Lord_Pinheads Blog - Linux/BSD

Im Regen zurück aus Dresden und gleich in die Traufe

nospam@example.com (Thomas Behrend) — Sat, 17 Oct 2009 11:50:00 +0200

So, endlich zurück aus Dresden. Wer es noch nicht gehört hat: Von der FoDB aus bin ich letzte Woche mit meinem Arbeitskollegen Peter in Dresden gewesen bei Robotron (nein, nicht DIE Robotron die für die Stasi Abhörtechnik gebaut hat ) - für eine Oracle WebLogic Schulung (genau genommen hieß er: Oracle WebLogic Server 10g R3: System Administration).

Irgendwie bin ich froh mich trotzdem etwas vorbereitet zu haben was das Thema Application Server angeht, aber es hätte auch etwas mehr sein können. Beim Software Deployment ging es dann ziemlich in die Tiefen des ehemaligen Bea Vorzeige Systems. Trotzdem bin ich überrascht wie einfach das System lief, sogar das Clustern. Auf die frage wie man eine Domäne deinstalliert welche man falsch eingerichtet hat, kam vom Lehrer Hegenwald nur "Löschen Sie einfach den Ordner". Erfreulich das es nicht ein komplexes System gibt, welches die Software oder Systemeinrichtungen beinhaltet und man einfach löschen kann. Die Jungs haben sich anscheinend die Unix Philosophie zu Herzen genommen!

In unserer Schlungseinrichtung waren wir nur 4 Leute, und ich war der einzige der meinte, eine zweite Maschine in Beschlag zu nehmen für einen Cluster (der am Donnerstag drankam). Krakenartig hab ich meine Tentakel auf den Rechner neben und Hinter mir ausgestreckt und die Software installiert. Alles lief einwandfrei, bis ich den Nodemanager deployen wollte. Dazu musste man sich von der Maschine aus auf den Adminserver einloggen z.B. per WLST, ein nmEnroll() starten mit den Parametern DomainDir und NodemanagerHome. Also z.B.

nmEnroll('Home/oracle/work/domains/mydomain','/usr/local/oracle/weblogic/wl_server/common/nodemanager');

Damit holt sich der Nodemanager die Konfiguration vom Adminserver ab und erstellt die nötigen Verzeichnisse für die Server und der Domain. Hält man das ganze gleich auf jeder Maschine, ist das masseninstallieren auf ein paar Hundert Rechnern innerhalb von Minuten gemacht. Naja, sofern man sich nicht verschreibt. Dabei habe ich gelernt, das die Java Python implementation sehr variabel ist, dummerweise kann ich auch falsche Verzeichnisse angeben. Gesagt, getan... Vertippt - Shit. Naja, nichts was ein rm -rf nicht lösen kann Nochmal gemacht, diesmal als Python Script, und schon lief es. Der Nodemanager konnte sich mit dem Adminserver verbinden, ich hab die Server eingerichtet und der Maschine zugewiesen und der Nodemanager hat sie dann problemlos starten können. Fehler mit einem Server? Löscht einfach das Serververzeichnis. Beim Reconnect wird die Software automatisch wieder rüberkopiert (sofern man nicht etwas anderes eingestellt hat) und gestartet. Wunderbar einfach finde ich. Man sollte natürlich keine Daten löschen die man bräuchte, aber eine Datenbank hat heute ja jede gute Software. Sessions wären ein Problem, aber die kann man ja auch in einem Verzeichniss als Datei ablegen das per NFS gemountet ist. Müsste man nur vorher unmounten, Server Runterfahren, Verzeichnis löschen, per Nodemanager wieder starten und dann wieder das NFS mount einhängen.

Später ging es dann an einen Webproxy/Webcache. Webcache hatte unser Apache nicht wirklich, aber dafür innerhalb von 2 min. alle Server in unserem Cluster und hat diese per Round-Robin der Reihe nach angsprochen. Der lief übrigens auf Maschine Nummer 3, mein Rechner und der neben mir bildeten den Weblogic Cluster und ein Rechner hinter mir hostete den Apachen. Von anderen Lösungen bin ich es bisher nicht so einfach gewohnt das sich ein Cluster so einfach einrichten lässt. Ok, es lief kein Heartbeat, kein Nagios für die Überwachung und auch keine Fail-Over Lösung wenn ein Cluster Member ausfällt, aber trotzdem war es fix und effektiv.

Interessant dürfte auch das JMS sein. Vielleicht mal ein Ticketsystem basteln für die Arbeit, nächstes Jahr dann. Dieses Jahr haben wir noch einiges zu tun. Mal dransetzen wenn ich meine neue Serverhardware habe nächstes Jahr, will dann einige Sachen einfach per KVM starten statt dem langsamen VMWare Player.

Der eine oder andere Dresdenbesuch durfte natürlich auch nicht fehlen.
So machten Peter und Ich uns auf mal in die City zu kucken zum Abendessen. Dabei konnte ich wieder nicht wiederstehen mir ein paar Bücher zu kaufen als Peter mal in den Bücherladen gekuckt hat. Star Trek Titan Band 3, Eragon und die Drachenkämpferin wurden eingepackt. Eragon wurde dann gleich beim Italiener angelesen während ich auf Peter und die Pizza gewartet habe
Dienstag ist Peter allerdings mal nach Hause gefahren, also mit dem Bus zum Hotel. Da merkte ich wie einfach unser Hofer System ist. Die selbe Linie hat in einer Straße 5 Haltestellen und/oder fährt in eine völlig falsche Richtung. Unnötig zu sagen, das 1,5h Busfahrt nicht prickelnd waren. Aber hey, für 1,80 Euro eine Stadtrundfahrt ist billig
Ansonsten bestand die Woche nur noch aus Ice Age 3D, Sushi, KFC und Einkaufsbummeln

Als ich allerdings gestern um 19:30 Uhr endlich in Hof aufschlug (und es verdammt nochmal regnete ) war ich wirklich froh. Ich wollte fast den Boden küssen Und was passierte? Bei meiner Mutter, wo ich kurzen Halt gemacht habe, hat mich Cliff angerufen das sein Rechner spinnt und sein Router nicht mehr Online geht.
Zur Erklärung: Er steckt seine Kiste immer vom Stromnetz ab, deshalb muss die Bios Batterie alleine sicherstellen dass das Bios nicht gelöscht wird. Jetzt war sie letzten Sonntag leer und als er Windows startete waren einige Geräte im Bios nicht deaktiviert. Der nachträgliche Versuch die Sachen zu installieren hat sein Windows nicht gut überstanden und er musste immer mit der Boot Option "Letzte funktionierende Konfiguration" starten. So wirklich fit war ich allerdings gestern nicht mehr und nach einigen Versuchen und Ideen das vielleicht der ATI Treiber für die Grafikkarte Schuld sei, war sein System ziemlich geknickt. Ok, machen wir weiter wenn ich geistig wieder Fit bin. Ich bin dann runter, hab mir noch ein paar Rahmen Nudeln gemacht (es war ja mittlerweile schon 22 Uhr und ich hab nix mehr gegessen seit Mittag), klingelt nicht das verdammte Handy. Cliff hatte nochmal den T-Online Support angerufen, und der meinte es sei die Firmware, er solle eine neue runterladen. Uh, das war gehässig vom dem Kerl Naja, ich war dann so fertig das ich die Firmware für ein Speedport 701 in der 9XX Abteilung gesucht hatte. Heute haben wir dann die richtige runtergeladen und jetzt läuft der Router ja auch wieder.

-----------
Nachtrag:
-----------

Nach dem Versuch von Cliff zum letzten Wiederherstellungspunkt zu springen lief es so einigermassen wieder. Allerdings haben wir dann trotzdem aufgegeben mit dieser Konfiguration und ich hab in der Repair Konsole einfach die %windir%\system32\config\system mit der Version aus %windir%\repair\system überschrieben (vorher natürlich ein Backup machen). Das setzt das System an sich in ein Installationszustand zurück, die meisten Treiber müssen neu installiert werden, aber es läuft. Hier haben wir dann nach und nach das System wiederhergestellt wenn man so will. Also alle Treiber installiert, neustart, Windows blieb hängen. Ok, zum Wiederherstellungspunkt, Treiber bis auf Graka installiert, Windows blieb hängen. LECKEN! Wiederherstellungspunkt, Treiber installiert, neustart, Treiber installiert, neustart, Sound Treiber installiert, Windows hängt. Na gut, alles bis auf die Soundtreiber rauf, und seitdem läuft es. Cliff hat dann neue Treiber von Terratec runtergeladen nachdem er wieder Online kam.
-----------

Hab ich schonmal gesagt das ich Windows nicht leiden kann? Morgen erstmal Tattoo Konvention!!

So long

Router Control W700V W701V Linux Reconnect

nospam@example.com (Thomas Behrend) — Tue, 17 Feb 2009 17:46:37 +0100

Wer mal für seine Backups die über NFS aus dem Netz laufen probleme mit unterbrechenden Verbindungen hat, ich hab eine einfache Lösung für mich gefunden:

In der /etc/crontab (Sterne könnten je nach Browser fehlen, Format dürfte aber bekannt sein):

55 5 hans /usr/sbin/ntpdate -u ptbtime1.ptb.de

0 6 hans wget -O /dev/null --quiet "http://192.168.2.1/cgi-bin/disconnect.exe"

1 6 hans wget -O /dev/null--quiet"http://update.nerdcamp.net/update.cgi?user=user&pass=passwort&reqc=2"

2 6 hans /etc/init.d/ovpn restart

2 6 hans /etc/init.d/nfs-user-server restart

Nun wird um 5:55 eine neue Zeit geholt, um 6:00 ein Reconnect gemacht, 6:01 wird der Nerdcamp DynDNS Account geupdated und dann wird OpenVPN und der NFS neugestartet und die alten Verbindungen unterbrochen.

Auf Serverseite sieht es dann so aus:

In der /etc/crontab:

4 6 hans /etc/init.d/nscd restart

4 6 hans /etc/init.d/ovpn restart

4 6 hans /usr/bin/nfsreload

Wobei nfsreload nur mount befehle für die jeweiligen NFS Mounts beinhaltet. nscd ist der Nameservercachedaemon, nicht das unser System noch den alten Dyndns Account verwendet, daher vorher flushen.

So, hf mit dem Hack. Bei genug Lust poste ich noch wie ich meine Backups mache meiner Datenbanken und wie das Remote Logging auf meinem Heimserver funktioniert mit geringem Aufwand.

Tags: W 700V, W 701V, W 500V, W 501V, W 300V, W 301V, Speedport, T-Online, OpenVPN, Backup

Asterisk - Voip Anbieter und OpenVPN

nospam@example.com (Thomas Behrend) — Wed, 17 Sep 2008 06:17:36 +0200

Aktuell bastel ich an meinem Voip Server rum der daheim steht und nichts macht weil ich, seit Web.de seinen Voip Dienst eingestellt hat, keinen neuen Voip Provider versucht habe. Aktuell versuche ich bei Puretel und sipcall-voip.de mein Glück, aber von den Telekomikern wäre mir eine Flat lieber die in meinem Call & Surf Comfort mit drin wäre. Aber naja, gibt schlimmeres.

Aufgabe ist das ich mich mit einem Softphone einloggen kann und Telefonieren. So, das ist der leichte Teil der ja schon funktioniert.
Jetzt kommt der schwierigere Teil. Per OpenVPN Tunnel möchte ich mich in einem Internet Cafe daheim in mein Asterisk Server anmelden, den Tunnel werde ich über Port 443 schlagen denk ich, damit sollte ich an den Portfiltern in den Cafe´s vorbeikommen.
Wenn ich mich NICHT eingeloggt habe soll gleich die Voicebox rangehen und meine Handynummer weitergeben. Ich könnte Theoretisch auch einen Analog Koppler an mein TAE hängen und mich auf mein Handy anrufen, aber dann zahle ich das ja.

Damit nicht plötzlich die Luft knapp wird, in diesem Fall die Bandbreite daheim, verwende ich Traffic Shaping mit tc und iptables. Das könnte so aussehen:

#!/bin/sh
DEV=eth0
IPT=/sbin/iptables
TC=/sbin/tc
$IPT -t mangle -F
$TC qdisc del dev $DEV ingress > /dev/null 2>&1
$TC qdisc del dev $DEV root > /dev/null 2>&1
$TC qdisc del dev lo root > /dev/null 2>&1
$TC qdisc add dev $DEV root handle 1:0 htb default 12 r2q 6
# Komplette Bandbreite - Infos vom Router ausgelesen
$TC class add dev $DEV parent 1:0 classid 1:1 htb rate 1183kbit ceil 1183kbit
# DNS und kleine Packete
$TC class add dev $DEV parent 1:1 classid 1:10 htb rate 40kbit ceil 1183kbit prio 0
# SSH
$TC class add dev $DEV parent 1:1 classid 1:11 htb rate 60kbit ceil 1183kbit prio 1
# Alles andere (surfen etc)
$TC class add dev $DEV parent 1:1 classid 1:12 htb rate 600kbit ceil 1183kbit prio 2
# Voip
$TC class add dev $DEV parent 1:1 classid 1:13 htb rate 200kbit ceil 1183kbit prio 3
# Bittorrent
$TC class add dev $DEV parent 1:1 classid 1:14 htb rate 35kbit ceil 980kbit prio 4
#kleine Packete und DNS
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp -m length --length :64 -j MARK --set-mark 10
$IPT -A POSTROUTING -t mangle -o $DEV -p udp --dport 53 -j MARK --set-mark 10
#SSH
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --dport 22 -j MARK --set-mark 11
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --sport 22 -j MARK --set-mark 11
# VoIP
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --dport 5060:5061 -j MARK --set-mark 13
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --sport 5060:5061 -j MARK --set-mark 13
#Bittorrent
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --dport 49160:49300 -j MARK --set-mark 14

$TC filter add dev $DEV parent 1:0 prio 0 protocol ip handle 10 fw flowid 1:10
$TC filter add dev $DEV parent 1:0 prio 0 protocol ip handle 11 fw flowid 1:11
$TC filter add dev $DEV parent 1:0 prio 0 protocol ip handle 12 fw flowid 1:12
$TC filter add dev $DEV parent 1:0 prio 0 protocol ip handle 13 fw flowid 1:13
$TC qdisc add dev $DEV parent 1:10 handle 10: sfq perturb 10
$TC qdisc add dev $DEV parent 1:11 handle 11: sfq perturb 10
$TC qdisc add dev $DEV parent 1:12 handle 12: sfq perturb 10
$TC qdisc add dev $DEV parent 1:13 handle 13: sfq perturb 10

Wenn das Setup fertig ist werd ich mich mal an das Magazin Linux User wenden ob die den Abdrucken würden, mal sehen was die dann dazu sagen. Wenn Sie den Artikel nicht mögen werf ich Ihn in den Blog, steht ja alles unter der CC hier.

So long

Postgrey whitelists_clients

nospam@example.com (Thomas Behrend) — Fri, 12 Sep 2008 09:16:18 +0200

Manchmal vergisst man das nötigste.

AOL beispielsweise ist extrem nervig wenn es darum geht an die Leute dort Mails zu schreiben, 90% kommen irgendwie niemals an. Aber wehe die Leute wollen mir was schreiben und es kommt nicht sofort an, dann ist Polen offen wie man so schön sagt.

Da ich überhaupt keinen Bock habe den Mailheader zu lesen hab ich Google einfach mal gefragt wie den die Postserver [1] von AOL sind und hab sie eingetragen, daraus hab ich folgende Liste gemacht die Ihr in die whitelist_clients eintragt:

#AOL - Internet Mail Outbound (IMO) Servers
/^imo\-d\[01\-06\]\.mx\.aol\.com$/
/^imo\-d\[20\-23\]\.mx\.aol\.com$/
/^imo\-m\[11\-14\]\.mx\.aol\.com$/
/^imo\-m\[19\-28\]\.mx\.aol\.com$/
/^imr\-d\[01\-04\]\.mx\.aol\.com$/
/^imr\-d06\.mx\.aol\.com$/
/^imr\-m\[06\-08\]\.mx\.aol\.com$/
/^omr\-d\[31\-35\]\.mx\.aol\.com$/
/^omr\-m\[31\-35\]\.mx\.aol\.com$/

#AOL - Outbound Mail Relay (OMR) Servers
/^omr\-d\[21\-25\]\.mx\.aol\.com$/
/^omr\-m\[21\-25\]\.mx\.aol\.com$/

#AOL - AOLs Third-Party Mail Servers
/^rly\-ip0\[3\-8\]\.mx\.aol\.com$/

# Theoretisch reicht aber auch aus:
#AOL - Internet Mail Servers
#/^imo\-d\d+\.mx\.aol\.com$/
#/^imo\-m\d+\.mx\.aol\.com$/
#/^imr\-d\d+\.mx\.aol\.com$/
#/^imr\-m\d+\.mx\.aol\.com$/
#/^omr\-d\d+\.mx\.aol\.com$/
#/^omr\-m\d+\.mx\.aol\.com$/
# Aber dann sind ein paar Lücken drin
# daher doch umständlicher

Dann war da noch Ebay, die auch massenhaft Server haben. Bei dennen ist es allerdings besser durchnummeriert als bei AOL, da reicht folgendes aus:

# Ebay Sendepool
/^mxphxpool\d+\.ebay\.com$/

Jetzt sollte euer Mailer wieder AOL und Ebay in Echtzeit unterstützen ohne das Mails auf die Greylist kommen. Auch wenn ich es hasse von AOL Leuten Mails zu bekommen

Wer noch ein paar Server hat, z.b. GMX, schreibt doch bitte mal als Kommentar wie deren Mailkübel heißen. Hier noch Einträge für Web.de, Nuclearblast und Groklist:

# Web.de
/^fmmailgate\d+\.web\.de$/

# Grok List
/^lists\.grok\.org\.uk$/

# Nuclearblast
/^smtpout\.i\-netpartner\.net$/

[1] http://postmaster.info.aol.com/servers/

Portscannen nicht leicht gemacht

nospam@example.com (Thomas Behrend) — Wed, 14 May 2008 13:03:00 +0200

Seit 2005 lief jeden Tag ein Portscan, der meine Server überprüft, und zwar alle Ports von 1-65535 TCP und UDP (getrennt in zwei parallelen Prozessen). Rausgefiltert wurden dann die Ports die offen sein sollen, alle anderen Ports wären ja Treffer und nicht gut. Natürlich hab ich keinen Bock das ich von nmap jeden Tag eine Liste mit über 130 000 Ports bekomme, also wird nochmal gefiltert ob der Status OPEN ist und damit eine Backdoor Shell läuft, sachen wie FILTERED sind ja nicht schlimm nur NMAP zeigt sie trotzdem an. Bei Hetzner wäre das z.B. der Port 6667 (IRC) der gefiltert wird, 7000 ist dafür offen und ein Bot kann trotzdem zu einem IRC Netzwerk verbinden. Was bei PsyBNC zwar eine absolute Katastrophe war, aber ok weiter im Text.

Jetzt habe ich allerdings mal summa sumarum durchgerechnet das der Scan von Server 1 von 3:00 Uhr bis 12:20 läuft. Da ich das Script immer nur um die IP Adresse erweitert habe kommen die ja auch noch dazu. Da fast 9,5h einfach zuviel sind musste das gedrückt werden, also hab ich die Paketto Keiretsu Tools[1] installiert damit ich die 65535 TCP Ports in extremst kurzer Zeit abscannen kann. Also via apt das Paket installiert und mal angetestet:

# scanrand -d bond0 -b512K -v -t 100 1.2.3.4:80
Stat|=====IP_Address==|Port=|Hops|==Time==|=============Details============|
SENT: 1.2.3.4:80 [00] 0.003s

Wumm, danach kam nichs mehr und der Timeout von 100 sek lief ab.
Was ist passiert? tcpdump zeigt uns das sicher:

Server # tcpdump -vv port 80
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
12:25:10.140290 IP (tos 0x0, ttl 248, id 255, offset 0, flags [DF], length: 40) p5493663D.dip.t-dialin.net.2959 > server.80: S [tcp sum ok] 3683956693:3683956693(0) win 4096
12:25:10.140318 IP (tos 0x0, ttl 255, id 0, offset 0, flags [DF], length: 40) server.80 > p5493663D.dip.t-dialin.net.2959: R [tcp sum ok] 0:0(0) ack 3683956694 win 0

Intranet # tcpdump -vv port 80 -i bond0
tcpdump: listening on bond0, link-type EN10MB (Ethernet), capture size 96 bytes
12:28:58.763668 IP (tos 0x0, ttl 255, id 255, offset 0, flags [DF], proto TCP (6), length 40) intranet.55412 > server.80: S, cksum 0x97f9 (correct), 580369251:580369251(0) win 4096
12:28:58.820891 IP (tos 0x60, ttl 248, id 0, offset 0, flags [DF], proto TCP (6), length 40) server:80 > intranet.55412: R, cksum 0xa7e6 (correct), 0:0(0) ack 580369252 win 0

Also kommt die Antwort zurück. Aber warum wird sie nicht verarbeitet? Das NAT macht das anscheinend etwas schwierig, also füge ich einfach mal aus Spaß einen seed ein mit -s scan. Jetzt kommt:

# scanrand -s scan -d bond0 1.2.3.4:1-1000
UP: 1.2.3.4:25 [07] 0.059s
UP: 1.2.3.4:80 [07] 0.118s
UP: 1.2.3.4:110 [07] 0.156s
UP: 1.2.3.4:143 [07] 0.192s

Erfolg! Also würde ein kompletter Scan theoretisch nur wenige Minuten dauern für die TCP Ports. Aber warum wird bis IMAP alles angezeigt, aber HTTPS (443), POP3s (995) und IMAPs (993) werden gar nicht mehr angezeigt. Nach einigem Nachforschen wusste ich das mein Router nicht die Engstelle ist da ich normal ins Netz kann, also Ports fürs NAT gehen ihm anscheinend nicht aus. Das selbe habe ich bei einem anderen Hoster probiert und noch 2 anderen, es ist immer das selbe Symptom, nach ein paar Ports ist kein senden von Paketen mehr an die IP möglich, Ausnahme ICMP (ping). Also muss die Telekom da einen Flood Schutz eingebaut haben im DSL Access Concentrator (DSL-AC) da ich auch kein Traceroute zum Server mehr durchbringe (der Traceroute wird mit dem UDP Protokoll durchgeführt)

# traceroute 1.2.3.4
traceroute to 1.2.3.4 (1.2.3.4), 30 hops max, 40 byte packets
1 intranet (192.168.2.1) 0.935 ms 0.446 ms 0.452 ms
2
3
4
5
6
7
8
......
16

Anders ein ICMP Trace:

# traceroute -I 1.2.3.4
traceroute to 1.2.3.4 (1.2.3.4), 30 hops max, 40 byte packets
1 intranet (192.168.2.1) 0.709 ms 0.427 ms 0.331 ms
2 *
3 217.0.70.90 (217.0.70.90) 5.648 ms 5.244 ms 5.617 ms
4 217.239.40.193 (217.239.40.193) 10.570 ms 10.670 ms 10.550 ms
5 193.159.225.146 (193.159.225.146) 17.977 ms 14.510 ms 10.413 ms
...
8 server (1.2.3.4) 11.108 ms 11.027 ms 10.750 ms

Also filtert die Telekom anscheinend wirklich alle höheren Protokolle aus zu einem Server, wenn viel zu viel Pakete gesendet werden. Was mich jetzt soweit gebracht hat das ich meine Leitung nicht mehr den ganzen Tag zum Scannen der Server missbrauche sondern mich darauf verlasse das meine Sicherheitseinrichtungen halten und das nichts passiert. 3 Server sind einfach nicht mehr in der Toleranz für solche Spielchen.

Es wird kaelter

nospam@example.com (Thomas Behrend) — Fri, 11 Apr 2008 10:13:30 +0200

Ich fürcht das ich jetzt die Heizung eine Stufe weiter aufdrehen muss im Winter. Heute hab ich meine SCSI Platten im Server gegen SATAII Platten getauscht und damit den Lärmpegel um 50dB gesenkt, und auch die Raumtemperatur um sicherlich 5° C

Seit langem wollte ich das machen, meine 2*72GB und 1*36GB Seagate Cheetah mit 10k RPM und den Controller (ICP GD7518RN) rauswerfen damit ein Adaptec 1420SA SATAII Controller reinkann mit 2 Samsung 200GB Festplatten. Da es mir nicht drauf ankommt ob jetzt ein Hardware Raid vorhanden ist musste auch der SATAII Controller das nicht könnnen, dafür allerdings 1) schnell sein 2) stabil laufen. Mein Promise SATA300 TX2 den ich für teuer Geld gekauft habe lief ums verrecken nicht, auch nicht mit einem eigenen Kernel (damals 2.6.23.1) und dem sata_promise Modul (port is slow to respond, reset failed). Ein Patch im Kernel um die Platten auf 1,5gb zu beschränken half auch nicht und auch das Jumpern der Platten brachte keinen Erfolg, ich stell den Controller jetzt bei Ebay rein, ist ja nicht gebraucht in dem Sinne.

Nachdem ich den Controller eingebaut habe, ein neuen Vanilla Kernel (2.6.24.4) gezogen und kompiliert habe, läuft der Controller dank sata_mv stabil und schnell. Es reicht eben den Spaß im Controller als JBOD (Just a Bunch Of Disks) zu betreiben und mittels LVM die Partitionen trotzdem dynamisch zu halten. Datensicherheit ist so eine Sache, Backups laufen hoffentlich bald auf eine 500GB HDD von Phillips die ich bekomme und via LUKS Verschlüsselt wird, genauso wie dann die Daten auf den SATA Platten.

Ha, gleich der nÃ¤chste Fehler in Debian Sarge, cryptosetup kann keine /sbin/udevsettle finden und bricht ab, abhilfe schaffte die Datei als Bashscript anzulegen:

/sbin/udevsettle
#!/bin/sh
sleep 1

Danach funzt es. udevsettle macht nichts anderes als eine Pause einzulegen damit udev hinterherkommt und das Device anlegen kann, von daher reicht dieser hack Problemlos aus.

Jetzt ist wieder Kernel Finetuning angesagt, Überflüssige Module raus, iptables_nat einbauen. Leider funzt der Treiber von http://rtl-wifi.sourceforge.net auch noch nicht, aber das Project ist noch aktiv und im Forum hab ich schon mal eine Antwort auf einen Thread gegeben damit ein paar mehr Infos an die Entwickler gehen.

So long

Alfa AWUS036E

nospam@example.com (Thomas Behrend) — Wed, 09 Apr 2008 17:33:08 +0200

Coole Sache so ein USB Dongle der endlich mal anständig Leistung bringt.

Nicht nur das mein Linux our of the box den Dongle erkennt, die 9dBi Antenne bringt auch ordentlich Leistungszuwachs. Schade nur das ich daheim nur mein eigenes Wlan finde, aber das hat den Vorteil das mir niemand daheim auf den Sack gehen kann weil man mich draussen nicht wirklich findet (ausser im Garten). Leider funktioniert kismet noch nicht da der Treiber anscheinend etwas verbuggt ist, mal sehen ob http://rtl8180-sa2400.sourceforge.net/ besser läuft.

Windows macht mal wieder ärger, wie kann es den sonst sein?
Windows kann den Stick nicht starten, angeblich ein Gerätefehler. Lustig das er sonst funzt, sogar unter Linux kann ich normal surfen und mit recht hoher Leistung Dateien im Intranet ziehen von meinem Server. Was ist also der Fehler unter Windoof? Windoof XP kann den Stick anscheinend nicht starten weil angeblich zuwenig Leistung am USB zur verfügung steht. 10% werden vom System resserviert (50mAh) und die restlichen 450 mAh reichen für den Stick einfach nicht aus, nichtmal im 802.11b standard. Naja, in Windows kann ich sowisso kein Spaß haben mit dem "kleinen" Stick (mal von der 38cm Antenne abgesehen ), die D-Link DWL-G630 reicht für daheim aus und läuft.

Jetzt brauch ich nur noch ein Akku und ein Multibay Akku für mein Compaq Evo N610c, vielleicht noch eine GPS Maus und dann kann ich richtig Spaß haben.

so long

Tags: bsd, kernel, linux, wlan

Verschluesselte Platten Ja ode Nein

nospam@example.com (Thomas Behrend) — Mon, 31 Mar 2008 14:25:37 +0200

Da soll doch wirklich jemand seine Festplatten entschlüsseln oder selbige werden gelöscht weil die Platten ja Daten enthalten könnten, rein Theoretisch, die einen Beweis einer Straftat enthalten könnten. Alles rein hippotheletisch (nettes Wortspiel).

Ich meine, wenn ich eine TOR Exit Node betreibe, weiß ich selbst nicht woher die Daten kommen, geschweige denn was die Daten beinhalten. Ok, natürlich könnte ich einen Sniffer einsetzen, aber das Binärlesen haben die Menschen noch nicht gelernt. Ausserdem, was haben die Privaten Festplatten mit dennen im Rootserver bei Strato zu tun?

Jetzt natürlich die gute Frage: Wenn ich meine Festplatten mit Truecrypt auf meinem Laptop oder auf meinem Server mit LUKS absichere, wo ist die Rechtliche belange das die Bullen einfach die Datenträger formatieren? Ok, ich kann die Daten aufwendig wiederherstellen, und hoffen das der Container danach wieder gemounted und entschlüsselt werden kann, ganz davon abgesehen ob meine Daten danach wieder 100% laufen.

So eine Wildwest Methode würde ich mir gar nicht bieten lassen, schon bei der Hausdurchsuchung wäre meine Anwältin mit dabei und nach spätestens 4 Wochen würde ich meine Sachen wieder haben wollen da ich immernoch damit Arbeiten MUSS und nicht nur KANN. Das hätte Sebastian vielleicht auch machen sollen, aber jetzt ist es vielleicht zu späte, auch das durchstreichen auf dem Durchsuchungsbericht von einem Polizeibeamten mit einer Begründung, dessen Konsequenz man noch nicht einmal vorhersehen kann, ist ein Fehler.

Auf jeden Fall hoffe ich das Sebastian da noch ein paar Updates hinterherschiebt, und hoffentlich Positive. Mein erster Schritt wäre am zuständigen Amtsgericht Anzeige zu erstatten, in einem Rechtsstaat wo man ohne Beweise freigesprochen werden muss kann das ja wohl nicht angehen.

Böse sache auf jeden Fall, Sebastian, halt uns auf dem Laufenden

Computerprobleme aus dem Alltag

nospam@example.com (Thomas Behrend) — Thu, 27 Mar 2008 11:43:00 +0100

Lustig was man manchmal so zu hören bekommt.

Manche Leute die bei Computerfirmen Arbeiten, bekommen es nichtmal hin eine SATAII Platte in einen Rechner einzubauen und zu Formatieren, geschweige den es hinbekommen den Punkt "Onboard SATA Controller" im BIOS überhaupt zu aktivieren. Nein, da wird die einzige Festplatte, die dummweise am IDE RAID Controller hängt aus dem System verbannt und nach 4 Stunden Arbeit lief da gar nichts mehr.

Ihr meint das soetwas nicht vorkommen kann? Weit gefehlt, das passierte am Montag Abend meinen Freund Matthias. Dessen Kollege, der ja bei INT-Tech in Hof Arbeitet und ein Computerfachmann sein soll, hat 4 Stunden an der Kiste gewerkelt bis nichts mehr ging. Am nächsten Morgen ruft mich Matthias völlig genervt an ob ich Ihm das wieder richten kann. Bei Ihm hab ich dafür keine 5 min gebraucht bis das lief. Soviel zu den hochgelobten Systemhäusern und deren Mitarbeiter.

Noch viiiiel lustiger ist ja die Firma SCB. Die bringt es doch fertig eine Software Namens PC-Wächter von Dr. Kaiser Softwarehaus auf Rechnern zu installieren, die verhindern soll das Profile geändert werden. Ich glaube wenn man die ntuser.dat in ntuser.man umändert spart das einiges an Geld und es funktioniert, den ich kann immernoch das Desktop Bild abändern, es wird immernoch die History gespeichert, ich kann das Profil immernoch anpassen wie ich möchte, aber ich kann dank den Einstellungen die diese Firma bzw. der Administrator gemacht hat NICHT die Uhrzeit ändern. Ist das nicht toll dass das Login Script (das man Einfach aus dem Autostart löschen könnte) zwar die Netzlaufwerke mounten kann (ooh, dazu hat man die Rechte), aber der net time Befehl blockiert wird. Bei Nachfrage warum das so ist meint man das die User die Uhrzeit nicht ändern sollen. Prima, es ist also jeden Tag ein anderes, zufällig aus dem Kalender ausgewähltes, Datum und die Uhrzeit ist zwischen 22 und 2 Uhr nachts. Am besten gefiel mir der Spruch mit "Der PC-Wächter - zuverlässiger Schutz gegen Manipulationen und Viren". Der PC der diese Software installiert hatte, hatte nach einem Scan mit Knoppicilin 1200 infizierte Dateien, und das waren noch nichtmal die Cookies und Javascripts, die langen nur im %systemroot% . Eine tolle Software. Mit Linux wäre das nicht passiert

OKI indes schafft es die Treiber so zu verhunzen dass das Auswählen von German Endlos Papier dazu führt, das der Nadeldrucker (ein Microline 5910 glaub ich) die ersten 4 Zeilen einer Din A4 Seite druckt, vorher zwar brav den Zeilenrücksprung macht, aber dann eine 3/4 Seite weiter die nächsten 4 Zeilen macht, und das wiederholt sich bis zum Dokumentenende. Davon abgesehen schaffen es nichtmal die Windows Treiber (Epson Emulation) das Dokument per Postscript an den Drucker zu senden, der dann dieses einfach umsetzt, nein, das ganze wird immernoch als Bitmap an den Drucker gesendet, was zur Folge hat das eine Seite fast 50 Sekunden braucht zum Druck und auch noch eine schlechtere Qualität hat als wenn man Orginaltreiber nimmt. Abgesehen davon das noch ein paar ASCII Zeichen am oberen linken Rand sind und wieder der Fehler mit der Seiteneinstellung kommt. Jetzt laufen dort beim Kunden zwangsläufig die orginaltreiber mit den fehlenden 5mm Seitenlänge, was bei Seite 6 dazu führt, dass der Anfang der nächsten Seite am ende der vorherigen gedruckt wird. Echt nervig, aber da kann mir nichtmal OKI am Telefon helfen.

Darf ich mal schnell schreihen? Warum kann den nicht alles einfach funktionieren? Warum wird aus allem ein riesen Drama gemacht wo es doch sooo einfach gehen kann? Manchmal kann man da wirklich nur noch heulen. Und dann bekommt man gesagt das eine Firma, mit der man schon Jahre lang zusammen arbeitet, die es schafft das der Server Backup Prozess früh um 9 Uhr stattfindet und den kompletten Server, auf dem man mit RDP verbunden ist und in der Fibu Arbeiten möchte, nicht mehr reagiert. Diese Firma ist ja alt eingesessen und man bleibt bei Ihnen. Einfach nur zum Heulen was sich heute Systemhaus oder Computer Spezialist schimpft.

So long crying

Spenden?

nospam@example.com (Thomas Behrend) — Thu, 27 Mar 2008 05:02:16 +0100

Einige Firmen oder Organisationen wie die Wikipedia Foundation leben ja anscheinend von der Hand im Mund. Die Server laufen auch umsonst meinen viele. Die Alfred P. Sloan Foundation hat daher für die nächsten drei Jahre je 1 Million US Dollar an Wikipedia gespendet. Erfreulich das auch Firmen erkennen das Wikipedia gesponsort werden musst

http://www.golem.de/0803/58597.html

Microsoft interessiert es an sich gar nicht Geld zu Spenden, die Spenden lieber Code. Apache bekommt Code von M$ damit deren Binären Office Formate gelesen werden können. Warum braucht man das den? In Zeiten des OpenDocumentFormats (ODF) braucht man die alten Formate doch nicht mehr. Aber um an das Open-Office-XML-Format zu kommen bzw. den Code muss man anscheinend was spenden, warum nicht altes Zeug das eh keinen mehr interessiert. Natürlich kann es auch damit zusammenhängen das M$ erst eine hohe Strafe zahlen musste und vielleicht noch eine weitere Klage anrückt die man gerne vermeiden möchte

http://www.golem.de/0803/58610.html

Mailsperre für Asien

nospam@example.com (Thomas Behrend) — Tue, 25 Dec 2007 06:43:00 +0100

Na fein, 2000 Spammails aus Asien alleine nur dieses Wochenende. Es müsste einen Dienst geben wie DNS Blacklists wo man nur einträgt von welchem Land man Mails empfangen möchte und der Rest wird blockiert. Also das man im Postfix eine Datei schreibt mit Inhalt:

europe, usa, kanada ACCEPT

* REJCT No Mail allowed

Leider muss man sich selbst helfen und ganze Adressbereiche von Hand suchen, auf APNIC die IP Listen suchen und daraus dann ganze Adressbereiche im Postfix sperren. Für PHP gibt es eine Anleitung auf http://crazycanuck.org/2005/11/08/geographic-ip-database-using-perl-php-and-mysql/

Soweit die Theorie, die Praxis sieht so aus das die map-file den Postverkehr so stark bremst das es schon gar nicht mehr schön ist, und dann wären dann noch die Kunden auf der Kiste die vielleicht Geschäftsbeziehungen nach Asien pflegen. Content darf ich ja eigentlich gar nicht durchsuchen, also fallen Lösungen wie Spamassassin eigentlich flach. Selbst einfach ein Spam-Tag einfügen könnte ja schon problematisch sein. Auch policyweight ist nicht so Dicht wie man es gerne hätte.

Einzige möglichkeit ist jetzt Spamassassin und Imap einzurichten. Imap deswegen: jeder User kann seine Mails einfach in den Spam und Ham Ordner schieben.

Damit kann der SA dann den Spam und Ham lernen (sofern die Leute den Ham auch aus dem Spam Ordner nehmen). Das ganze wird wahrscheinlich damit enden das jeder Kunde eine Erklärung unterschreiben muss in der die Risiken erleutert werden aber auch die Vorteile herraus gehoben. Wer sich nicht Einverstanden fühlt kann dann schön seinen Spam ungetestet bekommen auf seine Mailadressen und Viagra in Massen haben

Das Fertige Setup stelle ich dann auch Online wenn es so funktioniert wie ich es möchte. Vor allem sollte es einfach sein.

So long

Lighttpd - Miniwebserver für schnelle Webseiten

nospam@example.com (Thomas Behrend) — Sat, 30 Jun 2007 15:03:00 +0200

Apache ist für 90% der Webhosting Sachen einfach übertrieben. Wer nutzt die Proxy Funktionalität? Alle mod_rewrite Funktionen? Fast niemand.

Die Alternative heißt einfach: Lighttpd. Tinyhttpd (thttpd) hat weniger Funktionen als Lighty, läuft teilweise langsamer, hat problem mit PHP - also alles in allem nur für Embedded Systeme geeignet. Lighty hingegen ist ein direkter Apache Konkurrent. Es ist fast zu einfach PHP Scripte mit besonderen Rechten laufen zu lassen (suexec/suphp), er liefert die Webseiten schneller aus, die Konfiguration ist angenehmer z.b. das einbinden von Addhandlern für eine bestimmte Domain ist supereinfach, er sperrt sich und seine betreuten Domains inkl. Programme in ein eigenes Chroot -ausbrechen daraus ist nur schwer möglich, usw. Lighty ist einfach eine prima Alternative wenn man nur eine handvoll Domains verwaltet oder daheim einen einfachen Webserver benötigt. Der Ressourcenfressende Apache ist einfach vom Konzept her veraltet. Apache 2 versucht das auszugleichen, aber kommt an Lighty einfach nicht ran.

In Benchmarks habe ich daheim Forensoftware, Blogs, Wikis und eigenprogrammierte Sachen getestet, Lighty ist ca 20% schneller bei mir gewesen wie ein normal Konfigurierter Apache. Der Benchmark lief allerdings mit dem Apache Benchmark, also keine Aussage ob simultane Verbindungen mehrerer IP´s schneller sind.

Da in der lighttpd.config die Interpreter festgelegt werden können, kann man auch sehr einfach ein Script verwenden das suExec nutzt, oder man kann /usr/sbin/php4-cgi ein paar Variablen mit auf dem Weg geben um z.b. bestimmten Domains eine eigene PHP config zu verpassen. In Apache muss man sich auf den Kopf stellen um sowas zu bewerstelligen, dort muss ich im Virtualhost einen eigenen Add-Handler anlegen und diesen auf ein Script legen wenn ich solche Optionen haben möchte.

Wer allerdings WebDAV nutzen möchte in verbindung mit LDAP, der tut sich mit Lighty noch etwas schwer, die Entwicklung wird allerdings irgendwann ausgereift sein. Sehr cool finde ich, das ich ein Verzeichniss schützen kann und die User aus einer LDAP Datenbank verwendet werden können. Das macht es einfacher Webadministration zu betreiben, denn solche Scherze wie bei Apache, das ich mittels Cronjob die Daten aus der Datenbank lese und dann eine Datei anlegen muss, Apache neustarten etc. erspart sich damit. Der Apache 2 soll diese fähigkeit haben, aber wozu ein Auto kaufen wenn man nur ein Reifen braucht?

Alles in allem finde ich es nur schade das SysCP nie ein Plugin für Lighty angeboten hat, ich würde sofort wechseln. Die Hacks die es gibt funktionieren teilweise nicht mehr oder ich muss sie anpassen. Das kann ich nicht bei jedem Versionsupgrade neu machen.

Wer sich selbst ein Bild machen möchte, der geht auf http://www.lighttpd.net/ und lädt sich die neuste Version runter. Ein einfaches ./configure && make && make install im Entpackten Ordner reicht aus um Lighttpd zu installieren. Ubuntu Server User haben das Glück das es eine vorkompilierte Version gibt die man mittels aptitude install lighttpd einfach installieren kann.

Wer selbst kompiliert, der braucht ein Startscript. Ich weiß nicht ob Ubuntu eines mitbringt, aber hier ist mal ein init.d Script:

#!/bin/bash
#
# Lighttpd Starting Script
#

NAME=lighttpd
DAEMON=/usr/local/sbin/$NAME
PIDFILE=/var/www/run/lighttpd.pid
CONF=/etc/lighttpd/lh.conf

case "$1" in
start)
echo -n "Starting web server: $NAME"
$DAEMON -f $CONF > /dev/null
;;

stop)
echo -n "Stopping web server: $NAME"
start-stop-daemon --stop --pidfile $PIDFILE --oknodo
rm $PIDFILE
;;

restart)
echo -n "Restarting $NAME"
/bin/kill `cat $PIDFILE`
$DAEMON -f $CONF > /dev/null
;;

*)
echo "Usage: /etc/init.d/$NAME {start|stop|restart}"
exit 1
;;
esac

if [ $? -eq 0 ]; then
echo .
exit 0
else
echo " failed"
exit 1
fi

das einfach nach /etc/init.d/lighttpd schreiben, ausführbar machen und ein update-rc.d lighttpd defaults setzt die Links damit der Webserver nun auch beim booten startet. Die Konfiguration kann man mit dem Lighttpd rails generator einfach und schnell selbst machen.

Mehr muss man nicht machen, ausser halt seine vhosts einbauen, hier ein Beispiel:

#
# hans-wurst.de
#
$HTTP["host"] == "hans-wurst.de" {
server.indexfiles = ( "index.php", "index.html" )
server.document-root = "/var/www/virts/hans-wurst.de/"
fastcgi.server = ( ".php" =>
( "localhost" =>
(
"socket" => "/tmp/php-fastcgi.socket",
"bin-path" => "/usr/local/bin/php"
)
)
)
}

Wer mit fastcgi arbeitet muss halt das Script von oben anwenden, das macht das schon Daheim ist es ja egal, ist ja sowisso nicht von aussen erreichbar. Wer eben mehr Sicherheit will, der verwendet Lighty in einem Chroot und auch die FastCGI Instanzen in einem Chroot.Nur aufpassen das die FCGI Instanzen von Lighty erreichbar sind. Der Rest ist ein Kinderspiel. Einfach an die Anleitung auf der Lighty Homepage halten und Ihr werdet Glücklich.

So, viel Spaß dann mit eurem Lighty

p.s. Lighty ist eine Superschnelle Lösung wenn man ein Mapserver für CS aufzieht, probiert es mal aus.

Linux Funpics

nospam@example.com (Thomas Behrend) — Mon, 08 Jan 2007 11:19:37 +0100

Jeder der Linux Funpics wie das hier hat, soll es mir einfach zusenden oder per Kommentar verlinken.

Wallpaper und ähnliche Sachen sind auch herzlich willkommen. Ich hoffe Ihr habt da ein bischen was rumliegen