Nextcloud: Restricting Admin Access to Your LAN

 You really do not want anyone from the internet to be able to access you Nextcloud admin account. A strong password is good, but not good enough. 2FA can help, but I wanted to take absolutely no chances.

So I started looking for a solution to restrict admin access to my LAN. If you break into my LAN, I will be f***ed anyway, so this will be as good as it gets ...

I found a solution on the web (copied all over the place in different forums) employing mod_rewrite. Well, it works, but after I had implemented it, I did not like the flaw this solution has: since mod_rewrite cannot read the request data of the post request that resembles the login attempt, it acts on cookies instead, meaning that the login itself will still be executed and a good hacker may intercept the authentication token and use it in some other way. I do not have a proof of concept for a hack, but do not like the idea.

So I looked at mod_security, and felt much better: it can look at post data. I now intercept login requests from admin, and reject them if the remote address is not on my LAN. The relevant portion of the Apache configuration file looks like this:

  SecRequestBodyAccess On
  SecRule REQUEST_URI "@endsWith /login" \
    "phase:2,id:50001,deny,status:401,msg:'Admin login blocked.',chain"
  SecRule REQUEST_METHOD "POST" "chain"
  SecRule REMOTE_ADDR "!@ipMatch 192.168.1.0/24" "chain"
  SecRule REQUEST_BODY "@contains user=admin"

Now I feel much better😀

It would be nice though, if Nextcloud offered an option like this. There is a Nextcloud app (called "Restrict login to IP addresses") that can restrict access to certain IPs and IP ranges, but it does not distinguish by account, so it is no solution for my scenario.

Gelöst: Bahn DB Navigator App: Fehlendes Zertifikat bei Buchung

Seit ein paar Wochen bekomme ich (wahrscheinlich wegen einer neuen Version) folgende Meldung von der Bahn App, wenn ich ein Ticket buchen möchte:

Auf dem Gerät ist kein gültiges Zertifikat vorhanden, um eine sichere Verbindung aufbauen zu können. Bitte prüfen Sie Ihre Systemeinstellungen oder aktualisieren Sie Ihr Betriebssystem.

Ich habe etwas länger geforscht ... aber kurz und kapp: ich musste meinen Ad Blocker deaktivieren, einmal "buchen" drücken, dann konnte ich den Ad Blocker wieder aktivieren, und das Buchen funktioniert bestens.

Natürlich könnte man weiter schauen, welche IP genau zu white-listen wäre, aber solange es wieder geht - wozu die Zeit verschwenden?

Sollte es nur ein temporärer Fix sein, dann schaue ich nochmal genauer.

Ich hoffe, das hilft anderen, ihre Zeit zu sparen. Ich habe zumindest viele ähnliche Problemfälle im Web gefunden, jedoch jeweils ohne passende Lösung.

Nachtrag

Schade, der Fix war nur temporär. Aber hier kommt die

Lösung

In meinem Ad Blocker musste ich zwei Hosts white-listen (ich hasse Denglisch):

• siteintercept.qualtrics.com
• st.bahn.de

Danach funktioniert alles bestens, und zwar permanent. Aber, hier kommt dann aber auch gleich noch eine

Warnung

Ob man das mit Qualtrics so gut findet, ist eine offene Frage ... welche Daten werden hier gesammelt?

Ganz bestimmt finde ich den Zugriff auf st.bahn.de nicht gut, denn dieser Server sammelt Benutzer- und Benutzungsaten. Da ich die Datenübermittlung in der App auf das notwendige beschränkt habe, frage ich mich, warum hierauf trotzdem zugegriffen wird. Beachtet die neue Version nun meine Einstellungen nicht mehr?

Auf jeden Fall sollte man es sich gut überlegen, bevor man die beiden Server "freischaltet".

Stell Dir vor es ist Wahlkampf, und keiner geht hin

Noch 11 Wochen bis zur Bundestagswahl.

Und von den Parteien hört man nichts. Gut, das stimmt so nicht ganz, man hört persönliche Angriffe, verquere Positionen um in die Presse zu kommen, etc. Aber inhaltlich? Ein großes Nichts.

Dabei gäbe es so viele Themen.

UmweltKlima: bisher nur nette Absichtserklärungen als Feigenblatt, von Ideen für Maßnahmen oder gar Plänen keine Rede.

Corona: ja man kann es nicht mehr hören, aber davon geht es nicht weg. Zugegeben, hier gab es großen Einsatz: wie haben die EM ermöglicht, und einzelne Bundesländer lassen alle Hüllen Schranken fallen. Ein Plan für den Schulbetrieb im Herbst? Fehlanzeige. Wie stehen so blank da wie vor einem Jahr. Immerhin habe Lehrer und Schüler dazugelernt. Ob sie damit die Abwesenheit politischer Maßnahmen kompensieren können? Und sollten sie das müssen?

Flüchtlinge: Seenotrettung verhindern, an den Grenzen mit Waffengewalt abschrecken, und Unrechtsregime dafür bezahlen, dass sie Flüchtlinge "retten" und kasernieren - das ist kein Plan, das ist Verrat an Europäischen Idealen.

Rente: ....

Ach was, nutzt sowie so nichts 😢

In diesem Zusammenhang habe ich folgende Grafik gefunden:

Quelle: Forschungsgruppe Wahlen
Bedeutung:  Beurteilung nach Sympathie und Leistung ("Was halten Sie von?")

Sieht doch zumindest für einige Politiker ganz gut aus. Oder?

Die Darstellung "hinkt". Denn die Skala reicht von -5 bis +5. Und wenn man das dann korrekt darstellt:

 

Dann sieht man doch recht deutlich, wie sich die oben beschriebene Wahlkampf-"Strategie" auswirkt: kein Politiker kann sich deutlich von der Nulllinie absetzen. 

Das kommt davon, wenn alle Politiker die sogenannte "Mitte" vertreten wollen, und um es sich mit ja niemandem zu verscherzen letzten Endes eigentlich gar nichts vertreten.

Vielleicht wäre es Zeit, dass die Medien den Politikern ein paar aktuelle Themen präsentieren und sie zwingen, sich zu positionieren? Wie soll man denn so eine Wahlentscheidung treffen? Lauwarm, oder lieber ... lauwarm?

Android: Clock Showing Upcoming Non-Existent Alarm

Since my last Android upgrade, this has bugged me a lot: my clock always showed an alarm that was due at 8pm every day. BUt there was no such alarm.

Clearing the clock's data did not help at all.

After restarting the phone, the alarm did not show - until a few minutes had gone by. So I assumed that it was a service that created its own alarm when started.

I went through all my apps, killing them one by one, until the clock showed no alarm any more. Alas, it took me a loooong time to find the culprit: apps are sorted alphabetically, and the app that was causing this is Tasker with a "T" 😉.

I had a task defined that would trigger at 8pm, and Taker uses am alarm to get the trigger working. Makes sense.

Showing upcoming alarms as part of the clock seems to be a feature added in Android 10.

I ended up turning off "reliable alarms", in which case Tasker does not create such an alarm. I am not sure how it achieves the goal otherwise, but I know that alarms can be less reliable (as the name of the option indicates), but I do not care about a few minutes here. It also means that it will be easier for Android to kill Taker entirely when it feels like it. That is something that remains to be seen - still testing.

Anyway, the nagging upcoming alarm is gone. It did not do any harm, but it bugged me each time I turned on my phone, so there 😀

I hope this saves someone else the time I had to spend looking for the app that cause this non-issue.

Bayerischer Rundfunk? Eher nicht!

Natürlich habe ich mich jahrelang mit Nachrichten unseres Landessenders B5 Aktuell wecken lassen. Die Nachrichten alle 15 Minuten und die Info-Sendungen dazwischen erschienen mir wirklich gut.

Ich hatte jedenfalls nie den leisesten Zweifel daran, dass es sich um einen objektiven und neutralen Sender handelt.

Bis eines Tages ... das ist auch schon ein paar Jahre her ... sich folgendes zutrug: tagsüber hörte ich eine BR-Sendung mit einem Ausschnitt eines Interviews mit Sahra Wagenknecht. Nun bin ich kein großer Fan der Dame, schätze aber ihre Intelligenz. Und das Interview-Schnipsel ließ sie wie eine Partei-Idiotin dastehen, die der Doktrin mehr verpflichtet ist, als dem gesunden Menschenverstand. Ich weiß gar nicht mehr, worum es ging. Jedenfalls hat es mich sehr gewundert, aber es war ja ein O-Ton, also korrekt. Oder?

Zufällig hörte ich nachts denselben Sender, da es aber nach Mitternacht war, hörte ich das ARD Inforadio, damals betrieben vom NDR. Und da kam dasselbe Interview. Nur ein, zwei Sätze länger. Und plötzlich machte es Sinn. Zufall? Möglich.

Inzwischen habe ich meinen Lebensrhythmus etwas umgestellt und höre B5 Aktuell (oder BR 24, wie es jetzt heißt) so früh, dass ich noch das ARD Inforadio zu hören bekomme, bevor sich der bayerische Rundfunk aufschaltet. Un da fiel mir in letzter (Wahlkamp-)Zeit doch das eine oder andere auf:

• -Der BR berichtet zwar über die von den Grünen geplante Benzinpreiserhöhung, lässt aber die Information, dass die derzeitige Bundesregierung die dafür ausschlaggebende CO2-Steuer selbst beschlossen hat, gerne weg. Auch davon, dass die Grünen den bereits vorgesehenen Zeitplan nur etwas straffen und die Abgabe nur unwesentlich erhöhen wollen (Wissenschaftler fordern das Dreifache), ist im BR nicht die Rede.
• Der BR berichtet über die starke Erhöhung der Benzinpreise in den letzten zwei Jahren. Ich glaube, es waren 26 Cent. Auch den Grund dafür nennen sie: die gestiegenen Rohölpreise. Dass diese auch durch die CO2-Steuer der heutigen Bundesregierung so stark gestiegen sind (ich glaube 12 von den 26 Cent gehen auf dieses Konto), erwähnen sie nicht.

Nur dass keine Zweifel aufkommen: ich finde die CO2-Steuer vollkommen richtig (wenn auch zu niedrig), insbesondere mit der von den Grünen vorgesehenen Entlastung für sozial Schwächere. Ach ja, davon war im BR auch nichts zu hören ...

Durch die ARD Infonacht habe ich NDR und WDR kennen uns schätzen gelernt. Ich höre weiterhin öfters BR, schon alleine wegen des lokalen Bezugs, nehme aber die Nachrichten nicht mehr notwendigerweise für bare Münze. Nicht, dass sie Falsches berichten würden, aber die Präsentation der Nachrichten hat für mich doch eine gewisse Färbung, die mir nicht mehr ganz neutral erscheint.

Gerade bei Nachrichten, die Deutschland und das Ausland betreffen verlasse ich mich lieber auf meine Zeitung und die Nachrichten-Podcasts von NDR und WDR. Den beiden vielen Dank an dieser Stelle!