Da muss man mal etwas unter Windows testen…und nach nur 10 Minuten bin ich nur noch am Fluchen.

Der Java-installer zum runterladen installiert kein Browser-plugin. Um das zu kriegen muss ich also….die online-Version benützen. Shit…

Und dann will man einfach mal ein testfile erstellen. Eines, dass exact die Grösse hat die ich will. Oh, da gibts ein tool für.
fsutil file createnew test.txt 2000
The FSUTIL utility requires that you have administrative privileges.

Neee…..das ist ein Scherz oder? Ich weiss, dass ich mich manchmal blöd anstelle, aber um ein File in meinem Homedir anzulegen muss ich Admin sein?

Ich will doch nur ein paar Tests machen….nichts anderes……

PS: über die versteckten File-Suffixes rede ich nicht mehr…. dieses OS hat auf ganzer Linie versagt….sigh….

PPS: Wo versteckt dieses OS so essentielle tools wie diff, grep, patch?

Aus Juristischer Sicht hab ich nicht viel zu befürchten, mir macht eher Sorgen, dass Hetzner irgendwann nicht mehr Mitspielen möchte und meinen Server abstellt. Dies ist bisher zum Glück nicht geschehen, das möchte dieser Firma hier mal hoch anrechnen (da gibt es ganz andere, die Tor-ML ist voll davon).

Gestern wurde ich positiv überrascht. Eine (offenbar) deutsche Organisation schrieb mich an (via hetzner-abuse-system), das mein Server spamme, das scheine ein gehackter Server zu sein. “Nicht schon wieder so einer” dachte ich mir und hab meine Standartantwort geschickt. Darin sage ich, dass dies ein Tor-Exit sei, dass ich nicht viel tun könne, das ich aber die IPs blockieren würde wenn gewünscht. Also die IPs ihrer Server, so dass man meinen Exit-Node nicht mehr missbrauchen kann. Erwartet hab ich da erst mal nix. Ich hatte die Hoffnung schon komplett aufgegeben, dass es Intelligenz in diesem Bereich des Internets noch geben könne.

Aber  BlockList.de hat geantwortet. Noch am Sonntag Abend! Darin teilen sie mir mit, dass die Server-IP nun auf der Liste der Tor-server sei, und sie keine weiteren Abuse-messages mehr verschicken. Wow, so sieht eine professionelle Antwort aus. Davon können sich die ganzen Idioten da draussen mal eine Scheibe abschneiden. Offenbar gibt es doch noch Leute die ihre Aufgabe ernst nehmen.

Meine Meinung über die Digital Natives ist soeben wieder gewachsen Vielen Dank an das Team von BlockList.de

Patch for the crypt-module in /usr/lib/dracut/modules/90crypt (if using gpg-encrypted files, you need add crypt-gpg to the modules list in /etc/dracut.conf or you won’t be able to open your key on boot!)

--- module-setup.sh.orig	2012-02-24 15:38:08.000000000 +0100
+++ module-setup.sh	2012-03-29 00:24:49.997233979 +0200
@@ -22,6 +22,23 @@
         [[ ${ID_FS_UUID} ]] || return 1
         if ! [[ $kernel_only ]]; then
             echo " rd.luks.uuid=luks-${ID_FS_UUID} " >> "${initdir}/etc/cmdline.d/90crypt.conf"
+	    # look for keyfiles in $luks_key_dir (default:/boot/.luks).
+	    # Keys must be named ${ID_FS_UUID} or {ID_FS_UUID}.gpg
+	    # you need add the crypt-gpg modules to the list of additional modules to have gpg keys work.
+	    local keydir=${luks_key_dir-/boot/.luks}
+	    local keyfile=${keydir}/${ID_FS_UUID}
+	    # check for keyfile. if none try add .gpg
+	    [[ -f ${keyfile} ]] || keyfile=${keyfile}.gpg
+	    [[ -f ${keyfile} ]] || return 1
+            ID_KEY_UUID=$(udevadm info --query=property --name=$(readlink -f "/dev/block/$(find_block_device "/boot")") \
+                | while read line; do
+                    [[ ${line#ID_FS_UUID} = $line ]] && continue
+                    eval "$line"
+                    echo $ID_FS_UUID
+                    break
+                    done)
+	    [[ ${ID_KEY_UUID} ]] || return 1
+            echo " rd.luks.key=${keyfile}:UUID=${ID_KEY_UUID}:UUID=${ID_FS_UUID} " >> "${initdir}/etc/cmdline.d/90crypt.conf"
         fi
         return 0
     }
@@ -29,7 +46,7 @@this
     [[ $hostonly ]] || [[ $mount_needs ]] && {
         for_each_host_dev_fs check_crypt || return 1
     }
-
+    ddebug < ${initdir}/etc/cmdline.d/90crypt.conf
     return 0
 }

The path to the key-directory can be configured in /etc/dracut.conf

# location of keys.
# keys must be named {FSUUID} or {FSUUID}.gpg where FSUUID is the luks-device (not the key device!)
# for example "5b1049c3-ae7c-4b4c-99e7-240ba4a76f94" or "5b1049c3-ae7c-4b4c-99e7-240ba4a76f94.gpg".
#luks_key_dir="/boot/.luks"

dracut-crypt-gpg-extension.patch

anyone knows how to disable that stupid file extension filter in wordpress? simply rename .patch to .patch.txt is enough. This is just stupid in a single user setup as mine.

To answer a question in the comments, if one is paranoid and does not trust the boot partition (which has to be world readable), there are 2 ways to solve this:

1. Use external boot volumes. Just put everything on a USB-Stick or a SD-Card. Just keep this with you all the time (or hide it in a secure location)
2. use SATA full decryption (requires BIOS support). This allows to encrypt the disk fully without any LUKS and alike. The BIOS/Disk is responsible for doing all the stuff. This is transparent to linux, it does not even know the disk is encrypted. However, this requires HArdware support, and you have to Trust your Harddisk Vendor to implement the encryption correct (and not insert any backdoors).

In meinem Fall sind die beiden 3TB Festplatten in 2 Partitionen unterteilt, einmal eine kleine (1GB) /boot partition und eine LUKS-verschlüsselte LVM für alles andere.
Das LVM erlaubt es mir, Partitionen einfach anzupassen wenn es irgendwo knapp wird (die betrifft vor allem die Home-partitionen).
Das setup habe ich vor dem installieren aus dem rescue-system meines ISPs eingerichtet, die Anleitung im Debian-Handbuch ist dabei hilfreich (suche nach debootstrap).

Das Problem mit LUKS ist, dass das Passwort/Keyfile im initramfs vorhanden sein muss, sonst kann die HD nicht entschlüsselt werden. Normalerweise fragt das initramfs beim booten nach dem Passwort, was aber bei einem headless rootserver im Rechenzentrum nicht geht.
Der Trick besteht darin, einen ssh-server ins initramfs einzubauen, und den key dann über ein keyscript an cryptsetup weiterzureichen. Der normale openssh ist dafür etwas zu gross, daher verwende ich den dropbear sshd. Dieser ist Bestandteil vieler busybox-installationen auf (zum Beispiel) Routern und das von debian verwendete update-initramfs-script benützt es automatisch wenn eine verschlüsselte root-partition gefunden wird (man kann es aber auch in /usr/share/initramfs-tools/conf-hooks/dropbear erzwingen).

Dann muss man noch die /etc/crypttab anpassen.

md1_crypt /dev/md1 none luks,tries=0,keyscript=/lib/cryptsetup/keyscript

Den Key auf “none” setzten; tries=0 erzwingt ewiges warten im initramfs bis das keyscript den korrekten Key liefert.
Das Keyscript prüft ob der key existiert, und falls ja gibt es ihn zurück

if [ -f /lib/cryptsetup/passfifo ]; then
    cat /lib/cryptsetup/passfifo
fi

Das Keyscript wird am einfachsten auf dem host in /lib/cryptsetup/ abgelegt, damit die initramfs-tools es automatisch finden.

Um einfach einzuloggen (ohne passwort) ist es ratsam, den eigenen public key in /etc/initramfs-tools/root/.ssh/authorized-keys anzugeben. Falls die Datei nicht existiert erzeugt initramfs ein eigenes Key-paar, und hinterlegt es im initramfs (schlechte Idee).

Damit ist man fast fertig. Erhält der Server seine IP per DHCP, kann man das interface einfach in /etc/initramfs-tools/initramfs.conf als DEVICE angeben. Will man eine statische öffentliche IP vergeben, so muss man die parameter als kernel-boot-parameter übergeben. In meinem Fall (Grub2, hetzner setup) füge ich also

GRUB_CMDLINE_LINUX="ip=88.198.59.12::88.198.59.1:255.255.255.224:::none"

zu /etc/default/grub hinzu. Die parameter kann man in der Linux-Dokumentation unter /usr/src/linux/Documentation/filesystems/nfs/nfsroot nachlesen (das ganze ist dafür gedacht nfs-Volumes als root einzubinden, aber es funktioniert auch für andere Dinge). Die leeren Parameter werden für nfs-boot gebraucht.
Falls dass nicht klappt, kann man auch ein simples script in /etc/initramfs-tools/scripts/init-premount/mount-boot hinterlegen:

PREREQ="udev devpts"
prereqs() {
    echo "$PREREQ"
}
case "$1" in
    prereqs)
        prereqs
        exit 0
    ;;
esac
. /scripts/functions
ifconfig eth0 inet pointopoint 88.198.59.1 88.198.59.12/32

Damit ist alles bereit und der Server hält beim booten an, bis in der Datei /lib/cryptsetup/passfifo der Korrekte Key hinterlegt wird.
Der Key muss nach dem booten nicht gelöscht werden da initramfs eh nur im RAM liegt und bald überschrieben sein sollte.

Um sich einzuloggen verwendet man dann etwas in der Art

# ssh -o "UserKnownHostsFile=~/.ssh/known_hosts.initramfs" \
	-i "~/id_rsa.initramfs" root@initramfshost.example.com \
	"echo -ne \"secret\" >/lib/cryptsetup/passfifo"

Weitere Details findet man unter /usr/share/doc/cryptsetup/README.remote auf der Festplatte von Debian.
Viel Spass beim basteln und immer schön lange Passwörter verwenden.

DISCLAIMER: Das obige setup ist nicht 100% sicher. ein lokaler Angreifer kann immer noch böse Dinge tun. Ich habe daher (als zusätzliche Hürde) bei mir die /boot partition im normalbetrieb nur read-only gemounted. Kann ein Angreifer aber unbemerkt darauf rumschreiben, wird Sicherheit schwierig. Man könnte im ssh noch den hash des initramfs-images prüfen, aber auch das ist nicht sicher, da der Angreifer ja das hash-tool ersetzten könnte. Aber alles in allem muss der Angreifer mit diesen Massnahmen sehr viel wissen mitbringen, und auch entsprechend vorbereitet sein. Ein Fehler, und der Angriff wird erkannt.

# free
             total       used       free     shared    buffers     cached
Mem:      16383360     118592   16264768          0       3908      18624
-/+ buffers/cache:      96060   16287300
Swap:     33553328          0   33553328

# df -h
Filesystem            Size  Used Avail Use% Mounted on
/dev/md2             1016G  706M  965G   1% /
tmpfs                 7.9G     0  7.9G   0% /lib/init/rw
udev                  7.9G  164K  7.9G   1% /dev
tmpfs                 7.9G     0  7.9G   0% /dev/shm
/dev/md1              496M   31M  440M   7% /boot
/dev/md3              1.7T  196M  1.6T   1% /home

processor    : 7
vendor_id    : GenuineIntel
cpu family    : 6
model        : 42
model name    : Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz
stepping    : 7
cpu MHz        : 1600.000
cache size    : 8192 KB
physical id    : 0
siblings    : 8
core id        : 3
cpu cores    : 4
apicid        : 7
initial apicid    : 7
fpu        : yes
fpu_exception    : yes
cpuid level    : 13
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts
acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good
xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr
pdcm sse4_1 sse4_2 x2apic popcnt aes xsave avx lahf_lm ida arat tpr_shadow vnmi flexpriority ept vpid
bogomips    : 6822.88
clflush size    : 64
cache_alignment    : 64
address sizes    : 36 bits physical, 48 bits virtual
power management:

Also nicht wundern wenn es mal etwas holprig wird, ich bin am Zügeln

Dazu gehöhrt auch das IP-script welches auch in anderen Fällen brauchbar sein kann. Für clients die kein punycode können ist die domain etwas länger http:// xn--hm-via.ch/ip.php

Sali zämme

Wir hatten jetzt öfters Leute die sich beim ServiceDesk melden
und sich nicht in XXXX anmelden können. Das Problem war, dass sie
offensichtlich den Musteraccount beim Benutzernamen eingegeben haben und
nicht ihren wirklichen Accountnamen.

Also, bei Leuten die behaupten, dass sie sich kein Passwort setzen
können einfach mal
den Anmeldevorgang wiederholen lassen und sagen sie sollen explizit
ihren Benutzernamen
eingeben.

Dann klappts nämlich.

Gruss XXXX

@XXXX: kann man den Brief anders formulieren dass es klarer wird welchen
Benutzernamen man
im Benutzerfeld eintragen muss?

*Facepalm*

Jul 28 21:02:45 spahan postfix/smtpd[2498]: connect from liszt.debian.org[2001:41b8:202:deb:213:21ff:fe20:1426]
Jul 28 21:02:45 spahan postfix/smtpd[2498]: 788D1716038: client=liszt.debian.org[2001:41b8:202:deb:213:21ff:fe20:1426]
Jul 28 21:02:45 spahan postfix/cleanup[2501]: 788D1716038: message-id=<0LP2006KE4RM5660@mta3.srv.hcvlny.cv.net>

Da ich des öfteren mal eine /proc/cpuinfo angucken muss, habe ich mir ein kleines Parser-Skript gebastelt.

Einfach den Inhalt von /proc/cpuinfo reinpasten, und schon sieht man schön was die CPU kann oder eben nicht.

Edit: Woaaa, und schon hab ich die ersten Features entdeckt von denen ich dachte ich habe sie nicht.  Meine CPU unterstützt VMs?!? Geil!

Edit2: Some deeper Description are linked here

Ich lass mir doch von so einem Stück Software nicht vorschreiben was es kann oder nicht!
Nene; wenn der mein vbios nicht findet, dann Würg ich einfach eins aus dem RAM rein.

Klappt! der nouveauFB ist VIEL schneller als der efifb. Great.

Nur leider mag X das vbios nicht. liegt wohl an den fehlenden init tables. Aber dass krieg ich auch noch hin. Und dann gibts auch hier endlich 3D und eventuell läuft irgendwann sogar mal gnome3 :-p

[drm] Initialized drm 1.1.0 20060810
nouveau 0000:01:00.0: enabling device (0002 -> 0003)
nouveau 0000:01:00.0: PCI INT A -> GSI 16 (level, low) -> IRQ 16
nouveau 0000:01:00.0: setting latency timer to 64
[drm] nouveau 0000:01:00.0: Detected an NV50 generation card (0x084700a2)
checking generic (80060000 960000) vs hw (80000000 10000000)
fb: conflicting fb hw usage nouveaufb vs EFI VGA – removing generic driver
Console: switching to colour dummy device 80×25
[drm] nouveau 0000:01:00.0: Starting with nouveau_vbios
[drm] nouveau 0000:01:00.0: looping trough vbios methodes
[drm] nouveau 0000:01:00.0: Attempting to load BIOS image from PRAMIN
[drm] nouveau 0000:01:00.0: … BIOS signature not found
[drm] nouveau 0000:01:00.0: Attempting to load BIOS image from PROM
[drm] nouveau 0000:01:00.0: … BIOS signature not found
[drm] nouveau 0000:01:00.0: Attempting to load BIOS image from PCIROM
nouveau 0000:01:00.0: Invalid ROM contents
[drm] nouveau 0000:01:00.0: … BIOS signature not found
[drm] nouveau 0000:01:00.0: Attempting to load BIOS image from ACPI
failed to evaluate ROM got AE_BAD_PARAMETER
[drm] nouveau 0000:01:00.0: have read junk no. 0, error code was -19
[drm] nouveau 0000:01:00.0: … BIOS signature not found
[drm] nouveau 0000:01:00.0: Attempting to load BIOS image from HANFI
[drm] nouveau 0000:01:00.0: -;
[drm] nouveau 0000:01:00.0: what did you expect? magic?
[drm] nouveau 0000:01:00.0: … appears to be valid
[drm] nouveau 0000:01:00.0: BIT BIOS found
[drm] nouveau 0000:01:00.0: Bios version 60.84.49.03
[drm] nouveau 0000:01:00.0: TMDS table version 2.0
[drm] nouveau 0000:01:00.0: BIT table ‘d’ not found
[drm] nouveau 0000:01:00.0: Found Display Configuration Block version 4.0
[drm] nouveau 0000:01:00.0: Raw DCB entry 0: 01000123 00010034
[drm] nouveau 0000:01:00.0: Raw DCB entry 1: 02011210 00000028
[drm] nouveau 0000:01:00.0: Raw DCB entry 2: 02011212 00000030
[drm] nouveau 0000:01:00.0: Raw DCB entry 3: 01011211 0080c070
[drm] nouveau 0000:01:00.0: DCB connector table: VHER 0×40 5 14 2
[drm] nouveau 0000:01:00.0: 0: 0×00000040: type 0×40 idx 0 tag 0xff
[drm] nouveau 0000:01:00.0: 1: 0×00001120: type 0×20 idx 1 tag 0×07
[drm] nouveau 0000:01:00.0: unknown type, using 0×30
[drm] nouveau 0000:01:00.0: Parsing VBIOS init table 0 at offset 0xB06B
[drm] nouveau 0000:01:00.0: No pointer to DisplayPort table
[drm] nouveau 0000:01:00.0: 0xB06B: INIT_3A: no encoder table!!
[drm] nouveau 0000:01:00.0: 0xB06E: Init table command not found: 0×00
[drm] nouveau 0000:01:00.0: Parsing VBIOS init table 1 at offset 0xB3B8
[drm] nouveau 0000:01:00.0: 0xB3B8: Init table command not found: 0×18
[drm] nouveau 0000:01:00.0: Parsing VBIOS init table 2 at offset 0xBE05
[drm] nouveau 0000:01:00.0: 0xBE05: Init table command not found: 0xFF
[drm] nouveau 0000:01:00.0: Parsing VBIOS init table 3 at offset 0xBEF7
[drm] nouveau 0000:01:00.0: 0xBEF7: Init table command not found: 0xFF
[drm] nouveau 0000:01:00.0: Parsing VBIOS init table 4 at offset 0xC12A
[drm] nouveau 0000:01:00.0: 0xC12A: Init table command not found: 0xFF
[drm] nouveau 0000:01:00.0: Parsing VBIOS init table at offset 0xC18F
[drm] nouveau 0000:01:00.0: 0xC18F: Init table command not found: 0xFF
[drm] nouveau 0000:01:00.0: voltage table 0×66 unknown
[drm] nouveau 0000:01:00.0: memory timing table 0xc6 unknown
[drm] nouveau 0000:01:00.0: 0 available performance level(s)
[drm] nouveau 0000:01:00.0: c: memory 302MHz core 275MHz shader 550MHz
[TTM] Zone kernel: Available graphics memory: 1027024 kiB.
[TTM] Initializing pool allocator.
[drm] nouveau 0000:01:00.0: Detected 512MiB VRAM
[drm] nouveau 0000:01:00.0: 512 MiB GART (aperture)
[drm] nouveau 0000:01:00.0: DCB encoder 1 unknown
[drm] Supports vblank timestamp caching Rev 1 (10.10.2010).
[drm] No driver support for vblank timestamp query.
[drm] nouveau 0000:01:00.0: allocated 1920×1200 fb: 0×40000000, bo ffff88007afc8c00
Console: switching to colour frame buffer device 240×75
fb0: nouveaufb frame buffer device
drm: registered panic notifier
[drm] Initialized nouveau 0.0.16 20090420 for 0000:01:00.0 on minor 0