sind oft älter. +- **Fazit:** Für Puristen, die alles kontrollieren wollen. + +### 2. Ubuntu (MATE) "The Convenient" 🧉 +- **Pro:** "It just works". Hardware-Support meist Out-of-the-Box. MATE ist leicht, klassisch (Old School GNOME 2 Feeling) und effizient. +- **Contra:** Snap Pakete (kann man entfernen, ist aber Arbeit). Mehr Telemetrie (abschaltbar). +- **Fingerprint:** Sehr gute Integration in GNOME/MATE Settings. +- **Fazit:** **Empfehlung für deinen "Sysop Laptop".** Du willst arbeiten, nicht am OS basteln. + +### 3. Linux Mint "The User Friendly" 🍃 +- **Pro:** Basiert auf Ubuntu LTS (stabil), kein Snap-Zwang, sehr poliert (Cinnamon/MATE). +- **Contra:** Kernel-Upgrades manchmal langsamer als bei Ubuntu HWE Stacks. +- **Fazit:** Solide Alternative zu Ubuntu MATE. + +--- + +## 🔐 Security & Convenience + +### Der Fingerabdruck-Scanner: Nice to Hack? +Du hast Recht: Ein Fingerabdruck ist **biometrisch** und damit **öffentlich**. Man kann ihn dir abnehmen (Glas, Foto). +*Aber:* +- **Sicherheit:** Er ist gut genug als "Komfort-Faktor" (statt PIN tippen im Café). +- **Risiko:** Wenn du schläfst oder gezwungen wirst, kann er genutzt werden. +- **Strategie:** + 1. **Boot:** Full Disk Encryption (LUKS) nur mit **Passphrase**. (Schützt vor Diebstahl/Evil Maid im ausgeschalteten Zustand). + 2. **Login/Sudo:** Fingerprint okay. + 3. **SSH Keys:** **Passphrase Protected Key** im `ssh-agent`. + - Der Agent speichert den Key im RAM. + - Entsperren beim ersten Zugriff via Passphrase. + - *Nicht* automatisch per Fingerprint entsperren lassen, wenn du paranoid bist. + +### Webcam & Meetings +- Framework hat Hardware-Switches. Nutze sie! 🔴 +- Audio funktioniert unter PipeWire (modernes Linux Audio) mittlerweile exzellent. +- Browser: Nutze Container/Profile (z.B. Firefox Multi-Account Containers) für verschiedene Kunden/Kontexte. + +--- + +## 🛠 Das Setup (Ubuntu MATE Empfehlung) + +1. **Installation:** + - Wähle "Minimal Installation" (weniger Bloat). + - Aktiviere: "Install third-party software" (Wichtig für WLAN/Codecs). + - **WICHTIG:** "Advanced Features" -> "Erase disk and use ZFS" oder "LVM with Encryption" (LUKS). + +2. **Post-Install:** + ```bash + # 1. Update everything + sudo apt update && sudo apt full-upgrade + + # 2. Firmware Updates (Wichtig für Framework!) + sudo fwupdtool get-devices + sudo fwupdtool update + + # 3. Fingerprint + sudo apt install fprintd libpam-fprintd + fprintd-enroll + + # 4. Tools + sudo apt install git vim htop tmux curl + ``` + +3. **SSH Agent:** + MATE startet den Agent meist automatisch (`gnome-keyring`). Wenn du echte Kontrolle willst, nutze den klassischen `ssh-agent` in der `.bashrc`. + +--- + +## 🦉 Crystal Owl's Weisheit + +> *"Die beste Workstation ist die, die du nicht bemerkst, während du arbeitest."* + +``` +Krümel-Tipp: +Klebe keine Sticker auf den Laptop-Deckel, wenn du im Café "Grey Man" (unauffällig) bleiben willst. Ein Framework Logo ist okay, aber "HACKER INSIDE" zieht Blicke an. 😉 +``` + +--- + +**Version:** 1.0 +**Status:** Draft +**Tags:** #Workstation #Hardware #Security #UbuntuMATE + +--- + +**Navigation:** +[← Zurück: VPN](crumbpage-16-vpn.md) | [Admin-Vektor Übersicht](crumbforest-admin-vektor.md)