Skip to content

Ist ein Paketfilter auf einem Rootserver sinnvoll?

Linux

Wer einen Rootserver - egal ob es eine physische oder virtuelle Maschine ist - im Internet betreibt, muss sich Gedanken um dessen Absicherung machen. Früher oder später kommt man dann auch an den Punkt, wo man entscheiden muss, ob man einen Paketfilter wie Iptables auf seinem Server konfigurieren soll. Hier gibt es unterschiedliche Meinungen im Netz, ob das sinnvoll ist oder nicht. Schauen wir die Argumente doch mal an.

Gründe, warum man keinen Paketfilter auf dem Rootserver benötigt

Auf einem Rootserver gibt es normalerweise nur ein Netzwerkinterface, dass nach außen auf das Internet routet. Daneben haben wir immer noch das lokale Interface, dass nur intern auf dem Rechner erreichbar ist. Auf dem "klassischen" Rootserver sollen Dienste, die man installiert, in der Regel auch vom Internet erreichbar sein. Auf Ports, die nicht erreichbar sein sollen, sollte auch kein Dienst erreichbar sein. Ein Beispiel ist der Webserver, der natürlich vom Internet erreichbar sein soll. Das Datenbankbackend sollte aber nur vom Webserver auf dem internen Interface erreichbar sein. Wenn also alle Dienste auf dem Server korrekt installiert sind, macht ein Paketfilter keinen wirklichen Sinn. 

Ein Schutz gegen DDOS-Angriffe oder ein Lastverteilung muss immer auf den Routern vor dem Rootserver laufen, um zu funktionieren. Also ist auch dies kein Grund für eine Iptables auf dem Server selbst.

Szenarien, in denen ein Paketfilter Sinn macht

Zunächst einmal kann man den Paketfilter als "Sicherheitsnetz" betreiben. Wenn man mal einen Dienst, der eigentlich nur auf der internen Schnittstelle erreichbar sein soll, falsch konfiguriert, wäre er dann aufgrund den dann nicht freigeschalteten Ports eben nicht erreichbar und die Fehlkonfiguration hätte keine Auswirkungen auf die Sicherheit des Servers. Außerdem könnte ein installierter Dienst eine Sicherheitslücke haben, durch die ein Angreifer einen Dienst im Benutzerkontext etablieren könnte, der dann von außen erreichbar ist und entsprechend ausgenutzt werden könnte. Ein Paketfilter würde so etwas verhindern.

Dann gibt es noch einige spezielle Szenarien, die einen Paketfilter nötig machen. So wäre zum Beispiel ein Portknocking möglich, bei dem ein Dienst erst erreichbar ist, nachdem man auf einem anderen nicht bekannten Port "angeklopft" hat.

Fazit

Grundsätzlich macht ein Paketfilter auf einem Rootserver erstmal keinen Sinn. Zur Absicherung von Fehlkonfigurationen oder Folgen von Angriffen auf erreichbare Dienste kann Iptables aber durchaus Sinn machen und genutzt werden. Für einige spezielle Aufgabenstellungen wird der Paketfilter sogar explizit benötigt. Jeder Betreiber eines Rootservers sollte die Notwendigkeit also selbst beurteilen und eine entsprechende Konfiguration einsetzen.

Habt ihr einen Rootserver in Betrieb? Wie sieht es bei euch mit dem Betrieb eines Paketfilters aus. Gibt es Szenarien, die ich nicht angesprochen habe? Lasst es mich in den Kommentaren wissen.

Test: Linux vServer bei Linevast

Linux

Ein eigener Server im Internet ist dank der Virtualisierungstechnik relativ erschwinglich geworden. Eine solche virtuelle Maschine bietet viele Vor- aber auch Nachteile.

Größter Vorteil: Ich habe Rootrechte und kann alles installieren was ich möchte.

Größter Nachteil: Ich habe Rootrechte und kann alles installieren was ich möchte. ;-)

Spaß beiseite, ob man einen eigenen Server betreiben will, bei dem ich mich um alles kümmern muss, (Absicherung, Updates, Konfiguration usw.) und das eigentlich immer, auch wenn ich eigentlich im Urlaub bin, muss man sich gut überlegen. Aber dazu gibt es einige gute Artikel im Netz, zum Beispiel hier.

Linevast-LogoDer Hosting- und Server-Anbieter Linevast hat mir einen ihrer Linux vServer in der "Starter" Variante zur Verfügung gestellt und ich habe die virtuelle Maschine ein paar Wochen getestet.

Einrichtung und Ausstattung des Servers

Die Einrichtung des Servers ist denkbar einfach. Nachdem man einen Benutzer-Account erstellt hat, kann man den gewünschten vServer buchen und er steht einem dann im eigenen Kundenbereich im Dashboard für weitere Konfigurationen zur Verfügung. So bietet Linevast zum Beispiel einen DDOS-Schutz als zusätzliche Leistung an. Der Starter-Server ist mit 2 CPU, 1GB Hauptspeicher und 30 GB Festplattenplatz ausgestattet. Man bekommt eine V4-IP sowie ein 64er IPV6 Netz. Domains und DNS können verwaltet werden, sind aber natürlich auch über externe Anbieter möglich.

Als Konfigurationsplattform kommt bei Linevast SolusVM zum Einsatz, das Panel ist übersichtlich und verständlich. Es bietet die wichtigsten Funktionen zur Verwaltung der virtuellen Maschine auf einen Blick.

Solus-Konsole

Betriebssystem

Man hat die Auswahl zwischen sechs Linuxdistributionen in verschiedenen Versionen. Debian, CentOS, SuSE, Ubuntu, Fedora und Scientific stehen zur Auswahl. Auf meinem vServer habe ich das standardmäßig installierte Debian 7 64bit belassen und damit getestet. Das Betriebssystem wird in einer sehr kleinen Paketauswahl installiert, was ich persönlich sehr angenehm empfinde, denn man schleppt dann keinen unnötigen Ballast mit herum. Als Webserver ist allerdings bereits ein Apache betriebsbereit installiert, so dass ein Aufruf der IP-Adresse im Browser die Apache "It Works!" Seite zeigt.

Erste Konfigurationsschritte

Der Server ist selbstverständlich über SSH erreichbar. Allerdings ist in der Standardinstallation der Root-Login über ein Passwort möglich. Dies ist natürlich als Erstes anzupassen. Man sollte sich halt immer vor Augen halten, dass es sich bei einem virtuellen Server um ein Produkt handelt, bei dem man von Anfang an die komplette Verantwortung für die Sicherheit des Systems hat. Hier stellt der Anbieter die Plattform zur Verfügung und ist dann eigentlich "raus aus der Nummer".

Der Apache ist wie oben schon erwähnt bereits startklar in der Grundkonfiguration von Debian installiert. Als Mailer ist sendmail installiert und nachdem man seiner IP-Adresse einen Rechner/Domain-Namen verpasst hat, ist auch die Mailzustellung an andere Mailserver problemlos möglich. Auch hier ist die Grundkonfiguration von Debian natürlich an die eigenen (Sicherheits-)Bedürfnisse anzupassen oder natürlich ganz nach Geschmack auch ein anderer Mail-Server zu installieren.

Webserver und Blog

Eine der ersten Tests war natürlich der Betrieb als Webserver. Hierzu habe ich noch den MySQL-Server und PHP-Unterstützung installiert, um natürlich sofort ein Serendipity-Testblog aufzusetzen. :-)

Das war in wenigen Minuten erledigt und der Testblog läuft auf der virtuellen Maschine sehr flüssig.

Problemfall VPN und der Support

Die nächste Aufgabe war, einen VPN-Server für die persönliche Nutzung aufzusetzen. Es ist ja immer ganz nützlich, wenn man unterwegs mit dem Smartphone mit einem vertrauenswürdigen VPN verbunden ist. Mitnutzer desselben Hotel-WLANs oder Hotspots können dank der Verschlüsselung nicht mithören. Ein VPN-Server auf dem Router daheim hat immer den Nachteil eines eventuell langsamen Upstreams und so ist natürlich so ein vServer mit einer schnellen Internetanbindung in beide Richtungen eine feine Sache.

Bei der von mir geplante Nutzung von Strongswan mit IKEV2 stieß ich jedoch auf einige Probleme, so dass ich auch Gelegenheit hatte, den Support von Linevast zu testen. Der Support ist über ein Ticketsystem in der Benutzer-Konsole realisiert. Ich bin sehr angetan von den raschen und kompetenten Hilfestellungen, die ich bekommen habe. So wurden Fragen im Ticket auch noch spät Abends und teilweise auch auch Wochenende beantwortet.

Das Problem war, dass die VPN-Verbindung zwar geklappt hat, aber der Datenverkehr ins Internet nicht mehr zurück an die virtuelle IP meines Smartphones genattet wurde. Nachdem vom Support noch einige Firewall-Einstellungen versucht wurden und es immer noch nicht geklappt hat, war die Lösung schließlich ein Problem von Strongswan im Zusammenspiel mit der OpenVPS-Implementierung, mit der die vServer bei Linevast realisiert sind. Mit Hilfe des Supports habe ich dann auf OpenVPN gewechselt und das funktioniert jetzt ganz wunderbar (mit dem kleinen Wehrmutstropfen, dass mein BlackBerry Z30 kein OpenVPN unterstützt, aber mit anderen Geräten ist das kein Problem).

Ich fand es toll, wie der Support mit mir zusammen nach Lösungsmöglichkeiten gesucht hat, die Kontakte mit den einzelnen Mitarbeitern waren sehr angenehm. Sehr empfehlenswert!

Leistung

Die Leistung des vServers ist im Testbetrieb wirklich sehr ordentlich. Natürlich kann ich nicht sagen, wie es bei einer großen Besucheranzahl auf dem Webserver aussehen würde. Die Produktbeschreibung auf der Webseite von Linevast empfiehlt den Starter-Server für kleine bis mittlere Projekt und nach meinem Gefühl nach den Tests ist das durchaus eine realistische Angabe.

Fazit

Wie ich zu Anfang schon erwähnt habe, ist ein vServer eine günstige Möglichkeit, einen eigenen Root-Server zu betreiben, wenn man die Möglichkeiten eines solchen Produktes braucht und auch beherrschen kann. Für den einfachen Betrieb einer Webseite mit einem Blog wäre ein virtueller Server sicherlich etwas oversized. Für den ambitionierten Admin ist der Starter Server durchaus einen Blick wert. Der Service hat in den Testwochen prima funktioniert, ich habe (bis auf einen kurzen Ausfall am Anfang der Testzeit durch einen defekten Switch) keine Ausfälle des Servers bemerkt. Der Support ist sehr kompetent, freundlich und schnell, was ich übrigens mit als eine der wichtigsten Merkmale eines Hosting- und Serveranbieters sehe.

Linevast hat eine breite Produktpalette von Hosting bis zum Root-Server. Wenn ihr gerade einen Anbieter für ein neues Projekt sucht, schaut doch mal vorbei, ob etwas für euch dabei ist.

Windows 10 Update in einer Virtualbox unter Kubuntu

Linux

Ich habe auf meinem Kubuntu über Virtualbox eine virtuelle Maschine mit Windows 7 laufen. Dieser wollte ich auch das kostenlose Update auf Windows 10 spendieren. Leider gab das Prüftool von Microsoft den Fehler aus, dass die (virtuelle) Grafikkarte nicht kompatibel zu Windows 10 sei und verweigerte das automatische Upgrade.

Zum Glück gibt es ja das Internet und nach einigem Stöbern fand ich die Lösung. Man kann über das MediaCreation-Tool von Microsoft das Update manuell durchführen, was ich dann auch mit Erfolg getan habe.

Und hier ist die ausführliche Anleitung von "Der Tutonaut", die ich gefunden und genutzt habe:

Tipp: Hardwareprüfung beim Windows 10-Upgrade umgehen

Vielen Dank an Christian Rentrop für diesen Tipp.

Debian 8 erschienen

Linux

Und noch eine Neuerscheinung bei den Linuxdistributionen. Nach Ubuntu und diversen Derivaten hat das Debian-Team die neue Version 8 mit dem Codenamen "Jessie" freigegeben.

Debian-Logo

Neben der Aktualisierung der enthaltenen Software-Pakete dürfte der Wechsel auf das Init-System systemd die größte und umstrittenste Änderung sein. Zusammen mit dem Debian LTS-Projekt vespricht man außerdem, die Version für 5 Jahre mit Sicherheitsupdates zu versorgen. Bisher gab es für Debian-Versionen keine festen Lebenszyklen. Eine Version wurde nach Erscheinen des Nachfolgers immer noch für ein Jahr aktualisiert, danach war Schluss.

Einen guten Startpunkt, um sich einen Überblick über Debian 8 zu verschaffen, ist die Seite mit der Ankündigung des Projekts.

Ich selbst nutze Debian auf einigen Servern, wo ich mir mit dem Update noch etwas Zeit lassen werde. Außerdem nutze ich Debian noch auf meinem Uralt-EEE-PC, wo ich heute schon mal gleich aktualisiert habe und bisher keine Probleme feststellen kann.

Kubuntu 15.04 erschienen

Linux

kubuntu-logo

Quasi zeitgleich zur "Mutter"-Distribution ist heute auch die KDE-Variante von Ubuntu in der neuen Version 15.04 erschienen. Die auffälligste Änderung dürfte der Wechsel zur Plasma 5 Plattform sein, die ein komplett überarbeitetes Design bietet und ein "flüssigeres" Arbeiten ermöglichen soll.

Den ein oder anderen mag das geänderte Design an das neue Windows 10 erinnern. Die Icons sind jetzt auch im allseits zu sehenden Flat-Design und nicht mehr so bunt wie in früheren Versionen von KDE.

Eine Zusammenfassung der Neuerungen erhält man auf kubuntu.org.

Im folgenden Video gibt es einen ersten Eindruck über die neue Oberfläche, die sicher Geschmacksache ist und die Geister wieder scheiden wird.

Ich weiss noch nicht so recht, was ich davon halten soll. Da ich momentan die LTS-Version 14.04 nutze, werde ich meinen Hauptrechner erstmal nicht updaten. Ich werde die 15.04 aber mal intensiv in einer virtuellen Maschine testen. Wie gefällt euch das neue Aussehen des KDE-Desktops unter Plasma 5?

Twitter Client Choqok mit neuer Version

Linux

Sucht man nach komfortablen Twitter Clients, so ist die Auswahl in den letzten Jahren immer weniger geworden. Grund dafür ist nicht zuletzt die Politik von Twitter, die Nutzer möglichst auf ihrer Webseite zu halten und die Zugriffe auf die API von Fremdclients massiv einzuschränken. Wenn man dann noch ein Linux System nutzt, wird die Luft extrem dünn.

Ich nutze auf meinem Kubuntu-System schon länger den Twitter Client Choqok, der sich eigentlich ganz gut in die KDE Systemumgebung integriert. Er bietet alle wichtigen Twitterfunktionen an und hat eine (für mich sehr wichtige) gelesen/ungelesen Funktion für Tweets. Neben Twitter kann/konnte der Client auch Identi.ca- und Status.net-Accounts bedienen. Es gab allerdings in letzter Zeit wenig Updates und die Version hatte einige Fehler, die zum Teil auch auf dem Alter der aktuellen Version beruhten. So funktionierten zuletzt die beiden oben genannten Account-Arten nicht mehr, da die Plattformen von anderen Organisationen übernommen wurden.

Gestern nun gab es eine gute Nachricht. Nach über einem Jahr haben die Entwickler ein neues Update herausgebracht.

Choqok Version 1.5

Die Version 1.5 enthält einige Neuerungen:

  • Vorschau von Bildern auf twitter.com funktioniert jetzt zuverlässig (Endlich! :-) )
  • Die neuen Plattformen von pump.io und status.net (GNU-Social) funktionieren wieder.
  • Alte, nicht mehr funktionierende Plugins wurden entfernt.
  • Ein neuer Dienst, um gekürzte URLs aufzulösen, wurde eingebaut. Dadurch zeigt ein Mouse-Over über eine gekürzte URL den Original-Link in voller Länge an, sehr praktisch.
  • Es gibt eine Einstellungsoption, mit der man das Icon im Systemtray von KDE abschalten kann.
  • Die Anzahl der verbleibenden Zeichen bei einem Tweet berücksichtigt jetzt die automatisch Kürzung von URLs durch Twitter.
  • Im Kontextmenü eines Users kann man diesen nun direkt an Twitter als SPAM melden.
  • Eine Menge Bugs wurden gefixt.

Chokoq Hauptfenster

Schön, das Choqok noch weiter entwickelt und supportet wird. Ich nutze den Client sehr gern und kann ihn KDE-Nutzern nur wärmstens empfehlen.

Habt ihr noch Empfehlungen für Twitter-Clients unter Linux? Dann ab in die Kommentare damit. ;-)

Weitere Infos:

Blogeintrag mit der Ankündigung der Version 1.5

Liste der behobenen Fehler

 

Debian Wheezy Updateprobleme mit Mysql

Linux

Das tolle an Debian ist ja das problemlose Update des System via apt-get. Bisher hatte ich, besonders innerhalb eines Debian Releases noch nie Probleme beim Update von allen möglichen Paketen. Bis gestern.

Auf einem bestehenden Servern brachte apt-get ein Update des Paketes mysql-server-5.5 mit. Nach dem Download brachte die Konfiguration des Paketes und der damit verbundene Neustart des Sytems  einen Fehler und der Mysql-Dienst startete nicht mehr.

Die paketspezifischen Logdateien waren alle leer, allerdings gab es in /var/log/syslog einige aufschlussreiche Zeilen.

Nov 25 22:07:13 debian mysqld_safe[12959]: #007/usr/sbin/mysqld: File './mysql-bin.000097' not found (Errcode: 13)
Nov 25 22:07:13 debian mysqld_safe[12959]: 141125 22:07:13 [ERROR] Failed to open log (file './mysql-bin.000097', errno 13)
Nov 25 22:07:13 debian mysqld_safe[12959]: 141125 22:07:13 [ERROR] Could not open log file
Nov 25 22:07:13 debian mysqld_safe[12959]: 141125 22:07:13 [ERROR] Can't init tc log
Nov 25 22:07:13 debian mysqld_safe[12959]: 141125 22:07:13 [ERROR] Aborting

Die binären Logdateien von mysql liegen standardmäßig in /var/lib/mysql. Dort gab es zwei neue Logdateien, darunter auch die im Logfile genannte mysql-bin.000097. Allerdings gerhörten diese Dateien dem Benutzer root und waren somit vom Benutzer mysql, unter dem der Dienst läuft, nicht lesbar. Nachdem ich den Besitzer der Datei auf mysql geändert hatte, konnte ich den Dienst manuell mit "service mysql start" wieder starten. So weit so gut.

Allerdings gab es immer noch die unkonfigurierten Pakete mysql-server-5.5 und mysql-server. Apt-get versucht bei jedem Update nun, diese Pakete erneut zu konfigurieren, was dann wieder zu dem oben beschriebenen Problem führt. Das ist natürlich kein Dauerzustand.

Nach etwas googlen stellte ich fest, dass dieses Problem in verschiedenen Ausprägungen auftritt. Für meinen Fehler hat folgende Vorgehensweise zum Erfolg geführt:

  • Mysql muss gestoppt sein.
  • In /var/lib/mysql alle Dateien mit "chown mysql.mysql /var/lib/mysql/*" dem Benutzer mysql zuordnen.
  • Im Startscript /etc/init.d/mysql nach der case Zeile "'start')" die Zeile "exit 0" einfügen. Das beendet das Startscript ohne Fehlermeldung, allerdings auch ohne irgendetwas zu starten. ;-)
  • Danach ein "apt-get upgrade" durchführen. Die Konfiguration der Pakete wird jetzt durchgeführt. Dadurch, dass mysql nicht gestartet wird, wird auch der Fehler nicht erzeugt und die Pakete werden als sauber konfiguriert markiert.
  • In /etc/init.d/mysql die zuvor eingefügte Zeile "exit 0" wieder löschen.
  • Mysql mit "service mysql start" starten.

Jetzt sollte alles wieder sauber laufen. Ich hoffe, dass dieser Fehler beim nächsten Update von mysql nicht mehr auftritt.

Habt ihr so etwas auch schon mal auf einem Debian System erlebt? Eventuell hilft dieser Artikel ja jemandem, der ein ähnliches Problem mit einem Mysql-Update hat.

Kubuntu 14.04 LTS

Linux

Während ich das hier schreibe, läuft auf meinem Rechner im Hintergrund das Update auf die neue Kubuntu-Version 14.04 LTS. Dies ist wieder einmal eine Version mit verlängertem Support. Sowohl die Server- als auch die Desktop-Version erhält 5 Jahre Support und Updates.

Kubuntu 14.04 LTS

Einige Highlights der Version:

  • KDE 4.13
  • Mozilla Firefox als Default-Browser
  • Muon Suite 2.2 als Software/Paketverwaltung
  • Ein neuer Treiber-Manager verwaltet nun freie und propietäre Treiber einfacher.
  • Der Bildbetrachter Gwenview kann nun leichter mit Plugins versorgt werden.
  • Verbesserte Konfiguration von Touchpads.
  • Der Instant Messenger Telepathy kann nun Kontake gruppieren, die auf verschiedenen Plattformen existieren.
  • Ein neuer Netzwerkmanager mit verbessertem Interface.
  • Mit KDE Connect kann man sein Android Smartphone mit dem Kubuntu Desktop verbinden.
  • und vieles mehr...

Weitere Details gibt es auf der Projektseite von Kubuntu.org. Ich warte jetzt, bis das Update durch ist und schaue mir das dann mal in Ruhe alles an. Wenn es weitere Neuigkeiten gibt, erfahrt ihr es hier. :-)

Hochzeit im Linuxterminal

Linux

Eigentlich hat man ja mit den Hochzeitsvorbereitungen genug zu tun. Aber Amrutha and Premjith aus Indien hatten noch Zeit, eine witzige Idee für eine Homepage zur Hochzeit umzusetzen. Die Seite verhält sich wie ein Linux-Terminal und man kann die verschiedenen Informationen zur Feier über "Shell-Befehle" abrufen. Sehr coole Idee.

wedding-site

(via Linux und ich)

Schriftarten in Thunderbird ändern

Linux

Da ich gerade wieder das Problem hatte und danach im Netz erst ein wenig googeln musste, schreibe ich es hier mal für die Zukunft auf.

Bei höheren Bildschirmauflösungen kommt es gerade unter Linux manchmal vor, dass im Mailprogramm Thunderbird die Schriftarten von Menüs und in der Mailübersicht zu groß oder zu klein dargestellt werden. Das führt zu Problemen bei der Lesbarkeit oder sieht einfach auch mal hässlich aus. Die Schriftgrösse lassen sich über eine CSS-Datei im Thunderbird-Profil des Nutzers anpassen.

Man findet das Nutzerprofil unter Linux im Homeverzeichnis des Benutzers im Unterverzeichnis ".thunderbird". Dort gibt es dann einen Ordner, der aus einer zufälligen Zeichenkombination besteht, das Standardprofil hat hinter dieser Zeichenkombination ein ".default" angehängt.

mario@fichte:~/.thunderbird/m53h4ule.default$

Zu beachten ist, dass unter Linux der "." vor dem Verzeichnisnamen "thunderbird" bewirkt, dass das Verzeichnis versteckt wird, wenn ihr ein grafisches Tool zur Dateibearbeitung nutzt, müsst ihr also einstellen, dass versteckte Dateien angezeigt werden.

Im Profilverzeichnis gibt es einen Ordner "chrome", wenn der noch nicht existiert, müsst ihr ihn anlegen. In diesen Ordner gehört dann die Datei "userChrome.css" (Groß- / Kleinschreibung unbedingt beachten). Wenn die Datei vorhanden ist, kann man sie einfach ergänzen, wenn nicht, ist sie neu anzulegen. In dieser Datei kann man nun alle Elemente der Benutzeroberfläche mittels CSS-Statements beeinflussen. Uns geht es ja hier um die Schriftgrösse der Menüs und Listen.

Zunächst kann man einfach die Schriftgröße aller Elemente der Benutzeroberfläche mit folgendem Befehl anpassen:

/* Global UI font */
* { font-size: 11pt !important;
} 

Entscheident ist hier der Wert hinter "font-size:". Hier könnt ihr die Schriftgröße angeben. Man kann hier den Wert in pt (Größe in Relation zur Bildschirmauflösung) oder in px (Pixel) angeben, damit kann man einfach mal ein wenig herumspielen. Die Auswirkungen sieht man sofort nach einem Neustart von Thunderbird.

Will man nur die Menüelemente in der Größe verändern braucht es diesen Eintrag:

/* Menu font */
menu, menulist, menuitem { 
  font-size: 12pt !important;
}

Zur Veränderung der Schriftgröße der Baumelemente (Mailkonten) und der Liste der Mails nutzt man:

treechildren {font-size: 12px;}

So könnt ihr die Schriftgrößen ganz nach belieben an eure Vorlieben anpassen. Das ganze funktioniert im Prinzip auch für den Firefox (Profil in ".mozilla/firefox") und natürlich auch unter Windows, hier sind natürlich die jeweiligen Profilverzeichnisse je nach Windowsversion aufzusuchen.

tweetbackcheck