Script zum versenden von Attachments

Wie ich bereits in einem anderen Beitrag geschrieben habe, nutze ich CAYA um meine Dokumente zu archivieren. Leider bietet CAYA keinen automatischen Upload per WEBDAV oder FTP an, daher habe ich eine andere Schnittstelle (E-Mail) genutzt, um meine Dokumente nach dem Scan per E-Mail zu versenden.

Da ich MacOS nutze, konnte ich mein bestehendes Script für Linux dafür verwenden. Ich musste nur „mutt“ über Brew nachinstallieren.

Das Script ist relativ einfach aufgebaut und wird per Cron jede Minute ausgeführt. Es durchsucht einen speziellen Ordner nach PDF Dokumenten und versendet diese dann per Email. Das Script kann natürlich auch für alles andere verwendet werden (versenden von LogFiles z.B.).

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

CAYA im Test

Aktuell habe ich mich zum testen bei CAYA angemeldet (Der versprochene CAYA Gutscheincode ist übrigens ganz unten). Nach langem Vergleich mit mehreren Anbietern habe ich mich für CAYA entschieden, ein großer Punkt ist das Thema App gewesen, ich möchte meine Post gerne digitalisiert auf meinem Handy über eine App und nicht über eine Website erhalten. Warum? Eine App ist um einiges praktischer als jedesmal den Browser öffnen zu müssen. Alternativ habe ich mir auch Dropscan angesehen, was eben nur im Browser funktioniert. Dies hat mich ungemein gestört. Würde es jetzt noch eine iPad Version für CAYA geben – Perfekt.

Meine Erfahrung mit CAYA ist recht durchwachsen. Prinzipiell gefällt mir der Service, ich hatte vorher E-Post Scan von Deutsche Post AG und bin damit ganz schön auf die Nase gefallen. Teilweise erhielt ich meine Post Wochen später, teilweise garnicht. Man kann bei der Post einen kostenlosen Dienst „Briefankündigungen“ aktivieren. Sobald ein Brief das Zustellzentrum durchläuft, wird der Umschlag (nicht der Brief) gescannt und man erhält davon ein Foto. So konnte ich sehr schnell beweisen, das Post mit dem eine E-Post Scan Service nicht ankommt und einfach verschwindet. Eine Antwort hatte die Deutsche Post auch nicht, im Grunde hat es gar niemanden interessiert wo meine Post bleibt. Willkommen im Konzern. Dies ist übrigens bei CAYA nicht so. Der Kontakt ist professionell, schnell und man fühlt sich gut aufgehoben.

Der Wechsel nach CAYA

Der Wechsel verlief reibungslos und schnell. Die Post von Deutsche Post AG wird mit einem Nachsendeauftrag weitergeleitet in das CAYA Scan Zentrum. Die Nachsendeaufträge übernimmt CAYA, man kann diese Online zu einem kleinen Preis buchen. Nur die lokalen Zusteller (Briefe und mehr etc) müssen selbst beauftragt werden. Leider habe ich dazu noch keine Erfahrungswerte, da z.B. Briefe und mehr zwar bewirbt das eine Weiterleitung kostenlos ist, jedoch scheinen diese sich trotz mehrfacher Nachfrage nicht zu rühren.

Die Benutzeroberfläche

Die Benutzeroberfläche ist relativ schlicht. Wer nur ein paar Briefe am Tag zu sortieren hat, ist bei CAYA gut aufgehoben. Werden es jedoch mehr, zeigt CAYA klare Schwächen: Relativ schnell merkt man, das es sich hierbei „nur“ um ein einfaches Online DMS handelt. Komforteinstellungen wie z.B. automatische Workflows müssen extra bezahlt werden. Auto-Tags sind nicht möglich, auch hier ist wieder manuelle Arbeit gefragt. Auch merkt man relativ schnell die Schwächen des Webinterface: Habe ich z.B. mehrer Monitore, ist ein Drag&Drop zwischen zwei Browser Fenster nicht möglich, ich muss mich also umständlich durch die Ordner klicken. Stelle ich dann feste, das der Zielordner in meiner tiefen Verschachtelung noch nicht existiert, muss ich den Vorgang abbrechen, den Ordner anlegen und mich erneut durchklicken.

CAYA Benutzeroberfläche

Ich hatte zu Beginn meiner Testversion CAYA auch direkt eine kleine Liste gesendet was mich an dem Dokumentenmanagement stört:

  1. Keine iPad App (Ja, Webinterface „reicht“, eleganter ist aber eine App
  2. Fehlende 2FA Auth mittels Google Authententicator z.B. (Update 28.08.2022: Ich habe erneut nachgefragt wann dieses Feature eingeführt wird)
  3. iPhone App teilweise fehlerhaft, „Teilen“ von Dokumenten nicht möglich
  4. iPhone „Sperren per PIN oder FaceID“ nicht möglich
  5. Integration zwischen GetMyInvoice nicht bidrektional (ich möchte die Dokumente gerne aus GMI in meinem DMS haben)
  6. Anbindung Lexoffice fehlt mir
  7. Export Datenbestand für z.B. BP Prüfung Finanzamt
  8. Export nach Webdav
  9. Suchmaske etwas unübersichtlich (vermutlich da Webclient / Online), Dokumentenvoschau fehlt
  10. Betreff durch OCR ist OK -> Besser jedoch Betreff durch z.B. Dateiname (oder Platzhalter für eingehende Dokumente)
  11. Auto Import fehlt (z.B. von Webdav -> DMS ….)
  12. Nachsenden zu teuer (E-Post sendet kostenlos 1x im Monat die Belege)

Besonders die zwei Faktor Authentifizierung halte ich für enorm wichtig, wenn dort vertrauliche Firmenpost gelagert werden soll. Schade das CAYA dies nach mehreren Monaten noch nicht umgesetzt hat.

Workflows

CAYA bietet inzwischen Workflows an und ich konnte diese testen. Leider finde ich die Workflows absolut überflüssig. Für eigene Workflows soll man bezahlen und die vorhandenen fünf Workflows erscheinen mir nicht ausreichend (Stand 28.08.2022). So wollte ich einen Workflow für alle Dokumente anlegen, die per Email eintreffen und ein bestimmtes Wort enthalten um diese in einen Ordner abzulegen (bsp. Rechnungen). Dies geht leider nicht. Ich muss das Dokument schon vorher mit Tags versehen, in alle möglichen Himmelsrichtungen klassifizieren usw. damit dieses identifiziert werden kann. Für mich als kleines Unternehmen kann ich die Dokumente dann gleich per Hand wegsortierten. Schade. Der Support konnte mir leider auch nicht helfen.

Die Workflows im CAYA

Lieferung / Originale

Update vom 24.08.2022: Tatsächlich habe ich nun von meiner Krankenkasse eine neue Karte erhalten und benötigte diese per Post. Relativ unkompliziert und schnell konnte ich mir die Originalbelege senden lassen. Erstaunlicherweise hielt ich schon drei Tage später meine Krankenkassenkarte in der Hand. Leider ist dieser Service jedoch sehr teuer, da CAYA (logischerweise) diese Sendungen mit DHL versendet.

Fazit

Auch wenn CAYA nicht optimal ist – Für mich als kleines Unternehmen ist die Lösung ausreichend. Für jemanden, der Features wie Webdav nicht benötigt, ebenfalls. Ich hatte mir auch noch andere DMS Systeme wie z.B. ECODMS angesehen, jedoch habe ich mich bewusst auf einen Cloud Anbieter festgelegt. Cloud DMS ist eben etwas feines, weil man sich nicht selbst um die Updates kümmern muss 😉 Der Preis ist (finde ich) etwas hoch, für simple Workflow Features oder mehr als 100 PDF Uploads zu bezahlen halte ich für überteuert.


Über diesen Link kann man mit dem Code cl3oyfrl431q60g37zk1sa4kz übrigens den ersten Monat gratis bekommen. Einfach caya.link/raf besuchen, Gutscheincode eingeben und selbst ausprobieren.


Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

Pi.Alert auf dem Raspberry als NAC

Guten Morgen zusammen 🙂

Gestern habe ich mich ein bisschen mit dem Thema NAC beschäftigt. Network Access Control (NAC; deutsch Netzwerkzugangskontrolle) ist eine Technik, die die Abwehr von Viren, Würmern und unautorisierten Zugriffen aus dem Netzwerk heraus unterstützt.

Eigentlich wollte ich schnelle Lösung finden, um neue Geräte in meinem Netzwerk erst freizugeben, ein direktes „Fencing“, also den Client in ein separates Quarantäne Netzwerk zu packen wollte ich nicht. Darum ist auch der Titel „Pi Alert als NAC“ so nicht ganz korrekt, jedoch erfüllt der Weg voll und ganz meine Zwecke. Neue Geräte, die durch Pi Alert identifiziert wurden, werden aus der Datenbank ausgelesen (per bash Script) und dann über iptables blockiert. Hierzu ist es natürlich zwingend erforderlich, das der Pi Alert gleichzeitig als Default Gateway im Netzwerk funktioniert. Das ganze kann natürlich abgeändert werden, theoretisch könnte über das Script auch eine API am Switch, dem DHCP selbst oder eventuell eine andere Firewall angesprochen werden (z.B. über SSH).

Das Script ist relativ simple aufgebaut:

Sobald die Geräte im Pi Alert nicht mehr als New markiert sind, werden diese durch das Flush gelöscht. Das ganze starte ich dann jede Minute per Cron.

Sicherlich ist dies keine „ultimative“ NAC Lösung und kann total einfach (durch ändern des GWs) umgangen werden. Mir selbst reicht es aber um mein heimisches Netzwerk etwas besser zu kontrollieren.

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

Pi.Alert – Kostenlose Alternative zur Fingbox

In den letzten Wochen habe ich mich mit dem Thema Fing beschäftigt. Fing ist ein relativ einfaches Tool, welches das Netzwerk regelmäßig auf neue Device untersucht und diese anschließend analysiert. Hierzu wird u.a. ein ARP Request im LAN regelmäßig abgesetzt, die Mac Adressen (Hersteller) analysiert und anschließend in einer GUI angezeigt. Sofern man sich also dafür interessiert wer noch alles in seinem LAN/WLAN so rumspringt, ist dies eine tolle Sache. Neue Geräte werden dann sofort per Alarm dem Admin mitgeteilt, so das man einen direkten und schnellen Überblick hat, wer sich gerade (neues) in seinem Netzwerk befindet. Ebenfalls können Statistiken erstellt werden, wer, wann und wie lange im Netzwerk gewesen ist.

Übersicht aller Geräte im Netzwerk

Leider hat Fing auch einen großen Nachteil. Um das Netzwerk regelmäßig zu analysieren ist eine Fingbox erforderlich (um die 120 Euro), alternativ muss ein Rechner (Windows oder MacOS) regelmäßig laufen damit das Netzwerk alle paar Minuten gescannt wird. Ein spezielles Raspberry Image gibt es leider nicht.

Neues Gerät wurde erkannt

Zuerst hatte ich die Überlegung selbst etwas zu programmieren, was ähnlich aufgebaut ist. Prinzipiell benötige ich die vielen Features von Fing nicht, ich wollte einfach nur wissen welche Geräte in meinem Netzwerk sind oder sich gerade eben angemeldet haben.

Nach langer Suche bin ich dann fündig geworden und bin über Pi.Alert gestolpert. Die relativ unbekannte Applikation nutzt verschiedene Methoden, um das Netzwerk zu untersuchen, die Ergebnisse zu visualisieren oder per E-Mail an den Admin zu versenden. Hierzu werden verschiedene Methoden genutzt:

  1. ARP Scans
  2. DNS Anfragen aus Pi-hole
  3. DHCP Leases aus dnsmasq

Besonders interessant finde ich das schon während der Installation von Pi.Alert gefragt wird, ob der Ad-Blocker Pi-hole auf dem Gerät installiert ist oder installiert werden soll. Ich persönlich bin ein großer Fan, Werbung und Tracker über DNS zu filtern. Darum finde ich den Ansatz, die Source IP der DNS Anfragen zu analysieren, eine sehr gute Idee. Ich hatte Pi-hole übrigens schon vorher sowohl in einem VMWare Image als auch auf einem Raspberry Pi Zero am laufen.

Neues iPhone im Netzwerk gefunden

Fazit

Mit Pi.Alert habe ich mein Netzwerk gut im Griff. Die Applikation kann gemeinsam mit Pi-Hole betrieben werden und liefert so perfekte Ergebnisse. Noch besser wird das ganze natürlich wenn man die DHCP Leases aus Pi-Hole ausliest (sofern dieser auch DHCP macht), es ist jedoch auch möglich einen Reverse Lookup auf die IPs zu machen. Durch eine Benachrichtigung per Email (SMTP Server wird bei der Installation abgefragt) lassen sich zudem Downtimes etc. als Benachrichtigung einstellen. Wenn man auf Features wir „Port-Scans“ etc. verzichten kann, ist Pi.Alert eine schöne kostenlose Alternative zur Fingbox. Mit persönlich reicht es zu wissen, das ein neues Gerät im Netzwerk ist. Vielleicht passe ich mir das Script noch ein bisschen an (bsp. Qualys Scan über die API bei einem neuen Device).

Links

Pi Alert auf GitHub

Pi Hole als DNS / DHCP Server Image

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

MySQL repository: GPG Keys expired

In den letzten Tagen habe ich bei einer CentOS 7 Maschine beobachtet, das yum cron nicht sauber ausgeführt wird. Das ganze spiegelte sich natürlich auch im Qualys wieder, so das ich mir den folgenden Fehler mal ansehen musste:

Auf der MySQL Seite gibt es dazu auch einen passenden Case.

Das ganze lässt sich mit einem vorübergehenden Workaround relativ schnell beheben und die aktuellste Version installieren. In der Datei /etc/yum.repos.d/mysql-community.repo einfach die Zeile gpgcheck=1 auf gpgcheck=0 ändern, damit werden Pakete aus dem Repo erstmal nicht mit dem GPG Schlüssel validiert, nach einem yum update sollte der Schlüssel jedoch wieder aktiviert werden und für die neuere Installation der Key importiert werden: rpm –import https://repo.mysql.com/RPM-GPG-KEY-mysql-2022

Link für cPanel Autofix: https://support.cpanel.net/hc/en-us/articles/4419382481815?input_string=gpg+keys+problem+with+mysql+5.7

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

Lego mit dem Raspberry steuern

Über eine neue Zusatzplatine ist es möglich, mit seinen Raspberry Pi die Motoren und Sensoren von Lego zu steuern. Die Raspberry-Pi-Foundation hat dafür auch eine passende Python-Bibliothek und mehrere Demoprojekte veröffentlicht.

Mit dem Build Hat getauften Zusatzboard bekommt man die Kontrolle von bis zu vier Lego-Technic-Motoren oder Spike-Sensoren aus der Lego-Education-Reihe Die Platine kostet ca. 26 Euro in Deutschland und kann mit allen Raspberry-Pi-Varianten genutzt werden (sofern diese über eine GPIO-Leiste mit 40 Steckern verfügen). Über einen entsprechenden Adapter ist es sogar möglich, den Build Hat mit dem kleinen Desktop-Rechner Raspberry Pi 400 zu verbinden. Auf dem Hat wird der RP2040-Chip verbaut, der von der Foundation selbst entwickelt wird. Der 40-nm-Chip wird etwa auf dem Raspberry PI Pico verwendet, kann aber auch in Einzelteilen bestellt werden.

Als kleine Einstiegshilfe hat die Raspberry-Pi-Foundation sogar vier Anleitungen für Demoprojekt veröffentlicht. Die Bibliothek unterstützt übrigens neben Lego-Technic-Geräten auch das Mindstorms Robot Inventor Kit und weitere Lego-Produkte, die auf einen LPF2-Anschluss setzen.

In der Einstiegshilfe könnt ihr z.B. sehen, wie ihr einen Gamecontroller aus Lego-Bauteilen herstellt, ein ferngesteuertes Fahrzeug oder einen Plotter baut oder ein Robotergesicht aus Lego-Steinen zusammensetzt

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

Raspberry Pi headless setup

Meine heimliche Liebe zu Einplatinenrechner ist kein Geheimnis. Ist erst ein Ansatz zur Automatisierung gefunden, wird dieser direkt durch ein „Raspberry Projekt“ umgesetzt. Zugegeben, in den letzten Wochen schwärme ich auch für Arduino, welcher tolle Möglichkeiten eröffnet – Aber Raspberry dominiert dennoch unseren Haushalt durch Webcams, Ambilight, Speedmessungen am DSL Anschluss, 3D Drucker und vieles mehr. Aktuell arbeite ich gerade an einem Thermometer, welches von einem Arduino mit DHT22 über 433 MHz Messungen empfängt, statistisch am Pi aufwertet und dann an einem Webserver überträgt. Damit der Pi Zero auch ohne Monitor und Tastatur direkt gestartet werden kann, sind zunächst jedoch einige Änderungen notwendig.

Download des aktuellen Raspbian Image und Installation durch Etcher

Dieser Schritt sollte relativ selbstredend sein, daher werde ich auf die Installation nicht näher eingehen. Früher habe ich das Image aus der Console mit dd aufgespielt, heute mache ich dies über Etcher (hier kann man Etcher Downloaden)

Etcher

WiFi konfigurieren

Als nächstes muss vor dem ersten Start des Pi eine Datei erstellt werden. Diese muss auf der /boot Partition des Pi gespeichert werden.

Inhalt der Datei /boot/wpa_supplicant.conf

SSH aktivieren

Nachdem wir nun die WLAN Einstellungen am Raspberry gemacht haben, müssen wir noch eine leere Datei im /boot Verzeichnis erzeugen und nennen diese „ssh“. Dies bewirkt, das der SSH Dienst bei booten automatisch gestartet wird.

Fertig: Kennwort bitte ändern

Starten wir nun den PI, können wir uns mit Putty oder sonstigen SSH Client anmelden: ssh pi@raspberrypi Das Default Passwort für den Benutzer pi lautet „raspberry“ und sollte umgehend geändert werden. Eine solche Kombination ist ein sehr hohes Sicherheitsrisiko.

Raspberry Pi Zero Pin Belegung

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

E-Mail Benachrichtigung bei SSH Login

Wer gerne über einen SSH Login per E-Mail informiert werden möchte, kann dies über ein recht einfaches Script erledigen. Hierzu muss zunächst unter Centos mailx installiert werden, damit der mail command funktioniert. Ob der Mail command vorhanden ist, lässt sich einfach mit

ausfindig machen. Alternativ kann man sich auch einfach eine Testmail senden lassen:

Zur Installation unter Centos verwenden wir yum:

Anschließend muss die Datei /etc/bashrc so verändert werden, das der folgende Code direkt am Anfang ausgeführt wird:

Nach einem erfolgreichem SSH Login bekommt der Benutzer dann eine E-Mail: Login on web29.stefan-eggert.de Sa 20. Apr 10:13:31 CEST 2019 root pts/0 2019-04-20 10:13 (xxx)

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

WPS und AVM Fritzbox Gäste WLAN

Am Wochenende habe ich eine sehr amüsante Geschichte erlebt. Eigentlich war diese schon so trivial, das ich diesen Artikel gar nicht schreiben wollte, aber vielleicht gibt es ja doch den ein oder anderen Leser der hier nutzen finden kann.

Mir wurde ein Fritzbox Gästewlan zur Verfügung gestellt. Leider stellte sich jedoch heraus, das im Gästenetz nur Port 80 und Port 443 erlaubt wurden. Aus dem Nutzungsvertrag des Betreibers konnte ich entnehmen, das man anscheinend P2P Dienste ausschliessen wollte. Mein Problem: Ich musste Port 440 erreichen, da mein Kunde SSL VPN auf genau diesen Port laufen hatte. Im übrigen ein guter Grund, VPN auf Port TCP 443 laufen zu lassen um dies dann auch aus z.B. Hotels oder anderen Hotspots erreichen zu können.

Zugriff auf WPS Taste

Wi-Fi Protected Setup (WPS) ist ein von der Wi-Fi Alliance entwickelter Standard zum einfachen Aufbau eines drahtlosen lokalen Netzwerkes mit Verschlüsselung, welcher seit 2007 zur Verfügung steht. Das Ziel von WPS ist es, das Hinzufügen von Geräten in ein bestehendes Netzwerk zu vereinfachen.

https://de.wikipedia.org/wiki/Wi-Fi_Protected_Setup

Falsch umgesetzt bringt WPS natürlich einige Gefahren mit sich, hierzu werde ich nochmal separat etwas zu schreiben. Im konkreten Fall hatte der Betreiber nämlich die „Push Button Configuration“ in seiner Fritzbox aktiviert. Durch physikalischen Zugriff auf die Box konnte ich mit der WPS Taste das Hauptnetz erreichen, was Datenverkehr ungefiltert zugelassen hat. Natürlich hätte ich mir auch einfach einen LAN Port abgreifen können, aber leider hatte ich meinen USB LAN Adapter nicht dabei. Auch der Irrglaube, das Kennwort der FritzBox nicht ändern zu müssen (die Weboberfläche lässt sich aus dem GästeWlan nämlich nicht erreichen) war fatal: Nachdem ich per WPS mit dem normalen WLAN verbunden wurde, konnte ich natürlich auch die Weboberfläche erreichen und das aufgedruckte Kennwort der FritzBox verwenden.


Zusammengefasst

WPS gehört deaktiviert und das aufgedruckte Kennwort muss geändert werden. Außerdem sollte man hinterfragen, ob man die Geräte zugänglich machen muss. Moderne AccessPoints können sich gegen externe Brute-Force-Angriffe durch „wash“ und „reaver“ relativ gut schützen, jedoch handelte es sich bei meinem Beispiel einfach nur um einen einfachen Konfigurationsfehler, der am Ende schwere Folgen hätte haben können da ich physikalischen Zugriff auf das Gerät hatte (ohne erst meinen Koffer mit der WIFI PINEAPPLE auspacken zu müssen).

Das Vorgehen wurde natürlich mit dem Betreiber vorab abgestimmt.

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

OrangeHRM unter Centos 7

Heute habe ich mich mit dem Thema OrangeHRM unter Centos 7 beschäftigt. Folgende Schritte sind für eine Installation unter Centos 7 notwendig:

Vorbereitung und Systemupdate

  • Minimal Installation Centos 7 installieren
  • Nach der Installation ist ein yum update erforderlich, um die aktuellsten Pakete zu installieren.

Apache Webserver installieren

Nachdem Centos nun ein Update aller Pakete erhalten hat, kann der Apache Webserver installiert werden. Hierzu wird wieder der Paketmanager yum verwendet:

Nachdem der Webserver installiert wurde, kann dieser mittels

gestartet werden.

Mit einem einfachen netstat -tulpen kann man nun kontrollieren, ob der Webserver auf auf dem Interface läuft:

Datenbank installieren und einrichten

Als nächstes muss MariaDB für die Datenbanken installiert werden. Dies erfolgt mit

Um mariaDB zu starten (auch beim Booten) wird nun folgendes ausgeführt:

Um die SQL Installation nun abzusichern, wird mysql_secure_installation angewendet. Die zu beantwortenden Fragen müssen alle mit Y beantwortet und ein neues Kennwort vergeben werden.

Als nächstes müssen diverse queries für die OrangeHRM Installation durchgeführt werden. Hierzu melden wir uns wie folgt am SQL Server an:

Anschließend erstellen wir die Datenbank „orangehrm“, indem wir am SQL Server folgende Befehle eingeben:

Danach erstellen wir einen neuen User (orangehrm_user) und vergeben ein gutes Kennwort (StrongPassword). Besonders das Kennwort sollte natürlich nicht per Copy Paste übernommen sondern geändert werden 😉 . Im Anschluss werden noch die Privilegien gesetzt und MariaDB wird mit \q verlassen.

PHP installieren

Als nächstes benötigt unser Webserver noch PHP. Um dieses mit allen möglichen Extensions zu installieren, fügen wir erst ein neues Repository hinzu:

Anschließend installieren wir php mit php-opcache und starten unseren Webserver neu:

OrangeHRM installieren

Jetzt müssen wir OrangeHRM installieren. Hierzu gehen wir in in das root Verzeichnis vom Webserver und laden die aktuelle Version von OrangeHRM mit wget. Sollte wget und und unzip noch nicht auf dem System sein, so kann dies mittels

installiert werden. Anschließend erfolgt der Download und das entpacken:

Jetzt müssen noch die Berechtigungen angepasst werden:

In der Datei /etc/my.cnf muss nun nach [mysqld] noch eine Zeile mit event_scheduler = ON  hinzugefügt werden. Dies machen wir mit vi /etc/my.cnf

Anschließend wird MariaDB neu gestartet:

Nun müssen wir wieder mit vi in der Datei /etc/httpd/conf/httpd.conf die Zeile  „AllowOverride None“ suchen und diese in „AllowOverride All“ ändern. Anschließend starten wir den Webserver neu. Hierdurch wird die .htaccess Datei aktiviert und verwendet.

Anschließend aktivieren wir noch die Firewall und deaktivieren selinux:

OpenHRM über das Webinterce installieren

Die Einrichtung des Servers ist abgeschlossen. Als nächsten muss OpenHRM installiert werden. Hierzu rufen wir im Browser die IP Adresse des Servers auf:

OrangeHRM installer

Die bestehende Datenbank wird mit dem Datenbanknamen, unseren Username und dem Password konfiguriert:

Datenbank konfigurieren

Als letztes legen wir noch einen Admin User an und stellen die Sprache / Zeitzone ein. Anschließend bestätigen wir die Einstellungen unter „Confirmation“ und installieren die Anwendung:

Nachdem die Installation erfolgreich gewesen ist, können wir als URL wieder die IP Adresse des Servers eingeben und sehen sofort den Startbildschirm.

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de