diym_php: neue Version

Autor: anonym Themen: Medien Netactivism ompf diym diym_php Datum: 25. Aug 2020 17:38 Quelle: http://raxuatgmxdvnp4no.onion

Hallo liebe NutzerInnen von diym,

seit kurzem gibt es eine neue Version der Software diym_php, die auf den Seiten ompf (http://mphvik4btkr2qknt.onion) und ompf II (http://raxuatgmxdvnp4no.onion) läuft.
Das zip Archiv mit der Software ist an diesen Artikel angehängt.

Änderungen gegenüber der letzten Version:

-viele kleine Bugfixes (alles nichts Sicherheitskritisches, sondern meist Fehler in der Darstellung)
-einige Verbesserungen (bessere Darstellung, Unterstützung von Gendersternchen (richtig und falsch formatiert)),...
-neue Features: viele neue Einstellungen, Differenzierung von lokalen und gespiegelten Artikeln, zusätzliche Layouts (css), FHS 3.0 konforme Pfade, ein Installationsskript...

Die Software mitsamt Anleitung gibt es auch hier:

http://mphvik4btkr2qknt.onion/software/

Ich freue mich über Rückmeldungen, und natürlich noch mehr über neue diym-Seiten.

Grüsse

dreamer

Website: http://mphvik4btkr2qknt.onion/software/
Datei(en): diym_php_0.3_beta.zip.sha512.txt diym_php_0.3_beta.zip
Melden Kommentieren
Kommentare:

feedback

Autor: anonym Datum: 25. Aug 2020 21:07 Quelle: http://raxuatgmxdvnp4no.onion

danke für die arbeit.

zwei dinge fallen mir ein
eins: in punkto sicherheit wäre es sinnvoll die pakete mit pgp zu signieren. dann wissen alle dass die dateien zumindest relativ sicher von dem mensch kommen der sie schon zuvor signiert hat. ausser key und pw wurden ausgespäht. es wäre fatal wenn uns irgendwelche schlingel bösartige dateien unterschieben. immerhin steht indy im fokus von behörden und nazis. (der sha-hash reicht nicht aus für den zweck)

zwei: besonders da ja root vorausgesetzt wird. generell ist es heikel zeug als root auszuführen besonders wenn es von irgendwelchen leuten aus dem darknet kommt. wenn es ein skript oder zumindest eine anleitung gäbe wie es ohne root aufsetzbar ist würde das ganze schon sehr entschärft. nginx und webserver setze ich lieber selbst auf und verschiebe die dateien...

Melden

Danke für Rückmeldung

Autor: anonym Datum: 26. Aug 2020 15:23 Quelle: http://raxuatgmxdvnp4no.onion

Hallo,

danke für die Rückmeldung.

>eins: in punkto sicherheit wäre es sinnvoll die pakete mit pgp zu signieren. dann wissen alle dass die dateien zumindest relativ sicher von dem mensch kommen der sie schon zuvor signiert hat.

Ja, stimmt. Die pgp Signatur bietet mehr Schutz als nur die Prüfsumme. Werde ich so machen in Zukunft.

> ausser key und pw wurden ausgespäht.

Was schwieriger ist, aber nicht unmöglich. Absoluten Schutz gibt es auch bei diesem Problem nicht.

> es wäre fatal wenn uns irgendwelche schlingel bösartige dateien unterschieben.

Ja, stimmt. Allerdings müssten auch im Moment (also nur bei Verwendung der Prüfsummendatei) alle vier Server aufgemacht werden und das Archiv und die Prüfsummendatei jeweils ausgetauscht werden, wenn das Ganze über kurz oder lang nicht auffallen sollte. Es wäre also für eine AngreiferIn auch jetzt schon ziemlich aufwendig. Trotzdem werde ich den Schutz verbessern und die pgp Signaturen benutzen.

> immerhin steht indy im fokus von behörden und nazis.

Ja, absolut. Mit Angriffen von diesen Seiten ist zu rechnen. Dessen sollte sich auch jede Person bewusst sein die überlegt selber einen Server aufzusetzen.
Das soll natürlich keineN davon abhalten, das zu tun. Im Gegenteil: wir brauchen mehr Server um eine wirklich ausfallsichere Gesamtlösung zu haben.
Aber das Risiko sollte klar sein.

>da ja root vorausgesetzt wird

diym_php ist eine Anwendung für einen Webserver. Ich wüsste nicht wie die Installation ohne root gehen sollte. Der Betrieb erfordert keine root Rechte, sondern läuft unter dem User www-data (also dem Webserver).

>generell ist es heikel zeug als root auszuführen

Ja, ist so. Es setzt ein gewisses Vertrauen in die Software voraus, was schwierig ist, da es keinen Grund gibt zu vertrauen (aber viele Gründe zu misstrauen).
Das ist allerdings kein spezielles Problem dieser Software, sondern ein grundsätzliches was jede Software hat.

Gegenmassnahmen:

-lest den Code, es ist alles OSS und es gibt keine blobs. Entsprechende Fachkenntnis vorausgesetzt ist also alles überprüfbar was diese Software macht. Wenn ihr die Fachkenntnis selbst nicht habt, zeigt es eineR ExpertIn (ein externes Audit des Codes ist übrigens geplant, das wird aber noch ein bisschen dauern).
-testet die Software auf einer virtuellen Maschine und guckt ob irgendwas komisch ist
-trennt den Server vom Rest eures Netzwerks mittels einer Firewall um das Risiko zu minimieren. Für den Betrieb im Darknet reicht es wenn Anfragen von Tor zum Webserver weitergeleitet werden und Anfragen von diym_php an Tor. Es ist nicht notwendig das diym_php Zugriff auf das normale Internet hat. Für den Betrieb im Clearnet kann ein reverse proxy vorgeschaltet werden (zB. varnish oder auch nginx), und der Server selber kann ansonsten ebenfalls abgeschottet werden.

>besonders wenn es von irgendwelchen leuten aus dem darknet kommt.

Ja nun, ich bin "irgendwelche Leute": ich gebe meinen Namen nicht an, damit mir nicht die Bullen die Haustür einlatschen, der sogenannte Verfassungsschutz ein Zeltlager in meinem Garten aufschlägt oder irgendwelche Nazischläger denken sie müssten mich als Punchingball benutzen.
Und aus denselben Gründen bin ich im Darknet unterwegs: es ist einfach ein Schutz, wenn auch ein beschränkter (schliesslich können auch Tor hidden services enttarnt werden).
Es gibt ein generelles Risiko bei der Benutzung von Software die andere Leute geschrieben haben, und es ist egal ob die nun anonym veröffentlicht wurde oder unter einem Namen (Windows und Android zum Beispiel tragen private Daten säckeweise raus und sind auch sonst nicht gerade als sicher zu bezeichnen, und bei beiden sind die Autoren der Software gut bekannt. Ganz zu schweigen von all den Apps für Mobiltelefone die von vielen genutzt werden "weil sie so praktisch sind" und die im normalen Betrieb riesige Löcher reissen).

> wenn es ein skript oder zumindest eine anleitung gäbe wie es ohne root aufsetzbar ist würde das ganze schon sehr entschärft.

Um Softwarepakete zu installieren und Dateien und Verzeichnisse unter /etc/ und /opt/ anzulegen wirst du root Rechte brauchen, das ist der Sinn der Sache. Wenn das mit normalen Privilegien gehen würde, wäre dein System nämlich auch unsicher.

>nginx und webserver setze ich lieber selbst auf und verschiebe die dateien...

Ok, verstehe ich. Das Installationsskript ist so angelegt dass es möglichst einfach bedienbar ist, aber natürlich kann das alles auch von Hand erledigt werden um eine bessere Kontrolle und Übersicht zu haben was gemacht wird.

Kurzanleitung zum händischen Installieren:

Installation der Abhängigkeiten (für eine Standardinstallation):

apt update
apt upgrade -y
apt install -y nginx tor privoxy php php-fpm php-gd php-mbstring php-json

benötigte Verzeichnisse anlegen:

mkdir -p /etc/opt/diym_php
mkdir -p /opt/diym_php/php
mkdir -p /opt/diym_php/bin
mkdir -p /opt/diym_php/doc
mkdir -p /var/opt/diym_php/buffer/all
mkdir -p /var/opt/diym_php/buffer/regions
mkdir -p /var/opt/diym_php/buffer/tags
mkdir -p /var/opt/diym_php/buffer/users
mkdir -p /var/opt/diym_php/templates
mkdir -p /var/opt/diym_php/tmp
mkdir -p /var/opt/diym_php/log
mkdir -p /var/opt/diym_php/files/badFilesCheck
mkdir -p /var/opt/diym_php/files/thumbnailCheck
mkdir -p /var/opt/diym_php/captcha
mkdir -p /var/opt/diym_php/garbage
mkdir -p /srv/diym_php/webroot/node
mkdir -p /srv/diym_php/webroot/tag/all
mkdir -p /srv/diym_php/webroot/region
mkdir -p /srv/diym_php/webroot/user
mkdir -p /srv/diym_php/webroot/local
mkdir -p /srv/diym_php/webroot/mod
mkdir -p /srv/diym_php/webroot/pub
mkdir -p /srv/diym_php/webroot/images
mkdir -p /srv/diym_php/webroot/css/blackcat
mkdir -p /srv/diym_php/webroot/css/bw
mkdir -p /srv/diym_php/webroot/css/vanilla
mkdir -p /srv/diym_php/webroot/tmp

Konfigurationsdateien editieren (aus dem Verzeichnis des entpackten Archivs) (erster Schritt):

nano ./conf/privoxy_config
nano ./conf/torrc

Konfigurationsdateien verteilen (erster Schritt):

cp -v ./conf/privoxy_config /etc/privoxy/config
cp -v ./conf/torrc /etc/tor/

tor und privoxy neu starten:

service tor restart
service privoxy restart

Konfigurationsdateien editieren (aus dem Verzeichnis des entpackten Archivs) (zweiter Schritt):

nano ./conf/conf.inc.php
nano ./conf/diym_php.conf
nano ./conf/crontab

Konfigurationsdateien verteilen (zweiter Schritt):

cp -v ./conf/conf.inc.php /etc/opt/diym_php/
cp -v ./conf/diym_php.conf /etc/nginx/sites-available/

Dateien der Anwendung kopieren (aus dem Verzeichnis des entpackten Archivs):

cp -v ./php/ /opt/diym_php/php/
cp -v ./files/
/var/opt/diym_php/files/
cp -v ./doc/ /opt/diym_php/doc/
cp -vr ./webroot /srv/diym_php/
cp -v ./command/
/opt/diym_php/bin/
cp -v ./templates/* /var/opt/diym_php/templates

Rechte auf den Benutzer des Webservers anpassen:

chown -R www-data.www-data /var/opt/diym_php
chown -R www-data.www-data /srv/diym_php

nginx diym_php Instanz aktivieren:

ln -s /etc/nginx/sites-available/diym_php.conf /etc/nginx/sites-enabled

nginx default Instanz deaktivieren:

rm /etc/nginx/sites-enabled/default

nginx neu starten:

service nginx restart

cronjob für die Synchronisierung anlegen:

crontab -u www-data ./conf/crontab

Hoffe dass das hilft, ansonsten beantworte ich Fragen gerne hier:

riseup: http://zkdppoahhqu5ihjqd4qqvyfd2bm4wejrhjosim67t6yopl77jitg2nad.onion

Name: diy_hacker

Grüsse

dreamer (aka diy_hacker)

Melden

Nochmal Kurzanleitung zum händischen Installieren

Autor: anonym Datum: 26. Aug 2020 15:28 Quelle: http://raxuatgmxdvnp4no.onion

Die Anleitung in meinem ersten Kommentar wurde durch das Markdown etwas falsch abgebildet, hier also nochmal richtig:

Kurzanleitung zum händischen Installieren:

Installation der Abhängigkeiten (für eine Standardinstallation):

apt update
apt upgrade -y
apt install -y nginx tor privoxy php php-fpm php-gd php-mbstring php-json

benötigte Verzeichnisse anlegen:

mkdir -p /etc/opt/diym_php
mkdir -p /opt/diym_php/php
mkdir -p /opt/diym_php/bin
mkdir -p /opt/diym_php/doc
mkdir -p /var/opt/diym_php/buffer/all
mkdir -p /var/opt/diym_php/buffer/regions
mkdir -p /var/opt/diym_php/buffer/tags
mkdir -p /var/opt/diym_php/buffer/users
mkdir -p /var/opt/diym_php/templates
mkdir -p /var/opt/diym_php/tmp
mkdir -p /var/opt/diym_php/log
mkdir -p /var/opt/diym_php/files/badFilesCheck
mkdir -p /var/opt/diym_php/files/thumbnailCheck
mkdir -p /var/opt/diym_php/captcha
mkdir -p /var/opt/diym_php/garbage
mkdir -p /srv/diym_php/webroot/node
mkdir -p /srv/diym_php/webroot/tag/all
mkdir -p /srv/diym_php/webroot/region
mkdir -p /srv/diym_php/webroot/user
mkdir -p /srv/diym_php/webroot/local
mkdir -p /srv/diym_php/webroot/mod
mkdir -p /srv/diym_php/webroot/pub
mkdir -p /srv/diym_php/webroot/images
mkdir -p /srv/diym_php/webroot/css/blackcat
mkdir -p /srv/diym_php/webroot/css/bw
mkdir -p /srv/diym_php/webroot/css/vanilla
mkdir -p /srv/diym_php/webroot/tmp

Konfigurationsdateien editieren (aus dem Verzeichnis des entpackten Archivs) (erster Schritt):

nano ./conf/privoxy_config
nano ./conf/torrc

Konfigurationsdateien verteilen (erster Schritt):

cp -v ./conf/privoxy_config /etc/privoxy/config
cp -v ./conf/torrc /etc/tor/

tor und privoxy neu starten:

service tor restart
service privoxy restart

Konfigurationsdateien editieren (aus dem Verzeichnis des entpackten Archivs) (zweiter Schritt):

nano ./conf/conf.inc.php
nano ./conf/diym_php.conf
nano ./conf/crontab

Konfigurationsdateien verteilen (zweiter Schritt):

cp -v ./conf/conf.inc.php /etc/opt/diym_php/
cp -v ./conf/diym_php.conf /etc/nginx/sites-available/

Dateien der Anwendung kopieren (aus dem Verzeichnis des entpackten Archivs):

cp -v ./php/* /opt/diym_php/php/
cp -v ./files/* /var/opt/diym_php/files/
cp -v ./doc/* /opt/diym_php/doc/
cp -vr ./webroot /srv/diym_php/
cp -v ./command/* /opt/diym_php/bin/
cp -v ./templates/* /var/opt/diym_php/templates

Rechte auf den Benutzer des Webservers anpassen:

chown -R www-data.www-data /var/opt/diym_php
chown -R www-data.www-data /srv/diym_php

nginx diym_php Instanz aktivieren:

ln -s /etc/nginx/sites-available/diym_php.conf /etc/nginx/sites-enabled

nginx default Instanz deaktivieren:

rm /etc/nginx/sites-enabled/default

nginx neu starten:

service nginx restart

cronjob für die Synchronisierung anlegen:

crontab -u www-data ./conf/crontab

Melden