Thomas-Krenn-Wiki - Neue Seiten [de-formal]

AMD Sicherheitslücken - Juni 2026

2026-06-10T09:23:41Z

Aranzinger:

Am 09'''. Juni 2026''' wurden von AMD die Security Bulletins '''AMD-SB-3039'''<ref>ASP non-Coherent Memory Access – Juni 2026 (www.amd.com/en/resources/product-security)</ref> und '''AMD-SB-9025'''<ref>AMD uProf Vulnerabilities – Juni 2026 (www.amd.com/en/resources/product-security)</ref> für Sicherheitslücken veröffentlicht.

== Info ==
'''AMD-SB-3039''': Es handelt es sich um einen böswilliger Hypervisor, der die Integritätsschutzmechanismen von AMD Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP) untergraben kann, indem er den AMD Security Processor (ASP) dazu zwingt, ohne Cache-Kohärenz mit dem Systemspeicher zu arbeiten. Laut der Veröffentlichung ermöglicht eine vom Hypervisor gesteuerte Systemeinstellung die Neukonfiguration der Interaktion zwischen den Speicheranforderungen des ASP und den CPU-Caches. Durch das Deaktivieren der Kohärenz kann der ASP beim Kopieren von Seiten und beim Aktualisieren der zugehörigen Metadaten veraltete Daten aus dem DRAM lesen, wodurch die jüngsten Aktualisierungen im CPU-Cache durch den Gast verloren gehen. Dies könnte potenziell die Integritätsgarantien von SEV-SNP für Gäste untergraben und Datenkorruption ermöglichen.

'''AMD-SB-9025''': Die Lücke könnte es einem lokalen Angreifer mit Benutzerrechten ermöglichen, in den vom Kernel zugeordneten Speicher zu schreiben. AMD bestätigt, dass das Problem darauf zurückzuführen ist, dass der Treiber ein Shared-Section-Objekt mit einem NULL-Sicherheitsdeskriptor erstellt und Kernel-Zeiger im gemeinsam genutzten Speicher offenlegt, was es einem Angreifer ermöglichen könnte, in den vom Kernel zugeordneten Speicher zu schreiben und möglicherweise einen Systemabsturz oder einen Denial-of-Service-Zustand zu verursachen.

== Betroffene Systeme ==

Hier eine tabellarische Aufstellung der betroffenen Prozessoren.

===== AMD EPYC™ Processors =====

Product	Mitigation
AMD EPYC™ 8004 Series Processors	GenoaPI 1.0.0.H
AMD EPYC™ 9004 Series Processors	GenoaPI 1.0.0.H
AMD EPYC™ 9005 Series Processors	TurinPI 1.0.0.8
AMD EPYC™ Embedded 8004 Series Processors	EmbGenoaPI-SP5 1.0.0.D
AMD EPYC™ Embedded 9004 Series Processors (formerly codenamed "Genoa")	EmbGenoaPI-SP5 1.0.0.D
AMD EPYC™ Embedded 9004 Series Processors (formerly codenamed "Bergamo")	EmbGenoaPI-SP5 1.0.0.D
AMD EPYC™ Embedded 9005 Series Processors	EmbeddedTurinPI_SP5 1004

CVE	CVSS Score
CVE-2025-54509	4.0 (Medium)
CVE-2026-0466	6.8 (Medium)
CVE-2026-28237	6.8 (Medium)

Nachfolgend ein Auszug aus dieser Tabelle, in der alle Supermicro Mainboards enthalten sind, die von Thomas Krenn angeboten werden: <ref>AMD Security Bulletin AMD-SB-3027, Januar 2027 (www.supermicro.com)</ref>


AMD Motherboard	'''BIOS Version'''
H13SSW	3.8
H13SSL-N/NT	3.8

=== Updates für Produkte von Thomas-Krenn ===
Updates zum jeweiligen System finden Sie im <tklink type="sitex" id="440">Downloadbereich von Thomas-Krenn</tklink>.
Die Updates im Downloadbereich wurden von uns getestet, um die Stabilität und Kompatibilität unserer Systeme zu gewährleisten.

Falls Sie die aktuellste Version für ihr System benötigen und diese noch nicht bei uns im Downloadbereich zu finden ist, können Sie diese im Downloadbereich bei Asus, Supermicro oder Gigabyte beziehen.

== Einzelnachweise ==
<references/>

== Weitere Informationen ==

AMD Security Bulletin AMD-SB-3039 (supermicro.com, Juni 2026)

Autor: Thomas-Krenn.AG

Bei der Thomas-Krenn.AG achten wir auf den bestmöglichen Service. Um dem gerecht zu werden, haben wir unser Thomas-Krenn Wiki ins Leben gerufen. Hier teilen wir unser Wissen mit Ihnen und informieren Sie über Grundlagen und Aktuelles aus der IT-Welt. Ihnen gefällt unsere Wissenskultur und Sie wollen Teil des Teams werden? Besuchen Sie unsere Stellenangebote.

Supermicro BMC Sicherheitshinweise Juni 2026

2026-06-08T05:35:46Z

Aranzinger:

Im '''Juni 2026''' wurden vom Hersteller Supermicro für die BMC-Firmware ihrer Mainboards Sicherheitshinweise veröffentlicht. Diese Sicherheitslücke erfordert ein '''Firmware Update'''.

In diesem Artikel finden Sie Informationen zu dieser Security Advisory und wo Sie Updates für Produkte von Thomas-Krenn erhalten können.

== Security Advisories ==

CVE	Gefährdungspotential:	Titel
CVE-2026-3820	7.2 (Hoch)	'''<u>Command-Injection</u>''' (Die Sicherheitslücke kann es einem Angreifer ermöglichen Administratorrechte zu erlangen und ihm erlauben die SMTP Service Konfiguration zu manipulieren. Dies könnte dazu führen, dass das System beim Aufruf von Prozessen unbeabsichtigte Befehle ausführt.)

== Updates für Produkte von Thomas-Krenn ==
Updates zum jeweiligen System finden Sie im <tklink type="sitex" id="440">Downloadbereich von Thomas-Krenn</tklink>.
Die Updates im Downloadbereich wurden von uns getestet, um die Stabilität und Kompatibilität unserer Systeme zu gewährleisten.

Falls Sie die aktuellste Version für ihr System benötigen und diese noch nicht bei uns im Downloadbereich zu finden ist, können Sie diese im Downloadbereich bei Asus oder Supermicro beziehen.

== Weitere Informationen ==

Vulnerabilities in Supermicro BMC firmware, June 2026

Autor: Thomas-Krenn.AG

Sicherheitshinweise zu Intel Produkten 2026.2 IPU

2026-05-18T11:45:47Z

Aranzinger:

Im Mai '''2026''' wurden von Intel im Rahmen des IPU 2026.2 neue Security Advisories (Sicherheitshinweise) zu verschiedenen Intel-Produkten veröffentlicht. Manche dieser Sicherheitshinweise erfordern '''Firmware Updates'''.

In diesem Artikel finden Sie einen Auszug und Hinweise zu diesen Security Advisories sowie Informationen, wo Sie Updates für Produkte von Thomas-Krenn finden werden.

== Betroffene Systeme ==

Intel Xeon Prozessoren
Intel Core Prozessoren
Intel Atom Prozessoren
Intel Pentium Prozessoren
Intel Celeron Prozessoren

== Security Advisories ==
Hier in der Tabelle finden Sie die Sicherheitshinweise zur Firmware die von Intel veröffentlicht wurden.

Intel Security Advisory	Titel	Betroffene Systeme
INTEL-SA-01393	2026.1 IPU, UEFI Reference Firmware Advisory	(siehe Intel-SA)
INTEL-SA-01420	2026.2 IPU - Intel® Processor Firmware Advisory
INTEL-SA-01413	UEFI Reference Firmware Advisory
INTEL-SA-01425	Intel® Slim Bootloader Advisory

== Updates für Produkte von Thomas-Krenn ==
Updates zum jeweiligen System finden Sie im <tklink type="sitex" id="440">Downloadbereich von Thomas-Krenn</tklink>.
Die Updates im Downloadbereich wurden von uns getestet, um die Stabilität und Kompatibilität unserer Systeme zu gewährleisten.

Falls Sie die aktuellste Version für ihr System benötigen und diese noch nicht bei uns im Downloadbereich zu finden ist, können Sie diese im Downloadbereich bei Asus , Supermicro oder Gigabyte beziehen.

== Weitere Informationen ==

Security Center (www.intel.com)
Intel Platform Update (IPU) Update 2026.2 May 2026 (www.supermicro.com)
Intel Platform Update (IPU) Update 2026.1 Part 2, May 2026 (www.supermicro.com)

Autor: Thomas-Krenn.AG

AMD Sicherheitslücken - Mai 2026

2026-05-18T11:37:25Z

Aranzinger:

Am '''12. Mai 2026''' wurden von AMD die Security Bulletins '''AMD-SB-3030'''<ref>AMD EPYC and AMD EPYC Embedded Series Processor Vulnerabilities – May 2026 (www.amd.com/en/resources/product-security)</ref>, '''AMD-SB-4017'''<ref>AMD Athlon, AMD Ryzen, and AMD Ryzen Embedded Series Processor Vulnerabilities – May 2026 (www.amd.com/en/resources/product-security)</ref> und '''AMD-SB-7052'''<ref>CPU OP Cache Corruption - May 2026 (www.amd.com/en/resources/product-security)</ref> mit jeweils einer Sicherheitslücke veröffentlicht. Dieser Artikel beinhaltet Tabellen mit Maßnahmen zur Behebung der Sicherheitslücken.

== Betroffene Systeme ==

'''AMD Threadripper Systeme:'''

Systeme mit AMD Ryzen Threadripper PRO 3000WX Prozessoren
Systeme mit AMD Ryzen Threadripper 7000 / PRO 7000WX Prozessoren
Systeme mit AMD Ryzen Threadripper 9000 / PRO 9000WX Prozessoren

'''AMD EPYC Systeme:'''

Systeme mit "Zen 4" AMD EPYC 4004 Raphael Prozessoren
Systeme mit "Zen 2" AMD EPYC 7002 Rome Prozessoren
Systeme mit "Zen 3" AMD EPYC 7003 Milan Prozessoren
Systeme mit "Zen 4" AMD EPYC 9004 Genoa und Bergamo & 8004 Siena Prozessoren
Systeme mit "Zen 5" AMD EPYC 9005 Turin Prozessoren

== Problemlösung ==

Hier eine tabellarische Aufstellung der entsprechenden CVEs und Maßnahmen zur Behebung, für die jeweilige EPYC Generation, falls vorhanden.

'''AMD EPYC 4004 Raphael'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2024-36315	5.7 (Mittel)	ComboAM5PI_1.0.0.a (2024-09-11) ComboAM5PI_1.1.0.3c (2024-09-11) ComboAM5PI_1.2.0.3 (2024-09-11)

'''AMD EPYC 7002 Rome'''


Sicherheitslücke	Gefährdungspotential:	'''Behebung'''
CVE-2025-54518	7.3 (Hoch)	OS Update

'''AMD EPYC 7003 Milan:'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	TCB‑Wert für die SNP‑Attestierung
CVE-2025-61971	5.9 (Mittel)	MilanPI 1.0.0.J (2025-12-15)	TCB[SNP]>=0x1D

'''AMD EPYC 8004 Siena:'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	Microcode	TCB‑Wert für die SNP‑Attestierung
CVE-2024-36315	5.7 (Mittel)	GenoaPI 1.0.0.E (2024-12-18)	A2: 0AA00216	N/A
CVE-2025-61971	5.9 (Mittel)	Genoa++_1.0.0.H (2025-12-15)	N/A	TCB[BL]>=0xC
CVE-2025-61972	8.5 (Hoch)	Genoa++_1.0.0.H (2025-12-15)	N/A	TCB[BL]>=0xC

'''AMD EPYC 9004 Genoa:'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	Microcode	TCB‑Wert für die SNP‑Attestierung
CVE-2024-36315	5.7 (Mittel)	GenoaPI 1.0.0.E (2024-12-18)	A2: 0x0AA00219 B1: 0x0A101154 B2: 0x0A10124F	N/A
CVE-2025-61971	5.9 (Mittel)	Genoa++_1.0.0.H (2025-12-15)	N/A	TCB[BL]>=0xC
CVE-2025-61972	8.5 (Hoch)	Genoa++_1.0.0.H (2025-12-15)	N/A	TCB[BL]>=0xC

'''AMD EPYC 9005 Turin / Turin Dense'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	TCB‑Wert für die SNP‑Attestierung
CVE-2025-61971	5.9 (Mittel)	TurinPI_1.0.0.8 (2025-11-26)	TCB[TEE]>=0x2
CVE-2025-61972	8.5 (Hoch)	TurinPI_1.0.0.8 (2025-11-26)	TCB[TEE]>=0x2

'''AMD Ryzen Threadripper PRO 3000WX'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2021-46747	7.1 (Hoch)	CastlePeakWSPI-sWRX8 1.0.0.9 (2022-01-20) ChagallWSPI-sWRX8 1.0.0.2 (2022-01-20)
CVE-2025-48516	6.9 (Mittel)	Kein Fix geplant
CVE-2021-26380	1.8 (Niedrig)	ChagallWSPI-sWRX8 1.0.0.2 (2022-01-20)
CVE-2025-54518	7.3 (Hoch)	ChagallWSPI-sWRX8-1.0.0.D (11-04-2025) CastlePeakWSPI-sWRX8 1.0.0.I (10-17-2025)

'''AMD Ryzen Threadripper 7000 / PRO 7000WX'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2026-0438	5.4 (Mittel)	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21) StormPeakPI-SP6 1.0.0.1m (2025-12-01) StormPeakPI-SP6_1.1.0.0k (2025-12-01)
CVE-2025-48516	6.9 (Mittel)	ShimadaPeakPI-SP6 1.0.0.1b (2025-08-04)
CVE-2024-36345	4.6 (Mittel)	StormPeakPI-SP6 1.1.0.0k (2025-12-01) StormPeakPI-SP6 1.0.0.1m (2025-12-01)
CVE-2024-36343	4.6 (Mittel)	StormPeakPI-SP6 1.1.0.0k (2025-12-01) StormPeakPI-SP6 1.0.0.1m (2025-12-01)

'''AMD Ryzen Threadripper 9000 / PRO 9000WX'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2026-0438	5.4 (Mittel)	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21)
CVE-2025-48516	6.9 (Mittel)	ShimadaPeakPI-SP6 1.0.0.1b (2025-08-04)

Supermicro Security Bulletins zu den Sicherheitslücken veröffentlicht. Eine Liste mit BIOS-Versionen der jeweiligen Mainboards, um die Lücken zu schließen, ist auch enthalten. Nachfolgend ein Auszug aus dieser Tabelle, in der alle Mainboards aufgeführt sind, die von Thomas Krenn angeboten werden: <ref>Supermicro Security Center (www.supermicro.com)</ref>


AMD Motherboard	'''BIOS Version'''
H12SSW-iN/NT	3.6
H12SSL-i/C/CT/NT	3.6
H12DSi-N6/NT6	3.6
H13SSW	3.8
H13SSL-N/NC	3.8

=== Updates für Produkte von Thomas-Krenn ===
Updates zum jeweiligen System finden Sie im <tklink type="sitex" id="440">Downloadbereich von Thomas-Krenn</tklink>.
Die Versionen im Downloadbereich wurden von uns getestet, um die Stabilität und Kompatibilität unserer Systeme zu gewährleisten.

Falls Sie die aktuellste Version für ihr System benötigen und diese noch nicht bei uns im Downloadbereich zu finden ist, können Sie diese im Downloadbereich bei Asus oder Supermicro beziehen.

== Einzelnachweise ==
<references/>

Autor: Thomas-Krenn.AG

AIC Backplane Firmware- und MFG-Update via serielle Konsole

2026-05-04T06:44:14Z

Aranzinger:

= AIC Backplane Firmware- und MFG-Update via serielle Konsole =

In diesem Artikel wird das '''Aktualisieren''' der '''AIC-Backplane-Firmware''' sowie des '''MFG''' mittels '''serieller Konsole''' beschrieben.

== Hardware-Voraussetzungen ==

Rückseite des 4HE AIC Gehäuses XE1-4BT00-05. AUX-Anschlüsse zum Flashen sind markiert. Der obere ist mit der vorderen 24-Bay-Backplane verbunden.

Benötigt werden zwei Kabel:
<gallery widths="250" heights="250">
Datei:SerialCableAux.jpeg|alternativtext=Serielles Kabel mit 3,5-mm-Klinkenanschluss|1.: Serielles Kabel mit 3,5-mm-Klinkenanschluss (AUX)
Datei:SerialCableAuxJEXP UART.JPG|alternativtext=Adapterkabel von AUX nach JEXP_UART|2.: Adapterkabel von AUX nach JEXP_UART. Dieses befindet sich bei einem Thomas-Krenn-Server im Zubehör oder ist bereits im System verbaut (siehe rechts).
</gallery>

Es empfiehlt sich zusätzlich, ein sekundäres System zum Flashen einzusetzen (z. B. einen Laptop oder einen benachbarten Server).

=== Kabelverbindung zwischen Backplane und Sekundärsystem ===
Der JEXP_UART-Header an der Backplane besteht aus sechs Pins, wobei lediglich die oberen drei zum Flashen benötigt werden.

Beispiel-Backplane mit markiertem JEXP_UART-Header

Ein angeschlossenes JEXP_UART-Kabel (Draufsicht). Kabelfarben von links nach rechts: Rot, Schwarz, Gelb.

Das andere Ende wird über den seriellen Anschluss mit dem Sekundärsystem verbunden.

Serielles Kabel am Sekundärsystem angeschlossen

== Verbindung aufbauen ==
Zum Verbindungsaufbau wird ein Programm wie PuTTY oder ExtraPuTTY benötigt. Aufgrund der erweiterten Datenübertragungsmöglichkeiten wird '''ExtraPuTTY''' empfohlen.

Folgende Parameter müssen gesetzt sein:

Parameter	Wert
Speed (Baudrate)	38400
Data Bits	8
Stop Bits	1
Parity	none
Flow Control	none

<gallery widths="250" heights="250">
Datei:PuttySettings.png|alternativtext=Verbindungseinstellungen|Einstellungen für den Verbindungsaufbau mit der Backplane
Datei:SessionOffen.png|alternativtext=Offene serielle Session|Offene Session. Nach Drücken der Enter-Taste sollte „cmd >“ erscheinen.
</gallery>

=== Auslesen der aktiven Firmware / MFG ===
Die Befehle '''rev''' und '''showmfg''' können zum Auslesen der aktuell installierten Firmware bzw. des MFG verwendet werden.

<gallery widths="250" heights="250">
Datei:Rev.png|alternativtext=Befehl rev|Der Befehl '''rev''' zeigt die aktuelle Firmware-Version an
Datei:Showmfg.png|alternativtext=Befehl showmfg|Der Befehl '''showmfg''' zeigt die aktuelle MFG-Version an
</gallery>

== Flashen der Backplane ==

=== Vorkehrungen ===
Um sicherzustellen, dass die Backplane ordnungsgemäß funktioniert und kein Hardwaredefekt o. Ä. vorliegt, sollten vor dem eigentlichen Flashen einige Befehle ausgeführt und deren Ergebnisse überprüft werden.

<gallery widths="250" heights="250">
Datei:Sensor.png|alternativtext=Befehl sensor|Mit dem Befehl '''sensor''' können Werte wie Temperatur oder angeschlossene Lüfter ausgelesen werden
Datei:Phyinfo.png|alternativtext=Befehl phyinfo|Der Befehl '''phyinfo''' gibt Informationen zu den verbundenen Datenträgern aus (im Screenshot sind keine verbaut)
Datei:Counters.png|alternativtext=Befehl counters|Der Befehl '''counters''' zeigt verschiedene Fehlerzähler an. Die Werte nvWrdCnt, DispErrCnt, LossSyncCnt und RstSeqFailCnt sollten für alle Adressen auf 0 stehen. Andernfalls können die Werte mit '''counters reset''' zurückgesetzt werden. Anschließend erneut '''counters''' ausführen. Bleiben die Werte ungleich 0, liegt wahrscheinlich ein Defekt vor.<ref name=":0">EOB Backplane Check-up via Serial console</ref>
</gallery>

=== Firmware-Update<ref name=":0" /> ===
<gallery widths="250" heights="250">
Datei:Fdl 0 0.png|alternativtext=Befehl fdl 0 0|Mit dem Befehl '''fdl 0 0''' wird die Backplane in den Update-Modus versetzt und erwartet eine Firmware-Datei
Datei:FileTransfer.png|alternativtext=Xmodem Transfer|Zum Übertragen der Firmware wird das Xmodem-Protokoll verwendet. In ExtraPuTTY erfolgt dies über „File Transfer → Xmodem → Send“
Datei:FirmweareFile.png|alternativtext=Firmwaredatei auswählen|Auswahl der gewünschten Firmware-Datei
Datei:Datenuebertragung.png|alternativtext=Firmware Upload|Upload und Flash-Vorgang starten automatisch
Datei:Transferdone.png|alternativtext=Upload erfolgreich|Nach Abschluss erscheint die Meldung „Upload success“
</gallery>

=== MFG-Update<ref name=":0" /> ===
Das Aktualisieren des MFG erfolgt analog zum Firmware-Update.

<gallery widths="250" heights="250">
Datei:Fdl 83 0.png|alternativtext=Befehl fdl 83 0|Mit dem Befehl '''fdl 83 0''' wird der Update-Modus gestartet
Datei:Mfg file.png|alternativtext=MFG-Datei auswählen|Auswahl der entsprechenden MFG-Datei
Datei:Mfg transfer.png|alternativtext=MFG Transfer|Die Datenübertragung beginnt
</gallery>

=== Nach den Updates ===
Sind keine Datenträger an der Backplane angeschlossen, kann das Update mit dem Befehl '''reset''' abgeschlossen werden.

Der Befehl '''reset''' startet die Backplane neu

'''Vorsicht:''' Wird der Befehl '''reset''' ausgeführt, während sich Datenträger mit aktivem RAID-Verbund an der Backplane befinden, kann dies dazu führen, dass das RAID degradiert oder vollständig ausfällt.

Andernfalls muss das gesamte System neu gestartet werden.

Die neue Firmware ist nun auf der Backplane aktiv

== Einzelnachweise ==
<references />

Autor: Simon Wolf

Seit 2022 ist Simon als Hardware-Techniker bei Thomas-Krenn.AG . Er beschäftigt sich neben der Reparatur von Kunden- und Firmeneigenen Systemen mit allerlei Themen rund um Hardware.

Fortron TwinsPro FSP900 DUAL Netzteil unter Linux auslesen

2026-04-29T10:48:17Z

Aranzinger:

Das '''Fortron TwinsPro FSP900 Dual Netzteil''' bietet für den Einsatz unter Linux auf einem Server-Board keine native Möglichkeit, Daten über das Netzteil auszulesen. Mithilfe von Linux-eigenen Mitteln lassen sich die Daten aber dennoch auswerten.

Abb. 1: Forton TwinsPro FSP 900 DUAL

== Problemstellung ==
Fortron bietet ab Werk ausschließlich einen Windows-Port, um mittels der firmeneigenen proprietären Software FSP Guardian das Netzteil auszulesen.

Will man das Netzteil auf einem Server-Board unter einem Linux-Server-Betriebssystem betreiben, fehlen herstellerseitige Mittel für das Auslesen der Daten. Auch ein PMBus-Anschluss ist nicht vorhanden.

Im folgenden soll daher mit bereits vorhandenen Werkzeugen in modernen Linux-Umgebungen das Auslesen der Daten ermöglicht werden:

Konfiguration mit Boardmitteln
Das Netzteil anschließen und testen
im Kernelspace für Überwachungsfunktionen verfügbar machen
Fehlerfallprüfung

== Konfiguration ==
Im folgenden konfigurieren wir das Auslesen der Daten mithilfe von <code>i2c-tools</code> und <code>lm-sensors</code> eines Netzteils mit Anschluss an einen '''USB 2.0 Header'''.

=== Testumgebung ===
Für die Konfiguration wird ein System mit Linux-Betriebssystem benötigt. Wir testen mit einem Ubuntu Image:<syntaxhighlight lang="bash">

Linux custom-hw-image 5.15.0-97-generic #107-Ubuntu SMP Wed Feb 7 13:26:48 UTC 2024 x86_64 x86_64 x86_64 GNU/Linux

</syntaxhighlight>

== Konfiguration ==

=== Pakteinstallation ===

Installieren Sie <code>i2c-tools</code> und <code>lm-sensors</code>:<syntaxhighlight lang="shell-session">
root@custom-hw-image:~# apt install i2c-tools lm-sensors
</syntaxhighlight>

=== Hardwareerkennung ===
Damit die Daten ausgelesen werden können, muss das Gerät korrekt erkannt und eingebunden sein. Prüfen Sie zunächst, ob das Netzteil über einen USB 2.0 Header angeschlossen ist:<syntaxhighlight lang="shell-session">root@custom-hw-image:~# lsusb
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 001 Device 003: ID 10c4:ea90 Silicon Labs CP2112 HID I2C Bridge
Bus 001 Device 002: ID 046d:c31c Logitech, Inc. Keyboard K120
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub</syntaxhighlight>Das gesuchte Netzteil ist '''Device 003 auf Bus 001''' korrekt erkannt worden. Jetzt prüfen Sie, auf welchem Bus die Bridge über I2C eingebunden wurde:

<syntaxhighlight lang="shell-session">

root@custom-hw-image:~# i2cdetect -l
i2c-0 smbus SMBus I801 adapter at efa0 SMBus adapter
i2c-1 i2c Synopsys DesignWare I2C adapter I2C adapter
i2c-2 i2c Synopsys DesignWare I2C adapter I2C adapter
i2c-3 i2c Synopsys DesignWare I2C adapter I2C adapter
i2c-4 i2c Synopsys DesignWare I2C adapter I2C adapter
i2c-5 i2c Synopsys DesignWare I2C adapter I2C adapter
i2c-6 i2c CP2112 SMBus Bridge on hidraw2 I2C adapter
</syntaxhighlight>

Hier wurde die '''SMBus Bridge''' auf '''Bus i2c-6''' gefunden.

=== Bus auslesen ===

Sie können nun den I2C-Bus auf dieser Adresse auslesen:<syntaxhighlight lang="shell-session">

root@custom-hw-image:~# i2cdetect -y 6
Warning: Can't use SMBus Quick Write command, will skip some addresses

    0  1  2  3  4  5  6  7  8  9  a  b  c  d  e  f

00:
10:
20:
30: -- -- -- -- -- -- -- --
40:
50: 50 51 -- -- -- -- 56 -- 58 59 -- -- -- -- -- --
60:
70:

</syntaxhighlight>Hier werden beide Netzteile auf den Adressen '''0x58''' und '''0x59''' erkannt. Um zu prüfen, ob der Herstellername passt:<syntaxhighlight lang="shell-session">root@custom-hw-image:~# i2cget -y 6 0x58 0x99 i 8
0x09 0x46 0x53 0x50 0x2d 0x47 0x52 0x4f
root@custom-hw-image:~# printf "\x09\x46\x53\x50\x2d\x47\x52\x4f\n"
FSP-GRO</syntaxhighlight>Außerdem kann zur Prüfung die Spannung ausgelesen werden:<syntaxhighlight lang="shell-session">
root@custom-hw-image:~# i2cget -y 6 0x58 0x8B w
0x1879

</syntaxhighlight>Diesen Wert muss man dann nur umrechnen und in Volt übersetzen. Der Hersteller verwendet eine '''direkte Skalierung'''. Die Spannung lässt sich also '''linear berechnen''':

<math>(1879)_{16} \widehat{=} (6265)_{10} \widehat{=} \frac{6265}{2^9} = \frac{6265}{512} \approx 12,236 V</math>

== Einbindung der Anschlüsse im Kernelspace ==

Abb. 2: Detaillierte Auswertung der Netzteile

Mit den folgenden Kommandos können Sie jetzt beide Netzteil-Anschlüsse dem Kernelspace hinzufügen:<syntaxhighlight lang="shell-session">
root@custom-hw-image:~# echo pmbus 0x58 | sudo tee /sys/bus/i2c/devices/i2c-6/new_device
pmbus 0x58
root@custom-hw-image:~# echo pmbus 0x59 | sudo tee /sys/bus/i2c/devices/i2c-6/new_device
pmbus 0x59
</syntaxhighlight>Prüfen Sie die erfolgreiche Einbindung:

<syntaxhighlight lang="shell-session">

root@custom-hw-image:~# i2cdetect -y 6
Warning: Can't use SMBus Quick Write command, will skip some addresses

    0  1  2  3  4  5  6  7  8  9  a  b  c  d  e  f

00:
10:
20:
30: -- -- -- -- -- -- -- --
40:
50: 50 51 -- -- -- -- 56 -- UU UU -- -- -- -- -- --
60:
70:

</syntaxhighlight>

Die beiden Netzteile sind so für direkte Abfragen via I2C nicht erreichbar, da diese nun komplett im KernelSpace ''UU (Upper Unit)'' eingebunden sind.

Beide Netzteile können Sie jetzt vollständig mittels <code>lm-sensors</code> auslesen (für die Ausgabe siehe ''Abb. 2''):<syntaxhighlight lang="shell-session">
root@custom-hw-image:~# sensors
</syntaxhighlight>

== Fehlerfallprüfung ==
Zuletzt können Sie noch einen Fehlerfall simulieren.

Hier wird testweise der Kaltgerätestecker von '''Netzteil 1''' gezogen (siehe ''Abb. 3''):

Abb. 3: Ausfallsimulation

Autor: Wilfried Seifert

Wilfried Seifert, tätig in der Abteilung Systems Engineering bei Thomas-Krenn, ist in seinem Arbeitsbereich für die System-/Prototypenentwicklung sowie Softwaredeployment / Rollout unterschiedlicher Architekturen zuständig. LPIC 3 zertifiziert, beschäftigt sich u.a. mit Aufbau / Programmierung Embedded (x64/ARM) Systemen.

Internet-Speed-Test mit LibreSpeed

2026-04-28T08:53:45Z

Aranzinger:

Webseiten zum Testen der eigenen '''Internetgeschwindigkeit''' gibt es von vielen Anbietern. Die meisten Dienste dieser Art sammeln bei solchen Tests '''zahlreiche lokale Daten''', weshalb sie aus '''Datenschutzsicht nicht unbedenklich''' sind. Die Open Source Alternative '''LibreSpeed''' bietet eine datensparsame Alternative.

== Datensammlung von herkömmlichen Speedtest-Anbietern ==
Herkömmliche Anbieter von Diensten zur Messung der Internetgeschwindigkeit sammeln zahlreiche Daten des eigenen Netzwerks, eigenen Geräts und den darauf befindlichen Anwendungen. Bei der Übernahme der Firma Ookla (Betreiber von Speedtest und Downdetector) gab die internationale Beratungsfirma Accenture im März 2026 bekannt, dass pro Test '''mehr als 1.000 Attribute''' abgefragt werden.<ref name=accenture>Accenture to Acquire Ookla to Strengthen Network Intelligence and Experience with Data and AI For Enterprises (newsroom.accenture.com, 03.03.2026) <cite>As AI scales, the insights captured at the '''network, device, and application layers''' are essential to enhance fraud prevention in banking, smart home analytics in utilities, and traffic optimization in retail. Ookla’s platform, which captures '''more than 1,000 attributes per test''', provides the foundation for these insights.</cite></ref>

<gallery>
File:Accenture-Newsroom-2026-03-03.png|Bei der Übernahme von Ookla gab Accenture bekannt, dass pro Test durch Speedtest oder Downdetecor mehr als 1.000 Attribute beim Benutzer gesammelt werden.
File:Speedtest.png|Immer aktiv bei speedtest.net: mehr als 500 Partner können beispielsweise die Cookie-Informationen zur Identifikation von Endgeräten nutzen.
</gallery>

== LibreSpeed ==
LibreSpeed arbeitet datensparsam. Auf LibreSpeed.org werden keine Daten gesammelt:
<gallery>
File:LibreSpeed-Website.png|Beispiel eines Tests von einem Glasfaseranschluss in Österreich.
File:LibreSpeed-Anbieter.png|Auswahl an LibreSpeed Servern.
</gallery>

Optional können LibreSpeed Server, wenn diese selbst betrieben werden, folgende Daten speichern:<ref>stats.php Quellcode (github.com/librespeed/speedtest)</ref>

Test ID
Date and time
IP and ISP Info
Download speed
Upload speed
Ping
Jitter
Log
Extra info

LibreSpeed.org hat dies mit Stand 29. April 2026 jedoch nicht aktiviert.

== LibreSpeed App für Android ==
Die LibreSpeed App für Android steht im F-Droid Store zur Verfügung (Autor Federico Dossenda).<ref>LibreSpeed F-Droid (f-droid.org/en/packages)</ref> Achtung: nur diese App nutzen, im GooglePlay Store gibt es auch andere, die künstlich zahlreiche Tracker eingebaut haben.

<gallery>
File:LibreSpeed-App-01-App-Lounge.png|LibreSpeed Datenschutz-Bewertung in App Lounge von /e/OS.
File:LibreSpeed-App-02-Trackers.png|Tracker-Report (0 Tracker)<ref>Report for LibreSpeed (reports.exodus-privacy.eu.org)</ref> für LibreSpeed von Exodus-Privacy<ref>Exodus Privacy - Who we are (exodus-privacy.eu.org)</ref> (französisches non-Profit).
File:LibreSpeed-App-03-Test.png|LibreSpeed App Startseite.
File:LibreSpeed-App-04-Privacy-Policy.png|LibreSpeed App Privacy Policy.
File:LibreSpeed-App-05-Test-Result.png|LibreSpeed Beispielergebnis einer LTE-Verbindung in Österreich.
</gallery>

== Alternativen ==
Ebenso datensparsam arbeitet die Breitbandmessung der Bundesnetzagentur:

https://www.breitbandmessung.de/

== Weitere Informationen ==

Accenture down to buy Downdetector as part of $1.2 billion deal (theregister.com, 03.03.2026)
Downdetector, Speedtest sold to IT service-provider Accenture in $1.2B deal (arstechnica.com, 03.03.2026)
(News) Librespeed - Open-Source Alternative Made in Europe: Downdetector and Speedtest sold to Accenture for $1.2 billion (www.reddit.com, 2026)

== Einzelnachweise ==
<references />

Autor: Werner Fischer

Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro.

TKMI Remote Control

2026-04-23T09:48:31Z

Sbohn:

Das TKMI stellt im Bereich '''Remote Control''' Funktionen zur '''Fernsteuerung und direkten Interaktion mit dem System''' bereit. Dazu zählen insbesondere die Remote-KVM-Konsole sowie zusätzliche Steuerungs- und Verwaltungsoptionen.

Im Folgenden werden die einzelnen Bereiche kurz erläutert.

== Übersicht ==

Remote Control Menü

Dieser Bereich bietet den '''Zugriff auf die Remote-KVM-Konsole (H5Viewer)''' sowie '''Serial over LAN (SOL)''' zur direkten Systeminteraktion.

== Remote-KVM-Konsole ==

Remote KVM Konsole

Über den H5Viewer kann das System '''vollständig remote gesteuert werden''', inklusive BIOS/UEFI-Zugriff und Betriebssysteminteraktion.

'''Funktionen innerhalb der Remote-Konsole:'''

'''Video''' – Steuerung der '''Videoausgabe''' wie Pause, Refresh oder Anzeige ein-/ausschalten
'''Mouse''' – Konfiguration der '''Maussteuerung''', z. B. zwischen absolutem und relativem Modus
'''Options''' – Hier können '''Anzeigequalität, Zoom sowie Farbtiefe''' der Remote-Sitzung angepasst werden
'''Keyboard''' – Auswahl des '''Tastaturlayouts''' für die Remote-Sitzung
'''Send Keys''' – Ermöglicht das '''Senden von Tastenkombinationen''' wie z. B. <code>Ctrl+Alt+Del</code> an das System
'''Video Record''' – Funktion zur '''Aufzeichnung der Remote-KVM-Sitzung'''
'''Power''' – Direkte '''Steuerung des Systems''' (Neustart, Shutdown, Power Cycle)
'''Active Users''' – Anzeige der '''aktiven Benutzer''', die aktuell auf die Remote-Konsole zugreifen

== Serial Over LAN (SOL) ==

Serial over LAN

Ermöglicht den Zugriff auf die '''serielle Konsole des Systems über das Netzwerk''', insbesondere für Diagnose- und Troubleshooting-Zwecke.

Autor: Adrian Zillner

Adrian Zillner ist im Technical Service bei der Thomas-Krenn AG tätig. Er ist für das Betreuen von Kunden und Beantworten von Fragen bei technischen Problemen zuständig.

TKMI Settings

2026-04-23T05:16:04Z

Aranzinger:

Das TKMI stellt verschiedene '''Einstellungsmöglichkeiten''' zur Verfügung. Jede Einstellung ist auf einen bestimmten Einsatzzweck ausgerichtet. Im Folgenden werden die einzelnen Bereiche thematisch gegliedert kurz erläutert.

== Hauptmenü ==

	'''Übersicht'''<br> Überblick über die verfügbaren Einstellungen im TKMI.

== System und Grundkonfiguration ==

	'''Date & Time'''<br> Hier werden '''Datum, Uhrzeit und Zeitsynchronisation''' des BMC konfiguriert, einschließlich NTP.
	'''Network Settings'''<br> Hier werden die '''Netzwerkeinstellungen des BMC''' festgelegt, beispielsweise IP-Adresse, Gateway, VLAN und DNS.
	'''Services'''<br> Hier werden '''BMC-Dienste''' wie Web, SSH, KVM oder SNMP aktiviert beziehungsweise deaktiviert.
	'''IPMI Interfaces'''<br> Hier werden die '''IPMI-Schnittstellen''' konfiguriert.
	'''Identify LED'''<br> Über diesen Punkt kann die '''Identify-LED''' des Systems gesteuert werden.
	'''Fan Control'''<br> Hier lässt sich die '''Lüftersteuerung''' konfigurieren.

== Benutzer, Anmeldung und Sicherheit ==

	'''User Management'''<br> Im Bereich '''Benutzerverwaltung''' werden Benutzerkonten und Berechtigungen verwaltet.
	'''External User Services'''<br> Dieser Bereich dient zur Anbindung externer '''Authentifizierungsdienste''' wie LDAP oder Active Directory.
	'''PAM Order Settings'''<br> Hier wird die '''Reihenfolge der Authentifizierungsmethoden''' definiert.
	'''SSL Settings'''<br> Dieser Bereich umfasst die '''SSL- und Zertifikatsverwaltung'''.
	'''System Firewall'''<br> Hier kann der Zugriff auf das BMC über eine '''integrierte Firewall''' eingeschränkt werden.

== Protokollierung, Benachrichtigung und Ereignisse ==

	'''Log Settings'''<br> Unter diesem Punkt werden Einstellungen zu '''System- und Audit-Logs''' vorgenommen.
	'''Platform Event Filter'''<br> Der '''Platform Event Filter''' ermöglicht automatisierte Aktionen bei Hardware-Ereignissen, beispielsweise das Versenden von SNMP-Traps.
	'''SMTP Settings'''<br> Hier werden die Einstellungen für den '''E-Mail-Versand''' hinterlegt.
	'''Captured BSOD'''<br> In diesem Bereich werden vom BMC erfasste '''Blue-Screen-Fehler''' eines Windows-Systems angezeigt, sofern diese erkannt und aufgezeichnet wurden.

== Remote-Konsole und Medien ==

	'''KVM Mouse Settings'''<br> Hier lassen sich Einstellungen für die '''Maussteuerung in der Remote-KVM-Konsole''' vornehmen.
	'''Media Redirection Settings'''<br> Dieser Bereich enthält Optionen zur '''virtuellen Medienumleitung''', etwa zum Einbinden von ISO-Dateien über die KVM-Konsole.
	'''Video Recording'''<br> Dieser Bereich bietet Funktionen zur '''Aufzeichnung von Remote-KVM-Sitzungen'''.

== Speicher und Verwaltung ==

	'''RAID Management'''<br> Hier befindet sich die Verwaltung unterstützter '''RAID-Funktionen'''.

== Weitere Artikel ==

Autor: Adrian Zillner

Adrian Zillner ist im Technical Service bei der Thomas-Krenn AG tätig. Er ist für das Betreuen von Kunden und Beantworten von Fragen bei technischen Problemen zuständig.

SNMP im TKMI aktivieren und konfigurieren

2026-04-20T08:19:47Z

Aranzinger:

Dieser Artikel beschreibt, wie Sie im TKMI (Thomas-Krenn Management Interface) den ''' SNMP-Zugriff''' für einen Benutzer aktivieren und konfigurieren.

== Voraussetzungen ==

Ein kompatibler TKMI bzw. Thomas-Krenn Server
Zugriff auf die TKMI/IPMI-Weboberfläche
Gültige Benutzeranmeldedaten mit administrativen Rechten

== Benutzerverwaltung ==

Damit SNMP genutzt werden kann, muss der Zugriff zunächst für einen Benutzer im TKMI aktiviert werden.

<gallery mode="nolines" widths="300" heights="300">
TKMI-SNMP-User_Login.png|Anmeldung an der TKMI-Weboberfläche mit einem gültigen Benutzer (z. B. ''admin'').
TKMI-SNMP-Dashboard.png|Nach der Anmeldung im linken Menü auf '''Settings''' wechseln.
TKMI-SNMP-Settings.png|Im Bereich '''Settings''' den Punkt '''User Management''' öffnen.
TKMI-SNMP-User_Management.png|Den gewünschten Benutzer auswählen, für den SNMP aktiviert werden soll.
TKMI-SNMP-User_Logged_In_Password.png|Das aktuell verwendete Passwort im Feld '''Logged-In Password''' zur Bestätigung eingeben.
TKMI-SNMP-User_SNMP_Activate.png|Im unteren Bereich '''SNMP Access''' aktivieren und die gewünschten SNMP-Parameter setzen.
</gallery>

Nach der Konfiguration müssen die Änderungen mit '''Save''' gespeichert werden.

== MIB Browser ==

Zur Überprüfung der SNMP-Erreichbarkeit und zum Auslesen von Werten kann ein MIB Browser verwendet werden.

In diesem Beispiel wird der '''iReasoning MIB Browser''' genutzt.

<gallery mode="nolines" widths="100" heights="100">
Download.png| iReasoning MIB Browser download
</gallery>

== Verbindung zum TKMI herstellen ==

Nach der Aktivierung von SNMP im TKMI kann die Verbindung wie folgt getestet werden:

<gallery mode="nolines" widths="300" heights="300">
TKMI-SNMP_MIB_Browser.png|Im Feld '''Address''' die IP-Adresse des TKMI eintragen. Über '''Advanced...''' gelangt man in die erweiterten SNMP-Einstellungen.
TKMI-SNMP-MIB_Browser_Settings.png|In den erweiterten Einstellungen '''SNMP Version 3''' auswählen und die Zugangsdaten setzen.
TKMI-SNMP-MIB_Browser_Test.png|Nach der Konfiguration kann über '''Go''' eine Abfrage gestartet werden. Erfolgreiche Antworten werden in der '''Result Table''' angezeigt.
</gallery>

== Wichtige Einstellungen (SNMPv3) ==

Für eine erfolgreiche Verbindung müssen die folgenden Parameter mit den im TKMI gesetzten Werten übereinstimmen:

'''Address:''' IP-Adresse des TKMI
'''Port:''' 161
'''SNMP Version:''' 3
'''User:''' Entspricht dem im TKMI konfigurierten Benutzer
'''Security Level:''' authPriv
'''Auth Algorithm:''' z. B. SHA256
'''Auth Password:''' gesetztes Authentifizierungs-Passwort
'''Privacy Algorithm:''' z. B. DES
'''Privacy Password:''' gesetztes Verschlüsselungs-Passwort

'''Hinweis:'''
Abweichungen bei Benutzername, Passwort oder Algorithmen führen dazu, dass keine SNMP-Antworten zurückgeliefert werden.

== Testabfrage ==

Für einen einfachen Funktionstest kann folgende OID verwendet werden:

'''1.3.6.1.2.1.1.1.0''' (sysDescr)

Bei erfolgreicher Verbindung wird eine Systembeschreibung des TKMI in der '''Result Table''' angezeigt.

== Troubleshooting ==

Falls der SNMP-Zugriff nicht funktioniert:

'''SNMP Access nicht aktiviert'''
'''Falsche Zugangsdaten / Community'''
'''Firewall blockiert SNMP (Port 161/UDP)'''
'''Falsche OID angegeben'''
'''SNMP-Version stimmt nicht überein'''

Autor: Adrian Zillner

Adrian Zillner ist im Technical Service bei der Thomas-Krenn AG tätig. Er ist für das Betreuen von Kunden und Beantworten von Fragen bei technischen Problemen zuständig.

AMD Sicherheitslücken - April 2026

2026-04-17T06:35:28Z

Aranzinger:

Am '''14. April 2026''' wurden von AMD die Security Bulletins '''AMD-SB-7054'''<ref>Incorrect use of LocateProtocol Service of the EFI_BOOT_Services table in SMI Handler – April 2026 (www.amd.com/en/resources/product-security)</ref>, '''AMD-SB-3034'''<ref>SEV-SNP Routing Misconfiguration – April 2026 (www.amd.com/en/resources/product-security)</ref> und '''AMD-SB-3016'''<ref>IOMMU Write Buffer Vulnerability – April 2026 (www.amd.com/en/resources/product-security)</ref> mit jeweils einer Sicherheitslücke veröffentlicht. Dieser Artikel beinhaltet Tabellen mit Maßnahmen zur Behebung der Sicherheitslücken.

== Betroffene Systeme ==

'''AMD Threadripper Systeme:'''

Systeme mit AMD Ryzen Threadripper PRO 3000WX Prozessoren
Systeme mit AMD Ryzen Threadripper PRO 5000WX Prozessoren
Systeme mit AMD Ryzen Threadripper 7000 / PRO 7000WX Prozessoren
Systeme mit AMD Ryzen Threadripper 9000 / PRO 9000WX Prozessoren

'''AMD EPYC Systeme:'''

Systeme mit "Zen 4" AMD EPYC 4004 Raphael Prozessoren
Systeme mit "Zen 2" AMD EPYC 7002 Rome Prozessoren
Systeme mit "Zen 3" AMD EPYC 7003 Milan Prozessoren
Systeme mit "Zen 4" AMD EPYC 9004 Genoa und Bergamo & 8004 Siena Prozessoren
Systeme mit "Zen 5" AMD EPYC 9005 Turin Prozessoren

== Problemlösung ==

Hier eine tabellarische Aufstellung der entsprechenden CVEs und Maßnahmen zur Behebung, für die jeweilige EPYC Generation, falls vorhanden.

'''AMD EPYC 4004 Raphael'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2025-54502	7.1 (Hoch)	ComboAM5PI 1.0.0.d (2025-11-12)

'''AMD EPYC 7002 Rome'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''
CVE-2025-54502	7.1 (Hoch)	RomePI 1.0.0.P (2025-11-04)

'''AMD EPYC 7003 Milan:'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	TCB‑Wert für die SEV‑Attestierung	TCB‑Wert für die SNP‑Attestierung
CVE-2025-54502	7.1 (Hoch)	MilanPI 1.0.0.J (2025-12-15)	N/A	N/A	N/A
CVE-2025-54510	5.9 (Mittel)	MilanPI 1.0.0.J (2025-12-15)	N/A	TCB[SNP]>=0x1D mitigation bit = 4	N/A
CVE-2023-20585	5.6 (Mittel)	MilanPI 1.0.0.H (2025-09-04) + OS Update	SEV FW 1.37.23 + OS Update	N/A	TCB[SNP]>=0x1B

'''AMD EPYC 8004 Siena:'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	TCB‑Wert für die SEV‑Attestierung	TCB‑Wert für die SNP‑Attestierung
CVE-2025-54502	7.1 (Hoch)	GenoaPI 1.0.0.H (2025-12-15)	N/A	N/A	N/A
CVE-2025-54510	5.9 (Mittel)	GenoaPI 1.0.0.H (2025-12-15)	N/A	TCB[SNP]>=0x1C	N/A
CVE-2023-20585	5.6 (Mittel)	GenoaPI_1.0.0.G (2025-06-27) + OS Update	SEV FW 1.37.31 + OS Update	N/A	TCB[SNP]>=0x1B

'''AMD EPYC 9004 Genoa:'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	TCB‑Wert für die SEV‑Attestierung	TCB‑Wert für die SNP‑Attestierung
CVE-2025-54502	7.1 (Hoch)	GenoaPI 1.0.0.H (2025-12-15)	N/A	N/A	N/A
CVE-2025-54510	5.9 (Mittel)	GenoaPI 1.0.0.H (2025-12-15)	N/A	TCB[SNP]>=0x1C	N/A
CVE-2023-20585	5.6 (Mittel)	GenoaPI_1.0.0.G (2025-06-27) + OS Update	SEV FW 1.37.31 + OS Update	N/A	TCB[SNP]>=0x1B

'''AMD EPYC 9005 Turin / Turin Dense'''


Sicherheitslücke	Gefährdungspotential:	'''AGESA Version'''	SEV FW	TCB‑Wert für die SEV‑Attestierung	TCB‑Wert für die SNP‑Attestierung
CVE-2025-54502	7.1 (Hoch)	TurinPI 1.0.0.9 (2025-12-31)	N/A	N/A	N/A
CVE-2025-54510	5.9 (Mittel)	TurinPI 1.0.0.8 (2025-11-26)	N/A	TCB[SNP]>=0x5	N/A

'''Tabelle der von CVE-2025-54502 betroffenen Threadripper Prozessoren:'''


CPU	'''AGESA Version'''
AMD Ryzen Threadripper PRO 3000WX	ChagallWSPI-sWRX8 1.0.0.D (2025-11-04) CastlePeakWSPI-sWRX8 1.0.0.I (2025-10-17)
AMD Ryzen Threadripper PRO 5000WX	ChagallWSPI-sWRX8 1.0.0.D (2025-11-04)
AMD Ryzen Threadripper 7000	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21)
AMD Ryzen Threadripper PRO 7000WX	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21) StormPeakPI-SP6 1.0.0.1m (2025-12-01) StormPeakPI-SP6_1.1.0.0k (2025-12-01)
AMD Ryzen Threadripper 9000	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21)
AMD Ryzen Threadripper PRO 9000WX	ShimadaPeakPI-SP6 1.0.0.1c (2025-10-21)


AMD Motherboard	'''BIOS Version'''
H12SSW-iN/NT	3.6
H12SSL-i/C/CT/NT	3.6
H12DSi-N6/NT6	3.6
H13SSW	3.9
H13SSL-N/NC	3.9

Autor: Thomas-Krenn.AG

Windows Secure Boot Zertifikat Ende der Gültigkeit

2026-04-17T06:09:30Z

Aranzinger:

In diesem Wiki-Artikel zeige ich Ihnen, wie sie das Secure Boot Zertifikat auslesen können.

Die bisherigen Zertifikate wurden 2011 ausgestellt, welche dieses Jahr auslaufen.

== Welche Zertifikate sind betroffen? ==
Begriffserklärung:

'''KEK:''' Key Enrollment Key
'''CA:''' Certificate Authority
'''DB:''' Secure Boot Signature Database
'''DBX:''' Secure Boot Revoked Signature Database

Übersichts-Tabelle
Auslaufende Zertifikate	Auslauf Datum	Neues Zertifikat	Speicherort	Zweck
'''Microsoft Corporation KEK CA 2011'''	Juni 2026	Microsoft Corporation KEK 2K CA 2023	Im KEK gespeichert	Signiert Updates für DB und DBX.
'''Microsoft Windows Production PCA 2011'''	Okt 2026	Windows UEFI CA 2023	In Datenbank gespeichert	Wird zum Signieren des Windows-Startladeprogramms verwendet.
'''Microsoft UEFI CA 2011''*'''''	Juni 2026	Microsoft UEFI CA 2023	In Datenbank gespeichert	Signiert Startladeprogramme von Drittanbietern und EFI-Anwendungen.
'''Microsoft UEFI CA 2011''*'''''	Juni 2026	Microsoft Option ROM UEFI CA 2023	In Datenbank gespeichert	Signiert Option-ROMs von Drittanbietern

<nowiki>*</nowiki>Während der Verlängerung des Microsoft Corporation UEFI CA 2011-Zertifikats trennen zwei Zertifikate die Bootloadersignatur von der Option-ROM-Signatur.

Dies ermöglicht eine präzisere Kontrolle über die Systemvertrauensstellung. Systeme, die Option-ROMs vertrauen müssen, können z. B. die Microsoft Option ROM UEFI CA 2023 hinzufügen, ohne dass für Startladeprogramme von Drittanbietern eine Vertrauensstellung hinzugefügt wird.

== Was sind die Auswirkungen wenn mein Zertifikat ausläuft? ==

Windows startet und funktioniert weiterhin wie gewohnt. Auch Updates können weiterhin heruntergeladen und installiert werden.

Jedoch können keine Updates für den frühen Boot Prozess installiert werden. Das betrifft den Windows Boot Manager, Secure Boot Datenbanken, Revocation Listen oder Behebungen für neu entdeckte Boot Level Schwachstellen.

Diese Auswirkungen reduzieren den Schutz der Geräte vor kommenden Gefahren, welche auf Secure Boot vertrauen wie Bitlocker Hardening oder Bootloader von Drittanbietern.

== Wie prüfe ich meine Zertifikate? ==

Die Gültigkeit der installierten Zertifikate kann über die Windows Sicherheits-App geprüft werden.

'''Windows-Sicherheit > Gerätesicherheit > Sicherer Start'''

Hier gibt es drei Mögliche Szenarien.

=== Szenario 1: Alles ist vollständig aktualisiert (Grüner Haken) ===
Alle Zertifikatsupdates wurden angewendet.

=== Szenario 2: Es wurde noch kein Update eingespielt (Gelbes Warnsymbol) ===
Es wird keine Automatische Aktualisierung ermöglicht. Man muss sich an den Hardware Hersteller wenden.

=== Szenario 3: Eingreifen ist erforderlich (Rotes X) ===
Das Gerät kann keine erforderlichen Updates empfangen.

Bei einem Fehlenden Windows Update kann es passieren, dass dieser Menüpunkt keinen Hinweis auf die Zertifikate liefert.

In diesem Fall kann das Zertifikat mit einem Workaround auch manuell ausgelesen werden.

Mit folgenden PowerShell Befehl lassen sich die Zertifikate als .bin an einem Beliebigen Speicherort sichern.<syntaxhighlight lang="powershell">
$var = Get-SecureBootUEFI -Name db; [System.IO.File]::WriteAllBytes("C:\Users\Administrator\Documents\db.bin", $var.Bytes)
</syntaxhighlight>Der Pfad lässt sich beliebig anpassen.

Anschließend muss die db.bin Datei auf einem Linux System (z.B. WSL) mit den efitools auf die Zertifikate aufgeteilt werden.<syntaxhighlight lang="bash">
sudo apt update && apt install efitools
sudo sig-list-to-certs db.bin cert
</syntaxhighlight>

Jetzt sollten 5 Zertifikate im aktuellen Verzeichnis erstellt worden sein: cert-0.der cert-1.der cert-2.der cert-3.der cert-4.der

Den Inhalt dieser Zertifikate kann man mit Openssl auslesen.<syntaxhighlight lang="bash">
openssl x509 -in cert-0.der -inform DER -text -noout
</syntaxhighlight>
Wobei der Datei Name "cert-0.der" an das jeweilige Zertifikat angepasst werden muss.

Wichtig hierbei ist die Zeile Validity. Zeigt diese den folgenden Wert an, läuft das Zertifikat im Juni 2026 aus:

Validity

Not Before: Jun 27 21:22:45 2011 GMT

Not After : Jun 27 21:32:45 2026 GMT

== Wie aktualisiere ich meine Zertifikate? ==

Es gibt mehrere Wege das Zertifikat zu aktualisieren. Die einfachste und Beste Methode erfolgt über ein BIOS Update, wobei der Hardware Hersteller die neuen Zertifikate bereits integriert hat.

== Einzelnachweise ==

Windows Secure Boot certificate expiration and CA updates (support.microsoft.com)
Windows Secure Boot Key Creation and Management Guidance (learn.microsoft.com)
IT admin guide: Secure Boot certificate update status in the Windows Security app (support.microsoft.com)

Autor: Thomas-Krenn.AG

Q-Feeds Webinterface und Lizenz aktivieren

2026-04-15T14:59:05Z

Aranzinger:

Das Cybersecurity Plugin Q-Feeds bietet eine Cloud-Plattform mit vielfältigen Informationen an. Hiermit können auch Lizenzen zum eigenen Account hinzugefügt und Token für Geräte wie OPNsense-Firewalls erzeugt werden. Dieser Artikel zeigt wie Sie unter der '''Q-Feeds Threat Intelligence Platform v2.3''' eine '''Lizenz hinzufügen''' und einen '''Token für Ihre Firewall erstellen''' können.

Hier geht es zu den Q-Feeds Connect Lizenzen im Onlineshop von Thomas-Krenn

== Anmelden bei der Cloud Plattform ==
Melden Sie sich bei tip.qfeeds.com an, oder erstellen Sie einen neuen Account.

== Q-Feeds Dashboard ==
Nun wird das Q-Feeds Dashboard nach erfolgreichem Login angezeigt.

== Lizenzen hinzufügen und verwalten ==
Dieser Abschnitt zeigt wie Sie eine Lizenz aktivieren und Ihrem Account hinzufügen.

<gallery>
File:Q-Feeds-Webinterface-003.png|Klicken Sie rechts oben auf Ihren ''Accountnamen'' und anschließend im Dropdown Menü auf ''Licenses''.
File:Q-Feeds-Webinterface-004.png|Klicken Sie anschließend rechts oben auf die Schaltfläche ''Activate License''. Es erscheint dann dieses Menü, geben Sie den Lizenzschlüssel an und klicken Sie auf ''Activate License''.
File:Q-Feeds-Webinterface-005.png|Die Lizenz ist hinzugefügt und aktiv.
</gallery>

== API Key für Endgeräte wie OPNsense Firewalls erstellen ==
Dieser Abschnitt zeigt wie Sie API Keys für ihre OPNsense Firewall erstellen. Ein solcher Key ist für das Q-Feeds Plugin bei der OPNsense Firewall erforderlich.

<gallery>
File:Q-Feeds-Webinterface-006.png|Klicken Sie im Dashboard links unten auf ''Account Settings'', anschließend auf den Reiter ''API KEYS''. Mit dem Button Add API Key können Sie nun einen Key ergänzen. Geben Sie eine Beschreibung an und wählen Sie bei dem Feld '''Assign License''' eine gültige Lizenz an. Klicken Sie auf ''Save Key''.
File:Q-Feeds-Webinterface-007.png|Der API Token erscheint. Kopieren Sie ihn und fügen Sie ihn bei der OPNsense-Firewall im Q-Feeds Plugin ein.
</gallery>

Autor: Thomas Niedermeier

Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.

Q-Feeds Connect Einrichtung unter OPNsense 26.1

2026-04-07T13:21:46Z

Aranzinger:

Die Open Source Firewall OPNsense kann durch eine Integration der Q-Feeds Firewall Blocklisten und DNS Filter Regeln mit den neuesten Bedrohungsinformationen aufgewertet werden. Dieser Artikel zeigt wie Sie unter '''OPNsense 26.1''' das '''Q-Feeds Connect Plugin installieren, die Firewall Regeln''' und '''Unbound DNS Filter Regeln''' anlegen.

Hier geht es zu den Q-Feeds Connect Lizenzen im Onlineshop von Thomas-Krenn

== Q-Feeds Connect Plugin ==
Das Q-Feeds Connect Plugin kann bequem als Plugin bei OPNsense installiert werden.

=== Installation des Plugins ===
<gallery>
File:OPNsense-Q-Feeds-001.png|Gehen Sie zu ''System → Firmware → Plugins''.
File:OPNsense-Q-Feeds-002.png|Das Plugin "os-q-feeds-connector" ist im OPNsense Repository gepflegt und kann direkt installiert werden. Klicken Sie zur Installation auf das '''+'''.
File:OPNsense-Q-Feeds-003.png|Q-Feeds Connect wurde installiert.
File:OPNsense-Q-Feeds-004.png|Klicken Sie auf den Knopf zum Neuladen des Browsers.
</gallery>

=== Konfiguration des Plugins ===
Das Plugin wurde installiert und nun kann die Konfiguration vorgenommen werden.
<gallery>
File:OPNsense-Q-Feeds-005.png|Klicken Sie auf den neuen Menüpunkt ''Security''.
File:OPNsense-Q-Feeds-006.png|Anschließend auf ''Q-Feeds Connect''.
File:OPNsense-Q-Feeds-007.png|Im Reiter Settings werden die Einstellungen gesetzt.
File:OPNsense-Q-Feeds-008.png|Geben Sie Ihren API-Key an. Setzen Sie den Haken bei '''Register domain feeds''', um die Unbound DNS Blocklisten von Q-Feeds zu aktivieren. Klicken Sie anschließend auf ''Apply''.
File:OPNsense-Q-Feeds-009.png|Im Reiter '''Feeds''' werden die geladenen IP-Adressen und Domainnamen aufgelistet.
File:OPNsense-Q-Feeds-010.png|Reiter Events
</gallery>

=== Firewall Maximum Table Entries Anpassungen ===
Optional können Sie die Maximalzahl der Firewall Maximum Table Entries anpassen.

<gallery>
File:OPNsense-Q-Feeds-011.png|Wechseln Sie zum Menü ''Firewall → Settings → Advanced'' und scrollen zur Zeile '''Firewall Maximum Table Entries'''. Passen Sie den Standardwert gegebenenfalls an.
File:OPNsense-Q-Feeds-012.png|Die aktuelle Anzahl an Einträgen können Sie im Menü ''Firewall → Aliases'' betrachten.
File:OPNsense-Q-Feeds-013.png|Ein Q-Feeds Alias Eintrag wurde angelegt.
</gallery>

== Q-Feeds Firewall Regel Konfiguration ==
Nach der Installation und Konfiguration des Plugins können nun die Firewall Regeln gesetzt werden. In diesem Beispiel wird die Q-Feeds Blockliste auf LAN und WAN Schnittstelle aktiviert.

=== Blockregel ausgehender Traffic LAN Interface ===
Für eine LAN Schnittstelle bietet sich eine Regel an, die LAN eingehend jeglichen Traffic zu Zielen, die in der Blockliste enthalten sind, blockiert.

<gallery>
File:OPNsense-Q-Feeds-029.png|Gehen Sie zum Menü Firewall → Rules [new] und klicken Sie auf das '''+'''.
File:OPNsense-Q-Feeds-030.png|Geben Sie eine Beschreibung an und weisen Sie der Regel das Interface '''LAN''' zu.
File:OPNsense-Q-Feeds-031.png|Bei Action wählen Sie ''Block''.
File:OPNsense-Q-Feeds-032.png|Destination ist der Alias '''__qfeeds_malware_ip'''.
File:OPNsense-Q-Feeds-033.png|Klicken Sie auf ''Save''.
File:OPNsense-Q-Feeds-034.png|Aktivieren Sie die Checkbox vor der neuen Regel und klicken Sie auf den Pfeil bei der Allow from LAN Regel. Somit wird die Block-Regel vor der Allow-Regel abgearbeitet.
File:OPNsense-Q-Feeds-035.png|Klicken Sie auf '''Apply'''.
</gallery>

=== Blockregel eingehender Traffic WAN Interface ===
Für eine WAN Schnittstelle bietet sich eine Regel an, die WAN eingehend jeglichen Traffic von Quell-IPs, die in der Q-Feeds Blockliste enthalten sind, blockiert.

<gallery>
File:OPNsense-Q-Feeds-036.png|Gehen Sie zum Menü Firewall → Rules [new] und klicken Sie auf das '''+'''.
File:OPNsense-Q-Feeds-037.png|Geben Sie eine Beschreibung an und weisen Sie der Regel das Interface '''WAN''' zu.
File:OPNsense-Q-Feeds-038.png|Bei Action wählen Sie ''Block''.
File:OPNsense-Q-Feeds-039.png|Source ist der Alias '''__qfeeds_malware_ip'''.
File:OPNsense-Q-Feeds-040.png|Klicken Sie auf ''Save''.
File:OPNsense-Q-Feeds-041.png|Aktivieren Sie die Checkbox vor der neuen Regel und klicken Sie auf den Pfeil bei der Allow from WAN net Regel. Somit wird die Block-Regel vor der Allow-Regel abgearbeitet.
File:OPNsense-Q-Feeds-042.png|Klicken Sie auf '''Apply'''.
</gallery>

== Weitere Einstellungen zum Unbound DNS ==
Bei Q-Feeds Plus (nur OSINT) und Premium (OSINT und Paid) können Sie zusätzlich auch DNS Anfragen mit dem Unbound DNS filtern. Die DNS Filter Regeln werden automatisch aktiviert.
<gallery>
File:OPNsense-Q-Feeds-027.png|Sie können das Unbound DNS reporting aktivieren, klicken Sie hier auf ''Reporting → Settings'' und erlauben Sie die lokale Sammlung von Statistiken beim Unbound. Klicken Sie auf ''Save''.
File:OPNsense-Q-Feeds-028.png|Die Größe der Blocklist wird nun angezeigt.
</gallery>

Autor: Thomas Niedermeier

Q-Feeds Versionen Featurevergleich

2026-04-07T13:17:33Z

Aranzinger:

Next-Generation-Firewalls (NGFWs) sind wichtige Werkzeuge zum Schutz der Netzwerke. Sie können DNS- und Web-Datenverkehr anhand externer dynamischer Listen mit Bedrohungsindikatoren, sogenannten Indicators of Compromise (IoCs), filtern. Q-Feeds stellt dynamische, aktuelle Listen dieser IoCs bereit, die speziell für den Einsatz mit Sicherheitskontrollen wie NGFWs entwickelt wurden. Durch die Möglichkeit Q-Feeds als Plugin bei OPNsense-Firewalls zu ergänzen kann man die Schutzfunktion vor neuen und aufkommenden Bedrohungen verbessern. Das bedeutet, dass OPNsense mit den neuesten Bedrohungsinformationen auf dem Laufenden bleiben kann, um schädlichen Datenverkehr zu filtern. Dieser Artikel zeigt die '''verschiedenen Q-Feeds Lizenzen''' mit ihren Features '''tabellarisch dargestellt zum Vergleich''' auf.

Hier geht es zu den Q-Feeds Connect Lizenzen im Onlineshop von Thomas-Krenn

== Q-Feeds Versionen ==
Diese Tabelle zeigt die drei Q-Feeds Lizenzen mit ihren Eigenschaften und Unterschieden auf.

Q-Feeds Versionen Eigenschaften und Unterschiede
	Feature	Community Edition	Plus	Premium
Services	Active Support	-	✔	✔
Easy Integration	✔	✔	✔
Curated data	✔	✔	✔
Update frequency	delayed by 7 days	delayed by 4 hours	every 20 minutes
IoC (indicators of compromise) lookup	-	✔	✔
EASM (External Attack Service Management)	-	1 scan per week	1 scan per day
Dark web monitoring	-	✔	✔
Brand Protection	-	-	✔
OSINT (Open-Source Intelligence)	IP	✔	✔	✔
DNS	✔	✔	✔
Paid	IP	-	✔	✔
DNS	-	-	✔

Autor: Thomas Niedermeier

Backup und Restore unter Debian 13 mit Proxmox Backup Client

2026-03-25T07:16:16Z

Aranzinger:

Dieser Artikel beschreibt, wie Sie ein '''Debian 13''' System mit Hilfe des '''Proxmox Backup Clients''' auf den Proxmox Backup Server sichern können.

== Ausgangssituation ==
Sie benötigen für die Ausführung einen '''Proxmox Backup Server''' und ein '''Debian 13''' System, welches Sie sichern möchten.

Wenn Sie noch '''keinen PBS installiert''' haben, finden Sie hier eine Anleitung zur Installation: Proxmox Backup Server Installation.

== Proxmox Backup Client ==
In diesem Abschnitt wird der '''Proxmox Backup Client''' auf dem Debian 13 System installiert und konfiguriert.

Die komplette Installation wird als '''root User''' durchgeführt. Mit folgenden Befehl kann sich als Root-User angemeldet werden: <pre>su</pre>

=== Repository hinzufügen ===
Als Erstes muss das '''Repository''' für den ''Proxmox Backup Client'' konfiguriert werden. Dazu muss die Datei ''proxmox-backup-client.list'' mit folgendem Befehl erstellt werden:
<pre>sudo nano /etc/apt/sources.list.d/proxmox-backup-client.list</pre>
In diese Datei muss folgender Inhalt übernommen werden:
<pre>deb http://download.proxmox.com/debian/pbs-client trixie main</pre>
Als Nächstes muss der '''Repository-GPG-Key''' importiert werden. Proxmox verwendet für jede Debian-Version einen anderen GPG-Key. Für Debian Version 13 wird der GPG-Key für Trixie benötigt:
<pre>wget -qO - https://enterprise.proxmox.com/debian/proxmox-release-trixie.gpg | sudo tee /etc/apt/trusted.gpg.d/proxmox-release-trixie.gpg >/dev/null</pre>

=== Installation ===
Nach der Einrichtung des ''Proxmox Backup Client'' Repository müssen alle Paketlisten aktualisiert werden:<pre>
sudo apt update</pre>
Jetzt können sie den ''Proxmox Backup Client'' installieren:
<pre>sudo apt install proxmox-backup-client</pre>

=== Verbindung mit PBS herstellen ===
Nach erfolgreicher Installation des Clients können Sie sich mit folgendem Befehl mit dem Proxmox Backup Server verbinden:
<pre>proxmox-backup-client login --repository <user>@<pam>@<ipadresse>:<datastore></pre>
Folgende Anpassungen müssen hierbei durchgeführt werden:

<code><user></code>: Den Nutzernamen des PBS angeben, wir empfehlen hier nicht root zu nutzen, sondern einen alternativen Account mit den benötigten Berechtigungen
<code><pam></code>: Hier wird der Realm eingetragen der bei der Anmeldung beim PBS benötigt wird (meist ist dieser '''pam''')
<code><ipadresse></code>: Hier die IP Adresse des Proxmox Backup Servers eintragen
<code><datastore></code>: Den Namen des Datastores angeben auf welchen die Backups gesichert werden sollten
'''Der Eintrag könnte so aussehen: "backup@pam@10.26.33.11:zfs-pool".'''

Dann den Fingerprint akzeptieren und das Passwort des PBS eingeben.

Jetzt ist der Backup-Client fertig auf Ihrem Debian System installiert.

== Backup durchführen ==

=== Art der Sicherung ===
Wenn Sie eine Datei oder einen Pfad sichern möchten, führen Sie folgenden Befehl aus:
<pre>proxmox-backup-client backup etc.pxar:/(Verzeichnis oder Datei, das Sie Sichern möchte) --repository <user>@<pam>@<ipadresse>:<datastore></pre>
Wenn Sie das komplette System sichern möchten, benötigen Sie diesen Befehl:
<pre>proxmox-backup-client backup etc.pxar:/ --repository <user>@<pam>@<ipadresse>:<datastore></pre>
Nachdem Sie einen der Befehle ausgeführt haben, sollte das Backup nun im Datastore des Proxmox Backup Servers angezeigt werden.

=== Anzeige in der Shell ===
Sie können die Backups in der Debian Shell anzeigen lassen:<pre>proxmox-backup-client snapshots --repository <user>@<pam>@<ipadresse>:<datastore></pre>
Beispiel Output:<pre>
┌──────────────────────────────────┬───────┬───────────────────────────────────┐
│ snapshot │ size │ files │
╞══════════════════════════════════╪═══════╪═══════════════════════════════════╡
│ host/debian/2026-03-11T11:33:16Z │ 728 B │ catalog.pcat1 etc.pxar index.json │
└──────────────────────────────────┴───────┴───────────────────────────────────┘
</pre>

== Restore ==
Für die Wiederherstellung Ihrer Daten führen Sie folgenden Befehl aus:<pre>proxmox-backup-client restore <Backup Name> etc.pxar <Zielverzeichnis> --repository <user>@<pam>@<ipadresse>:<datastore></pre>

<code><Backup Name></code>: Geben Sie den vollständigen Namen des Backups an
<code><Zielverzeichnis></code>: Geben Sie hier das Zielverzeichnis für die Wiederherstellung an
<code><user>, <pam>, <ipadresse>, <datastore></code>: Diese sind so zu wählen, wie bei Verbindung mit PBS angegeben

=== Beispiel ===
Für das Beispiel nutzen wir folgende Werte:

'''Backup Name''': <code>host/debian/2026-03-11T11:33:16Z</code>
'''Zielverzeichnis''': <code>/home</code>
'''user''': <code>backup</code>
'''pam''': <code>pam</code>
'''ip-adresse''': <code>10.21.0.50</code>
'''datastore''': <code>backup_ssd</code>

Das ergibt folgenden Befehl:<pre>proxmox-backup-client restore host/debian/2026-03-11T11:33:16Z etc.pxar /home --repository backup@pam@10.21.0.50:backup_ssd</pre>

== Cron-Job ==
Sie können Ihre Sicherungen auch mithilfe eines '''Cron-Jobs''' automatisieren.

=== Skript erstellen ===
Als Erstes müssen Sie die Datei <code>/usr/local/sbin/debian-backup.sh</code> erstellen:
<pre>nano /usr/local/sbin/debian-backup.sh</pre>
Erstellen Sie folgendes Skript (wählen Sie die in <code><></code> enthaltenen Werte entsprechend Ihrer Einstellungen):
<pre>#!/bin/bash
set -euo pipefail

export PBS_REPOSITORY="<user>@<pam>@<IPadresse>:<Datastore>"
export PBS_PASSWORD="<Password>"

proxmox-backup-client backup \
home.pxar:/<Verzeichnis></pre>
Machen Sie das Skript danach ausführbar:
<pre>chmod +x debian-backup.sh</pre>

=== Cron installieren und konfigurieren ===
Als Nächstes muss '''Cron''' mit folgenden Befehlen installiert werden:
<pre>sudo apt update

sudo apt install cron
</pre>
Dann die '''Cron'''-Datei erstellen:
<pre>
sudo crontab -e
</pre>
Wollen Sie Ihre Daten täglich um 03:30 Uhr in der Nacht sichern, fügen Sie der Datei folgenden Text hinzu:
<pre>
30 3 * * * /usr/local/sbin/debian-backup.sh
</pre>
Für eine ausführliche Anleitung, wie man Cron-Jobs anlegt bzw. ändert konsultieren Sie folgenden Artikel: https://wiki.ubuntuusers.de/Cron/ .

Autor: Paul Streifinger

Paul Streifinger arbeitet als Auszubildender im Product Management Team von Thomas-Krenn. Er absolvierte an der Realschule Freyung seine Mittlere Reife und macht seine Ausbildung als Fachinformatiker für Systemintegration bei der Thomas-Krenn.AG. Während seiner Ausbildung beschäftigt er sich mit Proxmox VE (inkl. Ceph und Backup) und mit VMware.

Advantech Industrie Firewall Server

2026-03-24T11:26:45Z

Aranzinger:

Für den Betrieb einer Open Source Firewall wie OPNsense eignet sich eine große Anzahl verschiedener Serversysteme. In diesem Artikel stellen wir einige Advantech Industrie Firewall Systeme vor, die wir bei Thomas-Krenn speziell mit OPNsense getestet haben.

Hier geht es zu unseren OPNsense Industrie-Firewalls im Onlineshop von Thomas-Krenn

== Firewall optimierte Advantech Systeme ==
Die folgende Tabelle zeigt Advantech Systeme, die wir bei Thomas-Krenn speziell mit OPNsense getestet haben:

Server	<tklink type="sitex" id="20756">UNO-2271G V2</tklink><br>	<tklink type="sitex" id="20804">FWA-1012VC-4CA1S</tklink><br>	<tklink type="sitex" id="20803">FWA-1012VC-8CA1S</tklink><br>	<tklink type="sitex" id="20805">FWA-1112VC-4CA1S</tklink><br>	<tklink type="sitex" id="20802">FWA-2012-16A1S</tklink><br>	<tklink type="sitex" id="21233">FWA-1214LRI-4CA1R</tklink><br>	<tklink type="sitex" id="21233">FWA-1214FRI-8CA1R</tklink><br>	<tklink type="sitex" id="21123">FWA-3034</tklink><br>	<tklink type="sitex" id="21073">FWA-5072-00A1R</tklink><br>
Besonderheiten	Lüfterlos 2 NICs optional 2 zusätzliche NICs (2x i350)	4 NICs 2 SFP Intel QAT	6 NICs 2 SFP Intel QAT	6 NICs 2 SFP+ 10 Gbit Intel QAT Hoher Temperaturbereich	6 NICs Intel QAT 1x NMC	4 Kerne (Atom x7433RE) 4 NICs	8 Kerne (Atom x7835RE) 4 NICs 2 SFP (FWA-1214FRI-8CA1R)	Front I/O 8x 2,5 Gbit onboard 2x 10 Gbit onboard 1x NMC red. NT	Front I/O 4x NMC red. NT
Mainboard	UNO-2271G-N221AE	FWA-1012VC 4-Core	FWA-1012VC 8-Core	Advantech Mainboard FWA-1112VC	Advantech Mainboard FWA-2012	Advantech Mainboard FWA-1214	Advantech Mainboard FWA-1214	Advantech Mainboard FWA-3034	Advantech Mainboard FWA-5072-00A1R
CPU<br><br> Taktfrequenz Cores / Threads AES-NI Instructions	Celeron N6210<br><br> 1,2 GHz 2 / 2 Ja	Atom C3558<br><br> 2,2 GHz 4 / 4 Ja	Atom C3758<br><br> 2,2 GHz 8 / 8 Ja	Atom C3558<br><br> 2,2 GHz 4 / 4 Ja	Atom C3958<br><br> 2,0 GHz 16 /16 Ja	Atom x7433RE<br><br> 3,4 GHz 4 / 4 Ja	Atom x7835RE<br><br> 3,6 GHz 8 / 8 Ja	Core i3-13100TE - Core i7-12700E<br><br> 4,1 - 5,1 GHz 8 / 8 - 12 / 20 Ja	Xeon Silver 4509Y - Xeon Platinum 8580<br><br> 2,0 - 3,9 GHz 8 / 16 - 60 / 120 Ja
RAM	2 - 8 GB	8 - 32 GB	8 - 32 GB	8 - 32 GB	8 - 32 GB	8 GB	8 GB	8 - 64 GB	16 - 1024 GB
Disk (SATA)	-	-	-	-	-	-	-	2	2
Disk (NVMe und weitere)	32 GB eMMC onboard 1 mSATA	1 SATA M.2 2280	1 SATA M.2 2242/2280	1 SATA M.2 2280	1 SATA M.2 2280	64GB M.2 SATA SSD 2242 onboard	64GB M.2 SATA SSD 2242 onboard	1 SATA/NVMe M.2 2280	2 SATA/NVMe M.2 2280
NICs 1 Gbit (enthalten)	2 (2x i211)	6 (4x RJ45, 2x SFP)	8 (6x RJ45, 2x SFP)	4 (2x i211, 2x X553 L)	6 (6x RJ45)	4 (4x RJ45)	6 (4x RJ45 und 2x SFP)	2 (2x SFP)	2 (2x RJ45)
NICs 2,5 Gbit (enthalten)	-	-	-	-	-	-	-	8 (8x i226-LM)	-
NICs 10 Gbit (enthalten)	-	-	-	2 (2x X553 N)	-	-	-	2 (2x X710)	-
NICs 25 Gbit (enthalten)	-	-	-	-	-	-	-	-	-

Autor: Thomas Niedermeier