Nachdem ich meinen Raspi immer weiter zum Home-Server ausbaue, versuche ich auch immer mehr, mich vor den Versuchen zu schützen, in das einzudringen, was ich für meine Privatsphäre halte. Nun habe ich einen weiteren Schritt in dieser Richtung vollzogen:
Nachdem ich mir mittels des Projekts PiHole meinen eigenen Adblocker und Spam-Bekämpfer eingerichtet habe, habe ich mich weiter unabhängig gemacht, indem ich mir meine eigene Atom-Uhr gebaut habe.
Ich bin auch endlich dazu übergegangen, eine eigene VPN-Infrastruktur in Betrieb zu nehmen, die es mir erlaubt, all diese schönen Dinge auch außer Haus zu genießen.
Als vorerst letzten Baustein in diesem Bestreben nach Unabhängigkeit habe ich nunmehr die PiHole-Installation nochmals angepasst: Bisher leitete der PiHole DNS-Abfragen die noch nicht gecacht waren und nicht abgelehnt/gefiltert werden sollten an einen festzulegenden externen DNS-Server weiter.
Aber wo auch immer er sich hinwendet bzw. welchen extenen Server man auch immer verwendet: eine externe Partei gewinnt dadurch Zugriff auf Informationen, die ich für höchst privat halte: Nämlich über den Verlauf der Verbindungsdaten zu externen Servern - und zwar nicht nur zu Webservern.
Daher erschien es mir erstrebenswert, dem durch das Einrichten eines eigenen DNS-Resolvers entgegenzuwirken. Vor ein paar Tagen fand ich einen sehr schönen Artikel, in dem genau das erklärt wurde - auch noch auf der Basis des PiHole; also genau das, was ich gesucht hatte.
Nachdem ich dieser Anleitung gefolgt war, funktionierte noch nicht alles: Die Anleitung geht davon aus, dass der Pi gleichzeitig als DHCP-Server im lokalen Netz fungiert und daher auch die Namen in diesem Netz (dieser Domain) auflösen kann. Da das bei mir nicht so ist - und ich keine Lust hatte, das umzukonfigurieren - folgte ich einem weiteren Tutorial, das erklärte, wie man diese Anfragen an einen anderen Resolver weiterleitet (bei mir immer noch die Fritz-Box).
Als letztes Tüpfelchen auf der Sahnetorte dieses Erfolges hätte ich jetzt gerne noch die Informationen des Resolvers in Grafana überwacht, leider jedoch existiert dafür bisher noch kein Input-Plugin dafür - allerdings wünschen sich so etwas bereits andere und es liegt allerdings bereits ein Merge-Request für ein solches vor; daher gehe ich davon aus, dass ich auch das in naher Zukunft umsetzen kann...
Kurz zusammengefasst: Ich habe das Management des DNS auf meinem Pihole nun geändert: vor dem Herunterladen der neuen Datei wird zunächst mal die bisherige als Backup-Kopie verewigt - für den unwahrscheinlichen Fall, dass beim Herunterladen noch einmal Probleme auftauchen werde ich dann auf das lokale Backup zurückgreifen können.
/usr/bin/wget --quiet https://www.internic.net/domain/named.root \
-O /tmp/named.root; if [ $? -eq 0 ]; then if [ -s /tmp/named.root ]; \
then mv /tmp/named.root /etc/powerdns/named.root; fi; fi
Hier noch eine Ressource zu DNSSEC und wie man die korrekte Funktionsweise prüft:
23.05.2023
Das Osterprojekt dieses Jahr sollte sich mit EMail-Servern, Nameservern, DNSSEC und ACME (LetsEncrypt) beschäftigen.
25.07.2021
Ich trage mich aktuell mit dem Gedanken, analog zu meinen Skripts zur Einrichtung von Kartenservern oder Netzwerkinfrastruktur einen kleinen Server komplett unattended einrichten zu können, der PiHole, DNSSEC und einen autonomen root-Resolver integriert.
12.02.2021
Ich fasse zunächst mal das Szenario zusammen: DNS komt über DHCP und der DHCP-Server ist nicht in der Lage (oder kann nicht so konfiguriert werden) ein oder mehrere DNS Fallbacks mitzuschicken
30.05.2020
Ich habe auf meinem Raspberry 3 eine Instanz InfluxDB und Grafana fürs Monitoring installiert. Diese Konfiguration läuft nun bereits verhältnismäßig lange und ich stellte erste Abnutzungserscheinungen fest...
02.07.2019
Nachdem ich bereits öfter über LXC und xpra berichtet habe möchte ich hier nun ein Skript vorstellen, mit dem man sehr schnell zu einem Container kommen kann, in dem man graphische Anwendungen betreiben kann, von denen man den Eindruck hat, dass sie in einer Sandbox besser aufgehoben wären.
Alarmierung über Skripte
16.09.2019
Nachdem ich mich in letzter Zeit wieder verstärkt mit den Themen Monitoring und Alarmierung auseinandersetze, habe ich überlegt, ob ich die dabei gewonnenen Erkenntnisse nicht auch dazu nutzen könnte, die bestehende Lösung flexibler zu machen
Weiterlesen...Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Git(lab|hub) Go GUI Gui Hardware Java Jupyter Komponenten Links Linux Markdown Markup Music Numerik PKI-X.509-CA Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...
Das Konzept eines CircuitBreaker ist schon lange bekannt. Ich habe mir zu Studienzwecken einen selber gebaut - eigentlich zwei: Einer ist dafür da, das Logging von gleichartigen Exceptions zu drosseln, der andere für das Entzerren von Versuchen, Ressourcen von URLs nachzuladen. Diese spezielle Variante benötigte ich für EBMap4D: Falls einer der Tile-Server ausfällt, wird ansonsten ständig versucht, die Kacheln neu herunterzuladen. Das frisst nicht nur Rechenzeit, sondern ist auch unnütz.
Weiterlesen...Nachdem ich mich nun schon so lange mit Origami beschäftige habe ich endlich einmal das älteste dokumentierte Ornament versucht - aus gutem Grund...
Weiterlesen...Eine neue Musikreihe/Show auf Youtube gefunden...
Weiterlesen...Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.
Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.
Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...
PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.