Lord_Pinheads Blog - Linux/BSD

Dropbox, EncFS und Cryptkeeper

nospam@example.com (Thomas Behrend) — Thu, 21 Apr 2011 18:43:58 +0200

Da Dropbox ja in der AGB nun offen reingeschrieben hat, was viele schon vermutet haben, erkläre ich mal wie ich
trotzdem ein bisschen Privatsphäre behalte.

Ihr Installiert einfach encfs und cryptkeeper über euren Paketmanager (hier Debian 6 und Ubuntu Systeme)

sudo apt-get install encfs cryptkeeper

wenn Ihr dann Cryptkeeper startet (Anwendungen->Systemwerkzeuge->Cryptkeeper oder mit Gnome-Do <Super>+Space -> cr und voila da ist er)

Im Grunde müsst Ihr jetzt folgendes machen:
unter ~/Dropbox/Privat/ liegt euer Container, dieser wird nach ~/Dropbox_Privat/ gemountet, das kann Cryptkeeper selbst nicht, aber kein Problem:

mkdir ~/Dropbox/Privat # euer Container
mkdir ~/Dropbox_privat # Mountpunkt
encfs ~/Dropbox/Privat ~/Dropbox_privat
p # für Paranoid
<passwort>

fertig ist das ganze.

In eurer Gnomeleiste habt Ihr nun ein Widget (Icon ist ein Schlüsselbund).
Linksklick auf das Icon-> Importiere EncFS Container

Jetzt gebt Ihr den Pfad zum EncFS bei Dropbox an, hier ~/Dropbox/Privat/

im nächsten Menu müsst Ihr nur den Ordnernamen oben eingeben -> Dropbox_privat (sonst erstellt Cryptkeeper einen unterordner, kann man ändern im gconf-editor unter apps->cryptkeeper->stashes)

So, fertig mehr war es ja nicht.

Kurzer Test:

thomas@daemon:~$ touch Dropbox_privat/test.txt && find -type f Dropbox_privat/
Dropbox_privat/test.txt

thomas@daemon:~$ find -type f Dropbox/Privat/
Dropbox/Privat/v1WzqiXwsvJujue1fSeB9Z0I
Dropbox/Privat/.encfs6.xml

Funzt

Windosen sind da sowisso ausgeschlossen, aber wer hat schon noch eine daheim?
Für die Windosen kann man ja Truecrypt nehmen, man darf nur die Timestamp Aktualisierung nicht aktivieren und dann geht das auch sehr schnell alles.
Windows soll aber mal ein EncFS bekommen (encfs4win -> http://members.ferrara.linux.it/freddy77/encfs.html), aber das ist alles noch im alpha Stadium und wie oft hatten wir solche Ankündigungen denn in den letzten Jahren?

Wer übrigens möchte, kann das selbe vorgehen auf GmailFS anwenden, oder Ubuntu One, oder anderen Online Storage Anbieter.

So long

Firefox4

nospam@example.com (Thomas Behrend) — Mon, 07 Mar 2011 18:53:18 +0100

Mal wieder was von der Firefox Front. Ich hab Firefox4 mal eine Chance gegeben und mal fix installiert:

cd Downloads/
wget http://mozilla.c3sl.ufpr.br/releases//firefox/releases/4.0b12/linux-i686/de/firefox-4.0b12.tar.bz2 tar -xzf firefox-4.0b12.tar.bz2
sudo mv firefox /opt/
cd ~
mkdir bin
PATH=$PATH:/home/user/bin/
ln -s /opt/firefox/firefox bin/firefox4
firefox4 -ProfileManager

Dann noch im Ordner ~/.mozilla den Ordner plugins angelegt, dort das aktuelle flashplugin hinterlegt, ein Testprofil angelegt um mein normales Userprofil nicht zu beschädigen und das wars schon. Noch ein paar Addons nachinstalliert, Youtube auf HTML5 umgeschalten und schon läuft Firefox4 saumässig rund muss ich zugeben. Schneller der aktuelle Firefox 3.6.14. Hoffe der geht bald stable.

Wenn ich nun noch das blöde Virus aus mir rausbekomme, sieht die Welt wieder etwas angenehmer aus.

So long
Lord_Pinhead

Technorati: firefox linux

Javavideokurs

nospam@example.com (Thomas Behrend) — Mon, 07 Feb 2011 19:10:00 +0100

Viele haben ja vielleicht schon rausgefunden wie man beim Javavideokurs nach der Anmeldung die Videos herunterladen kann. Nur wie kann man die Videos nun auf einem DVD Player oder der PS3 wiedergeben? Ganz klar, man kodiert sie neu. Bis heute sind 60 Videos rausgekommen, nachdem man sie alle im Ordner und brav umbenannt hat, kann man sie alle ganz schnell im Hintergrund umwandeln:

#!/bin/bash

#Variablen
LOGFILE="Konvertierung.log";
MPGPFAD="mpg";
QUELLPFAD=".";
NEWFILENAME="unbekannt";

# FILES als Array deklarieren
set -a FILES;

# Funktion zum Loggen
function logging {
 echo "$1" >> $LOGFILE;
}

# Konvertierungsfunktion - hier passiert die Magie
function local_convert {
 logging "Funktion local_convert: $1";
 NEWFILENAME=$MPGPFAD/$(basename "$1" | sed -e 's/flv/mpg/g') ;
 logging "Funktion local_convert: $NEWFILENAME";
 logging "Rufe ffmpeg auf";
 ffmpeg -i "$1" -target pal-dvd -aspect 4:3 "$NEWFILENAME" > /dev/null 2>&1;
 logging "ffmpeg beendet, beende Konvertierung";
}

# Gibt es unseren Zielpfad schon? Wenn nicht, lege ihn an
if [ ! -d $MPGPFAD ]; then
 logging "Lege $MPGPFAD an";
 mkdir $MPGPFAD;
fi

# Zeilentrennung ändern
SAVEIFS=$IFS
IFS=$(echo -en "\n\b")

# Dateien in ein Array einlesen
for file in $(find $QUELLPFAD -maxdepth 1 -type f -iname '*.flv'); do
 FILES[${#FILES[*]}]="$file";
done

# array länge ermitteln
aLen=${#FILES[@]};

# array durchlaufen und videos encodieren
for (( i=0; i<${aLen}; i++ )); do
 logging "${FILES[$i]} gefunden";
 local_convert "${FILES[$i]}";
 logging "nächste Datei";
done

exit 0;

Voila, schon hat man alle Flashvideos als DVD fähige Dateien und kann sie sogar auf eine DVD Brennen mit Menu etc.
Ich finde die Videos sind für Java Anfänger genial, also loslos, meldet euch an

So long
Lord_Pinhead

Albumart Downloader

nospam@example.com (Thomas Behrend) — Fri, 26 Nov 2010 19:17:40 +0100

Wer kennt das nicht, ein geniales Programm wird halbherzig und halbfertig zurückgelassen.
Ein Glück das es OSS ist, damit kann ich selbst etwas ändern.

Ein Bug in oben genannten Programm war, das es immer eine Fehlermeldung brachte:

CODE:

File "/usr/local/lib/albumart/process.py", line 68, in run img = Image.open(c.path) File "/usr/lib/python2.6/dist-packages/PIL/Image.py", line 1980, in open raise IOError("cannot identify image file") IOError: cannot identify image file

Ok, einfach in Zeile 82 in der Datei /usr/local/lib/albumart/process.py gehen und folgenden Code mit einbauen:

CODE:

self.postEvent(self.dialog, CoverDownloadedEvent(self, c)) # better fake progress than none at all # we can't tell how many covers we've # downloaded as they may have been blank or # corrupt. self.setProgress(coversFound - 1,coversFound) except IOError: pass; except Exception, x: self.postEvent(self.dialog, ExceptionEvent(self, x))

(bis ich den Fehler mit den br tags rausgefunden habe, übergeht sie einfach oder nutzt die Patchfile)

Zwar nicht sauber, aber es kommen keine nervigen Fehlermeldungen mehr. Ich hab einfach keine Lust den Fehler tief im inneren zu suchen und Ihn auszubessern, also lieber die Fehlermeldung übergehen, funktioniert ja trotzdem

Wer will kann sich den Patch runterziehen:
patch_albumart_errormessage_c.path.patch

So long
Lord Pinhead

Gottliches Linux???

nospam@example.com (Thomas Behrend) — Sat, 11 Sep 2010 20:30:30 +0200

Was passiert wenn man via Shell einen git --commit machen möchte, und bringt einen Typo rein? Klar, Linux schlägt einen mittlerweile, sofern es das Programm nicht gibt, alternativ Programme vor bzw. deren Kommandos. Aber das Programm "god" aus dem Packet "god" welches sich im "Universe" Zweig von Ubuntu befindet? Hilarious

Ich könnte die existenz von Gott also durch ein apt-get install god beweisen... was die Zeugen Jehova wohl sagen werden. Was ist wenn Gott via apt-get remove --purge god von der Platte gefegt wird, droht die Apokalypse? Also die Muslime haben auf jeden Fall unrecht, denn wenn ich den Befehl "allah" und verschiedene Schreibweisen davon eingebe, findet mein Ubuntu das nicht, god schon. Ist damit der beweis erbracht, dass die Christen recht haben?
Ich bin irgendwie leicht entsetzt darüber, dass man im Vatikan noch nicht auf die Idee kam, auf deren Solaris Rechner Gott zu installieren, das macht die Sache doch einfacher für die Jungs im Vatikan. Keine Staubigen Bücher mehr, keine Messen, einfach nur noch ein Befehl...

Ich sehe, Gott hat sogar eine Homepage: http://god.rubyforge.org/

Aus dem dpkg Info:
Fully configurable process monitoring
God is an easy to configure, easy to extend monitoring framework
written in Ruby.

Keeping your server processes and tasks running should be a simple
part of your deployment process. God aims to be the simplest, most
powerful monitoring application available.

Sekunde, ich kann Gott so anpassen wie ich will und er wacht über mich? Klasse, ich will jede Menge Geld, Frauen und Alkohol. Und damit mein Prozess nicht irgendwann endet, werde ich im Daemon Modus laufen! Child Prozesse sind keine geplant, wozu sollte ich mich auch fork()en?
Ich will nur nicht als Zombie Prozess enden, das ist sicherlich kein Spaß unnütz Systemressourcen zu verbrauchen.

Ich hoffe nur das Gott nicht irgendwann auf die Idee kommt, bei Systemanomalien, wie meteor.bin oder Vulkan.sh, die Matri.... Erde neu zu starten. Aber halt, war Adam damit Prozess ID 1? Sollte man Adam dann nicht doch Init nennen? Und Eva Upstart (fett, hässlich und keiner kommt damit klar)?

Ich könnte mir also vorstellen, dass die Welt damit ein riesiger Unix Rechner ist, alles ist Baumförmig angeordnet (Säugetier -> Affe -> Mensch, denkt mal weiter) und in jedem leaf kann man(n) Nachrichten von god lesen. Und wer den Gencode, welcher ja OpenSource ist und welchen man mit den PostScript Tools übersetzen kann, versteht, ist auch in der Lage selbigen zu Modifizieren. Und wenn man seinen Gott damit gut Konfiguriert, wird man auch nur tolle Sachen machen wie: Beten, Leute an Kreuze nageln oder am Pfahl verbrennen, Bomben über andersgläubige abwerfen, Manpages statt Nahrung verteilen.... Also die ganzen Windows'er ausradieren um eine Fragmentierung der Ungläubigen zu minimieren.

So, und wer in diesem Eintrag Sarkasmus findet, Religions Scherze, gepaart mit Unix/Linux Humor, der darf Ihn behalten Rechtschreibfehler und Grammatikalischer Bullshit ist zur belustigung aller, ich musste den Eintrag mit Tränen vor Lachen in den Augen schreiben!!

So Long

Lord Pinhead

Im Regen zurück aus Dresden und gleich in die Traufe

nospam@example.com (Thomas Behrend) — Sat, 17 Oct 2009 11:50:00 +0200

So, endlich zurück aus Dresden. Wer es noch nicht gehört hat: Von der FoDB aus bin ich letzte Woche mit meinem Arbeitskollegen Peter in Dresden gewesen bei Robotron (nein, nicht DIE Robotron die für die Stasi Abhörtechnik gebaut hat ) - für eine Oracle WebLogic Schulung (genau genommen hieß er: Oracle WebLogic Server 10g R3: System Administration).

Irgendwie bin ich froh mich trotzdem etwas vorbereitet zu haben was das Thema Application Server angeht, aber es hätte auch etwas mehr sein können. Beim Software Deployment ging es dann ziemlich in die Tiefen des ehemaligen Bea Vorzeige Systems. Trotzdem bin ich überrascht wie einfach das System lief, sogar das Clustern. Auf die frage wie man eine Domäne deinstalliert welche man falsch eingerichtet hat, kam vom Lehrer Hegenwald nur "Löschen Sie einfach den Ordner". Erfreulich das es nicht ein komplexes System gibt, welches die Software oder Systemeinrichtungen beinhaltet und man einfach löschen kann. Die Jungs haben sich anscheinend die Unix Philosophie zu Herzen genommen!

In unserer Schlungseinrichtung waren wir nur 4 Leute, und ich war der einzige der meinte, eine zweite Maschine in Beschlag zu nehmen für einen Cluster (der am Donnerstag drankam). Krakenartig hab ich meine Tentakel auf den Rechner neben und Hinter mir ausgestreckt und die Software installiert. Alles lief einwandfrei, bis ich den Nodemanager deployen wollte. Dazu musste man sich von der Maschine aus auf den Adminserver einloggen z.B. per WLST, ein nmEnroll() starten mit den Parametern DomainDir und NodemanagerHome. Also z.B.

nmEnroll('Home/oracle/work/domains/mydomain','/usr/local/oracle/weblogic/wl_server/common/nodemanager');

Damit holt sich der Nodemanager die Konfiguration vom Adminserver ab und erstellt die nötigen Verzeichnisse für die Server und der Domain. Hält man das ganze gleich auf jeder Maschine, ist das masseninstallieren auf ein paar Hundert Rechnern innerhalb von Minuten gemacht. Naja, sofern man sich nicht verschreibt. Dabei habe ich gelernt, das die Java Python implementation sehr variabel ist, dummerweise kann ich auch falsche Verzeichnisse angeben. Gesagt, getan... Vertippt - Shit. Naja, nichts was ein rm -rf nicht lösen kann Nochmal gemacht, diesmal als Python Script, und schon lief es. Der Nodemanager konnte sich mit dem Adminserver verbinden, ich hab die Server eingerichtet und der Maschine zugewiesen und der Nodemanager hat sie dann problemlos starten können. Fehler mit einem Server? Löscht einfach das Serververzeichnis. Beim Reconnect wird die Software automatisch wieder rüberkopiert (sofern man nicht etwas anderes eingestellt hat) und gestartet. Wunderbar einfach finde ich. Man sollte natürlich keine Daten löschen die man bräuchte, aber eine Datenbank hat heute ja jede gute Software. Sessions wären ein Problem, aber die kann man ja auch in einem Verzeichniss als Datei ablegen das per NFS gemountet ist. Müsste man nur vorher unmounten, Server Runterfahren, Verzeichnis löschen, per Nodemanager wieder starten und dann wieder das NFS mount einhängen.

Später ging es dann an einen Webproxy/Webcache. Webcache hatte unser Apache nicht wirklich, aber dafür innerhalb von 2 min. alle Server in unserem Cluster und hat diese per Round-Robin der Reihe nach angsprochen. Der lief übrigens auf Maschine Nummer 3, mein Rechner und der neben mir bildeten den Weblogic Cluster und ein Rechner hinter mir hostete den Apachen. Von anderen Lösungen bin ich es bisher nicht so einfach gewohnt das sich ein Cluster so einfach einrichten lässt. Ok, es lief kein Heartbeat, kein Nagios für die Überwachung und auch keine Fail-Over Lösung wenn ein Cluster Member ausfällt, aber trotzdem war es fix und effektiv.

Interessant dürfte auch das JMS sein. Vielleicht mal ein Ticketsystem basteln für die Arbeit, nächstes Jahr dann. Dieses Jahr haben wir noch einiges zu tun. Mal dransetzen wenn ich meine neue Serverhardware habe nächstes Jahr, will dann einige Sachen einfach per KVM starten statt dem langsamen VMWare Player.

Der eine oder andere Dresdenbesuch durfte natürlich auch nicht fehlen.
So machten Peter und Ich uns auf mal in die City zu kucken zum Abendessen. Dabei konnte ich wieder nicht wiederstehen mir ein paar Bücher zu kaufen als Peter mal in den Bücherladen gekuckt hat. Star Trek Titan Band 3, Eragon und die Drachenkämpferin wurden eingepackt. Eragon wurde dann gleich beim Italiener angelesen während ich auf Peter und die Pizza gewartet habe
Dienstag ist Peter allerdings mal nach Hause gefahren, also mit dem Bus zum Hotel. Da merkte ich wie einfach unser Hofer System ist. Die selbe Linie hat in einer Straße 5 Haltestellen und/oder fährt in eine völlig falsche Richtung. Unnötig zu sagen, das 1,5h Busfahrt nicht prickelnd waren. Aber hey, für 1,80 Euro eine Stadtrundfahrt ist billig
Ansonsten bestand die Woche nur noch aus Ice Age 3D, Sushi, KFC und Einkaufsbummeln

Als ich allerdings gestern um 19:30 Uhr endlich in Hof aufschlug (und es verdammt nochmal regnete ) war ich wirklich froh. Ich wollte fast den Boden küssen Und was passierte? Bei meiner Mutter, wo ich kurzen Halt gemacht habe, hat mich Cliff angerufen das sein Rechner spinnt und sein Router nicht mehr Online geht.
Zur Erklärung: Er steckt seine Kiste immer vom Stromnetz ab, deshalb muss die Bios Batterie alleine sicherstellen dass das Bios nicht gelöscht wird. Jetzt war sie letzten Sonntag leer und als er Windows startete waren einige Geräte im Bios nicht deaktiviert. Der nachträgliche Versuch die Sachen zu installieren hat sein Windows nicht gut überstanden und er musste immer mit der Boot Option "Letzte funktionierende Konfiguration" starten. So wirklich fit war ich allerdings gestern nicht mehr und nach einigen Versuchen und Ideen das vielleicht der ATI Treiber für die Grafikkarte Schuld sei, war sein System ziemlich geknickt. Ok, machen wir weiter wenn ich geistig wieder Fit bin. Ich bin dann runter, hab mir noch ein paar Rahmen Nudeln gemacht (es war ja mittlerweile schon 22 Uhr und ich hab nix mehr gegessen seit Mittag), klingelt nicht das verdammte Handy. Cliff hatte nochmal den T-Online Support angerufen, und der meinte es sei die Firmware, er solle eine neue runterladen. Uh, das war gehässig vom dem Kerl Naja, ich war dann so fertig das ich die Firmware für ein Speedport 701 in der 9XX Abteilung gesucht hatte. Heute haben wir dann die richtige runtergeladen und jetzt läuft der Router ja auch wieder.

-----------
Nachtrag:
-----------

Nach dem Versuch von Cliff zum letzten Wiederherstellungspunkt zu springen lief es so einigermassen wieder. Allerdings haben wir dann trotzdem aufgegeben mit dieser Konfiguration und ich hab in der Repair Konsole einfach die %windir%\system32\config\system mit der Version aus %windir%\repair\system überschrieben (vorher natürlich ein Backup machen). Das setzt das System an sich in ein Installationszustand zurück, die meisten Treiber müssen neu installiert werden, aber es läuft. Hier haben wir dann nach und nach das System wiederhergestellt wenn man so will. Also alle Treiber installiert, neustart, Windows blieb hängen. Ok, zum Wiederherstellungspunkt, Treiber bis auf Graka installiert, Windows blieb hängen. LECKEN! Wiederherstellungspunkt, Treiber installiert, neustart, Treiber installiert, neustart, Sound Treiber installiert, Windows hängt. Na gut, alles bis auf die Soundtreiber rauf, und seitdem läuft es. Cliff hat dann neue Treiber von Terratec runtergeladen nachdem er wieder Online kam.
-----------

Hab ich schonmal gesagt das ich Windows nicht leiden kann? Morgen erstmal Tattoo Konvention!!

So long

Router Control W700V W701V Linux Reconnect

nospam@example.com (Thomas Behrend) — Tue, 17 Feb 2009 17:46:37 +0100

Wer mal für seine Backups die über NFS aus dem Netz laufen probleme mit unterbrechenden Verbindungen hat, ich hab eine einfache Lösung für mich gefunden:

In der /etc/crontab (Sterne könnten je nach Browser fehlen, Format dürfte aber bekannt sein):

55 5 hans /usr/sbin/ntpdate -u ptbtime1.ptb.de

0 6 hans wget -O /dev/null --quiet "http://192.168.2.1/cgi-bin/disconnect.exe"

1 6 hans wget -O /dev/null--quiet"http://update.nerdcamp.net/update.cgi?user=user&pass=passwort&reqc=2"

2 6 hans /etc/init.d/ovpn restart

2 6 hans /etc/init.d/nfs-user-server restart

Nun wird um 5:55 eine neue Zeit geholt, um 6:00 ein Reconnect gemacht, 6:01 wird der Nerdcamp DynDNS Account geupdated und dann wird OpenVPN und der NFS neugestartet und die alten Verbindungen unterbrochen.

Auf Serverseite sieht es dann so aus:

In der /etc/crontab:

4 6 hans /etc/init.d/nscd restart

4 6 hans /etc/init.d/ovpn restart

4 6 hans /usr/bin/nfsreload

Wobei nfsreload nur mount befehle für die jeweiligen NFS Mounts beinhaltet. nscd ist der Nameservercachedaemon, nicht das unser System noch den alten Dyndns Account verwendet, daher vorher flushen.

So, hf mit dem Hack. Bei genug Lust poste ich noch wie ich meine Backups mache meiner Datenbanken und wie das Remote Logging auf meinem Heimserver funktioniert mit geringem Aufwand.

Tags: W 700V, W 701V, W 500V, W 501V, W 300V, W 301V, Speedport, T-Online, OpenVPN, Backup

Asterisk - Voip Anbieter und OpenVPN

nospam@example.com (Thomas Behrend) — Wed, 17 Sep 2008 06:17:36 +0200

Aktuell bastel ich an meinem Voip Server rum der daheim steht und nichts macht weil ich, seit Web.de seinen Voip Dienst eingestellt hat, keinen neuen Voip Provider versucht habe. Aktuell versuche ich bei Puretel und sipcall-voip.de mein Glück, aber von den Telekomikern wäre mir eine Flat lieber die in meinem Call & Surf Comfort mit drin wäre. Aber naja, gibt schlimmeres.

Aufgabe ist das ich mich mit einem Softphone einloggen kann und Telefonieren. So, das ist der leichte Teil der ja schon funktioniert.
Jetzt kommt der schwierigere Teil. Per OpenVPN Tunnel möchte ich mich in einem Internet Cafe daheim in mein Asterisk Server anmelden, den Tunnel werde ich über Port 443 schlagen denk ich, damit sollte ich an den Portfiltern in den Cafe´s vorbeikommen.
Wenn ich mich NICHT eingeloggt habe soll gleich die Voicebox rangehen und meine Handynummer weitergeben. Ich könnte Theoretisch auch einen Analog Koppler an mein TAE hängen und mich auf mein Handy anrufen, aber dann zahle ich das ja.

Damit nicht plötzlich die Luft knapp wird, in diesem Fall die Bandbreite daheim, verwende ich Traffic Shaping mit tc und iptables. Das könnte so aussehen:

#!/bin/sh
DEV=eth0
IPT=/sbin/iptables
TC=/sbin/tc
$IPT -t mangle -F
$TC qdisc del dev $DEV ingress > /dev/null 2>&1
$TC qdisc del dev $DEV root > /dev/null 2>&1
$TC qdisc del dev lo root > /dev/null 2>&1
$TC qdisc add dev $DEV root handle 1:0 htb default 12 r2q 6
# Komplette Bandbreite - Infos vom Router ausgelesen
$TC class add dev $DEV parent 1:0 classid 1:1 htb rate 1183kbit ceil 1183kbit
# DNS und kleine Packete
$TC class add dev $DEV parent 1:1 classid 1:10 htb rate 40kbit ceil 1183kbit prio 0
# SSH
$TC class add dev $DEV parent 1:1 classid 1:11 htb rate 60kbit ceil 1183kbit prio 1
# Alles andere (surfen etc)
$TC class add dev $DEV parent 1:1 classid 1:12 htb rate 600kbit ceil 1183kbit prio 2
# Voip
$TC class add dev $DEV parent 1:1 classid 1:13 htb rate 200kbit ceil 1183kbit prio 3
# Bittorrent
$TC class add dev $DEV parent 1:1 classid 1:14 htb rate 35kbit ceil 980kbit prio 4
#kleine Packete und DNS
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp -m length --length :64 -j MARK --set-mark 10
$IPT -A POSTROUTING -t mangle -o $DEV -p udp --dport 53 -j MARK --set-mark 10
#SSH
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --dport 22 -j MARK --set-mark 11
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --sport 22 -j MARK --set-mark 11
# VoIP
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --dport 5060:5061 -j MARK --set-mark 13
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --sport 5060:5061 -j MARK --set-mark 13
#Bittorrent
$IPT -A POSTROUTING -t mangle -o $DEV -p tcp --dport 49160:49300 -j MARK --set-mark 14

$TC filter add dev $DEV parent 1:0 prio 0 protocol ip handle 10 fw flowid 1:10
$TC filter add dev $DEV parent 1:0 prio 0 protocol ip handle 11 fw flowid 1:11
$TC filter add dev $DEV parent 1:0 prio 0 protocol ip handle 12 fw flowid 1:12
$TC filter add dev $DEV parent 1:0 prio 0 protocol ip handle 13 fw flowid 1:13
$TC qdisc add dev $DEV parent 1:10 handle 10: sfq perturb 10
$TC qdisc add dev $DEV parent 1:11 handle 11: sfq perturb 10
$TC qdisc add dev $DEV parent 1:12 handle 12: sfq perturb 10
$TC qdisc add dev $DEV parent 1:13 handle 13: sfq perturb 10

Wenn das Setup fertig ist werd ich mich mal an das Magazin Linux User wenden ob die den Abdrucken würden, mal sehen was die dann dazu sagen. Wenn Sie den Artikel nicht mögen werf ich Ihn in den Blog, steht ja alles unter der CC hier.

So long

Postgrey whitelists_clients

nospam@example.com (Thomas Behrend) — Fri, 12 Sep 2008 09:16:18 +0200

Manchmal vergisst man das nötigste.

AOL beispielsweise ist extrem nervig wenn es darum geht an die Leute dort Mails zu schreiben, 90% kommen irgendwie niemals an. Aber wehe die Leute wollen mir was schreiben und es kommt nicht sofort an, dann ist Polen offen wie man so schön sagt.

Da ich überhaupt keinen Bock habe den Mailheader zu lesen hab ich Google einfach mal gefragt wie den die Postserver [1] von AOL sind und hab sie eingetragen, daraus hab ich folgende Liste gemacht die Ihr in die whitelist_clients eintragt:

#AOL - Internet Mail Outbound (IMO) Servers
/^imo\-d\[01\-06\]\.mx\.aol\.com$/
/^imo\-d\[20\-23\]\.mx\.aol\.com$/
/^imo\-m\[11\-14\]\.mx\.aol\.com$/
/^imo\-m\[19\-28\]\.mx\.aol\.com$/
/^imr\-d\[01\-04\]\.mx\.aol\.com$/
/^imr\-d06\.mx\.aol\.com$/
/^imr\-m\[06\-08\]\.mx\.aol\.com$/
/^omr\-d\[31\-35\]\.mx\.aol\.com$/
/^omr\-m\[31\-35\]\.mx\.aol\.com$/

#AOL - Outbound Mail Relay (OMR) Servers
/^omr\-d\[21\-25\]\.mx\.aol\.com$/
/^omr\-m\[21\-25\]\.mx\.aol\.com$/

#AOL - AOLs Third-Party Mail Servers
/^rly\-ip0\[3\-8\]\.mx\.aol\.com$/

# Theoretisch reicht aber auch aus:
#AOL - Internet Mail Servers
#/^imo\-d\d+\.mx\.aol\.com$/
#/^imo\-m\d+\.mx\.aol\.com$/
#/^imr\-d\d+\.mx\.aol\.com$/
#/^imr\-m\d+\.mx\.aol\.com$/
#/^omr\-d\d+\.mx\.aol\.com$/
#/^omr\-m\d+\.mx\.aol\.com$/
# Aber dann sind ein paar Lücken drin
# daher doch umständlicher

Dann war da noch Ebay, die auch massenhaft Server haben. Bei dennen ist es allerdings besser durchnummeriert als bei AOL, da reicht folgendes aus:

# Ebay Sendepool
/^mxphxpool\d+\.ebay\.com$/

Jetzt sollte euer Mailer wieder AOL und Ebay in Echtzeit unterstützen ohne das Mails auf die Greylist kommen. Auch wenn ich es hasse von AOL Leuten Mails zu bekommen

Wer noch ein paar Server hat, z.b. GMX, schreibt doch bitte mal als Kommentar wie deren Mailkübel heißen. Hier noch Einträge für Web.de, Nuclearblast und Groklist:

# Web.de
/^fmmailgate\d+\.web\.de$/

# Grok List
/^lists\.grok\.org\.uk$/

# Nuclearblast
/^smtpout\.i\-netpartner\.net$/

[1] http://postmaster.info.aol.com/servers/

Portscannen nicht leicht gemacht

nospam@example.com (Thomas Behrend) — Wed, 14 May 2008 13:03:00 +0200

Seit 2005 lief jeden Tag ein Portscan, der meine Server überprüft, und zwar alle Ports von 1-65535 TCP und UDP (getrennt in zwei parallelen Prozessen). Rausgefiltert wurden dann die Ports die offen sein sollen, alle anderen Ports wären ja Treffer und nicht gut. Natürlich hab ich keinen Bock das ich von nmap jeden Tag eine Liste mit über 130 000 Ports bekomme, also wird nochmal gefiltert ob der Status OPEN ist und damit eine Backdoor Shell läuft, sachen wie FILTERED sind ja nicht schlimm nur NMAP zeigt sie trotzdem an. Bei Hetzner wäre das z.B. der Port 6667 (IRC) der gefiltert wird, 7000 ist dafür offen und ein Bot kann trotzdem zu einem IRC Netzwerk verbinden. Was bei PsyBNC zwar eine absolute Katastrophe war, aber ok weiter im Text.

Jetzt habe ich allerdings mal summa sumarum durchgerechnet das der Scan von Server 1 von 3:00 Uhr bis 12:20 läuft. Da ich das Script immer nur um die IP Adresse erweitert habe kommen die ja auch noch dazu. Da fast 9,5h einfach zuviel sind musste das gedrückt werden, also hab ich die Paketto Keiretsu Tools[1] installiert damit ich die 65535 TCP Ports in extremst kurzer Zeit abscannen kann. Also via apt das Paket installiert und mal angetestet:

# scanrand -d bond0 -b512K -v -t 100 1.2.3.4:80
Stat|=====IP_Address==|Port=|Hops|==Time==|=============Details============|
SENT: 1.2.3.4:80 [00] 0.003s

Wumm, danach kam nichs mehr und der Timeout von 100 sek lief ab.
Was ist passiert? tcpdump zeigt uns das sicher:

Server # tcpdump -vv port 80
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
12:25:10.140290 IP (tos 0x0, ttl 248, id 255, offset 0, flags [DF], length: 40) p5493663D.dip.t-dialin.net.2959 > server.80: S [tcp sum ok] 3683956693:3683956693(0) win 4096
12:25:10.140318 IP (tos 0x0, ttl 255, id 0, offset 0, flags [DF], length: 40) server.80 > p5493663D.dip.t-dialin.net.2959: R [tcp sum ok] 0:0(0) ack 3683956694 win 0

Intranet # tcpdump -vv port 80 -i bond0
tcpdump: listening on bond0, link-type EN10MB (Ethernet), capture size 96 bytes
12:28:58.763668 IP (tos 0x0, ttl 255, id 255, offset 0, flags [DF], proto TCP (6), length 40) intranet.55412 > server.80: S, cksum 0x97f9 (correct), 580369251:580369251(0) win 4096
12:28:58.820891 IP (tos 0x60, ttl 248, id 0, offset 0, flags [DF], proto TCP (6), length 40) server:80 > intranet.55412: R, cksum 0xa7e6 (correct), 0:0(0) ack 580369252 win 0

Also kommt die Antwort zurück. Aber warum wird sie nicht verarbeitet? Das NAT macht das anscheinend etwas schwierig, also füge ich einfach mal aus Spaß einen seed ein mit -s scan. Jetzt kommt:

# scanrand -s scan -d bond0 1.2.3.4:1-1000
UP: 1.2.3.4:25 [07] 0.059s
UP: 1.2.3.4:80 [07] 0.118s
UP: 1.2.3.4:110 [07] 0.156s
UP: 1.2.3.4:143 [07] 0.192s

Erfolg! Also würde ein kompletter Scan theoretisch nur wenige Minuten dauern für die TCP Ports. Aber warum wird bis IMAP alles angezeigt, aber HTTPS (443), POP3s (995) und IMAPs (993) werden gar nicht mehr angezeigt. Nach einigem Nachforschen wusste ich das mein Router nicht die Engstelle ist da ich normal ins Netz kann, also Ports fürs NAT gehen ihm anscheinend nicht aus. Das selbe habe ich bei einem anderen Hoster probiert und noch 2 anderen, es ist immer das selbe Symptom, nach ein paar Ports ist kein senden von Paketen mehr an die IP möglich, Ausnahme ICMP (ping). Also muss die Telekom da einen Flood Schutz eingebaut haben im DSL Access Concentrator (DSL-AC) da ich auch kein Traceroute zum Server mehr durchbringe (der Traceroute wird mit dem UDP Protokoll durchgeführt)

# traceroute 1.2.3.4
traceroute to 1.2.3.4 (1.2.3.4), 30 hops max, 40 byte packets
1 intranet (192.168.2.1) 0.935 ms 0.446 ms 0.452 ms
2
3
4
5
6
7
8
......
16

Anders ein ICMP Trace:

# traceroute -I 1.2.3.4
traceroute to 1.2.3.4 (1.2.3.4), 30 hops max, 40 byte packets
1 intranet (192.168.2.1) 0.709 ms 0.427 ms 0.331 ms
2 *
3 217.0.70.90 (217.0.70.90) 5.648 ms 5.244 ms 5.617 ms
4 217.239.40.193 (217.239.40.193) 10.570 ms 10.670 ms 10.550 ms
5 193.159.225.146 (193.159.225.146) 17.977 ms 14.510 ms 10.413 ms
...
8 server (1.2.3.4) 11.108 ms 11.027 ms 10.750 ms

Also filtert die Telekom anscheinend wirklich alle höheren Protokolle aus zu einem Server, wenn viel zu viel Pakete gesendet werden. Was mich jetzt soweit gebracht hat das ich meine Leitung nicht mehr den ganzen Tag zum Scannen der Server missbrauche sondern mich darauf verlasse das meine Sicherheitseinrichtungen halten und das nichts passiert. 3 Server sind einfach nicht mehr in der Toleranz für solche Spielchen.

Es wird kaelter

nospam@example.com (Thomas Behrend) — Fri, 11 Apr 2008 10:13:30 +0200

Ich fürcht das ich jetzt die Heizung eine Stufe weiter aufdrehen muss im Winter. Heute hab ich meine SCSI Platten im Server gegen SATAII Platten getauscht und damit den Lärmpegel um 50dB gesenkt, und auch die Raumtemperatur um sicherlich 5° C

Seit langem wollte ich das machen, meine 2*72GB und 1*36GB Seagate Cheetah mit 10k RPM und den Controller (ICP GD7518RN) rauswerfen damit ein Adaptec 1420SA SATAII Controller reinkann mit 2 Samsung 200GB Festplatten. Da es mir nicht drauf ankommt ob jetzt ein Hardware Raid vorhanden ist musste auch der SATAII Controller das nicht könnnen, dafür allerdings 1) schnell sein 2) stabil laufen. Mein Promise SATA300 TX2 den ich für teuer Geld gekauft habe lief ums verrecken nicht, auch nicht mit einem eigenen Kernel (damals 2.6.23.1) und dem sata_promise Modul (port is slow to respond, reset failed). Ein Patch im Kernel um die Platten auf 1,5gb zu beschränken half auch nicht und auch das Jumpern der Platten brachte keinen Erfolg, ich stell den Controller jetzt bei Ebay rein, ist ja nicht gebraucht in dem Sinne.

Nachdem ich den Controller eingebaut habe, ein neuen Vanilla Kernel (2.6.24.4) gezogen und kompiliert habe, läuft der Controller dank sata_mv stabil und schnell. Es reicht eben den Spaß im Controller als JBOD (Just a Bunch Of Disks) zu betreiben und mittels LVM die Partitionen trotzdem dynamisch zu halten. Datensicherheit ist so eine Sache, Backups laufen hoffentlich bald auf eine 500GB HDD von Phillips die ich bekomme und via LUKS Verschlüsselt wird, genauso wie dann die Daten auf den SATA Platten.

Ha, gleich der nÃ¤chste Fehler in Debian Sarge, cryptosetup kann keine /sbin/udevsettle finden und bricht ab, abhilfe schaffte die Datei als Bashscript anzulegen:

/sbin/udevsettle
#!/bin/sh
sleep 1

Danach funzt es. udevsettle macht nichts anderes als eine Pause einzulegen damit udev hinterherkommt und das Device anlegen kann, von daher reicht dieser hack Problemlos aus.

Jetzt ist wieder Kernel Finetuning angesagt, Überflüssige Module raus, iptables_nat einbauen. Leider funzt der Treiber von http://rtl-wifi.sourceforge.net auch noch nicht, aber das Project ist noch aktiv und im Forum hab ich schon mal eine Antwort auf einen Thread gegeben damit ein paar mehr Infos an die Entwickler gehen.

So long

Alfa AWUS036E

nospam@example.com (Thomas Behrend) — Wed, 09 Apr 2008 17:33:08 +0200

Coole Sache so ein USB Dongle der endlich mal anständig Leistung bringt.

Nicht nur das mein Linux our of the box den Dongle erkennt, die 9dBi Antenne bringt auch ordentlich Leistungszuwachs. Schade nur das ich daheim nur mein eigenes Wlan finde, aber das hat den Vorteil das mir niemand daheim auf den Sack gehen kann weil man mich draussen nicht wirklich findet (ausser im Garten). Leider funktioniert kismet noch nicht da der Treiber anscheinend etwas verbuggt ist, mal sehen ob http://rtl8180-sa2400.sourceforge.net/ besser läuft.

Windows macht mal wieder ärger, wie kann es den sonst sein?
Windows kann den Stick nicht starten, angeblich ein Gerätefehler. Lustig das er sonst funzt, sogar unter Linux kann ich normal surfen und mit recht hoher Leistung Dateien im Intranet ziehen von meinem Server. Was ist also der Fehler unter Windoof? Windoof XP kann den Stick anscheinend nicht starten weil angeblich zuwenig Leistung am USB zur verfügung steht. 10% werden vom System resserviert (50mAh) und die restlichen 450 mAh reichen für den Stick einfach nicht aus, nichtmal im 802.11b standard. Naja, in Windows kann ich sowisso kein Spaß haben mit dem "kleinen" Stick (mal von der 38cm Antenne abgesehen ), die D-Link DWL-G630 reicht für daheim aus und läuft.

Jetzt brauch ich nur noch ein Akku und ein Multibay Akku für mein Compaq Evo N610c, vielleicht noch eine GPS Maus und dann kann ich richtig Spaß haben.

so long

Tags: bsd, kernel, linux, wlan

Verschluesselte Platten Ja ode Nein

nospam@example.com (Thomas Behrend) — Mon, 31 Mar 2008 14:25:37 +0200

Da soll doch wirklich jemand seine Festplatten entschlüsseln oder selbige werden gelöscht weil die Platten ja Daten enthalten könnten, rein Theoretisch, die einen Beweis einer Straftat enthalten könnten. Alles rein hippotheletisch (nettes Wortspiel).

Ich meine, wenn ich eine TOR Exit Node betreibe, weiß ich selbst nicht woher die Daten kommen, geschweige denn was die Daten beinhalten. Ok, natürlich könnte ich einen Sniffer einsetzen, aber das Binärlesen haben die Menschen noch nicht gelernt. Ausserdem, was haben die Privaten Festplatten mit dennen im Rootserver bei Strato zu tun?

Jetzt natürlich die gute Frage: Wenn ich meine Festplatten mit Truecrypt auf meinem Laptop oder auf meinem Server mit LUKS absichere, wo ist die Rechtliche belange das die Bullen einfach die Datenträger formatieren? Ok, ich kann die Daten aufwendig wiederherstellen, und hoffen das der Container danach wieder gemounted und entschlüsselt werden kann, ganz davon abgesehen ob meine Daten danach wieder 100% laufen.

So eine Wildwest Methode würde ich mir gar nicht bieten lassen, schon bei der Hausdurchsuchung wäre meine Anwältin mit dabei und nach spätestens 4 Wochen würde ich meine Sachen wieder haben wollen da ich immernoch damit Arbeiten MUSS und nicht nur KANN. Das hätte Sebastian vielleicht auch machen sollen, aber jetzt ist es vielleicht zu späte, auch das durchstreichen auf dem Durchsuchungsbericht von einem Polizeibeamten mit einer Begründung, dessen Konsequenz man noch nicht einmal vorhersehen kann, ist ein Fehler.

Auf jeden Fall hoffe ich das Sebastian da noch ein paar Updates hinterherschiebt, und hoffentlich Positive. Mein erster Schritt wäre am zuständigen Amtsgericht Anzeige zu erstatten, in einem Rechtsstaat wo man ohne Beweise freigesprochen werden muss kann das ja wohl nicht angehen.

Böse sache auf jeden Fall, Sebastian, halt uns auf dem Laufenden

Computerprobleme aus dem Alltag

nospam@example.com (Thomas Behrend) — Thu, 27 Mar 2008 11:43:00 +0100

Lustig was man manchmal so zu hören bekommt.

Manche Leute die bei Computerfirmen Arbeiten, bekommen es nichtmal hin eine SATAII Platte in einen Rechner einzubauen und zu Formatieren, geschweige den es hinbekommen den Punkt "Onboard SATA Controller" im BIOS überhaupt zu aktivieren. Nein, da wird die einzige Festplatte, die dummweise am IDE RAID Controller hängt aus dem System verbannt und nach 4 Stunden Arbeit lief da gar nichts mehr.

Ihr meint das soetwas nicht vorkommen kann? Weit gefehlt, das passierte am Montag Abend meinen Freund Matthias. Dessen Kollege, der ja bei INT-Tech in Hof Arbeitet und ein Computerfachmann sein soll, hat 4 Stunden an der Kiste gewerkelt bis nichts mehr ging. Am nächsten Morgen ruft mich Matthias völlig genervt an ob ich Ihm das wieder richten kann. Bei Ihm hab ich dafür keine 5 min gebraucht bis das lief. Soviel zu den hochgelobten Systemhäusern und deren Mitarbeiter.

Noch viiiiel lustiger ist ja die Firma SCB. Die bringt es doch fertig eine Software Namens PC-Wächter von Dr. Kaiser Softwarehaus auf Rechnern zu installieren, die verhindern soll das Profile geändert werden. Ich glaube wenn man die ntuser.dat in ntuser.man umändert spart das einiges an Geld und es funktioniert, den ich kann immernoch das Desktop Bild abändern, es wird immernoch die History gespeichert, ich kann das Profil immernoch anpassen wie ich möchte, aber ich kann dank den Einstellungen die diese Firma bzw. der Administrator gemacht hat NICHT die Uhrzeit ändern. Ist das nicht toll dass das Login Script (das man Einfach aus dem Autostart löschen könnte) zwar die Netzlaufwerke mounten kann (ooh, dazu hat man die Rechte), aber der net time Befehl blockiert wird. Bei Nachfrage warum das so ist meint man das die User die Uhrzeit nicht ändern sollen. Prima, es ist also jeden Tag ein anderes, zufällig aus dem Kalender ausgewähltes, Datum und die Uhrzeit ist zwischen 22 und 2 Uhr nachts. Am besten gefiel mir der Spruch mit "Der PC-Wächter - zuverlässiger Schutz gegen Manipulationen und Viren". Der PC der diese Software installiert hatte, hatte nach einem Scan mit Knoppicilin 1200 infizierte Dateien, und das waren noch nichtmal die Cookies und Javascripts, die langen nur im %systemroot% . Eine tolle Software. Mit Linux wäre das nicht passiert

OKI indes schafft es die Treiber so zu verhunzen dass das Auswählen von German Endlos Papier dazu führt, das der Nadeldrucker (ein Microline 5910 glaub ich) die ersten 4 Zeilen einer Din A4 Seite druckt, vorher zwar brav den Zeilenrücksprung macht, aber dann eine 3/4 Seite weiter die nächsten 4 Zeilen macht, und das wiederholt sich bis zum Dokumentenende. Davon abgesehen schaffen es nichtmal die Windows Treiber (Epson Emulation) das Dokument per Postscript an den Drucker zu senden, der dann dieses einfach umsetzt, nein, das ganze wird immernoch als Bitmap an den Drucker gesendet, was zur Folge hat das eine Seite fast 50 Sekunden braucht zum Druck und auch noch eine schlechtere Qualität hat als wenn man Orginaltreiber nimmt. Abgesehen davon das noch ein paar ASCII Zeichen am oberen linken Rand sind und wieder der Fehler mit der Seiteneinstellung kommt. Jetzt laufen dort beim Kunden zwangsläufig die orginaltreiber mit den fehlenden 5mm Seitenlänge, was bei Seite 6 dazu führt, dass der Anfang der nächsten Seite am ende der vorherigen gedruckt wird. Echt nervig, aber da kann mir nichtmal OKI am Telefon helfen.

Darf ich mal schnell schreihen? Warum kann den nicht alles einfach funktionieren? Warum wird aus allem ein riesen Drama gemacht wo es doch sooo einfach gehen kann? Manchmal kann man da wirklich nur noch heulen. Und dann bekommt man gesagt das eine Firma, mit der man schon Jahre lang zusammen arbeitet, die es schafft das der Server Backup Prozess früh um 9 Uhr stattfindet und den kompletten Server, auf dem man mit RDP verbunden ist und in der Fibu Arbeiten möchte, nicht mehr reagiert. Diese Firma ist ja alt eingesessen und man bleibt bei Ihnen. Einfach nur zum Heulen was sich heute Systemhaus oder Computer Spezialist schimpft.

So long crying

Spenden?

nospam@example.com (Thomas Behrend) — Thu, 27 Mar 2008 05:02:16 +0100

Einige Firmen oder Organisationen wie die Wikipedia Foundation leben ja anscheinend von der Hand im Mund. Die Server laufen auch umsonst meinen viele. Die Alfred P. Sloan Foundation hat daher für die nächsten drei Jahre je 1 Million US Dollar an Wikipedia gespendet. Erfreulich das auch Firmen erkennen das Wikipedia gesponsort werden musst

http://www.golem.de/0803/58597.html

Microsoft interessiert es an sich gar nicht Geld zu Spenden, die Spenden lieber Code. Apache bekommt Code von M$ damit deren Binären Office Formate gelesen werden können. Warum braucht man das den? In Zeiten des OpenDocumentFormats (ODF) braucht man die alten Formate doch nicht mehr. Aber um an das Open-Office-XML-Format zu kommen bzw. den Code muss man anscheinend was spenden, warum nicht altes Zeug das eh keinen mehr interessiert. Natürlich kann es auch damit zusammenhängen das M$ erst eine hohe Strafe zahlen musste und vielleicht noch eine weitere Klage anrückt die man gerne vermeiden möchte

http://www.golem.de/0803/58610.html