Die neue Version 2.1 des datamate Cockpits steht ganz im Zeichen der Sicherheit. Die Zwei-Faktor-Authentifizierung für Cockpit und Seafile minimiert das Risiko unbefugten Zugriffs auf diese beiden kritischen Anwendungen. Außerdem regelt das neue Cockpit den Zugriff auf die Benutzerdatenbank restriktiver und verfügt über optimierte SSL-Einstellungen für den Webserver. Details zu den Neuerungen des Releases 2.1 erfährst Du in diesem Artikel. Am Ende des Textes fasst ein Changelog die Änderungen zusammen.

Zwei-Faktor-Authentifizierung für Seafile und Cockpit

Was bietet besseren Schutz vor unbefugtem Zutritt als eine abgeschlossene Tür? Zwei abgeschlossene Türen! Diese Idee liegt der 2-Faktor-Authentifizierung (2FA) zugrunde. 2FA lässt sich nun für Seafile, für das Cockpit oder für beides aktivieren. Ein 6-stelliger Zahlencode, der alle 30 Sekunden neu von einer App auf Handy oder Tablett erzeugt wird, ist dann zusätzlich zum Passwort nötig, um Zugriff auf Seafile und Cockpit zu bekommen.

2FA für das Cockpit kann durch den Administrator verpflichtend oder den Nutzer optional aktiviert werden. Wird 2FA für das Cockpit scharf geschaltet, dann muss der Nutzer beim nächsten Login seinen Account mit einer 2FA-App verbinden. Die Einrichtung von 2FA für Seafile erfolgt in den persönlichen Einstellungen des Benutzers im Seafile Webinterface, nachdem der zweite Faktor durch den Administrator in den Diensteeinsellungen aktiviert wurde.

Bei der Auswahl der richtigen 2FA-App hat der Anwender die Qual der Wahl. Einen guten Überblick über die bekanntesten Apps findest Du im Artikel Die sieben besten 2FA-Apps für Android und iOS.

Besserer Schutz für den zentralen LDAP-Dienst

Die zentrale LDAP-Benutzerdatenbank ist eine der zentralen Komponenten auf jedem datamate Server und damit ein absolut sicherheitskritischer Dienst. Das Cockpit 2.1 schützt ihn durch zwei Maßnahmen besser vor unbefugter Manipulation: Zum einen ist der LDAP-Verzeichnisdienst grundsätzlich nur noch vom Server selbst – Stichwort localhost – und nicht mehr von anderen Rechnern aus dem lokalen Netzwerk bzw. virtuellen Maschinen möglich. Soll der Zugriff von außen erlaubt werden, muss dieser explizit im Cockpit über die Einstellungen des Dienstes OpenLDAP freigeschaltet werden.

Die zweite Sicherheitsmaßnahme ist die automatische Deaktivierung der LDAP-Administrationsoberfläche. Bisher konnte der Webzugriff auf LDAP im Cockpit manuell aktiviert bzw. deaktiviert werden. Dies bleibt auch in der Version 2.1 so, die neue Version hat aber ein zusätzliches Feature parat: Nachts wird der Webzugriff automatisch deaktiviert. Für den Zugriff am Folgetag muss er wieder aktiviert werden. So besteht kein erhöhtes Risiko, wenn man vergisst, den Schalter auf inaktiv zu stellen.

A+ Rating bei SSL-Labs für das datamate Cockpit

Die letzte Sicherheitsverbesserung im Cockpit 2.1 betrifft den Webserver NGINX. Durch die Optimierung seiner Sicherheitseinstellungen erhalten die Web-Logins nun ein A+ Rating beim SSL-Test von SSL-Labs.

Notwendig war dafür die Entfernung von als unsicher eingestuften Verschlüsselungstechniken wie TLS 1.0. Für die allermeisten Geräte sollte dies keine Einschränkungen mit sich bringen. So werden alle Mobilgeräte und Webbrowser, die nach 2014 entwickelt wurden, ohne Probleme funktionieren. Bei Smartphones mit einem Android älter als 4.3 kann es ggf. zu funktionalen Einschränkungen kommen. Andererseits: Wer im Jahr 2020 – dem Jahr, in dem Android 9 das am weitesten verbreitete Android ist – noch Android 4.x verwendet, der muss jeden Tag wohl noch viele andere technischen Einschränkungen auf seinem Smartphone hinnehmen.

Optimierung des OpenVPN Zertifikatsmanagement

Mit diesem Update haben wir eine bekannte Einschränkung des datamate Cockpits in Bezug auf VPN-Zertifikate beseitigt. Ab sofort können Zertifikate einen Namen erhalten, der bereits früher für ein anderes Zertifikat verwendet wurde. In der Vergangenheit führte dies zu einem unbrauchbarem Zertifikat. Anders ausgedrückt: Nun kannst Du das Zertifikat ‘ILoveDatamate’ wieder und wieder ohne Probleme erzeugen 😉 .

Unterstütze Dienste

Das datamate Cockpit in der Version 2.1. funktioniert mit Ubuntu 16.04 und 18.04 Server-Betriebssystemen. Zum Zeitpunkt der Veröffentlichung war der Ubuntu-Kernel 4.4.0-142 verfügbar.

• Seafile (getestet mit CE 7.0.5 & PE 7.0.11)
• sabre/dav (getestet mit 3.2)
• WordPress (getestet mit 5.2 & 5.3)
• Benno (getestet mit 2.8.2 & 2.8.5)
• OpenVPN (getestet mit 2.3.10)
• ddclient (getestet mit 3.8.1)
• Fail2ban (getestet mit 0.9.3)
• Virtualbox inkl. Guest Additions (getestet mit 5.2.26)
• OpenLDAP (getestet mit 2.4.42)
• UFW (getestet mit 0.35)
• restic (getestet mit 0.9.6)

Changelog 2.1.0

• [new] Zwei-Faktor-Authentifizierung für das datamate Cockpit
• [new] Zwei-Faktor-Authentifizierung für Seafile im Cockpit aktivierbar
• [change] Optimierung Schutz des LDAP-Benutzerverzeichnisses
• [change] Optimierung des VPN-Zertifikatsmanagements
• [change] Optimierung der SSL-Konfiguration in NGINX
• [fix] Fehlende Trust-Chains werden bei der OpenVPN-Zertifikatserstellung erkannt und korrigiert

Changelog 2.1.1

• [fix] Zwei-Faktor-Authentifizierung funktioniert nun auch bei Benutzer, die vor Cockpit 1.4 angelegt wurden
• [fix] Prüfung des Network-Time-Protokols (NTP) korrigiert
• [fix] Certbot auf die neueste Version aktualisiert um Fehlermeldungen bei einem “–dry-run” unter Ubuntu 16.04 zu verhindern

Changelog 2.1.2

• [change] Textanpassungen im Bereich Zwei-Faktor-Authentifizierung
• [fix] Änderungen an existierenden Benutzern wurden teilweise nicht gespeichert