Technische Blogs

Since chasalin and I are stopping with our company (Sonad) I have had to make a lot of changes for my hosting and domainnames.

Luckily I could keep my VPS rented via Sonad but hosted by TransIP, this was a simple change of the person who hired it so I didn't have to move my website to a new location, I did however had to setup my own mailserver, backup mailserver and DNS servers. Of course this also meant I had to setup DKIM, DMARC, Backups, DNSSec, etc. At the same time I also had to setup Rhuagh (my private server at home) again because the raid array died and I needed new disks and a new casing for Rhuagh. I am planning on writing a few blogs about how I created my setup.

First of, I upgraded all my servers (both VPS servers and Rhuagh) to Ubuntu 22.04 LTS since they were a mix of Ubuntu 16 and 18. After this I slowly started moving several services from Sonad to my own systems, starting with the mail servers. I hope to find time to write about each individual setup in the coming weeks.

So first I moved my primary mailserver and kept Sonad as backup MX. After this I setup several DNS servers, a master which is not public and 2 slaves which are public accessible. The master is also DNS for my internal network and I managed to add a pihole like blacklist to this DNS server.

For the pihole like setup I used this guide although I didn't use the Python script, I wrote my own bash script for this.

#! /bin/bash

### Settings
zonefile="/var/lib/bind/db.blacklist";
serial="`date +%Y%m%d`00";
sourcehosts="https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts";
tmpzonefile="${zonefile}.tmp.$$";
zonename="rpz-adblock";
nameserver="your.local.dns.server";
nameservermail="mailaddress.for.soa";  # Replace @ for .

### Create header
echo "\$TTL 2w
@       IN SOA  ${nameserver}. ${nameservermail}. (
            ${serial}   ; serial
            3600        ; refresh
            1800        ; retry
            604800      ; expiry
            86400       ; minimum
        )

        IN NS ${nameserver}.

" >> ${tmpzonefile};

### Add hosts to zone
for host in `curl ${sourcehosts} 2>/dev/null | grep -v "0.0.0.0 0.0.0.0" | grep "0.0.0.0" | grep -v "^#" | cut -d " " -f 2`; do
    echo "${host} CNAME ." >> ${tmpzonefile};
    echo "*.${host} CNAME ." >> ${tmpzonefile};
done;

### Swap zone with old one
chown bind.bind ${tmpzonefile};
chmod 644 ${tmpzonefile};
mv ${tmpzonefile} ${zonefile};

### Reload zone in bind
/usr/sbin/rndc reload ${zonename};

### Exit with exit code of reloading
exit $?;

Feel free to use my script, replace the variables according to your setup.

After this I setup my internal DNS server as a master for my public domains, I then setup 2 slave servers on my 2 VPS servers and set these als primairy and secondary DNS servers in my domein info so people will have to use these instead of my homeserver. Since I've done this quite often before I didn't need any helpd with this but I think this is a nice guide for people who want to set this up for the first time
I have also added some extra logging options in bind, for this you can use this page as a reference.

I also setup bind with DNSSEC and auto signing, there are a lot of different tutorials for this, which makes it kind of confusing, after a lot of trail and error I noticed that actually all you have to do with the latest version of bind is add the following to you options:

dnssec-validation auto;

And this to your zone defenitions:

auto-dnssec maintain;

Bind will generate the keys (in /var/cache/bin) and take care fo the signing.

Note, I use the default bind install from Ubuntu 22.04 for this, I think there will not be a lot of difference with other distros but there will be differences with older versions of bind.

This is basically my bind setup, I will go in to this in more detail in following blogs when I write about other parts of my network.

Ik heb uit noodzaak mijn contact pagina moeten verwijderen van deze site. Dit formulier resulteerde in een belachelijke hoeveelheid spam (23848 mails in 1 maand) en heeft sinds 2001 maar 5 echte submissies opgeleverd.
Mensen die mij willen bereiken en aan de hand van mijn nickname (Valheru) en de URL van deze site mijn mail adres niet kunnen verzinnen hebben helaas pech gehad vanaf nu,

Ubuntu 18 is dissapointing me....
First the whole we changed the network interface configuration file to YAML format and put it in a different location...

But now, new install, let's change the hostname, normally, just edit /etc/hostname, change it, reboot or use hostname -F /etc/hostname and done...

Ik zit al paar jaar bij Ziggo met mijn mobiele telefoon abonnement. Sinds enige tijd zijn Ziggo en Vodafone samen gegaan en ben ik dus 'overgestapt', eerst was ik heel erg enthousiast, ging van 500 belminuten naar onbeperkt bellen en van 1500 MB data bundel naar een 6 GB data bundel en dat zonder meer te gaan betalen.

Bekoelen

Mijn enthousiasme begon al snel te bekoelen toen ik mijn simkaart ontving, ik kreeg namelijk een NFC+ simkaart, dat was makkelijk want dan kon ik daarmee ook betalen in winkels. Ik weet niet welke gladiool dat als makkelijk bedacht heeft maar die had in ieder geval geen uitgebreide kennis van ICT beveiliging.

Telefoons zijn computers, deze dingen worden continue aangevallen, door geheime diensten en door hackers, op het moment dat je dus je betalingen met een chipje in die telefoon kunt regelen worden dingen inherent onveiliger. Daarnaast is enkele jaren geleden al door Radar en de Consumentenbond bewezen hoe onveilig contactloos pinnen is. En dan kun je een pinpas nog beschermen met een speciaal hoesje wat draadloze signalen blokkeert, dat kan met een telefoon niet, zodra je dat doet ontvang je namelijk ook geen telefoontjes, sms-jes of appjes meer.

Omdat iets nieuw en makkelijk is, is geen reden om het maar overal in te duwen en het iedereen door zijn strot te rammen. Ik wil niet dat iemand met de juiste apparatuur geld van mij kan afpakken door gewoon langs me te lopen in een drukke winkelstraat. En met mij zijn er hopelijk vele anderen die dit niet willen.

Mijn ervaringen

Ik heb natuurlijk direct met Vodafone gebeld om te zeggen dat ik dit niet wou. Hun advies was om dan maar naar een Vodafone winkel te gaan en hier een nieuwe sim te vragen. Door omstandigheden ben ik daar pas vandaag (2,5 weken later) aan toegekomen. Kom ik in de Vodafone winkel en leg het verhaal uit, vertellen ze me daar dat ze geen andere simkaarten meer hebben dan NFC+ kaarten.

Natuurlijk werd ik hier niet enthousiast van en heb ik het winkel personeel een preek over de onveiligheid van die dingen gegeven. Zij raadde mij aan om contact op te nemen met de klanten service. Dat heb ik zojuist gedaan en die deelde mij mee dat ze uitsluitend nog NFC+ simkaarten uitgeven maar dat ze zouden zoeken voor me. Gelukkig hebben ze er eentje gevonden voor me maar verkapt betekent dit dat als er iets mis gaat met ide simkaart dat mijn nieuwe dan dus ALTIJD een NFC+ simkaart zal worden.

Ik word hier niet blij van. En ik vind dat de directie van Vodafone en van elke willekeurige andere telefoon provider eens moeten gaan praten met ICT Security experts voor ze dit soort ondoordachte beslissingen nemen waarmee ze mijn privacy schenden en de veiligheid van mijn betalingsverkeer om zeep helpen. Privacy want die dingen zijn uit te lezen en geven dan telefoonnummer en het simkaartnummer af, ook als er verder geen betaling gedaan word door degene van wie de telefoon is. Veiligheid omdat de banken inderdaad bedragen boven de 50 euro vergoeden met dit soort problemen maar Vodafone dus zoiets niet in de voorwaarden heeft staan. Sterker nog, ze hebben hierover NIETS staan, ze vertellen zowel op hun forum als op hun website hoe geweldige toekomstmuziek het is om voortaan met je mobiele telefoon te betalen zonder dat er ergens ook maar een klein zinnetje over de veilheid staat behalve dan dat het voldoet aan de standaard van MasterCard, een standaard die dus onveilig is zonder een beschermhoesje om je bankpas, iets wat ik dus nog steeds niet met mijn telefoon kan doen.

Ik snap het niet

Ik wou dat mensen eens leerde nadenken voor ze iedereen dit soort opties door hun strot rammen.

Zoals gezegd is mijn probleem voorlopig opgelost, waarvoor dank richting de Vodafone klantenservice, maar in de toekomst ga ik hier dus vroeger of later weer tegenaan lopen en dan mag ik wederom ruzie gaan maken met de klantenservice hierover of gaan overstappen, als er dan nog providers bestaan die werken zonder die rottige NFC op de simkaart. En ik snap het niet want NFC zit al op de meeste moderne telefoons, dus als mensen willen kunnen ze het gebruiken en op een telefoon kun je het tenminste nog UIT zetten, dit kan niet op een simkaart. Dus ik zie ook nog eens het nut er niet van in, als iemand zoiets graag wil kan hij of zij gewoon een telefoon kopen met NFC er op en het daarmee doen en ondertussen het uitzetten als hij of zij niet hoeft te betalen en dus veilig over straat met zo een apparaat.

Door een volgelopen schijf waar de database van deze site op draaide kon mijn site enkele dagen geleden niet een update afronden kennelijk en is hij daardoor in maintenance mode blijven hangen.

Helaas kwam ik hier vandaag pas achter dus is deze site bijna anderhalve week niet bereikbaar geweest. Gelukkig zijn de problemen nu opgelost en gaat deze site over ongeveer een week ook naar een nieuwe server.

Mijn excuses naar de vaste bezoekers dat ik dit niet doorhad, dit had onder andere te maken met de verhuizing maar ook met het feit dat ik al een week lang storingsdienst heb en ik deze week ook echt elke nacht wel minimaal 2 keer mijn bed uit moest voor problemen en zelfs sommige nachten 5 keer. Ik ben dus een beetje moe.