Moderne POSIX kompatible Systeme setzen zur Umgehung dieses Problem heutzutage auf UTF-8 oder UTF-16, um nahezu alle Zeichen der meisten Sprachen darstellen zu können. FreeBSD hatte wohl lange Zeit noch das eine oder andere Problem mit UTF-8, was aber spätestens seit Version 9 der Vergangenheit angehört.

Einstellung der Bildschirm-Console:

/etc/rc.conf editieren:

# Zu verwendende Konsoleschrift (iso8859-15)
font8x14="iso15-8x14"
font8x16="iso15-8x16"
font8x8="iso15-8x8"

# Deutsche Tastaturbelegung
keymap="german.iso"

Einstellung der Lokalisierung (locale)

/etc/login.conf editieren und eine Sprachgruppe anlegen

german:German Users Accounts:\
      :charset=UTF−8:\
      :lang=de_DE.UTF−8:\
      :tc=default:

Die Änderungen aktivieren:

# cap_mkdb /etc/login.conf

Betreffende User der Sprachgruppe german mit dem Kommando vipw  zuweisen:

user:password:UID:GID:german:0:0:USER_NAME:/home/USER_NAME:/bin/SHELL

FreeBSD 9 mit deutscher Lokalisierung ist ein Original von: Dem Commander1024 sein Blog

Seit FreeBSD 8.2  gibts virtio-kmod in der offiziellen Ports-Sammlung. Mit dem gerade erschienenen Release von FreeBSD 9 soll dessen Geschwindigkeit aber deutlich gestiegen und nun sinnvoll einsetzbar sein.

Um diese Vorteile nun unter auch auf einem FreeBSD 9 Gast nutzen zu können, muss der entsprechende Port installiert werden. Damit die Kernel Module sauber durchcompilieren, sind die src-base und src-sys Pakete erforderlich und sollten unter /usr/src/sys vorhanden sein.

# portinstall virtio-kmod

Nun editieren wir /boot/loader.conf. Um die eben gebauten Module beim booten zu laden, fügen wird diese Zeilen vorzugsweise am Anfang der Datei ein:

virtio_load="YES"
virtio_pci_load="YES"
virtio_blk_load="YES"
if_vtnet_load="YES"
virtio_balloon_load="YES"

Nun müssen wir dem System sagen, wie die paravirtualisierten Geräte nach Umstellung auf virtio heißen. Virtuelle HDDs werden dann vtbdX (z. B. vtbd0) und Netzwerkkarten vtnetX (z. B. vtnet0) heißen. Dies müssen wir entsprechend in der /etc/rc.conf ändern, wenn wir dort das Netzwerk konfigurieren und die Laufwerke in der /etc/fstab sollten natürlich auch passend ersetzt werden, sofern wir nicht nach diesem Howto zfs-on-root eingerichtet haben, dann entfallen Änderungen an der (ohnehin leeren) fstab.

Nun können wir den FreeBSD Gast mit shutdown -p now herunterfahren und die HDD/Netzwerkhardware im Hypervisor auf “virtio” umstellen. Dies kann bei Einsatz von libvirt wahlweise mithilfe eines Programms wie virsh, virt-manager, Archipel oder dem Editieren der .xml Gastdefinition unter /etc/libvirt/qemu/ geschehen. In letzterem Fall muss libvirt neu gestartet werden (was keinen Neustart laufender Gäste zur Folge hat).

Unter Debian/Ubuntu:

# /etc/init.d/libvirt-bin restart

Nun starten wir das FreeBSD wieder und erfreuen uns an deutlich schnelleren Festplatten- und Netzwerkzugriffen sowie den weiteren Annehmlichkeiten, die die KVM Paravirtualisierung bietet.

FreeBSD 9 mit virtio als Linux KVM Gast ist ein Original von: Dem Commander1024 sein Blog

2. Erstellen der notwendigen Partitionen auf den HDDs und Hinzufügen des ZFS Bootcodes

Diese Schritte für jede weitere Festplatte wiederholen (ada0, ada1, ada2 …)

gpart create -s gpt ada0
gpart add -b 34 -s 94 -t freebsd-boot ada0
gpart add -t freebsd-zfs -l disk0 ada0
gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 1 ada0

3. Den ZFS pool erstellen

(Warnungen zum Mounten können ignoriert werden)

Installation auf einer HDD (wie in meinem Fall z. B. mit einem LVM-Volume auf dem Linux RAID1 des KVM Hypervisors):

zpool create zroot /dev/gpt/disk0

Installation auf einem Mirror-Setup mit 2 HDDs:

zpool create zroot mirror /dev/gpt/disk0 /dev/gpt/disk1

Installation auf einem raidz Setup (ähnlich Raid5) mit mind. 3 HDDs:

zpool create zroot raidz /dev/gpt/disk0 /dev/gpt/disk1 /dev/gpt/disk2

Installation auf einem raidz2 Setup (ähnlich Raid6) mit mind. 3 HDDs:

zpool create zroot raidz2 /dev/gpt/disk0 /dev/gpt/disk1 /dev/gpt/disk2 /dev/gpt/disk3

4. Einstellen der bootfs Eigenschaften, Prüfsummen und Mountpoints

zpool set bootfs=zroot zroot
zfs set checksum=fletcher4 zroot
zfs set mountpoint=/mnt zroot

5. An diesem Punkt den Pool ex- und wieder importieren unter Beibehaltung des zroot.cache in /var/tmp

zpool export zroot
zpool import -o cachefile=/var/tmp/zpool.cache zroot

6. Erstellen der Dateisysteme

(Hier kann man natürlich improvisieren)

zfs create zroot/usr
zfs create zroot/usr/home
zfs create zroot/var
zfs create -o compression=on -o exec=on -o setuid=off zroot/tmp
zfs create -o compression=lzjb -o setuid=off zroot/usr/ports
zfs create -o compression=off -o exec=off -o setuid=off zroot/usr/ports/distfiles
zfs create -o compression=off -o exec=off -o setuid=off zroot/usr/ports/packages
zfs create -o compression=lzjb -o exec=off -o setuid=off zroot/usr/src
zfs create -o compression=lzjb -o exec=off -o setuid=off zroot/var/crash
zfs create -o exec=off -o setuid=off zroot/var/db
zfs create -o compression=lzjb -o exec=on -o setuid=off zroot/var/db/pkg
zfs create -o exec=off -o setuid=off zroot/var/empty
zfs create -o compression=lzjb -o exec=off -o setuid=off zroot/var/log
zfs create -o compression=gzip -o exec=off -o setuid=off zroot/var/mail
zfs create -o exec=off -o setuid=off zroot/var/run
zfs create -o compression=lzjb -o exec=on -o setuid=off zroot/var/tmp

7. Swap Speicher anlegen und Prüfsummen deaktivieren

(hier werden 4GB Swap erstellt, je nach eigenen Bedürfnissen anpassen)

zfs create -V 4G zroot/swap
zfs set org.freebsd:swap=on zroot/swap
zfs set checksum=off zroot/swap

8. Symbolische Links nach /home und Berechtigungen korrigieren

chmod 1777 /mnt/tmp
cd /mnt ; ln -s usr/home home
chmod 1777 /mnt/var/tmp

9. Die eigentliche FreeBSD Installation

cd /usr/freebsd-dist
export DESTDIR=/mnt
for file in base.txz lib32.txz kernel.txz doc.txz ports.txz src.txz;
do (cat $file | tar --unlink -xpJf - -C ${DESTDIR:-/}); done

10. Den zpool.cache kopieren

(sehr wichtig!)

cp /var/tmp/zpool.cache /mnt/boot/zfs/zpool.cache

11. Erstellen von rc.conf, loader.conf und einer leeren fstab

(sonst meckert das System)

echo 'zfs_enable="YES"' >> /mnt/etc/rc.conf
echo 'zfs_load="YES"' >> /mnt/boot/loader.conf
echo 'vfs.root.mountfrom="zfs:zroot"' >> /mnt/boot/loader.conf
touch /mnt/etc/fstab

12. Alles aushängen und Mountpoints für den ersten Boot vorbereiten

zfs set readonly=on zroot/var/empty
zfs umount -af
zfs set mountpoint=legacy zroot
zfs set mountpoint=/tmp zroot/tmp
zfs set mountpoint=/usr zroot/usr
zfs set mountpoint=/var zroot/var

Jetzt kann das System neu gestartet werden, nach dem Anpassen der Zeitzone, dem Setzen eines Passworts für den root user kann man sein System genießen, oder direkt im Falle einer Virtualisierung unter KVM mit den Einrichten von virtio fortfahren.

FreeBSD 9 mit Root on ZFS ist ein Original von: Dem Commander1024 sein Blog

Zwar wird bei einem Angriff mit dem Exploit-Code einiges an CPU-Leistung verbrannt, der RAM Verbrauch steigt um ein paar hunder MB, reicht aber auf den Systemen unter meiner Kontrolle nicht aus, diese aus dem Tritt zu bringen – zumindest nicht mit nur einem angreifenden Rechner und 1000+ Threads.

Schritte zum Dämpfen der Bedrohung sind entweder die Abschaltung des Byte-Ranges in der Config des Header Moduls, was aber neben dem kompletten Deaktivieren von “resumable Downloads” noch schwerwiegendere Folgen haben dürfte oder aber das Beschränken der Zahl der Range-Requests via mod_rewrite. Ich habe mich wie vermutlich die Meisten für die zweite Lösung entschieden.

Diese Instruktionen beziehen sich auf ein Server-System mit Debian Linux. Bei Verwendung einer anderen Distribution müssen ggf. Dateipfade angepasst werden.
Dazu muss in jedem VHost folgender Code eingefügt werden (z. B. nach der DocumentRoot-Direktive):

# Apache2 Range-Request Rewrite Fix
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]

Da ich wenig Lust habe, das in jeden VHost manuell einzufügen, lagere ich das in eine eigene Datei in /etc/apache2/conf.d/antiapachekiller aus und füge ein Include /etc/apache2/conf.d/antiapachekiller in jeden VHost nach dem DocumentRoot ein. Weil ich das bei ziemlich vielen Seiten machen muss, habe ich das mit diesem Skiptchen automatisiert. Dieses kann an beliebiger Stelle liegen, der Pfad mit den VHost-Definitionen ist fest eingebaut (und müsste bei Abweichungen angepasst werden), und ein Backup des Apache-Verzeichnisses vorher wird dringend empfohlen!

#!/bin/bash
cp -rvp /etc/apache2/sites-available/ /tmp/
cd /tmp/sites-available/
FILES=`ls *.conf`
for FILE in $FILES
do
echo $FILE
cat $FILE | perl -ne 'print $_; print \
"Include /etc/apache2/conf.d/antiapachekiller\n" \
if ($_ =~ /DocumentRoot/ )' > /etc/apache2/sites-available/$FILE
done

Selbst wenn kein eigenes Backup vorher angelegt wurde, liegen die Originaldateien nach der Anwendung des Skripts noch in /tmp/sites-available/
Danach sollten die VHosts zumindest noch stichprobenartig überprüft werden und dann der Indianer neu geladen werden (/etc/init.d/apache2 reload).

Mit mod_rewrite den ApacheKiller Exploit entschärfen ist ein Original von: Dem Commander1024 sein Blog

• wenn man 2 oder mehr OpenVPN Client Instanzen parallel oder
• wenn man 1 oder mehr OpenVPN Remote Access Server und 1 oder mehr OpenVPN Client Instanzen betreibt

Das hängt damit zusammen, wie man die NAT-Regeln gelbaut hat. Bei Interface “OpenVPN” nimmt er dann tatsächlich im round-robin Verfahren jeweils das eine oder andere OpenVPN TUN Device.

Abhilfe schafft, wenn man den / die OpenVPN Server Client Interfaces (z. B. ovpnc2) unter Interfaces -> Assign einem neuen OPT-Device zuordnet. Jetzt unter Interfaces -> OPT1 das Interface aktivieren mit Type = “none” (da der OVPN-Daemon dieses konfiguriert). Sinnvollerweise dem Interface noch einen aussagekräftigen Namen verpassen und unter Firewall -> NAT die Angaben zum Interface anpassen (OpenVPN durch ‘aussagekräftiger Name’ ersetzen). Ggf. auch an Interface-bezogene Regeln unter Firewall -> Rules zum Client Interface denken.

Nun den OpenVPN Client Daemon neu starten und die Paketverluste gehören der Vergangenheit an.

Round-Robin Paketverlust am pfSense bei parallelen OpenVPN-Konfigurationen ist ein Original von: Dem Commander1024 sein Blog

Auf neueren Distributionen mit aktuellem Xorg, ist es ein wenig einfacher geworden, dazu legt man lediglich unter  /usr/share/X11/xorg.conf.d/20-thinkpad.conf eine entsprechende Policy an:

Section "InputClass"
        Identifier "Trackpoint Wheel Emulation"
        MatchProduct "TrackPoint"
        MatchDevicePath "/dev/input/event*"
        Driver "evdev"
        Option "EmulateWheel" "true"
        Option "EmulateWheelButton" "2"
        Option "Emulate3Buttons" "false"
        Option "XAxisMapping" "6 7"
        Option "YAxisMapping" "4 5"
EndSection

Nun nur noch X neustarten. [Legacy]

Um den Thinkpad-Nippel auch unter Linux (getestet unter aktuellen Ubuntu’s, Gentoo und Debian Derivaten) für 2D-Scrolling verwenden zu können, ohne die “QuickPaste” Funktionalität einzubüßen, kann man unter /etc/hal/fdi/policy/ die neue Datei 10-x11-input.fdi mit einer zusätzlichen HAL Policy anlegen und folgenden Inhalt reinkopieren:

<?xml version="1.0" encoding="ISO-8859-1"?>
<deviceinfo version="0.2">
 <device> 

   <!-- KVM emulates a USB graphics tablet which works in absolute coordinate mode -->
   <match key="input.product" contains="QEMU USB Tablet">
     <merge key="input.x11_driver" type="string">evdev</merge>
   </match> 

   <!-- FIXME: Support tablets too. -->
   <match key="info.capabilities" contains="input.mouse">
     <merge key="input.x11_driver" type="string">mouse</merge>
     <match key="/org/freedesktop/Hal/devices/computer:system.kernel.name"
         string="Linux">
       <merge key="input.x11_driver" type="string">evdev</merge>
       <merge key="input.x11_options.EmulateWheel" type="string">true</merge>
       <merge key="input.x11_options.EmulateWheelButton" type="string">2</merge>
       <merge key="input.x11_options.YAxisMapping" type="string">4 5</merge>
       <merge key="input.x11_options.XAxisMapping" type="string">6 7</merge>
       <merge key="input.x11_options.Emulate3Buttons" type="string">true</merge>
       <merge key="input.x11_options.EmulateWheelTimeout" type="string">200</merge>
     </match>
   </match> 

   <match key="info.capabilities" contains="input.keys">
     <!-- If we're using Linux, we use evdev by default (falling back to
       keyboard otherwise). -->
     <merge key="input.x11_driver" type="string">keyboard</merge>
     <match key="/org/freedesktop/Hal/devices/computer:system.kernel.name"
         string="Linux">
       <merge key="input.x11_driver" type="string">evdev</merge>
       <merge key="input.x11_XkbLayout" type="string">de</merge>
     </match>
   </match>
 </device>
</deviceinfo>

Am (ThinkPad) Nippel rumspielen… ist ein Original von: Dem Commander1024 sein Blog

Das Problem: Ein alter Server (Debian Sarge), der noch nicht UTF-8 als default locale gesetzt hatte, sondern iso-8859-15. Somit waren die deutschen Umlaute solange ok, solange man mit einem Terminal mit gesetzter iso-8859-15-Codepage ein ‘ls’ auf die betroffenen Dateien ausführt, bzw. enstprechend zu einem anderen Frontend wandelt. Kopiert man die Daten mithilfe von scp, nfs und co. auf einen anderen Host (neueren Datums) mit gesetzter UTF-8 locale, kommt nur noch Datensalat bei den Umlauten herum und schon das Öffnen oder Umbenennen der Dateien kann zum Problem werden (wenn man die kaputten Zeichen nicht richtig escape’d).

Hierfür gibt es aber schon seit geraumer Zeit das Tool ‘convmv’. Es gab sogar seit 2008 keine Updates mehr, wodurch man wohl davon ausgehen kann, dass sie hinreichend stabil und fehlerfrei ist. Genau genommen ist das sogar nur ein Perl Skript, sodass es auch dann kein Problem sein sollte, wenn das Paket nicht in der Paketverwaltung der eigenen Distribution zu finden ist, dann lädt man es einfach hier herunter und entpackt das Archiv. Convmv kann nicht nur einzelne Dateien oder Ordner mit Dateien umwandeln, sondern ganze Dateibäume bis hin zu ganzen Dateisystemen – und das sogar ziemlich flott.

Auf dem Zielsystem (mit ‘kaputten’ Umlauten) startet man das Tool, indem man Quell- und Ziellocale gleich mitangibt.

# convmv -f iso-8859-15 -t utf-8 *

Starting a dry run without changes...

mv "./Malvenbl�ten.tif"	"./Malvenblüten.tif"

mv "./Melissenbl�tter.tif"	"./Melissenblätter.tif"

mv "./M�rser aus Olivenholz bearbeitet.psd"	"./Mörser aus Olivenholz bearbeitet.psd"

mv "./M�rser aus Olivenholz.psd"	"./Mörser aus Olivenholz.psd"

No changes to your files done. Use --notest to finally rename the files.

Jetzt ist es an der Zeit zu checken, ob alle Umlaute korrekt konvertiert wurden, bevor man die Änderungen am produktiven Dateisystem durchführt. Die letzte Zeile der Ausgabe gibt den Hinweis, dass man erst explizit den –notest Parameter setzen muss, um das Programm “scharf” zu schalten.

Dies ist übrigens kein Aprilscherz.

ISO kodierte Dateinamen auf UTF-8 Volume kopieren ist ein Original von: Dem Commander1024 sein Blog

Jetzt hat sich gestern aber mod_gnutls an seinem Cache unter /var/cache/apache2/gnutls_cache verschluckt, was einige unangenehme Folgen hatte.

• Massives Loggen von “PANIC: fatal region error detected; run recovery” in /var/log/apache2/error.log (~25MB/s)
• Extrem hohe Last auf dem Server
• Vollaufen der Festplatte (bzw. der Log-Partition)
• nahezu keine Reaktion auf http/https vom Apache2 auf Anfragen an diesen
• Diverse Kernel Stack Traces, zumeist als Konsequenz der vollen Festplatte

Was als Sofort-Maßnahme hilft, ist das Töten des Apache2 (killall -9 apache2), löschen von /var/cache/apache2/gnutls_cache und /var/log/apache2/error.log und den Webserver wieder starten.

Interessant ist natürlich, warum sein Cache korrumpiert wurde und eigentlich noch viel interessanter, warum mod_gnutls es überhaupt für nötig befindet, einen Cache anzulegen (mod_ssl kommt auch ohne aus). Die Einstellung findet sich übrigens hier: /etc/apache2/mods-available/gnutls.conf. Dort wird im Übrigen auch erwähnt, dass die DBM Variante auch nicht die Schnellste ist. Daher wollte ich einfach mal ein paar MB für einen memcached Dienst abzacken und diesen als Backend-DB für den gnutls-Cache nutzen. Dummerweise bin ich da mal wieder zum x-ten mal in einen Debian-Bug reingerannt (ja es häuft sich ganz extrem), denn der memcached Support ist gar nicht mit einkompiliert (anders als die Doku und das Config File vermuten lassen.)

Ebenfalls undokumentiert ist die Möglichkeit, den dummen, obsoleten Cache ganz abzustellen. Dazu einfach Folgendes in die Config /etc/apache2/mods-available/gnutls.conf einfügen:

  GnuTLSCache none none

Läuft auch nicht langsamer als die DBM-Variante und sollte weit weniger fehleranfällig sein.

mod_gnutls vor die Wand gefahren ist ein Original von: Dem Commander1024 sein Blog

Download

Das Video, welches ich beim Vortrag vorgeführt habe, darf ich hier vermutlich nicht veröffentlichen, da ich die Nutzungserlaubnis nur für den Vortrag in der Zone eingeholt habe. ;-)

WLAN Sicherheit ist ein Original von: Dem Commander1024 sein Blog

# sudo echo "options iwlagn 11n_disable=0" > /etc/modprobe.d/intel-5300-iwlagn-disable11n.conf

Diese Änderung wird nach dem nächsten Reboot aktiv, sofort kann man den N-Modus hierdurch aktivieren.

# sudo rmmod iwlagn
# sudo modprobe iwlagn 11n_disable=0

Ubuntu + Intel PRO/Wireless 5100 AGN ist ein Original von: Dem Commander1024 sein Blog

Die Hauptschwäche ist da gar nicht mal ein angreifbarer Algorithmus, sondern die Zeit, da der PSK aus Ignoranz, Faulheit oder Bequemlichkeit nach der Ersteinrichtung und dem Einrichten von einigen Clients nie mehr oder allenfalls sehr selten geändert wird. Da konnten und können auch keine MAC Filter etwas dran ändern.

Doch dagegen ist schon lange ein Kraut gewachsen, bekannt unter dem ominösen Buzzword: “WPA/WPA2 Enterprise”

Leider ist die Bedeutung dieses Begriffs nicht ganz eindeutig. Hinter WPA2-Enterprise können sich eine Vielzahl von Kommuniktionsprotokollen verbergen, die zwar allesamt ähnlich arbeiten aber zueinander inkompatibel sind und einige Vor- und Nachteile aufweisen. Hauptunterschied ist aber, dass der eigentliche WPA Schlüssel für jeden WLAN Client eigens ausgehandelt wird und auch periodisch ersetzt wird. Damit diese Aushandlung nicht mitgelauscht werden kann, findet sie über einen Sicheren Kanal statt.

Über die Vor- und Nachteile sowie die Funktionsweise der verfügbaren Techniken informiert dieser heise Netze Artikel. Allerdings beherrschen nicht alle Endgeräte alle möglichen Techniken, sodaß man bei einem Spektrum an vielen verschiedenen Clients, auf einen Mischbetrieb setzen muss. Zwar ist es noch immer möglich, dass ein Angreifer Traffic mitschneidet, seine Cloud rechnen lässt und den Inhalt dechiffriert, doch kann er sich mit dem Schlüssel nicht einloggen und den Internetzugang (oder aber gefährlicher: den Zugang zum LAN mit allen Informationen, die dort abzugreifen sind) missbrauchen, denn 1. hat er so nur den WPA Key dieses einen Clients bekommen und 2. ist dieser aller Wahrscheinlichkeit zu dem Zeitpunkt schon zig mal ausgetauscht worden.

Vorraussetzungen:

• ein Access Point, der WPA(2)-Enterprise anbietet
• ein freeradius Server (entweder auf dem gleichen Gerät oder auf einem anderen Rechner / Server / Embedded Device)

Leider muss man dazu sagen, dass die wenigsten Plastikrouter, eins von beidem anbieten, bei Standalone Access Point Hardware hat man häufiger noch die Chance, dass ein externer RADIUS Server genutzt werden kann. Ggf. kann man seinen Router mit Alternativfirmware wie dd-wrt oder openwrt umflashen, welche dann die nötige Zusatzfunktionalität bieten oder im Falle einer Fritzbox kann man die Funktion mithilfe des freetz Projekts nachrüsten. Ich hatte bei der Anschaffung bereits drauf geachtet, dass der TL-WA901ND diese Funktion bietet. Als RADIUS-Server (und nebenbei noch für rsnapshot Backups) kommt bei mir eine Dockstar zum Einsatz, die sich wegen der geringen Größe und dem niedrigen Stromverbrauch geradezu anbietet.

Auf dem Dockstar Gerät läuft ein minimales Debian Squeeze (nächster stable Release nach Lenny) auf dem ich freeradius direkt aus der Paketverwaltung nutzen kann. Auf älteren (ubuntu oder debian) Systemen kann es nötig sein, freeradius aus dem backports repo zu ziehen oder fix selbst zu compilieren).

Konfiguration:

Da der Access Point mit dem RADIUS Server verschlüsselt kommuniziert, muss in der /etc/freeradius/clients.conf erstmal der AP mit IP-Adresse und Shared Secret bekannt gemacht werden, umgekehrt muss im AP die IP/Port des Servers eingetragen werden.

/etc/freeradius/clients.conf

client 192.168.XX.YY/32 {
   secret    = <nicht-zu-kurzes-shared-Secret-gerne-auch-mit-Sonderzeichen-und-Zahlen>
   shortname = <Alias-Name>
}

Nun brauchen wir noch ne SSL PKI Infrastruktur, welche wir mit OpenSSL basteln (oder ggf. durch Verwendung von OpenVPN oder selbst-signierten SSL-Zertifikaten bereits haben). Konkret brauchen wir eine Certificate Authority (CA – ca.pem), ein Server Certificate + Key (server.pem, server.key) und Zufallsdaten (Symlink von random -> /dev/random). Das legen wir in /etc/freeradius/certs/ ab. Dieses Howto erklärt, wie man das händisch erledigt.

Die Benutzerdatenbank kann auf verschiedenste Arten hinterlegt werden. Von LDAP über MySQL bis hin zu einer einfachen Textdatei ist hier alles möglich, Debian und Ubuntu liefern auch gleich die nötigen Skripte zur Erstellung der Datenstrukturen mit. Einträge in der users-Datei (nur für kleine Benutzerzahlen empfehlenswert, aber dafür vollkommen ausreichend) sähen dann etwa wie folgt aus:

/etc/freeradius/users

"warrior"	Cleartext-Password := "<nicht-zu-kurzes password>"
"handy"		Cleartext-Password := "<nicht-zu-kurzes password>"
"ex-freundin"   Auth-Type := Reject, Reply-Message = "<gemeiner Text> ;-)"
"Besucher"      Cleartext-Password := "darf-auch-gelegentlich", Login-Time :="Wk1900-2300,Sa0900-2300,Su0900-2000"

Ob die Authentifizierung funktioniert, kann man testen, indem man localhost oder einen anderen Rechner in der clients.conf hinzufügt und folgendes Kommando ausführt:

radtest <username> "<password>" <IP-vom-freeradius-server> 10 "<shared secret>"

Clients konfigurieren:

Der Networkmanager von Linux hat gar keine Probleme, einfach das ca.pem Zertifikat mit angeben, Benutzer+Password angeben und man ist verbunden.

wpa-supplicant kanns auch von Haus aus, allerdings muss man das in der /etc/wpa_supplicant.conf manuell konfigurieren, wpa_passphrase ist hierbei keine sonderlich große Hilfe.

Das Nokia N900 hatte in der Version PR1.2 einen Bug, sodass man auf PEAP ausweichen musste, ob dies mit dem gerade erschienenen PR1.3 behoben wurde, ist mir (noch) nicht bekannt.

Unter Windows XP, Vista und 7 muss das ca.pem vorher manuell in den Cryptostore importiert werden, wobei Windows 7 dabei nicht in der Lage ist, den richtigen Speicherort selbst auszuwählen, da muss man dann manuell “Zertifizierungsstellen” auswählen .

Einziger Wermutstropfen bei mir zu hause ist die Nintendo Wii, die partout nur WPA(2)-PSK beherrscht. Andere Spielkonsolen oder Consumergeräte habe ich derzeit nicht im Einsatz.

WLAN: WPA2-Enterprise (EAP-TLS und co) ist ein Original von: Dem Commander1024 sein Blog

Xen vs. KVM ist ein Original von: Dem Commander1024 sein Blog

Auch Münster ist dieses Jahr wieder dabei und zelebriert den SFD am 11.9.2010 ab 11 Uhr im Hörsaal Leo 18 auf dem Leonardo-Campus an der Steinfurter Straße.

Organisiert wird die Veranstaltung von der Google Technology User Group (GTUG), der Java User Group (JUG) und dem Hackerspace Warpzone e.V.

Neben Vorträgen über ausgewählten Themen und Workshops zu freier Software gibt es einen Slot für Lightning-Talks, mit denen wir allen Interessierten die Möglichkeit geben, eigene Projekte oder interessante Themen vorzustellen. Zusätzlich gibt es aber auch genügend Gelegenheit, bei einem Kaffee und Snack sich vor Ort ein freies Betriebssystem zu installieren oder freie Software auszuprobieren. Im Anschluss gibt es noch eine gemütliche Grillrunde.

Details zum Programm sowie weitere Informationen sind in Kürze unter http://www.ms-gtug.de verfügbar. Die Veranstaltung ist nicht kommerziell und der Eintritt selbstverständlich frei.

Jeder, der sich über freie und offene Software informieren und mit Gleichgesinnten auszutauschen möchte, ist herzlich eingeladen.

Ich selbst werde dort auch einen Talk mit Hands-On zu KVM (im Vergleich zu Xen) mit libvirt und Tools halten.

Software Freedom Day 2010 ist ein Original von: Dem Commander1024 sein Blog

Aus Performancegründen (Upgrade Internetleitung von 20 auf 32 MBit und Ende des Jahres auf 128Mbit) habe ich meinen PC Engines Alix, der schon seit einem knappen Jahr als Router werkelt, in den Ruhestand geschickt und durch ein Intel Atom basiertes System (mit 4xGbE!) ersetzt. Dazu aber später mehr ;-)

Beeindruckend fand ich aber, was vnstat(i) in dieser Zeit an Traffic an dem externen Interface gemessen hat (klar LAN/WLAN war wegen lokalem Traffic noch weit höher aber das ist ja auch keine Kunst).

#win

Penisprotzen ist ein Original von: Dem Commander1024 sein Blog

Eigentlich hatte ich bislang immer Nokia Handys, angefangen beim 3210 und beginnend mit dem 3650 nur noch Symbian OS basierte “Smartphones”. Diesmal war aber weder die gute Interoperabilität, noch die gute Sofwareauswahl für die Symbian Plattform entscheidend für die Kaufentscheidung. Abseits der Nebenanforderung, die eigenen Daten (Telefonbuch, SMS, Fotos, Videos) vom alten Handy, problemlos auf das neue Handy übernehmen zu können, war der Kaufgrund Nummer 1, dass ein (debian 4 basiertes) Linux drauf läuft, wenn auch das nicht das einzige bootbare System bleiben muss, Android und MeeGo / Maemo 6 werden auch (bald) funktionieren.

[Bild nicht gefunden]Allerdings sollte man bedenken, dass das Nokia N900 eher ein geschrumpftes Netbook / Tablet PC ist mit Telefonfunktion, denn ein Smartphone. Das wird umso deutlicher beim Blick in das Hauptmenü, wo die Telefonfunktion nur einer von vielen Punkten ist. Die technischen Daten wissen jedenfalls zu überzeugen, wenn ich auch den Akku mit 1320 mAh ein wenig unterdimensioniert finde. Mugen Power Batteries stellen zwar einen 2400mAh Akku her, der das Gerät aber deutlich dicker macht und eine alternative Rückklappe nötig macht – unschön. Der mit von 250-600MHz dynamisch taktende Prozessor, begleitet von 256MB RAM+ 768MB Swap gehen jedenfalls erfreulich schnell zu Werke, ermöglichen effizientes Multitasking-arbeiten, um die (3D-)Grafik kümmert sich ein PowerVR SGX, der via OpenGL ES 2.0 angesprochen wird, selbst die Kamera (für Nokia ungewöhnlich) lässt mit ihren 5,3MP kaum Wünsche offen, Fotos nimmt sie wahlweise im 4:3 oder 16:9 Format auf, Videos mit 848×480 sind sogar (theoretisch) detaillierter als eine DVD und sogar der doppelte LED-”Blitz” sorgt im Dunkeln für brauchbare Bilder, die dann aber schon gehörig rauschen. Aufgenommene Fotos können auf Wunsch mit Tags und Geoinformationen versehen oder direkt über Webdienste im Netz zur Verfügung gestellt werden. Auch die Kameraausrichtung wird in den EXIF Daten gespeichert bei Hochkantfotos, was durch die verbauten Gyrosensoren möglich gemacht wird.

Sogar Makroaufnahmen gelingen dank der Zeiss Optik ganz gut

Herauszuheben ist ferner auf jeden Fall die Integration von lokalem Adressbuch, IM Kontakten (Skype, Jabber, Google Talk, MSN, ICQ etc. pp) und sozialen Netzwerken (YouTube, Facebook, …), die sehr gelungen umgesetzt worden ist. So können diese Account Infos dem lokalen Adressbucheintrag hinzugefügt werden, sodaß die Person nur noch 1x mit allen Kontaktmöglichkeiten aufgelistet wird. Ferner ist es möglich, direkt aus dem Adressbuch eine Chat-Sitzung oder einen Skype Anruf zu starten. Bei Jabber Anrufen z. B. kann auch die 2. vorne sitzende Kamera zum Videochatten verwendet werden, Skype hat leider keinen Video Support.

Auf Standardfeatures, wie SMS, E-Mail (auch mit IMAP, TLS und sogar Exchange Support – wers mag), Anruflisten, Trafficcounter, Gesprächsverläufe, Foto- und Videogalerie, RSS Reader, Weltzeituhr + Wecker (der möchte ich gar nicht näher eingehen, sowas sollte auf jeden Fall zum kleinsten gemeinsamen Nenner eines Smartphones gehören und lässt in der derzeitigen Implementierung auch kaum etwas vermissen. Lediglich das Fehlen einer MMS Funktion ist erwähnenswert (remember iPhone-Bashing? ;-) ). Dazu gibt es zwar mit “fMMS” und “fAPN” ein Community Projekt, das aber noch nicht besonders weit fortgeschritten ist, einiges an Handarbeit bei der Konfiguration erfordert und bislang auch nur Bilder senden und empfangen kann und zudem nur in dem extras-devel Repository verfügbar ist.

Neben dem normalen (stalbe) extras Repository, kann ich linuxaffinen Bastlern aber bedenkenlos noch das extras-testing Repo empfehlen, welches das Softwareangebot zum Installieren gravierend erweitert und dennoch nur selten, kleinere Probleme beschert, die aber allesamt einfach zu lösen sind. Der Ovi Store ist ohnehin vorinstalliert als Paketquelle und kann out-of-the-box genutzt werden. Gerade kleinere Tools verstecken sich dabei aber ganz gerne im graphischen Paketmanager und sind besser über die Konsole (Strg+Shift+X) oder aber remote auf der shell via SSH mit apt-get zu installieren. Vom WLAN Scanner, Packet Sniffer, über kleinere Tools bis tzum Casual Game gibts hier schon einiges zu entdecken.

Für mich als Admin sind so Sachen wie SSH Client und -Server, (Open)VPN Client (gibt auch noch andere Implementierungen, Cisco, AVM, ipsec und co), Port-Scanner ja schon fast ein Muss, wodurch ich im Zweifel, wenn ich unterwegs bin, nicht einmal das Notebook rausholen muss, um ne Kleinigkeit auf einem Server nachzusehen oder umzustellen. Aber auch für die muntere Kontaktpflege mit der digitalen Welt hab ich Einiges nachinstalliert. Einmal hab ich das Standard Verfügbarkeitswidget um zusätzliche Chatprotokolle erweitert, auch wenn ich damit eigentlich nur Skype, Jabber und ggf. Facebook nutze, da diese (bis auf letzteren) multihomingfähig sind, andererseits habe ich aber auch einen Pidgin Messenger installiert, mit dem ich auf allen meinen IM Kontakten online gehen kann, quasi zum Chatten als Primärbeschäftigung und nicht “nur” für ständige Erreichbarkeit. Ausserdem bietet mir der Pidgin die Möglichkeit, OTR-Verschlüsselung zu nutzen. Aber auch mit XChat kann ich sogar über das VPN nach Hause über meinen Miau-Bouncer an IRC Unterhaltungen teilnehmen.

Praktisch für unterwegs mit dem Notebook (obwohl ich im eingebauten UMTS Modem eine 2. T-Mobile Datenkarte mit kleinem Volumen zu schmalem Preis für Notefälle stecken habe) ist die Möglichkeit, das Handy über USB-Kabel oder Bluetooth als Modem fürs Internet zu benutzen, im Neusprech “Tethering” genannt.

Bis zu diesem Punkt kann das N900 alle Basisbedürfnisse erfüllen, die ich an ein “Telefon” stelle, jetzt kommen erst die Dinge, die “Spaß” machen :-)

Über die etwas kryptische Tastenkombination (oder den optional zu installierenden OpenSSH Server) landet man auf der Busybox Shell des Telefons. Mächtigere Shells (wie BASH3 oder Pendant) können bei Bedarf ebenfalls nachinstalliert werden. Hier wird nun sehr schnell der Ursprungs des Maemo5 sichtbar, nämlich ein Debian 4.0 (Etch). Angefangen vom verwendeten apt-get Frontend für den Paketmanager, der dpkg im Hintergrund bedient bis zu Netzwerkanalysetools wie tcpdump, bwm-ng, nmap und co ist hier alles vorhanden oder über die Paketverwaltung verfügbar, dabei muss auch auf Konsolentools wie vim, irssi oder mutt nicht verzichtet werden, wer die graphischen QT Pendant von Nokia nicht so sehr mag. ;-)

Auch wenn die Entwicklung von Maemo nicht mehr lange voranschreitet (von Wartung abgesehen), da durch die Kooperation mit Intel’s Moblin Entwicklern ein Merge zwischen Moblin und Maemo zu MeeGo stattfinden wird, macht es dennoch Sinn, mit dem erhältlichen FREMANTLE SDK, Anwendungen für das N900 zu portieren oder zu entwickeln, denn das MeeGo SDK soll weitgehend ähnlich aufgebaut sein und somit dürfte die Portierung zu MeeGo den Aufwand im Erträglichen halten. Eine erste Version (u. A. für das N900) von Meego ist bereits verfügbar, hier fehlen aber noch so gut wie alle graphischen Oberflächen und ist eher für Entwickler vorgesehen. Aber bereits im Mai soll das Projekt größere Schritte nach vorn machen, die mich sehr interessieren…

Ebenfalls möglich werden wird wohl der Einsatz von Maemo/MeeGo und gar Android als Multi-Boot Optionen.

Auf jeden Fall erleichtert so ein Gerät einem netzaktiven Menschen das alltägliche Leben enorm. Auch wenn ich auf dem Gerät vermutlich keine seitenlangen Blogeinträge schreiben werde, ist es super dafür geeignet unterwegs fix seine Mails zu checken, den Status bei seinen sozialen Netzwerken zu überprüfen, eben eine Twitter Nachricht abzusetzen, auf einem Remoteserver nach dem Rechten zu sehen oder einfach auch nur gerade geschossene Fotos oder Videos irgendwo im Netz hochzuladen (oder mit Qik direkt live ins Internet zu streamen) oder im Wartezimmer beim Arzt im Netz rumzutreiben, anstatt erst das Notebook/Netbook auskramen und aufbauen zu müssen.

Testbericht: Nokia N900 ist ein Original von: Dem Commander1024 sein Blog

aptitude install libapache2-mod-gnutls
a2enmod gnutls
a2dismod ssl

/etc/apache2/ports.conf editieren:

<IfModule mod_gnutls.c>
 Listen 443
</IfModule>

Zwischenzertifikat / Intermediate Zertifikate einfach an das SSL-Zertifikat anhängen:

   # cat www.commander1024.de.crt sub.class1.server.ca.pem > www.commander1024.de.pem

SSL-Vhosts umschreiben:

#       SSLCertificateFile      /etc/apache2/ssl/www.commander1024.de.crt
#       SSLCertificateKeyFile   /etc/apache2/ssl/www.commander1024.de.key
#       SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
#       SSLProtocol all -SSLv2
#       SSLEngine On

 GnuTLSEnable on
 GnuTLSPriorities NORMAL
 GnuTLSCertificateFile /etc/apache2/ssl/www.commander1024.de.pem
 GnuTLSKeyFile /etc/apache2/ssl/www.commander1024.de.key

 ServerName www.commander1024.de
 ServerAlias commander1024.de

Den Indianer neustarten:

/etc/init.d/apache2 restart

und das wars auch schon! Nun kann man beliebig viele SSL Vhosts auf einer IP Adresse betreiben. Alle OS’e und Browser unterstützen dieses bereits nur die Windows XP TLS lib beherrscht das noch nicht korrekt, sodaß unter XP alle Browser, die im XP eingebaute TLS Library verwenden, Zertifikatswarnungen ausgeben ab dem 2. VHost. Der Firefox bringt seine eigene TLS lib mit und ist davon nicht betroffen.

mod_ssl durch mod_gnutls beim Apache2 ersetzt ist ein Original von: Dem Commander1024 sein Blog

Analysen haben gezeigt, dass ich zwar eine Adresse via DHCP bekomme, aber alle Pakete (inkl. DNS) im Gateway stecken bleiben. Und nein, ich brauche für diese Erkenntnis weder aus Modem noch Router das Stromkabel ziehen und wieder einstecken, meine Technik funktioniert nämlich. :-D

Macht Spaß sowas, zum Glück hab ich 2 UMTS Karten, die den Ausfall sanft überbrücken können

09.02.2010 10:40  – 10.02.2010 09:30 = 22:50 Stunden

11.02.2010 05:55 – 11.02.2010 17:40> = 11:45 Stunden (diesmal hat ein resync des Modems vorläufig für Abhilfe gesorgt)

[Update] Unitymedia #Fail ist ein Original von: Dem Commander1024 sein Blog

Die allerersten Einrichtungsgegenstände der neuen Wohnung

Als ich umgezogen bin, hat Unitymedia mir einen D-LINK DIR-300 Router mitgeliefert (wie schon berichtet sogar noch vor dem offiziellen Einzugstermin :-) ) Während der Renovierungsarbeiten wurde dieser auch bereits rege vom Handy, bzw. später mit der PSP rege zum Internetradio hören genutzt, aber schon da war auffällig, dass die Musik doch relativ häufig nach 1-2 Stunden jeweils aus ging. Merkwürdig, aber 1. keine Zeit und 2. keine Mittel zum Bughuntig vorhanden gewesen.

Nach dem Einzug folgte allerdings schnell die Ernüchterung: Die Aussetzer lagen nicht am Stream-Hoster, nicht an der PSP oder dem Handy, und auch nicht an Unitymedia, denn mit nem PC, der direkt am Modem angeschlossen ist, traten diese Phänomene nicht auf.

Dazu muss ich aber auch erwähnen, dass ich in Punkto Internetverfügbarkeit und -qualität höchstwahrscheinlich etwas verwöhnt bin, da ich jahrelang vorher bei meinen Eltern einen kompletten Linux-HomeServer als Router und für diverse andere Zwecke im Einsatz hatte. Nur ist der Stromverbrauch einer solch (potenten) Kiste überhaupt nicht mit meinen finanziellen Planungen bzgl. Stromverbraucht und -kosten unter einen Hut zu bringen, da ich durch die diversen Kisten, die ich zuhause einsetze (Mediacenter, Workstation, Bastelkiste, TV) ohnehin eine happige Stromrechnung habe.

Eine schnelle Google Suche hat mich nun auf dd-wrt und openwrt aufmerksam gemacht, welche beide auf den DIR-300 geflasht werden können. Beim Durchlesen der Featureliste fand ich es zudem noch sehr spannend, dass man mit modifizierter Firmware auch Nettigkeiten wie OpenVPN darauf betreiben kann. Das Rennen machte in diesem Fall übrigens dd-wrt, der zwar nicht offen, aber für privat kostenlos ist. Die Ernüchterung folge aber bald. Der Flash-Speicher des Routers war für OpenVPN eh zu klein, der RAM arg begrenzt und die CPU für 20Mbit Durchsatz viel zu langsam, sodaß der Software Watchdog beim einfachen Runterladen bereits zuschlägt. Mit stärkerer Hardware hätte ich bestimmt Spaß an dd/open-wrt haben können.

Daraufhin habe ich mir ‘günstig’ eine Fritzbox Fon WLAN 7240 besorgt, die zwar für deutlich zuverlässigere Internetanbindung sorgen konnte, allerding in den Einstellung sehr beschränkt war, so war Traffic nur für VoIP prioritisierbar, aber auch hier nur propietäres VPN verfügbar, Das Freetz Projekt versprach da Abhilfe. Sehr schön daran fand ich, dass alles auf der Fritzbox Vorhandene bestehen bleibt und zusätzliche Software paralle ‘daneben’ (mit separater GUI) installiert wird. Leider hat AVM seine openssl-libs (welche unter der Apache License steht) verändert und den Code nicht publik gemacht (was sie durchaus dürfen), was zur Folge hat, dass jede zusätzliche Software statisch gegen eine weitere Version der libssl gegencompiliert werden muss, was im knappen Flash-ROM (16MB) schnell für Knappheit sorgt. Auch kann man die vorhandene libssl nicht durch eine Vanilla Version austauschen, da dann die AVM Tools, die SSL nutzen wollen, crashen.

Davon abgesehen, war die stark im Funktionsumfang erweiterte Fritzbox trotz aller gelösten Widrigkeiten nicht dazu zu bewegen, Laufzeiten von über 10 Tagen zu erreichen, was mich ebenfalls nicht zufrieden stellen konnte. Also musste eine ganz andere Lösung her, von der ganzen Consumer Hardware hatte ich zu dem Zeitpunkt (es waren schon mehr als 2 Monate verstrichen) die Nase voll.

Als mich ein Kumpel auf diese x86 kompatible Hardware hingewiesen hat, sah ich dann alle meine Probleme gelöst: klein, stromsparend und mehr als 4x so kräfig wie Fritzbox und co. Aus Bequemlichkeit entschied ich mich für diese Variante, da sie neben 3 LAN Ports, auch noch einen minipci für die Nachrüstung einer WLAN Karte bot, und eine Echtzeituhr samt Batterie aufgelötet hat. Mit 256MB RAM und 500MHz CPU ist der Stromverbrauch von ~5W mehr als zufriedenstellend. Nur die Software fehlte noch.

Aus vergangenen Tagen kannte ich noch die IPCop Software. Allerdings war sie zu dem Zeitpunkt hoffnungslos veraltet, 2.4er Kernel und Uralt Pakete sprachen keine deutliche Sprache für vollen Hardwaresupport, eine Google suche führte mich zu u. A. zu monowall und pf-sense, allerdings hatten mir beide zu wenig Features, weil sie auf den Unternehmenseinsatz abgestimmt sind, so Sachen wie kleiner samba File-Server, IRC bouncer, oder aber auch Musikserver fehlten mir dran.

Schließlich bin ich auf den IPFire gestoßen, ursprünglich ein IPCop Fork, der mir wegen der hübschen GUI ;-) und vor allem wegen der Addons besonders gut gefallen hat. Wie ich finde, werden hier notwendige Sicherheitsfeatures wie Firewall, Intrusion Detection und -prevention, Proxy, logische Netztrennung (WLAN, LAN, DMZ), DHCP, DNS+Relay, Logging + Graphing + (Hardware) Monitoring, VPN, NTP etc. mit Bequemlichkeiten wie Samba, FTP(e)S, IRC Bouncer. Nicht zuletzt wegen der  Optimierung für embedded Systeme wie PcEngines Alix*, Via Nano inkl. Support für OCF (exp.) und PadLock, WRAP, Soekris ist die Software für einen stromsparenden Home/SoHo Server sehr gut geeignet. Auf leistungsfähigerer Hardware ist natürlich entsprechend mehr möglich. Ich bin so begeistert von dem Stück Software, dass ich mittlerweile (wenn auch im Moment wieder weniger aktiv) Entwickler beim IPFire Projekt bin, und das eine oder andere Code Sniplet beigetragen habe. In dem Zuge möchte ich auch nochmal auf die Präsentationsfolien zum IPFire Talk hinweisen, den ich vor einiger Zeit in der Warpzone gehalten habe.

[Ja zugegeben, dieser Artikel lag ziemlich lange unveröffentlicht in der Pipeline, bis ich ihn nun endlich fertig gestellt bekommen habe ;-) ]

Router Odyssey: PC Engines Alix2D13 + IPFire Software ist ein Original von: Dem Commander1024 sein Blog

Mit diesem kleinen, handlichen Tool, lässt sich eine Anwendung auf einen bestimmten Prozentsatz der verfügbaren Prozessorleistung limitieren.

# cpulimit

Error: You must specify a target process

Usage: cpulimit TARGET [OPTIONS...]

 TARGET must be exactly one of these:

 -p, --pid=N        pid of the process

 -e, --exe=FILE     name of the executable program file

 -P, --path=PATH    absolute path name of the executable program file

 OPTIONS

 -l, --limit=N      percentage of cpu allowed from 0 to 100 (mandatory)

 -v, --verbose      show control statistics

 -z, --lazy         exit if there is no suitable target process, or if it dies

 -h, --help         display this help and exit

CPU-Last einer Anwendung unter Linux begrenzen ist ein Original von: Dem Commander1024 sein Blog

1. habe ich die Blog-Software Serendipity durch WordPress ersetzt und
2. liegt diese Seite nun auf einem anderen Server, der zwar nicht unbedingt schneller ist, aber wesentlich mehr Bandbreite hat.

Gründe für diesen Schritt waren vor Allem, dass mir meine alte Seite zu “wuselig” und unübersichtlich geworden ist. Ausserdem hat sich m. E. bei WordPress seit Version 2.6 Einiges zum Guten gewendet, so daß ich das Stückchen Software mittlerweile durchaus sexy finde, und nicht zuletzt wegen der XHTML konformen Ausgabe sogar besser als s9y.

Der Serverwechsel lässt sich dagegen ganz einfach erklären. Auf meinem HomeServer (an der DSL Leitung meiner Eltern) ist einfach die Bandbreite zu begrenzt und das Trafficaufkommen der Seite hat meine Familie zusehends beeinträchtigt. 576kbit Upstream sind halt nicht so üppig.

Vom Technischen abgesehen gibt es aber weitere Neuigkeiten, nämlich hat unsere ‘Familie’ Zuwachs bekommen ;-)

Keine Sorge, niemand ist schwanger und es gibt auch keinen plärrenden Stöpsel hier, aber 2 kleine, niedliche Ratten sind bei uns mit eingezogen.

2 auf einen Streich ist ein Original von: Dem Commander1024 sein Blog

Prinzipiell funktioniert dies auch aus Windows heraus, die benötigten Programme (syslinux z. B.) müssen dann für Windows von der Homepage heruntergeladen werden und entsprechende Devicenamen durch Windows Laufwerksbuchstaben ersetzt werden. Oder aber einfacher und mit nur minimalistischem Bootmenü (nur Englisch als Sprache im Installer verfügbar!) man verwendet UNetBootin.

Zuerst benötigen wir auf unserem System (darf auf gerne ein gestartetes LIVE-CD Ubuntu sein) folgende, ggf. nicht vorhandenen, Pakete: (aptitude install xxx oder mit dem graphischen Synaptic)

• syslinux
• mtools
• mbr
• Das CD Image des gewünschten Ubuntu Derivats im .iso Format

Es wird ein irgendwie geartetes Massenspeichermedium benötigt. Möglich ist alles vom USB Stick, Speicherkarte im USB Kartenleser, externe USB Festplatte oder gar eine fest eingebaute HDD mit freier Partition, da alle diese Varianten vom BIOS als Festplatte angesehen werden, natürlich sollte das entsprechende Mainboard dann auch in der Lage sein von einem dieser Medien zu booten ;-)

Auf dem Stick wird lediglich eine primäre leere Partition mit ca 680MB freiem Speicher benötigt, selbst verständlich braucht man diesen nicht unbedingt zu partitionieren, man kann ihn auch komplett verwenden, verliert dann allerdings alle darauf befindlichen Daten. Wie auf immer, wir werden vermutlich in jedem Fall – zumindest zur Kontrolle – parted starten (die WIMPs dürfen auch gerne gparted verwenden, dass ähnlich zu bedienen ist wie das gute alte Partition Magic).

Bevor wir anfangen können, müssen wir noch wissen, worunter der Massenspeicher dem System bekannt ist, in der GUI bietet Ubuntu da leider nur wenig unaussagekräftige Informationen zum Mountpoint, aber ich mag die Shell ja ohnehin lieber also:

$ mount
/dev/sda3 on / type xfs (rw,relatime)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
/proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
varrun on /var/run type tmpfs (rw,nosuid,mode=0755)
varlock on /var/lock type tmpfs (rw,noexec,nosuid,nodev,mode=1777)
udev on /dev type tmpfs (rw,mode=0755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
fusectl on /sys/fs/fuse/connections type fusectl (rw)
lrm on /lib/modules/2.6.27-12-generic/volatile type tmpfs (rw,mode=755)
/dev/sda1 on /boot type ext3 (rw,relatime)
/dev/sdb2 on /home type xfs (rw,relatime)

und zur Kontrolle noch einmal:

$ df -h
Dateisystem            Größe Benut  Verf Ben% Eingehängt auf
/dev/sda3              32G  5,8G   26G  19% /
tmpfs                1005M     0 1005M   0% /lib/init/rw
varrun               1005M  260K 1005M   1% /var/run
varlock              1005M     0 1005M   0% /var/lock
udev                 1005M  2,9M 1002M   1% /dev
tmpfs                1005M  284K 1005M   1% /dev/shm
lrm                  1005M  2,4M 1003M   1% /lib/modules/2.6.27-12-generic/volatile
/dev/sda1             942M   67M  828M   8% /boot
/dev/sdb2             231G  128G  104G  56% /home
//192.168.111.212/scholz/
1,4T  844G  529G  62% /home/scholz/fattony
/dev/sdc1             979M  699M  280M  72% /media/UBUNTU

Da ich weiss, dass meine Speicherkarte “UBUNTU” heisst, und sie 1GB groß ist, wäre das in meinem Fall /dev/sdc

$ sudo parted /dev/sdX (wobei X durch Euren Devicenamen des Mediums zu ersetzen ist)
[sudo] password for scholz:
GNU Parted 1.8.9
Verwende /dev/sdc
Willkommen zu GNU Parted! Geben Sie ‘help’ ein, um eine Liste der verfügbaren Kommados zu erhalten.
(parted) print
Modell: Generic USB SD Reader (scsi)
Festplatte  /dev/sdc:  1030MB
Sektorgröße (logisch/physisch): 512B/512B
Partitionstabelle: msdos

Anzahl  Beginn  Ende    Größe   Typ      Dateisystem  Flags
1      32,3kB  1028MB  1028MB  primary  fat32

(parted)

So sollte dies am Ende aussehen, falls dem nicht so ist, entsprechend partitionieren, die Befehlsübersicht gibt es mit “help” <Enter>. Wer nicht als Start und Ende der Partition können in Sektoren, Mega- und Gigabyte angegeben werden. im Zweifel kann man seine Partition von (Sektor) 1 bis -1s erstellen, also vom ersten bis zum 1. Sektor vom Ende, quasi dem letzten erstellen. Wenn die Partition vorhanden ist, benötigt sie noch das Bootflag:

(parted) toggle 1 boot
(parted) print
Modell: Generic USB SD Reader (scsi)
Festplatte  /dev/sdc:  1030MB
Sektorgröße (logisch/physisch): 512B/512B
Partitionstabelle: msdos

Anzahl  Beginn  Ende    Größe   Typ      Dateisystem  Flags
1      32,3kB  1028MB  1028MB  primary  fat32        boot

(parted) quit

Nun sicherstellen, dass das Volume nicht versehentlich eingebunden ist (z. B. sudu umount /dev/sdX1) (X wieder ersetzen!) und mit folgendem Kommando den Syslinux Bootsektor und die ldlinux.sys auf die Karte schreiben, und zwar auf die Partition, nicht in den MBR!

$ sudo syslinux -f /dev/sdX1

Nun können wir das .iso CD Image entweder mit dem Archiveinbinder mounten oder noch einfacher mit dem Archivmanager wie ein .zip Archiv öffnen und direkt alle enthaltenen Dateien in das Wurzelverzeichnisses der Speicherkarte / des Sticks kopieren, was je nach Geschwindigkeit des Geräts ein wenig Zeit in Anspruch nehmen kann, da nun knapp 650MB Daten entpackt und kopiert werden.

Jetzt sind wir sogar schon fast fertig, wir müssen auf der Speicherkarte lediglich das Verzeichnis “isolinux” in syslinux umbenennen und ebenso in diesem neuen “syslinux”-Verzeichnis die Datei “isolinux.cfg” in “syslinux.cfg” umbennen. Man könnte nun auch noch zuletzt die isolinux.bin löschen, wenn sie dort rumliegt, stört sie aber auch niemanden wirklich.

Eigentlich könnte der Stick nun schon fertig sein, jedoch kommt es in einigen Fällen vor, dass der (vermutlich nie genutzte MBR) auf der Karte/Stick kaputt ist, also vorsichtshalber eben neu schreiben, dann erspart man sich im Zweifel ein weiteres Booten von der LIVE CD / des Systems:

$ install-mbr /dev/sdX (ersetzen nicht vergessen!)

Jetzt sind wir wirklich fertig, also können wir das Gerät dort stecken lassen, wo er sich gerade befindet, und booten den Rechner neu. Dazu müssen wir nur entweder eine Taste beim Start drücken (z. B. F12) oder im BIOS die Bootreihenfolge verändern, damit der Rechner auch “weiss”, dass er vom Stick starten soll. Dann erscheint wie gewohnt der Ubuntu-Auswahlbildschirm für Sprache, extra Optionen und Bootoptionen, und das sogar in Farbe und bunt ;-)

Ubuntu (x86 und x86_64) vom USB Stick, Speicherkarte, HDD etc. installieren ist ein Original von: Dem Commander1024 sein Blog

Da ich nun aber auch einiges Besser machen möchte und nun die Möglichkeit habe, einzelne Webprojekte auf Subdomains auszulagern, statt Subpfade zu verwenden, ist es gut möglich, dass es irgendwann in nächster Zeit die eine oder andere Störung hier geben könnte oder vllt. sogar die eine oder andere Fehlermeldung zu sehen ist, gibt halt noch viel zu tun ;-)

Ich habs getan ist ein Original von: Dem Commander1024 sein Blog

Einen SSL-Schlüssel erzeugen. Die Zahl am Ende gibt die Schlüsselstärke an:

openssl genrsa -out MYDOMAIN.COM.key 2048

Erstellen eines Certificate Signing Request (CSR). Dieser kann zur Erzeugung des Zertifikats bei einem (validen) Reseller eingereicht werden:

openssl req -new -key YOURDOMAIN.COM.key -out YOURDOMAIN.COM.csr

Entfernen einer Passphrase aus einem vorhandenen Schlüssel:

openssl rsa -in MYDOMAIN.COM.key.withpassword -out MYDOMAIN.COM.key

Inhalt eines CSR einsehen:

openssl req -noout -text -in MYDOMAIN.COM.csr

Ein Zertifikat selbst signieren:

openssl x509 -req -days 3650 -in MYDOMAIN.COM.csr \
-signkey MYDOMAIN.COM.key \
-out MYDOMAIN.COM.crt

Ein selbstsigniertes Zertifikat in einem Schritt im .pem Format erzeugen (enthält Key+Zertifikat):

openssl req -new -x509 -days 365 -nodes \
-out /etc/apache2/ssl/www.<domainname>.de.pem \
-keyout /etc/apache2/ssl/www.<domainname>.de.pem

Inhalt eines Zertifikats einsehen:

openssl x509 -in MYDOMAIN.COM.crt -text | head -n 12

OpenSSL Cheat Sheet ist ein Original von: Dem Commander1024 sein Blog

$ lanmap -i br0

Zum Vergrößern hier klicken

Der Parameter hinter -i gibt das zu überwachende Netzwerkinterface an. Standardmäßig legt es alle 60 Sekunden im aktuellen Verzeichnis eine lanmap.png an in die er die gefundene Netzinfrastruktur des lokalen Netzes zeichnet, anhand des ausgewerteten, mitgeschnittenen Traffics. Scheint mir ein ganz brauchbares Tool zu sein um schnell einen Überblick über ein unbekanntes Netzwerk zu erlangen. In meinem Test, hat es auch keine Fehler gemacht und alle (eingeschalteten) gefunden und korrekt skizziert.

lanmap: Automatisch Analyse eines lokalen Netzwerks ist ein Original von: Dem Commander1024 sein Blog

Ist aber schon recht beachtlich, was in den 105 Tagen so an Traffic zusammengekommen ist.

TS2 abgeschaltet ist ein Original von: Dem Commander1024 sein Blog