Vorgeschichte:

Ich habe mein Meilestone nun seit ca. einem halben Jahr und es war bisher eine Haßliebe. Die Freude an den wirklich unglaublich guten Internetfunktionen wurde mir leider durch üble Verarbeitungsfehler vermiest.

Mein Gerät hat zwei schwere Probleme. Zum einen hat die Kopfhörer-Buchse einen Wackelkontakt, so dass man in Bewegung keine Musik hören kann. Es knackst andauernd oder einer der Kanäle verschwindet. Dies scheint ein Produktionsfehler bei den Geräten zu sein den leider sehr viele Käufer beklagen. http://www.android-hilfe.de/motorola-milestone/13227-wackelkontakt-kopfhoereranschluss.html (19 Seiten Thread)

Der erste Fehler war schon nervig, der zweite machte mein Gerät allerdings über die Zeit hinweg unbenutzbar. Mein Gerät leidet auch an sehr schlechter Sprachqualität. Meine Gespärchspartner fragen bis zu 2x in der Minute ob ich das zuletzt gesagte nicht wiederholen könne. Die Qualität entspricht ungefähr einem 70er-Jahre Wählscheibentelefon über eine Satelitenverbindung. Auch dieser Fehler ist bekannt und sehr viele Leute haben ihn mit ihren Geräten. http://www.android-hilfe.de/motorola-milestone/11655-motorola-milestone-gespraechsqualitaet-miserabel.html (81! Seiten Thread) Motorola schweigt dieses Problem leider tot und behauptet es würde nicht existieren. Die Community hat inzwischen herausgefunden woran es liegt. Das zweite Mikrofon zum erkennen und herausfiltern von Hintergrundgeräuschen oder dessen Steuersoftware/chip hat bei vielen Geräten einen Fehler und filtert die Stimme des Sprechenden gleich mit heraus. Eine echte QA-Katastrophe für ein Gerät dieser Preisklasse.

Nach dem Update auf Android 2.1 wurde es so schlimm, dass ich nun nur noch über ein zweites Handy telefoniert habe. Das Milestone wurde für seine "Hauptfunktion" unbenutzbar.

Deshalb habe ich mich dazu entschlossen es in Reperatur zu schicken, obwohl ich mir auch da nicht viele Hoffnungen machte. In den oben genannten Threads haben einige Leute das Gerät 5x! weggeschickt, ohne Besserung.

Nach Rücksprache mit meinem Händler ging mein Stein dann also auf die Reise zu http://www.datrepair.de , einer der beiden deutschen Vertragswerkstätten von Motorola. Zumindest ihr Imagefilm sah vielversprechend aus

1.7.2010
Gerät per DHL eingeschickt. Ich wurde gebeten das Gerät mit einer ausführlichen Fehlerbeschreibung einzusenden:

2.7.2010
Gerät ist bei dat repair angekommen. Das Reperaturtracking von dat repair hat mir gut gefallen, leider konnte das Reperaturergebnis nicht ganz mithalten.

8.7.2010
Das Gerät ist wieder "repariert" in meinen Händen.

Ich freute mich natürlich zunächst sehr, dann aber leider auch nur noch sehr kurz. Das Gerät lässt sich nicht mehr einschalten, da der Akku nicht mehr auflädt. Die Ladeanzeige bleibt stundenlang auf 5% stehen. Das ist zu wenig Saft um das Gerät hochzufahren. Ich vermute, dass mir entweder ein defekter Akku statt meines funktionierenden zurückgeschickt wurde (habe mir leider die Seriennummer des Akkus nicht aufgeschrieben), dass mein Akku beschädigt wurde oder dass bei der Reperatur die Ladeelektronik meines Steins beschädigt wurde. Sehr ärgerlich.

9.7.2010
Nach einer ganzen Nacht des Ladens hat der Akku leider nach wie vor nur stolze 5% auf der Brust. Ich rufe bei dat repair an und schildere mein Problem. "Das Gerät hat nach Test einwandfrei unser Haus verlassen, bitte schicken Sie es erneut ein". Man glaubte mir nicht so richtig oder wollte mich abwimmeln. Die Dame am Telefon bat mich das Ladegerät mit einzuschicken. Ich hatte auch schon daran gedacht, dass mein Ladegerät vielleicht kaputt gegangen sein könnte. Das halte ich allerdings für sehr unwahrscheinlich, da ich 2 Ladegeräte und eine Ladeschale besitze, die das Handy alle nicht mehr laden konnten.

Bevor ich mein Handy erneut auf die Reise schicken wollte, habe ich versucht einen Ersatzakku zu bekommen um zu testen ob es evtl nur am Akku liegt. Ein Anruf beim Mediamarkt offenbarte mir, dass dort verschiedene Akkus fürs Milestone von verschiedenen Herstellern vorrätig seien. Im Mediamarkt gab es dann leider doch nicht einen einzigen. Auch alle kleinen Telefonläden der Stadt hatten keinen auf Lager. Weder Vodafone, O2, noch The Phonehouse, etc. Ich werde das Handy also wohl ohne diesen Test zurücksenden müssen.

9.7.2010 (später)

Mein Milestone ist wieder auf der Reise nach Flensburg. Samt Akku und meinen 2 Ladegeräten.

12.7.2010
DHL lässt sich Zeit. Die Sendungsverfolgung sagt:

12.07.10 17:44 Uhr
Hagen
Die Sendung wurde im Start-Paketzentrum bearbeitet.

13.7.2010

Mein Stein hat dat repair wieder erreicht.

14.7.2010
Ich habe bei dat repair angerufen und erneut um schnellere Bearbeitung gebeten, da der Fehler von dat repair versursacht wurde. Mir wurde gesagt, dass ich heute schon der 10. wäre der sich nicht gedulden könne. OK.

19.7.2010
Mein Stein wurde mal wieder repariert und ist unterwegs zu mir. Ich mache mir nicht mehr viele Hoffnungen. Vielleicht kann man ihn ja wenigstens wieder einschalten....

19.7.2010 (später)
Ich habe nochmal bei dat repair angerufen um herauszufinden ob und wie der Gesprächsqualitätsfehler behoben wurde. Der Herr am Telefon hat mir mitgeteilt, dass der Fehler inzwischen reparierbar wäre und der Bug gefunden wurde. Ich bin gespannt und weiss morgen mehr.

Er sagte mir gewechselt worden seien "Antenna Cap" und "Camera Lens irgendwas". Außerdem würde ich einen neuen Akku bekommen.

Ich bin gespannt....

20.7.2010

Mein Milestone ist wieder da und es geht sogar an Mir wurde ein neuer Akku geschickt. Ich vermute, dass sie mir beim letzten Mal einen defekten zugesandt hatten. Leider kam nach dem ersten Einschalten bereits wieder die erste Ernüchterung. Beim Anmelden mit meinem Google-Konto kommt die Meldung "Es kann keine stabile Datenverbindung zum Server hergestellt werden". Das Problem ist hier beschriben: http://www.android-hilfe.de/t-mobile-pulse-forum/15879-keine-stabile-datenverbindung-zu-server.html Ich versuche das Zurücksetzen auf Werkseinstellungen.

27.7.2010
Nach dem Wipen vom Stein funktionierte wieder alles. Ziemlich Zeitgleich mit meinem Stein kam auch ein Softwareupdate auf Firmware 2.1.36 das bei sehr vielen Leuten die Probleme mit der SPrachqualität beseitigt hat. Mein Stein funktioniert jetzt aber ich weiss nicht ob es an dem Update oder der Reperatur lag. Ich zweifele da etwas. Zumal mein erstes Problem, die lockere Kopfhörerbuchse nur halbherzig beseitigt wurde. Sie sitzt jetzt fester, hat aber nach wie vor einen Wackelkontakt.

Fazit
15 Euro Porto, 3 Wochen ohne Handy, Reperaturen die nicht wirklich repariert haben. Zwangsverlängerung der Reperatur durch einen falschen Akku..... Ich hätte mir den Spuk sparen können glaube ich. Auf jeden Fall werde ich in Zukunft Motorola und dat repair meiden.

Linux Professional Institute
Score Report for Exam 102

Daniel Ritter

---------------------------------------------------------------------------
Candidate ID: LPI0001******
Registration ID: **********
Score Report Date: Jun 22 2010

Your Score: 620
Required Passing Score: 500
Status: Pass

Test Section Information
Percent Correct Section

80% Shells, Scripting and Data Management

40% User Interfaces and Desktops

50% Administrative Tasks

90% Essential System Services

85% Networking Fundamentals

66% Security

---------------------------------------------------------------------------

Thank you for taking LPI's certification exam.

Scores on the exam are scaled so that the range is from 200 to 800.

Nach fast einem Monat Warterei auf eine Lösung habe ich die "Anti-Linux"-Firmware installiert. Ich wollte wieder online zocken. Trotzdem kotzt es mich an.

#/etc/sudoers
.
.
username      ALL=NOPASSWD:   /sbin/reboot
username      ALL=NOPASSWD:   /sbin/poweroff

Wichtig ist, dass die Zeilen hinten an die Datei angehängt werden.

Nun kann man sich im Panel oder auf dem Desktop einen benutzerdefinierten Anwendungsstarter anlegen, der "sudo /sbin/poweroff" oder "sudo /sbin/reboot" ausführt.

Dann mal los:

Man braucht zunächst einmal eine Software für Sprachausgabe. "espeak" ist für den Zweck ziemlich gut geeignet. 80er-Robo-Style und gut konfigurierbar.

sudo apt-get install espeak

Um die Sprachausgaben zu automatisieren habe ich mich für "swatch" entschieden. Swatch ist ein Programm, das Logs live mitliest und beim Auffinden von bestimmten Suchmustern ein externes Programm startet - in unserem Fall espeak.

sudo apt-get install swatch

Jetzt ist alles installiert um einen ersten Laber-Task anzulegen.
Die Kiste (ein Server) soll sprechen, wenn neue Mail ankommt.

Ich benutzte Spamassassin um meine Mail zu filtern. Deshalb erhalte ich solch eine Zeile in /var/log/mail.log. Und zwar jedes Mal, wenn eine neue Mail ankommt:

# /var/log/mail.log
May 03 16:34:04 star spamd[13365]: spamd: clean message (-2.4/0.5) for mailbox:1001 in 1.9 seconds, 7128 bytes.

Nun ist es an der Zeit swatch beizubringen, auf was es achten soll:

# /etc/swatch/ham
watchfor /clean message/
exec "espeak new_mail &"

Nun muss nur noch der Swatch-Daemon gestartet werden:

/usr/bin/swatch --daemon --config-file=/etc/swatch/ham --tail-file=/var/log/mail.log

Ganz simpel. Aber die Möglichkeiten sind endlos. Alles was geloggt wird, kann gesprochen werden. Jetzt hat man alle Tools an der Hand um eine Kiste zu einer absolut nervigen Labertasche zu machen. Viel Spass!

Cool!

http://www.ubuntu.com/getubuntu/download

Ding #1 - Eine sichere Remote-Shell

Das ist das Offensichtlichste was man mit SSH tun kann und die meisten Linuxuser haben es wohl schon einmal gemacht: Eine sichere Verbindung mit einem anderen Rechner herstellen und diesen darüber administrieren.

Das geht sehr einfach:

ssh user@box_B

Das verbindet Dich zu BOX B als "user". Danach kann man als "user" auf BOX B arbeiten.

Manchmal benötigt man gar keine interaktive Sitzung zu einem entfernten Rechner, sondern möchte lediglich ein einzelnes Kommando ausführen.

ssh user@box_B command

Hier wird man zu Box B als "user" verbunden, das Kommando "command" wird ausgeführt, das Ergebnis landet auf der lokalen Standardausgabe und die Verbindung wird beendet.

Ding #2 - Dateien zwischen Rechnern sicher kopieren

Cool, wir können eine entfernte Maschine mit SSH administrieren, aber man kann mit SSH auch Dateien von einer Maschine zu einer anderen kopieren. Es funktioniert im Grunde so wie das "cp" Kommando, es heisst aber "scp" - Secure Copy.

scp /home/me/a_file.txt user@box_B:/home/me/

Das kopiert die lokale Datei "/home/me/a_file.txt" auf Box A nach "/home/me/a_file.txt" auf Box B.

Es funktioniert auch andersherum:

scp user@box_B:/home/me/b_file.txt /home/me

Das würde die Datei "/home/me/b_file.txt" von Box B ins Home-Verzeichnis auf Box A kopieren.

Weil "scp" so ähnlich funktioniert wie "cp" sind auch Wildcards erlaubt:

scp /var/log/* user@box_B:/home/me/logsbackup

Das kopiert alle Logfiles von Box A nach "/home/me/logsbackup" auf Box B.

Ding #3 - Ein Verzeichnis auf einem entfernten Rechner ins lokale Dateisystem mounten

Manchmal reicht es nicht einfach nur einige Dateien von einem Rechner auf einen anderen zu kopieren. Ein entferntes Verzeichnis ins lokale Dateisystem zu mounten ist super nützlich, wenn man mit lokalen Programmen Remote-Files bearbeiten will. Ein gutes Beispiel dafür wäre zum Beispiel die Arbeit an einer Webseite auf einem entfernten Server. Man kann einfach das Web-Verzeichnis des entfernten Servers ins lokale Dateisystem mounten und danach die Dateien mit all den coolen lokal installierten HTML-Editoren und Grafikprogrammen öffnen und speichern. Ganz so als wären die Dateien auf der loaklen Platte. Hierfür benötigt man "sshfs". Das FUSE-Filesystem ist in vielen Distributionen nicht standardmässig installiert aber meistens in den Repositories enthalten. Unter Debian und Ubuntu kann man es so installieren:

apt-get install sshfs

Nach der Installation kann man beginnen es zu benutzen

mkdir /mnt/b_data
sshfs user@box_B:/b_data /mnt/b_data

Das mountet das Verzeichnis "/b_data" auf Box B nach "/mnt/b_data" im lokalen Dateisystem. Nun kann man mit lokalen Programm die Remote-Dateien bearbeiten. Wenn man fertig ist, kann man den mount wieder entfernen:

fusermount -u /mnt/b_data

Falls der unmount fehlschlägt sollte man überprüfen, ob noch Dateien vom Remoterechner geöffnet sind oder ob man sich noch mit der Shell oder einem Dateimanager im gemounteten Verzeichnis befindet.

Ding #4 - Unzensiert und anonym von "kritischen Orten" aus im Web surfen

Firmenrichtlinien, faschistische Regierungen, Internet-Cafes und andere unfreundliche Regelungen, Institutionen und Orte können einen sicheren und privaten Zugriff aufs Web ziemlich schwierig gestalten. Firewalls und Proxys könnten interessante Webseiten blocken, loggen wo man herumsurft, Man-In-The-Middle-Attacken ausführen oder einfach nur ein mulmiges Gefühl generieren. SSH ist die Lösung für alle diese Probleme. Es bietet die Möglichkeit als Web-Proxy (SOCKS) zu arbeiten. Man verbindet sich einfach per SSH zur guten vertrauenswürdigen BOX B und surft durch diese Verbindung.

(Lokaler Browser <-> Lokaler SSH Proxy <-> SSH <-> Box B <-> Webseite)

Dann kann niemand mehr im unfreundlichen lokalen LAN blockieren, zensieren oder schnüffeln.
Klingt gut? Es ist sogar sehr einfach einzurichten und zu benutzen! SSH bietet die "-D" Option um einen SOCKS-Proxy auf der lokalen Maschine einzurichten:

ssh -D 1234 user@box_B

Nun hat man einen SOCKS-Proxy der auf localhost Port 1234 lauscht. Nun muss man nur noch seinem Browser so konfigurieren, dass er für Internetverbindungen diesen Proxy benutzt. Man kann überprüfen ob alles funktioniert hat, wenn man im Browser eine Webseite aufruft, die die IP-Adresse ausgibt, die für die Verbindung genutzt wurde. http://www.whatismyip.com würde funktionieren, aber es gibt auch 1000de andere Seiten. Wenn dort die IP von Box B erscheint, ist alles in Butter. Ein portalbler Browser auf einem USB-Stick wie zum Beispiel Portable Firefox würde die Sache noch angenehmer machen.

Ding #5 - Den Traffic von lokalen Programmen verschlüsseln und tunneln oder auf Dienste in LANs zugreifen, die normalerweise nicht übers Internet erreichbar sind.

OK, wir haben sicher Maschinen administriert, Dateien sicher von Maschine zu Maschine kopiert und haben sogar in China unzensiert im Web gesurft. Aber SSH kann mehr! Man kann damit den Datenaustausch aller lokalen Programme die TCP benutzen durch einen Tunnel zu einem vertrauenswürdigen Rechner schicken. Wie schon mit dem SOCKS-Proxy kann man Daten-Verkehr zunächst durch diesen Tunnel schicken, zum Beispiel den vom lokalen E-Mail Client, damit er nicht durchs lokale LAN fliessen muss. Wir möchten unsere E-Mail in einer "kritischen" Umgebung abrufen. Skript Kiddies, blöde Admins und Terror-China-Hacker könnten die Mail mitlesen oder sogar das E-Mail-Passwort mitsniffen. SSH hilft. Die Syntax für Tunnel mit SSH ist etwas krampfig und zunächst ein ziemlicher Brain-Twister aber eigentlich ziemlich logisch und mit ein bisschen Übung nicht schwierig:

ssh -L local_port:target_host:target_port user@box_B

zum Beispiel:

ssh -L 10000:pop3.mailprovider.com:110 user@box_B

Was ist hier geschehen? SSH wurde angewiesen einen Tunnnel mit einem lokalen (-L) Endpunkt auf Port 10000 anzulegen. Alles was in diesen lokalen Endpunkt an Daten hineingeworfen wird, fliesst zunächst verschlüsselt zu Box B und danach zu "pop3.mailprovider.com" auf port 110 (Port 110 ist POP3). Die Daten fliessen also vom lokalen E-Mail Client verschlüsselt zu Box B und von dort aus an den E-Mail-Provider. Der E-mail Account im lokalen Client benötigt somit also für den POP-Server folgende Einstellungen: Server: localhost / Port: 10000. Aber es muss nicht unbedingt E-Mail sein. Jede Applikation, die das TCP-Protokoll benutzt kann so getunnelt werden. Zum Beispiel IRC, FTP, HTTP, IMAP, etc.

Falls sich der Server auf den zugegriffen werden soll nicht irgendwo im Internet sondern auf Box B selbst befindet, kann der Zielrechner natürlich auch BOX B sein:

ssh -L 10000:127.0.0.1:110 user@box_B

Ziel in diesem Beispiel ist "127.0.0.1", weil es das Ziel aus der Sicht von Box B ist. Denn "127.0.0.1" gesehen von Box B ist Box B selbst.

Tunneln kann nützlich sein um Internetdienste abzusichern, aber auch um auf Dienste in BOX B's privatem Netzwerk zuzugreifen. Falls man einen von außen zugänglichen SSH-Account in einem LAN besitzt, kann man so auf alle TCP-Dienste in diesm LAN zugreifen, ganz so als sei man ein "echter" Client in diesem LAN.

Angenommen BOX B steht in einem Intrantet, das einen interessanten Webserver beherbergt, der aber nicht aus dem Ineternet zugänglich ist. Dieser Server läuft im LAN auf Kiste 192.168.0.77. Mit SSH tunnelt man nun einfach einen lokalen Port auf Port 80 des Webservers im LAN:

ssh -L 10000:192.168.0.77:80 user@box_B

Wenn man nun "http://127.0.0.1:10000" im lokalen Webbrowser aufruft landet man auf der Homepage des Webservers im entfernten Intranet.

Ding #6 - Ein Tunnel - andersherum

Wenn #5 klar ist, sollten umgekehrte Tunnel kein Problem mehr sein. Hier wird ein entfernter Endpunkt für den Tunnel erstellt. Alles was dort hineinfliesst wird verschlüsselt weitergeleitet an BOX A (den lokale Rechner) und danach an den Zielrechner weitergeleitet.

ssh -R remote_port:target_host:target_port user@box_B

zum Beispiel:

ssh -R 10000:pop3.mailprovider.com:110 user@box_B

Im E-Mail-Client würde man als POP-Server "Box B" und Port "10000" eintragen.
BOX B tunnelt dann den Traffic zunächst sicher auf BOX A um. Box A leitet danach weiter an "pop3.mailprovider.com" port "110"

Nützliche Kommandozeilenoptionen für SSH

-c "Compress"

Die "-c" Option komprimiert die übertragenen Daten mit gzip bevor sie durchs Inetrnet fliessen. Das erhöht die Geschwindigkeit beim Übertragen von unkomprimierten Daten (so wie reinem Text) stark. Sie ist nützlich beim Übertragen
langer Textdateien oder beim Websurfen wenn man SSH als Proxy nutzt.

ssh -c -D 1234 user@box_B

-g "Grant Access"

Die "-g" option eraubt anderen Rechnern als localhost auf die lokal angelegten Tunnelendpunkte zuzugreifen. So können also zum Beispiel auch andere Rechner im LAN die lokal angelegten Tunnel nutzen.

ssh -L -g 10000:127.0.0.1:110 user@box_B

-p "Port"

Die "-p" Option benötigt man, wenn der entfernte SSH-Server nicht auf dem Standardport 22 lauscht.

ssh -p 22000 user@box_b

-v "Verbose"

Mit dieser Option kann man sehr viele technische Verbindungsinformationen sehen, falls man tiefer in SSH eintauchen möchte.

Mehr Lesestoff:

Ich habe versucht diesen Artikel so einfach wie möglich zu schreiben, da er mir selbst in erster Linie als Referenz dienen soll. Es gibt aber noch sehr viel mehr was man mit SSH tun kann:

The SSH man page

The SSH RFC

Wikipedia on SSH

SSH - The Definitive Guide by O'Reilly

Der Luchs ist da! Deshalb ist es wie schon bei Karmic an der Zeit alle Änderungen zu dokumentieren, die ich vornehmen musste, damit alles nach meinen Vorstellungen läuft. Diese Liste wird über die Lebenszeit des Luchses sicherlich noch etwas wachsen. Einige Probleme sind sehr speziell, andere könnten auch andere Benutzer interessieren. Im Großen und Ganzen bin ich schwer begeistert von 10.04: Alles wirkt etwas smoother, schneller und aufgeräumter. Karmic hat mir zwar gute Dienste geleistet, aber den Luchs habe ich bereits jetzt ins Herz geschlossen. Euch allen ein schönes halbes Jahr (oder sogar 3?) mit Ubuntu 10.04 Lucid Lynx!

Problemchen #1: Fensterbuttons nach rechts verschieben

Zum Glück nur einmal Copy/Paste....

gconftool-2 --set /apps/metacity/general/button_layout --type string "menu:minimize,maximize,close"

Problemchen #2: Miese Flash Performance

Seit Karmic wurden die Standardeinstellungen für den Radeon-Treiber geändert. Meine Mobility Radeon 9600 auf einem Asus M6N kommt im Zusammenspiel mit Flash damit nicht klar. Webseiten mit Flash pushen die CPU auf 100%. Mit dieser xorg.conf klappt es:

Section "Device"
	Identifier	"Configured Video Device"
	Option          "AccelMethod" "XAA"
EndSection

Problemchen #3: Fensterskalierung bei Pokerstars

In Pokerstars unter Wine skalieren die Tische nicht mit, wenn man das Tischfenster resized. Mit einem speziellen Eintrag in der user.ini im Pokerstarsverzeichnis lässt sich das beheben. Nach einem Neustart von Pokerstars lässt sich das Fenster mit F5 auf die richtige Größe bringen.

# user.ini
[Options]
f5redrawtable=1

Problemchen #4: Links in Pokerstars

In Pokerstars unter Wine öffnen angeklickte Links den Browser nicht.

"wine regedit" starten
Key HKEY_CLASSES_ROOT\http\shell\open\command suchen
In diesem Key "%1" nach "-nohome" anhängen

Problemchen #5: ffmpeg mit unfreien Codecs installieren

ffmpeg ist super zum konvertieren von Videos. Um auch unfreie Codecs nutzen zu können (z.B. h264, AAC) muss man ffmpeg selbst kompilieren. Das original Howto ist hier.

Problemchen #6: Logitech Quickcam Chat funktioniert unter Skype nicht

Die Kamera benötigt eine spezielle Library. So klappt es:

# Skype starten
LD_PRELOAD=/usr/lib/libv4l/v4l1compat.so skype

Danke an Arun

Problemchen #7: Es werden nicht alle Auflösungen und Wiederholraten meines externen Monitors erkannt

Eine Anpassung der xorg.conf mit den richtigen Werten funktioniert:

# /etc/X11/xorg.conf
Section "Monitor"
        Identifier      "NOVITAS"
        Option          "VGA"
        HorizSync       30-80
        VertRefresh     50-75
        ModeLine        "1024x768@75" 94.43 1024 1056 1528 1560 768 782 792 807
EndSection

Section "Screen"
        Identifier      "Default Screen"
        Device          "Configured Video Device"
        Monitor         "NOVITAS"
        DefaultDepth    24
        SubSection "Display"
                Depth           24
                Modes           "1027x768@75" "1024x768" "800x600"
        EndSubSection
EndSection

Problemchen #8: Der "Dokumentbetrachter" kann nicht drucken.

Geht doch. Hatte nur Probleme mit einem ganz bestimmten Dokument. Alle anderen funktionieren.

Problemchen #9: Der Ziffernblock meiner Tastatur geht nicht mehr

Wow was ist das denn? Jetzt wirds langsam nervig
"Mauszeiger per Tastatur steuern" war aktiv. Ist das eine neue Standardeinstellung?
(unter System > Einstellungen > Tastatur > Maustasten). Nach dem Deaktivieren dieses Features ging es wieder.

Problemchen #10: Lautstärkeregler im Panel ohne E-Mail Icon (Benachrichtigungsanzeige)

Seit Lucid sind der Lautstärkeregler und die Steuerung für Evolution und Messenger gebündelt als "Benachrichtigungsanzeige". Ich benutze Evolution nicht und das E-mail-Icon nimmt Platz weg.

Unter System -> Einstellungen -> Startprogramme "gnome-volume-control-applet" eintragen um nur die Lautstärkensteuerung ohne das Brief-Icon zu bekommen.

Problemchen #11: Aktuellste Adobe-Flash Version installieren

#!/bin/bash
#
# http://labs.adobe.com/downloads/flashplayer10.html
#

sudo su
cd /tmp
wget http://download.macromedia.com/pub/labs/flashplayer10/flashplayer10_1_rc2_linux_041910.tar.gz
tar xvf /tmp/flashplayer10_1_rc2_linux_041910.tar.gz
mv /usr/lib/flashplugin-installer/libflashplayer.so /usr/lib/flashplugin-installer/libflashplayer.so.orig
mv /tmp/libflashplayer.so /usr/lib/flashplugin-installer/
rm /tmp/flashplayer10_1_rc2_linux_041910.tar.gz

Na dann mal los. Zunächst braucht man 2 neue Verzeichnisse. Zum einen ein Verzeichnis in der Dropbox, das später verschlüsselt wird und zum anderen ein Verzeichnis in das man das verschlüsselte Verzeichnis später entschlüsselt mounten kann:

mkdir /home/user/Dropbox/verschluesselt
mkdir /home/user/Dropbox_entschluesselt

Danach bereitet man das verschlüsselte Verzeichnis für die Benutzung vor und mountet es direkt:

sudo apt-get install encfs
encfs /home/user/Dropbox/verschluesselt /home/user/Dropbox_entschluesselt

Ab sofort werden alle Dateien, die in /home/user/Dropbox_entschluesselt abgelegt werden, verschlüsselt in die Dropbox gepackt.

Den Mountvorgang kann man beim Login mit einem kleinen Einzeiler automatisieren:

#!/bin/bash
echo "MeinPasswort" | encfs -S /home/user/Dropbox/verschluesselt /home/user/Dropbox_entschluesselt

Eine gratis Dropbox mit 2.25 GB Speicher bekommst Du hier.

Nach dem Einstecken:

# /var/log/messages

Apr 23 18:23:08 ww kernel: [13489.976038] usb 1-3: new high speed USB device using ehci_hcd and address 7
Apr 23 18:23:08 ww kernel: [13490.112911] usb 1-3: configuration #1 chosen from 1 choice
Apr 23 18:23:08 ww kernel: [13490.184613] usb 1-3: applying rev.C fixup
Apr 23 18:23:08 ww kernel: [13490.192111] usb 1-3: applying rev.C fixup
Apr 23 18:23:08 ww kernel: [13490.201739] eth2: register 'MOSCHIP usb-ethernet driver' at usb-0000:00:1d.7-3, MOSCHIP 7830/7730 usb-NET adapter, 00:13:3b:04:00:5a
Apr 23 18:23:09 ww NetworkManager:    SCPlugin-Ifupdown: devices added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb1/1-3/1-3:1.0/net/eth5, iface: eth5)
Apr 23 18:23:09 ww kernel: [13490.251588] udev: renamed network interface eth2 to eth5
Apr 23 18:23:09 ww NetworkManager:    SCPlugin-Ifupdown: device added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb1/1-3/1-3:1.0/net/eth5, iface: eth5): no ifupdown configuration found.

eth5 existiert danach und kann direkt konfiguriert werden.

Mit dabei ist noch eine Treiber-CD mit Treibern für Windows und Linux, man kann sich zur Not also auch das Kernelmodul selbst kompilieren. Der Hersteller bietet eine Seite mit aktuellen Treibern für alle gängigen Betriebssysteme. Und auch vom Chiphersteller selbst gibt es eine Treiber-Downloadseite.

Ein cooles Teil. Es wird sich noch im täglichen Gebrauch beweisen müssen, aber der erste Eindruck war sehr gut.

[Zeige als Diashow]

[Mit PicLens anzeigen]

Marketlink

Hier ein paar meiner Vignette-Schnappschüsse mit einem Motorola Milestone, mehr gibts bei Flickr.

[Zeige als Diashow]

[Mit PicLens anzeigen]

Einen Tag später: "Wir können keine Mails mehr verschicken!" Oh nein, eine Workstation hat einen Trojaner. Der Spammer ist im LAN. Avira Workstation Pro läuft auf allen XP-Clients im LAN und hat in der Regel auch zuverlässig funktioniert. Hier ist aber wohl etwas schief gelaufen.

Um herauszufinden wer der Übeltäter ist, habe ich den SMTP-Traffic zwischen DSL-Router und LAN gesnifft. Da alle Clients an Switchen hängen, war passives Mithören am selben Switch mit einem Client nicht möglich (Das geht nur mit HUB's). Deshalb habe ich mit einer Debian-Kiste, 2 Netzwerkkarten und 2 Switches ziemlich umständlich einen Wiretap gebaut. Dabei war mir dieser Artikel von heise netze sehr nützlich.

Im Endeffekt muss nur die Verkablung des Sniff-Rechners stimmen, danach muss eine
Netzwerkbrücke erstellt werden:

Die beiden Netzwerkkarten im Rechner wurden gebridged, damit der ganze LAN-INTERNET Traffic auch durch den Pinguin fliessen konnte. Ein Sniff mit Wireshark auf TCP/25 brachte dann sehr schnell die Lösung. In Sekundenschnelle füllte sich das Livelog mit SMTP-Verbindungen eines LAN-CLients zu externen SMTPs.

Den Übeltäter habe ich mit dem Avira Rescue System gebootet. Die Live-CD hat einen Trojaner (TR/Trojan.GEN) festgestellt, konnte ihn aber nicht löschen. Ich habe die infizierte Datei (Zufallsname in system32/drivers) danach mit einer Ubuntu-Live-CD entfernt. Die Spamflut hatte aufgehört. Ich muss es noch einige Zeit beobachten, aber ich glaube der Client ist wieder Herr seiner Sinne.

Ich werde mir mal so einen USB LAN NIC besorgen. Dann geht das ganze auch mit dem Notebook. Das wäre viel angenehmer beim nächsten Mal.

Die heise Schnüffel-Bridge:

apt-get install brctl

ifconfig eth0 -arp promisc 0.0.0.0 up
ifconfig eth1 -arp promisc 0.0.0.0 up
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 -arp promisc 0.0.0.0 up

Alle Wallpaper bekommt man zum Download im Launchpad.

[Zeige als Diashow]

[Mit PicLens anzeigen]

Den Screenshot habe ich übrigens mit "ShootMe" gemacht. Kostenlos und sehr gut - allerdings nur für gerootete Droiden...

Um der PS3 vorzugaukeln, dass sie bereits die aktuelle Version hat, benötigt man einen lokalen Proxy-Server (im Beispiel Squid), der die Anfrage an den SONY-Server an einen anderen Webserver umleitet, auf dem eine ältere Version der Textdatei liegt. Die PS3 denkt, dass sie aktuell ist und geht online.

Der Code wurde getstet unter einem Debian Lenny mit einem lokalen Webserver auf der Maschine. Er sollte aber auch unter Ubuntu ohne Probleme funktionieren.

Danach muss man in der PS3 als Proxy (Einstellungen -> Netwerk-Einstellungen -> Internetverbindungseinstellungen) lediglich noch die IP des Squid-Proxys angeben. Der Squid-Standardport ist 3128.

Leider ist das keine permanente Lösung. Sobald die ersten Games die Firmware 3.21 voraussetzen, werden diese durch diesen Workaround unspielbar. Aber wahrscheinlich ist ohnehin bald eine permanente Lösung verfügbar. Eventuell tut sich auch auf rechtlicher Seite etwas, da das Vorgehen von SONY klar gegen die EU-Direktive 1999/44 verstößt, die unter anderem vorschreibt, dass ein in der EU gekauftes Produkt die Funktion erfüllen muss, die dem Käufer zur Zeit des Kaufes bekanntgemacht wurde. Wörtlich: "fit for the purpose which the consumer requires them and which was made known to the seller at the time of purchase""

Ich habe bisher nicht upgedatet, um das "Other OS" nicht zu gefährden, da ich mir damit eine Emu-Box bauen wollte. Bisher wurde der Patch von Geohot noch nicht veröffentlicht. Um weiterhin mit einer nicht aktualisierten PS3 online gehen zu können, kann mit einem Webproxy wie zum Beispiel Squid gebastelt werden. Ich bin gespannt. Mehr Infos hier: http://geohotps3.blogspot.com/

Diesem Problem hat sich das Ubuntuzilla-Projekt angenommen. Sie betreiben ein Repository für Ubuntu, das stets die aktuellen stabilien Mozilla-Builds von Firefox, Thunderbird und Seamonkey enthält. Einmal dem aktuellen System hinzugefügt, bekommt man so bequem über die Paketverwaltung die neuesten Versionen eingespielt.

Und so funktioniert es:

Ubuntuzilla-Repo der sources.list hinzufügen

echo -e "\ndeb http://downloads.sourceforge.net/project/ubuntuzilla/mozilla/apt all main" | sudo tee -a /etc/apt/sources.list > /dev/null

Den Repository Key hinzufügen um Nachfragen des Paketmanagers zu vermeiden

sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com C1289A29

Danach die gewünschten Pakete installieren

sudo apt-get update
sudo apt-get install firefox-mozilla-build
sudo apt-get install thunderbird-mozilla-build
sudo apt-get install seamonkey-mozilla-build

Dies ist mein BASH-Spickzettel. Ich werde hier nützliche Codeschnipsel und Konstrukte sammeln, die ich ansonsten immer mal wieder googlen oder man'en musste. Der Artikel dient mir persönlich als Nachschlagewerk aber könnte auch anderen nützlich sein, die häufig mit der Bourne-again Shell zu tun haben.

Schleifen

while [ 1 ] #Endlosschleife
do
    echo "Blah"
done

for i in $(ls /etc)
do
  echo $i
done

Case

case "$1" in
     a)
            echo "a"
            ;;
     b)
            echo b"

            ;;
     *)
             echo "$1 ist nicht a oder b"
             ;;
esac

Switches für Test : http://bash-hackers.org/wiki/doku.php/commands/classictest

oder

/usr/bin/[ --help

If-Then-Else

if [ "$1" = "a" ]; then
   echo "a"
else
    echo "kein a"
fi

dpkg + apt

#Installierte Files aus einem Paket auflisten
dpkg -L [Paketname]

#Files IN einem Paket auflisten
dpkg -c [paket.deb]

#Info über ein Paket
dpkg -I [paket.deb]

#Alle installierten Pakete auflisten
dpkg -l
dpkg --get-selections > getselections.txt

#Installationsauswahl aus Datei einspielen
dpkg --set-selections < getselections.txt

netstat

# Alle nach außen geöffneten Ports listen
netstat -lpn | grep LISTEN | grep -v localhost

mdadm

# Testmail senden
# Benutzt MAILADDR aus /etc/mdadm/mdadm.conf
mdadm --monitor -1 /dev/md0 -t

# Device dem Array hinzufügen
mdadm --add /dev/md0 /dev/sda1

# Device aus dem Array entfernen
mdadm --remove /dev/md0 /dev/sda1

# Fehlerhafte Devices entfernen
mdadm --manage /dev/md0 --remove faulty
mdadm --manage /dev/md0 --remove failed

screen

# Screens in Scripten automatisch generieren und task in screen starten
screen -S [screenname] -d -m [script.sh]

# Neue screen erstellen oder zu bestehender wechseln
screen -R -d [screenname]

# Keystroke zum verlassen einer Screen
CTRL - A - D

mysql

# Alle Datenbanken in eine Datei dumpen
mysqldump -u root -psecret --all-databases > backup.sql

# Dump wieder herstellen
mysql -u root -psecret < backup.sql

# root Passwort resetten
/etc/init.d/mysql stop
echo "SET PASSWORD FOR 'root'@'localhost' = PASSWORD('neuespasswort');" >~/setrootpassword.sql
mysqld_safe --init-file=~/setrootpassword.sql
#[ctrl]+[c]
/etc/init.d/mysql start
rm -f ~/setrootpassword.sql

imagemagick

# Alle Bilder im aktuellen Verzeichnis resizen
mogrify -resize 800x600 ./*.JPG

unionfs-fuse

# Union zwischen a und b in c
# Geschrieben wird nach a

unionfs-fuse -o cow /home/a=RW:/home/b=RW /home/ww/Desktop/c

ffmpeg

# flv in 3gp umwandeln
ffmpeg -i in.flv -f 3gp -vcodec h263 -s 176x144 -ab 12.2k -ar 8000 -ac 1 out.3gp

find

# Dateien suchen und etwas mit ihnen tun
find . -name "*.mp3" -exec file {} \;

# Softlinks finden und anzeigen
find . -type l  -exec ls -l {} \; 

# Alle Dateien in einem Verzeichnis zählen
find /verzeichnis -type f | wc -l

sudo

#/etc/sudoers
# User username erlauben einen privilegierten Befehl ohne Passwort auszuführen
# (Muss ganz am Ende von /etc/sudoers angehängt werden)

username      ALL=NOPASSWD:   /sbin/reboot

iptables

# Alles auf INPUT erlauben
 iptables -F; iptables -P INPUT ACCEPT

# Verbindungen debuggen
# Paketzähler einer Chain auf 0 setzen
iptables -Z INPUT

# Chain mit Paketzähler anzeigen
iptables -L INPUT -v

Ein Tag später. Mein Ehrgeiz wurde geweckt. Ich verkleinere, verschiebe, kopiere meine Partitionen, bis sie alle hinten auf der Platte liegen. GParted braucht 3 Stunden dafür. Ich boote mit einer Live-CD, mounte meine root-Partition, chroote in sie rein und installiere Grub neu. Ubuntu läuft wieder. Ich mache mich also daran XP nochmal zu installieren. Diesmal an den Anfang der Platte. Leider will XP die Installation am Anfang der Platte wieder auf H:\ ausführen. Es geht wohl nicht um die Reihenfolge der Partitionen auf der Platte sondern um die Reihenfolge in der Partitionstabelle. Wieder was gelernt. Ich könnte Windows auf C :\ installieren, das ist aber  eigentlich mein sda1 auf dem meine root-Partition liegt. Ich will Windows nicht mein Ubuntu killen lassen. Ich boote erneut mit der Live-CD und mache mit partimage ein Backup meiner root-Partition um es nach der XP-Installation wieder in eine neue Partition zurückspielen zu können. Ich starte mal wieder das XP Setup. Jetzt bin ich völlig verwirrt.Der freie Platz am Anfang der Platte heisst jetzt doch C:\. Warum das? Ich hatte an den Partitionen nichts mehr geändert. Ich bekomme so langsam aber sicher das Gefühl, dass ich an irgendeiner  Stelle dieser Odysee etwas hätte schlauer machen können. Ich gähne mich durch die erneute XP-Installation. Mann, warum müssen sie mitten in der Installation die Fragen stellen und nicht einfach ganz am Anfang. Man muß daneben sitzen. XP ist wieder da. Auf C:\. Ich installiere den LAN Treiber und den VGA-Treiber. REBOOT. CANNOT LOAD OPERATING SYSTEM. Na ja. Kenne ich ja schon. Vielleicht bin ich in einer Windows-Support Endlosschleife in der Hölle. REBOOT.  Also nochmal die Super Grub Disk und update-grub && grub-install. REBOOT. Zurück in XP. "Ihr Computer ist eventuell gefährdet" - da bin ich mir sicher. Ich sauge mir erneut den Motorola-USB-Treiber. Geschafft. Es funktioniert. Was für ein Krampf.

Nachtrag: Ein befreundeteter Windows-Admin hat mir erzählt, wie ich es mir viel einfacher hätte machen können: ein "subst h: c:\" hätte vor der Installation des Treibers gereicht. Ich Windows-DAU!

Ich hatte immer mal wieder mit Mailservern zu tun. Leider war ich häufiger etwas verwirrt, da - je nach Setup - sehr viele verschiedene Komponenten miteinander kommunizieren müssen. Aus diesem Grund hier mein Spickzettel für einen Mailserver auf einem Internethost mit FQDN. Ausprobiert wurde es auf einem Debian Lenny.

Alle Verbindungen nach außen sind verschlüsselt oder mit MD5-Cram Pasword Hashes verschleiert. Eingehende Mail wird auf Spam und Viren geprüft und Benutzer können ihre Mail über IMAP lesen.

Im Bild oben sind Daemons gelb, Datenbanken grau und gesichtere Verbindungen grün.

Was machen die einzelnen Komponenten?

• Postfix empfängt Mails, die Clients versenden wollen. Diese leitet er weiter an den richtigen Server im Internet. Außerdem entfängt Postfix Mails aus dem Internet für Benutzer mit Mailboxen auf dem Server.
• VirtualAliases(Teil von Postfix) ist eine Datenbank mit der Postfix empfangene Mails den einzelnen Mailusern zuordnen kann.
• Saslauthd authentifiziert User die Mail über Postfix per SMTP verschicken wollen. Er überprüft Username und Passwort mit MD5-Cram Hashes.
• Sasldb ist die Datenbank, aus der Saslauthd Usernamen und Passwörter anfragen kann.
• Courier-IMAP stellt dem Mailclient eines Nutzers die Mails aus seinem Maildir zur Verfügung
• Courier-Authdaemon authentifiziert  User, die Mail über den Courier-IMAP lesen. Er überprüft Username und Passwort mit MD5-Cram Hashes.
• Userdb (Teil von Courier) ist die Datenbank, aus der Courier-Authdaemon Usernamen und Passwörter anfragen kann.
• Procmail ist ein Filter, durch den jede eingehende Mail laufen muss. Procmail reicht die Mail an den Spamfilter und den Virenscanner durch und liefert sie danach an den User aus.
• Clamassassin ist ein kleines Tool, das eine Schnittstelle zwischen Procmail und ClamAV bildet. Es reicht die Mails nur durch an ClamAV.
• Spamassassin (spamd) Spamchecker. Gibt jeder Mail einen Score, der aussagt wie wahrscheinlich es ist, dass die überprüfte Mail SPAM ist.
• Maildir Mailbox Hier liegen die Mails der Benutzer des Systems. Es ist ein normales Verzeichnis im Dateisystem. IMAP-Clients können sie von hieraus abrufen.

Vorbereitung

Alle benötigten Pakete installieren

apt-get update && apt-get upgrade
apt-get install postfix postfix-doc postfix libsasl2-2 sasl2-bin libsasl2-modules courier-imap-ssl procmail spamassassin clamav clamassassin

Konfigfragen von Courier

• Verzeichnisse für WWW-Administration? Nein

Konfigfragen von Postfix

• Internet-Server
• E-Mail-Name:  Der per DNS auflösbare FQDN des Servers (z.B. meinedomain.de)

Konfiguration von Postfix fortsetzten

dpkg-reconfigure postfix

Weitere Konfigfragen von Postfix

• Internet-Server
• An wen sollen Mails für root weitergeleitet werden: Nichts eintragen, kommt später.
• Rechner für die dieser Rechner als Zielsystem gilt: Alle Domains die mit Postfix Mails empfangen können und die einen DNS-Eintrag für die IP des Servers haben. (z.B. meinedomain.de, meinanderedomain.de, meinedrittedomain.de)

Postfix

Configdatei für Postfix

# /etc/postfix/main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = /usr/share/doc/postfix                                 

# TLS aktivieren
smtpd_use_tls=yes                                                         

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
myhostname = meinedomain.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = meinedomain.de, meineanderedomain, meinedrittedomain , localhost, 127.0.0.1
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
html_directory = /usr/share/doc/postfix/html
inet_protocols = ipv4

# Auth über SASL
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
# Nur User Mail versenden lassen, die in SASL-DB stehen, nur MD5-Passwörter erlauben
smtp_sasl_security_options = noanonymous, noplaintext

# Nur Localhost (mynetworks) und über SASL angemeldete User dürfen Mails verschicken
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_local_domain =

# Nur verschlüsselt Authentifizieren mit TLS
smtp_tls_auth_only = yes

#TLS aktivieren
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes

# Selbstgenerierter Schlüssel und das Zertifikat
smtpd_tls_key_file = /etc/postfix/cert/smtpd.key
smtpd_tls_cert_file = /etc/postfix/cert/smtpd.crt
smtpd_tls_CAfile = /etc/postfix/cert/cacert.pem

# SPäter auf 0 setzen, gut zum debuggen
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

# Mails in Maildirs ausliefern
home_mailbox = Maildir/

# Dateiname der Virtual-Alias-Map mit der Zuordnung von E-Mail-Adresse zu lokaler Mailbox
virtual_alias_maps = hash:/etc/postfix/virtual

# Mail wird nicht direkt in Mailboxen gelegt sondern an Procmail übergeben
mailbox_command = procmail -a "$EXTENSION"

SASL

SASL stellt für verschiedene Daemons einen Authentifizierungsmechanismus zur Verfügung. In diesem Setup werden in einer SASL-Datenbank die Benutzer gespeichert, die über unseren Postfix Post verschicken dürfen. (Also der Username und das Passwort, die im E-Mail-Client als Zugangsdaten für den SMTP-Server eingetragen werden müssen)

Konfigdatei für SASL erstellen

# /etc/postfix/smtpd.conf
pwcheck_method: authdaemond
mech_list: CRAM-MD5

Postfix kann leider noch nicht den saslauthd benutzen um Benutzerdaten zu überprüfen, da Postfix in einer chroot-Umgebung läuft und noch keinen Zugriff auf den saslauthd hat.

# /etc/default/saslauthd
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="pam"
MECH_OPTIONS=""
THREADS=5

# Mit -m legen wir das Socket von saslauthd in ein Verzeichnis, das Postfix aus dem chroot erreichen kann.
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

Danach muss noch im "start-instance"-Block von /etc/init.d/saslauthd der Ort für die PID geändert werden, auch wieder damit Postfix das PID-File lesen kann.

# /etc/init.d/saslauthd
.
.
PIDFILE="/var/spool/postfix/var/run/${NAME}/saslauthd.pid"
.
.

TLS

Es können nun keine nicht-authentifizierten Sender mehr Mail über den Postfix SMTP versenden, allerdings gehen die Mails noch im Klartext durch LAN und Internet. Die TLS-Verschlüsselung wurde bereits oben in der Postfix-Konfigdatei main.cf aktiviert. Allerdings fehlen noch Key und Zertifikat.

mkdir /etc/postfix/cert
cd /etc/postfix/cert

openssl genrsa -des3 -rand /etc/hosts -out ./smtpd.key 1024
chmod 600 ./smtpd.key
openssl req -new -key ./smtpd.key -out ./smtpd.csr
openssl x509 -req -days 99999 -in ./smtpd.csr -signkey ./smtpd.key -out ./smtpd.crt
openssl rsa -in ./smtpd.key -out ./smtpd.key.tmp
mv -f ./smtpd.key.tmp ./smtpd.key
chmod 600 ./smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout ./cakey.pem -out ./cacert.pem -days 99999

SASL DB erstellen

Mails werden nun bei der Übertragung verschlüsselt, Usernamen und Passwörter für den Mailversand über den SMTP-Server gehen jedoch noch im Klartext durchs Internet. Diese kann man zumindest mit der MD5-Cram-Methode kaschieren. Diese wurde bereits in der /etc/postfix/smtpd.conf aktiviert. Es fehlt nur noch die SASL-Datenbank selbst. Diese legt man an, indem man einfach einem späteren Mailuser einen Usernamen und ein Passwort gibt.

# Für Username einen lokalen Mailuser einsetzen um die SASL-DB zu erstellen mit einem ersten Benutzer
saslpasswd2 username

Postfix ist fertig. Er kann Mails empfangen und verschicken. Verbindungen zu Clients und anderen Mailservern sind verschlüsselt.

Courier

Couriers Konfigdateien

# /etc/courier/authdaemonrc

# UserDB zur authentifizierung benutzen
authmodulelist="authuserdb"

authmodulelistorig="authuserdb authpam authpgsql authldap authmysql authcustom authpipe"
daemons=5
authdaemonvar=/var/run/courier/authdaemon

# Gut zum debuggen
DEBUG_LOGIN=2
DEFAULTOPTIONS=""
LOGGEROPTS=""

#/etc/courier/authmodulelist

# courierauthdaemon nutzt MD5-cram
authcram

# /etc/courier/imapd

ADDRESS=0
PORT=143
MAXDAEMONS=40
MAXPERIP=20
PIDFILE=/var/run/courier/imapd.pid
TCPDOPTS="-nodnslookup -noidentlookup"
LOGGEROPTS="-name=imapd"

#Hier wird AUTH=CRAM-MD5 hinzugefügt

IMAP_CAPABILITY="IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 IDLE"

IMAP_KEYWORDS=1
IMAP_ACL=1
IMAP_CAPABILITY_ORIG="IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 AUTH=CRAM-SHA1 AUTH=CRAM-SHA256 IDLE"
IMAP_PROXY=0
IMAP_PROXY_FOREIGN=0
IMAP_IDLE_TIMEOUT=60
IMAP_MAILBOX_SANITY_CHECK=1
IMAP_CAPABILITY_TLS="$IMAP_CAPABILITY AUTH=PLAIN"
IMAP_CAPABILITY_TLS_ORIG="$IMAP_CAPABILITY_ORIG AUTH=PLAIN"
IMAP_DISABLETHREADSORT=0
IMAP_CHECK_ALL_FOLDERS=0
IMAP_OBSOLETE_CLIENT=0
IMAP_UMASK=022
IMAP_ULIMITD=65536
IMAP_USELOCKS=1
IMAP_SHAREDINDEXFILE=/etc/courier/shared/index
IMAP_ENHANCEDIDLE=0
IMAP_TRASHFOLDERNAME=Trash
IMAP_EMPTYTRASH=Trash:7
IMAP_MOVE_EXPUNGE_TO_TRASH=0
SENDMAIL=/usr/sbin/sendmail
HEADERFROM=X-IMAP-Sender
IMAPDSTART=YES
MAILDIRPATH=Maildir

SSLPORT=993
SSLADDRESS=78.46.63.66
SSLPIDFILE=/var/run/courier/imapd-ssl.pid
SSLLOGGEROPTS="-name=imapd-ssl"
IMAPDSSLSTART=YES
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
COURIERTLS=/usr/bin/couriertls
TLS_KX_LIST=ALL
TLS_COMPRESSION=ALL
TLS_CERTS=X509
TLS_CERTFILE=/etc/courier/imapd.pem
TLS_TRUSTCERTS=/etc/ssl/certs
TLS_VERIFYPEER=NONE
TLS_CACHEFILE=/var/lib/courier/couriersslcache
TLS_CACHESIZE=524288
MAILDIRPATH=Maildir

# Auch hier kommt AUTH=CRAM-MD5 hinzu

IMAP_CAPABILITY="IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 IDLE"

Spamassassin

Spamassassin muss aktiviert werden

# /etc/default/spamassassin
ENABLED=1
OPTIONS="--create-prefs --max-children 5 --helper-home-dir"
PIDFILE="/var/run/spamd.pid"
CRON=0

Procmail

Nachdem Postfix Mails aus dem Internet für einen lokalen Benutzer empfangen hat, übergibt er sie an procmail. Procmail wiederum übergibt die Mail an Spamassassin um sie auf Spam zu überprüfen und an clamassassin, der sie weiterreicht an den Virenscanner clamav.

# Eine Beispiel .procmailrc für die Homeverzeichnisse der Mailuser

PATH=$HOME/bin:/usr/bin:/bin:/usr/local/bin:.
MAILDIR=$HOME/Maildir/
DEFAULT=$HOME/Maildir/new
LOGFILE=$HOME/procmail.log

# SPAMASSASSIN
:0fw: /var/run/spam.lock
* < 256000
| spamc -f -u $LOGNAME

# Alle SPAMS mit Score 10-99 gleich weg
:0:
* ^X-Spam-Status: Yes, score=[1-9][0-9]\.
/dev/null

# Alle SPAMS mit Score > 3 gleich weg
#:0:
#* ^X-Spam-Status: Yes, score=[4-9]\.
#/dev/null

:0fw
| /usr/bin/clamassassin

# Rewrite Subject Line, if SpamLevel is high enough.
:0fw
* ^X-Virus-Status: Yes
| sed '1,/^$/s@^Subject:@Subject: /VIRUS!/@'

:0:
* ^X-Virus-Status: Yes
/dev/null

# Move SA SPAM MAILS TO SPAM
:0:
* ^X-Spam-Status: Yes
$MAILDIR/.Spam/new

# Alle Mails die es ohne Blessuren bis hier geschafft haben, landen automatisch in der Inbox des Users. "Sie haben Post!"

Puh! Das Mailsystem ist fertig! Es fehlen nur noch Benutzer, die Maildirs und die Konfiguration der Virtual-Aliases um festzulegen welche Email-Adressen in welchen lokalen Mailboxen laden. Das folgende Skript legt den UNIX-Systembenutzer an, und denselben Benutzer noch einmal für Postfix in der SASLdb und für Courier in der Courier-Userdb.

Skript zum anlegen neuer User

# Added einen neuen User zum Mailsystem                      

#!/bin/bash
clear
echo "Neuer User fuer das Mailsystem";
echo "Username eingeben: ";
read newuser                          

echo $newuser >> /root/scripts/mail/mail_users.dat

# Adding Unix User

adduser --ingroup users --quiet --shell /bin/false $newuser

echo
echo "Linux User wurde angelegt....."
echo

# Adding Courier Mailboxes

maildirmake /home/$newuser/Maildir
maildirmake -f Spam /home/$newuser/Maildir
maildirmake -f Virus /home/$newuser/Maildir
maildirmake -f LerneSpam /home/$newuser/Maildir
maildirmake -f LerneKeinSpam /home/$newuser/Maildir
maildirmake -f MeineOrdner /home/$newuser/Maildir
maildirmake -f Sent /home/$newuser/Maildir
maildirmake -f Trash /home/$newuser/Maildir
chown -R $newuser.users /home/$newuser/Maildir
echo
echo "IMAP Mailverzeichnisse wurden angelegt...."
echo

# Setting SASL Password for Postfix SMTP auth

echo
echo
echo "Passwort für SMTP-Auth angeben (Mails verschicken mit dem Client)"
saslpasswd2 $newuser

echo
echo
echo "Passwort für Courier angeben (Zuganspasswort für den IMAPSERVER)"

NEWUID=`cat /etc/passwd | grep $newuser | cut -d: -f3`

userdb $newuser set home=/home/$newuser uid=$NEWUID gid=100
userdbpw -hmac-md5 | userdb $newuser set imap-hmac-md5pw home=/home/$newuser
makeuserdb

/etc/init.d/courier-authdaemon restart
/etc/init.d/saslauthd restart

echo "OK. User angelegt"
echo "Weisen Sie dem neuen User bitte noch E-Mail-Adressen zu!"
echo
echo
echo "Datei /etc/postfix/virtual editieren."
echo "Danach einmalig ausführen: postmap /etc/postfix/virtual"
echo "Danach einmalig ausführen: /etc/init.d/postfix reload"

Skript zum löschen von Usern

echo "Diesen User loeschen:"
read DELUSER

# aus mail_users_dat kriegt lernespam die mailuser
cat /root/scripts/mail/mail_users.dat | grep -v "^$DELUSER$" > /root/scripts/mail/mail_users.dat.tmp
rm /root/scripts/mail/mail_users.dat
mv /root/scripts/mail/mail_users.dat.tmp /root/scripts/mail/mail_users.dat

deluser --remove-home $DELUSER
saslpasswd2 -d $DELUSER
userdb $DELUSER del
makeuserdb
/etc/init.d/courier-authdaemon restart
/etc/init.d/saslauthd restart

Skript zum manuellen Spam-lernen

#!/bin/bash

for user in $(cat /root/scripts/mail/mail_users.dat);
do

SADIR=/home/$user/.spamassassin
NOSPAM=/home/$user/Maildir/.LerneKeinSpam/cur/

for l in $(ls $NOSPAM );
do
PRINT=`cat $NOSPAM/$l | grep -e "^From:" | grep -o "[[:alnum:]\.\+\-\_]*@[[:alnum:]\.\-]*" | sort -u`
echo "whitelist_from $PRINT" >> $SADIR/user_prefs
done

# Let SA learn
/usr/bin/sa-learn -D  --spam /home/$user/Maildir/.LerneSpam/cur
/usr/bin/sa-learn -D  --ham /home/$user/Maildir/.LerneKeinSpam/cur

# Move Stuff
mv /home/$user/Maildir/.LerneKeinSpam/cur/* /home/$user/Maildir/cur/
rm /home/$user/Maildir/.LerneSpam/cur/*

done
exit

Virtual Aliases

Unser Postfix weiss noch gar nicht welche E-Mail-Adressen welchen lokalen Mailboxen zugeordnet sind. Diese Zuordnung wird in der Datei /etc/postfix/virtual geschaffen. Links stehen E-Mail-Adressen oder lokale Absender wie "root", rechts steht der Username für die IMAP-Mailbox oder eine Ziel-E-Mail-Adresse für Weiterleitungen

# /etc/postfix/virtual
root                                        daniel
daniel@meinedomain.de            daniel
daniel@meineanderedomain.de   daniel
fritz@meinedomain.de               fritz
alle@meinedomain.de                daniel,fritz
weiterleitung@meinedomain.de   daniel@gmail.com

Danach muss Postfix die virtuellen Aliase neu initialisieren. Das ist nach jeder Änderung der Datei notwendig.

postmap /etc/postfix/virtual

Jetzt ist wirklich alles fertig. Es müssen noch alle Dienste gestartet werden.

/etc/init.d/postfix restart
/etc/init.d/courier-imap restart
/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-authdaemon restart
/etc/init.d/saslauthd restart
/etc/init.d/spamassassin restart
/etc/init.d/clamav restart

Irgendwas wird sicherlich nicht funktionieren! Zum Debuggen eignet sich /var/log/mail.log ganz gut. In vielen Configdateien kann man das Loglevel hochsetzen um mehr Informationen zu bekommen.

Transport Maps

Um Mails an einen anderen SMTP weiterzurouten, benötigt man Transport-Maps. Sie werden in der Datei /etc/postfix/transport angelegt:

#/etc/postfix/transport
# Links lokales Ziel
# Rechts SMTP an den weitergeleitet wird

daniel-ritter.de       smtp:12.13.14.15
daniel-ritter.de       smtp:anderer.host.de

# Zusätzlich alle Subdomains
.daniel-ritter.de      smtp:anderer.host.de

#/etc/postfix/main.cf
transport_maps = hash:/etc/postfix/transport

# Aktivieren von Änderungen an den Transportmaps

postmap /etc/postfix/transport
/etc/init.d/postfix reload

Nutzer das Courier-Passwort selbst ändern lassen

echo "Courier Passwort ändern"
echo

echo
echo "Benutzername: "
read U
echo "Altes Passwort: "
read A
echo "Neues Passwort: "
read N

if [ $(echo $N | grep -e ^[0-9]) ];
then
echo "Entschuldigung. Passwörter dürfen nicht mit einer Zahl beginnen."
exit
fi

echo -e "$U\0$A\0$N\0" | /opt/courierpasswd --verbose --stderr --stdin --changepw

Iptables können ziemlich verwirrend sein. Deshalb habe ich, um einen Grundstock zu schaffen, ein ganz simples Skript gebastelt. Standardmässig sind keine Ports von außen erreichbar, gewünschte Ports müssen explizit freigegeben werden. Von innen initiierte Verbindungen funktionieren, Verbindungen mit den freigegebenen Ports auch. Kann man es noch weiter vereinfachen?

#!/bin/bash

# alle bestehenden Regeln löschen
iptables -F

# Standardmässig eingehende Verbindungen verbieten
iptables -P INPUT DROP

# Standardmässig ausgehende Verbindungen erlauben
iptables -P OUTPUT ACCEPT

# Nicht routen
iptables -P FORWARD DROP

# localhost darf alles
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Eingehende Verbindungen für SSH und HTTP erlauben
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 80

# Eingehende Verbindungen erlauben, die sich auf bestehende Verbindungen
# beziehen. (Damit es nach dem Verbindungsrequest eines Clients auch weitergeht)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Lets face the truth. Desktop Linux has made an incredible progress in the last few years. It still gives you all the freedom, happiness and elegance it inherited from it's UNIX-foundation - and it tries hard to compete with the Windows Plug-And-Play mentality.

The standard user shouldn't need to do complicated things on the console. Basic things should just work. Especially Ubuntu did great, they really improved many GUI aspects of the GNOME-desktop. Most modern machines run and work just "out of the box" with a fresh Ubuntu install. BUT there are still these little annoyances and things that don't work as expected. I will collect my personal annoyances with Ubuntu 9.10 "Karmic Koala" in this post and add solutions, if I find them.

Annoyance #1
Logs are spammed with messages about CPU temperature

This one is an ugly one. It started for me with Karmic. /var/log/kern.log and /var/log/syslog got spammed with millions of messages from the kernel stating things like:

CPU0: Temperature above threshold, cpu clock throttled (total events = 208[ 8973.550089] CPU0: Temperature/speed normal

CPU0: Temperat cpu clock throttled (total events = 2080190)
This was a real problem, because about 100 messages per second were written to the logs, making them hard to read for other purposes. Syslog archiving them pushed my CPU to 100% and they filled up my root partition very quickly. This behaviour seems to originate from a kernel bug that should be fixed anytime soon. There is an Ubuntu Bug-Report on the problem already: https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/453444. There is no real fix for it, as this is a kernel bug, but there is a workaround that fixed the odd behaviour of my system. I just disabled the logging of lines, that contain the bogus information:

• Create a file /etc/rsyslog.d/10-temperature.conf
• Paste the following code into it::msg,contains,"Temperature/speed normal" ~
  :msg,contains,"Temperature above threshold" ~

• Save it
• Do an sudo restart rsyslog to make the new rule active.

Annoyance #2
CPU Frequency Scaling Monitor didn't remember my password

There is a very useful little applet for the Gnome panel, that allows you to change the speed of your CPU while working. As I am using a notebook most of the time, this thingy came in quiet handy for me. Because changing of the CPU policy requires root-privileges, you had to enter your password once with old Ubuntu versions. After that you were able to check a checkbox and Ubuntu remembered your policy. Things changed in Karmic. With the new policykit2 environment, there was no possibility anymore to remember the password. I had to reenter it every time i wanted to change my CPU policy. I found out, that I could set the permisson right in the config files for policykit2:

• Create a file  /var/lib/polkit-1/localauthority/50-local.d/gnome-cpufreq.pkla
• Paste the following code into it (be sure to replace YOURUSERNAME with your username):[Allow users to set the CPU frequency]
  Identity=unix-group:YOURUSERNAME
  Action=org.gnome.cpufreqselector
  ResultAny=no
  ResultInactive=no
  ResultActive=yes

• Save it
• There is no password needed anymore for changing CPU policies

Annoyance #3
Streamtuner couldn't load the Shoutcast streamlist anymore

This started with Intrepid or so. Shoutcast changed the hostname of it's streamlist-servers. The old hostname seems to be hardcoded into Streamtuner, so it couldn't get the streamlist anymore. This was  unconvenient  for me, because i got used to tune into my favourite internet radio stations (like Lemixx Paris France) with Streamtuner. There seems to be no effort to fix this in the Ubuntu package, as the bug is now several months old already. I fixed it by adding the right IP to /etc/hosts.

• Open up /etc/hosts with a text editor
• Add the following line to it:205.188.234.120 www.shoutcast.com

• Save it
• Streamtuner can access Shoutcast streams again

Annoyance #4
USB Startup Disk Creator is unable to create an USB Startup Disk

Ubuntu brings it's own tool to clone itself onto an USB flashdrive. You basicly get a fully working Ubuntu Installation on your flashdrive. A very useful thingy to carry around if you want to connect to the internet from untrusted machines or if you want to fix a brokeen down computer. So far so good, it didn't work. When you start the USB Startup Disk Creator from Ubuntus menu, the tool starts but is unable to format or write to partitions on your flashdrive. The solution is surprisingly simple: It needs to be run as root to make it work:

• Open up a terminal
• Enter the following command:
  sudo usb-creator-gtk
• Create and enjoy your flashdrive
  

Annoyance #5
Couldn't click on any web link in Pokerstars with wine

Poker is one of my hobbies and the guys from Pokerstars did a great job on making it a good experience on Linux with wine too. There are a few downgrades though. When clicking on links in the Pokerstars software, no webbrowser opened up in Gnome. You need to edit the registry to fix that.

• Run wine regedit to open the registry editor
• Navigate to  HKEY_CLASSES_ROOT\http\shell\open\command
• Add a "%1" after -nohome in that registry key
• Links work now in Pokerstars

Annoyance #6
Couldn't make Pokerstars tables fullscreen with wine

Another Pokerstars problem. Scaling tables didn't work well. There was no way to make a table fullscreen. There is a way to fix that, implemented espcially for wine users by Pokerstars.

• Open up the file user.ini in your Pokerstars directory ($HOME/.wine/Program....)
• Add a line with  f5redrawtable=1 to the file
• Save it
• Tables are redrawn now after resizing them when you press F5
  

Annoyance #7
Skype didn't show video on my Logitech Qucikcam Chat

Skype detected my cam as /dev/video0 but was unable to grab pictures from it. The video window just stayed in plain old black

I started Skype with -> LD_PRELOAD=/usr/lib/libv4l/v4l1compat.so skype  to fix it.

To be continued...

]]> http://www.daniel-ritter.de/blog/my-karmic-koala-annoyances-and-how-i-fixed-them/feed 1 http://www.daniel-ritter.de/blog/6-useful-things-you-can-do-with-ssh http://www.daniel-ritter.de/blog/6-useful-things-you-can-do-with-ssh#comments Thu, 19 Nov 2009 02:11:11 +0000 Daniel http://www.daniel-ritter.de/blog/?p=148 SSH must be my favourite piece of software ever. It's free, it gives you freedom, it's simple to use yet powerful in the things it can do. It helps you to encrypt and secure your communication. It can do this in an universal way and for nearly every usage case. In this post, I want to show you 6 things you can do with SSH without too much hassle. SSH can do more than just serve as an encrypted remote session. Try the following examples for yourself and explore the power of the Secure Shell.

Thingy #1 - A secure remote shell

OK, this is the most obvious thing you can do with SSH and i bet most of you have already done it: Connect to a remote machine via a SSH-secured connection and type on it's console to administer it.

This is very simple:

ssh user@box_B

This will connect you to Box B as user "user". After having entered your password, you will be able to use BOX B's console.

Sometimes you don't want to connect to the remote machine for an interactive session, because you just want to run a single command on the remote machine. In that case you can just do a

ssh user@box_B command

This will connect to Box B as "user", run "command", show you "command"'s output and disconnect.

Thingy #2 - Copy files between your boxes

Great, we can administer a remote machine with SSH but we can also move data between machines in an encrypted and secure way. It basicly works like the standard "cp" command, but it has got a different name: "scp"

scp /home/me/a_file.txt user@box_B:/home/me/

This will copy the local file "/home/me/a_file.txt" on our Box A to "/home/me/a_file.txt" on Box B.

It will work vice versa as well:

scp user@box_B:/home/me/b_file.txt /home/me

This would get the file "/home/me/b_file.txt" and would put in into our home dir on box A.

Because "scp" works like "cp" wildcards are allowed as well:

scp /var/log/* user@box_B:/home/me/logsbackup

This would copy all of the log files from our Box A to "/home/me/logsbackup" on Box B.

Thingy #3 - Mount a remote directory into your local file system

Sometimes it's not enough to simply copy one or more files from one machine to another. Mounting a remote directrory into your local filesystem becomes super useful, when you want to work on the remote files with local programs. A good example for this would be working on a remote website. You can simply mount the web-directory from the remote server into your local filesystem and use all your fancy HTML-editors and image-programs on the remote files as if they were on your local harddrive. That's where "sshfs" comes in handy. The tool isn't installed by default in most distributions but you should be able to find it in your repository. On Debian based systems just install it with:

apt-get install sshfs

After having installed sshfs you can start using it:

mkdir /mnt/b_data
sshfs user@box_B:/b_data /mnt/b_data

This mounts the directory "/b_data" from box B into "/mnt/b_data" on your local file system. Now you can work on your remote files with local tools. When you are done, you can unmount the directory with:

fusermount -u /mnt/b_data

If the unmount fails, check if you have still open files in the directory or if you are still in that directory in some shell or Nautilus/Konqueror window.

Thingy #4 - Surf the Web uncensored and anonymously from "critical" locations

Corporate policies, fascist governments, internet cafés and other "unfriendly" rules, institutions and places can give you a hard time, when you want to access the web in a secure and private way. Firewalls and proxies may block your favourite sites, log the sites you have visited, perform man in the middle attacks or can just give you a bad feeling. SSH is the solution for these problems. It offers you the possibility to use it as a web-proxy. You simply connect to your good old trusted box B and surf through the encrypted connection.

(Local Browser <-> Local SSH Proxy <-> SSH <-> Box B <-> Website)

Now nobody on your unfriendly local LAN can block or spy on your surfing session.
Sounds good? Great! It's even simple to setup. SSH offers the "-D" option to provide a SOCKS proxy on the local machine:

ssh -D 1234 user@box_B

You'll have a proxy listening on localhost port 1234. Now you just have to setup your webbrowser to use the "SOCKS proxy" on localhost port 1234 and all your surfing will go through Box B. You can check if it worked by visiting a website that shows your IP. http://www.whatismyip.com is a site that would work. If that site shows Box B's IP-address instead of your local one, you setup everything correctly. A portable webbrowser on your USB-pendrive like  Portable Firefox would make things even more cozy.

Thingy #5 - Encrypt the data traffic of your favourite local application or access services in LAN's you couldn't reach otherwise with SSH-tunnels

OK, we encrypted remote admin-sessions, copied files securely and even surfed the web in a private way. But SSH can do more. You can encrypt the traffic of every application that uses the TCP-protocol with SSH tunnels. Like with our SOCKS-proxy, we can tunnel other data through ssh, for example the traffic of our e-mail client. Lets say you want to pickup your e-mail while being in a "critical" environment. Bad corporations / governments / script kiddies could read your email and even worse could sniff your e-mail password. SSH helps. The syntax for tunnels in SSH might puzzle your brain at first sight, but it's not too hard:

ssh -L local_port:target_host:target_port user@box_B

for example

ssh -L 10000:pop3.mailprovider.com:110 user@box_B

OK, lets see what happened here. We told ssh to create a tunnel with a local (-L) endpoint at port "10000". Everything that is put into our local endpoint goes first encrypted to our Box B and after that to "pop3.mailprovider.com" on port 110 (which is POP3). You relay all data that goes into our local endpoint in an encrypted way via Box B to your E-Mail provider. In this example you would set the POP-account in your e-mail client to "localhost" port "10000". It doesn't have to be e-mail. Any other application that uses a protocol utilizing TCP works as well. For example IRC, FTP, HTTP, IMAP, you name it...

in case you are running your own server-service on Box B, "target host" can be Box B itself of course:

ssh -L 10000:127.0.0.1:110 user@box_B

Target host in this example is "127.0.0.1" because it's the target from Box B's point of view. "127.0.0.1" seen from Box B sure is Box B itself.

Tunneling can be useful to secure your services or to connect to services inside BOX B's network. Lets say BOX B is in an intranet that has an interesting webserver on IP "192.168.0.77" and you are unable to access that server from the outside. You just tunnel your way to BOX B and let BOX B forward you to the webserver:

ssh -L 10000:192.168.0.77:80 user@box_B

Now typing "http://127.0.0.1:10000" into your local webbrowser will show you the homepage of the intranets webserver.

Thingy #6 - A tunnel the other way around

OK, this could have been part of "Thingy #5" but to make things more clear i made an extra point for it. If you understood #5 this should be no problem for you. Here, you open up a "remote" endpoint on Box B. Everything that goes in there is relayed encrypted to Box A (the one you are using at the moment) and after that to the target host.

ssh -R remote_port:target_host:target_port user@box_B

for example

ssh -R 10000:pop3.mailprovider.com:110 user@box_B

An e-mail client would set "box_B" and port "10000" as the POP3 server. BOX B would relay the traffic to BOX A through SSH. BOX A would relay the traffic to "pop3.mailprovider.com" port "110".

Useful commandline options for SSH

-c "Compress"

The "-c" option in SSH compresses all traffic with gzip before sending it to the remote host. This increases the speed greatly with uncompressed data-types. It's very useful for copying large text-files over SSH or for surfing the web with the "-D" option. In general "-c" never hurts, it just puts a little more pressure onto your CPU.

ssh -c -D 1234 user@box_B

-g "Grant Access"

The "-g" option allows other hosts to connect to your local tunnel endpoints. If you don't use "-g" in combination with a tunnel, only your own localhost (Box A in the examples) may use the tunnel.

ssh -L -g 10000:127.0.0.1:110 user@box_B

-p "Port"

The "-p" option is needed, if the SSH-server you want to connect to doesn't run on the default port "22"

ssh -p 22000 user@box_b

-v "Verbose"

Add this option if you want to dive deeper into SSH. You will see many technical information while connecting to a remote host.

Further reading

I tried to keep this article as simple as possible to make it usable. There is a lot more to know about SSH. If you are looking for a more comprehensive read i suggest you check out these docs:

The SSH man page

The SSH RFC

Wikipedia on SSH

SSH - The Definitive Guide by O'Reilly

Just for the kicks, i tried to connect 2 Asterisk servers thru a SSH tunnel to place encrypted calls via IAX2 from BOX1 to BOX2. It worked, but the sound quality is ugly and the FIFO-nature of converting UDP-traffic into TCP-traffic gave some strange results. But after all I learned a lot doing it....

What we need:

- 2 Asterisk Boxes

- root on BOX2

- ssh

- socat

What I did:

Connect both boxes with a SSH port-forwarding to get the calls thru the internet. Convert the IAX2 UDP-traffic coming from Box1s Asterisk into TCP with socat, because SSH doesn't support UDP tunneling. Send the TCP data thru the tunnel. Pick it up at the other side with socat and convert it back to UDP. Feed the UDP data into the target asterisk.

How I did it:

BOX1:

context to feed an outbound call into our socat converter:

exten => 3,1,Dial(IAX2/user:pass@127.0.0.1:10000/1)

setting up socat:

socat udp4-listen:10000,reuseaddr,fork tcp:127.0.0.1:10001

setting up our ssh tunnel:

ssh -L 10001:127.0.0.1:10000 root@box2

Box2:

Setting up socat to pick up the TCP-stream from the tunnel and pass it to asterisk:

socat tcp4-listen:10000,reuseaddr,fork UDP:127.0.0.1:4569

iax.conf:

[general]
bindport = 4569
bindaddr = 0.0.0.0
disallow=all
allow=ulaw
allow=alaw

[box1]
type=peer
username=user
secret=pass
auth=plaintext
context=iax-tunnel
peercontext=iax-tunnel
qualify=yes
trunk=yes

The iax-tunnel context just playing a beep:
; IAX testing
[iax-tunnel]
exten => 1,1,Answer()
exten => 1,2,Playback(beep)
exten => 1,3,Hangup()

Enjoy...

An American businessman was at the pier of a small coastal Mexican
village when a small boat with just one fisherman docked. Inside the
small boat were several large yellowfin tuna.

The American complimented the Mexican on the quality of his fish and
asked how long it took to catch them. The Mexican replied, "only a
little while." The American then asked why didn’t he stay out longer
and catch more fish? The Mexican said he had enough to support his
family’s immediate needs.

The American then asked, "But what do you do with the rest of your
time?" The Mexican fisherman said, "I sleep late, fish a little, play
with my children, take siesta with my wife, Maria, stroll into the
village each evening where I sip wine and play guitar with my amigos.
I have a full and busy life, senor."

The American scoffed, "I am a Harvard MBA and could help you. You
should spend more time fishing and with the proceeds buy a bigger
boat, with the proceeds from the bigger boat you could buy several
boats, eventually you would have a fleet of fishing boats. Instead of
selling your catch to a middleman you would sell directly to the
processor, eventually opening your own cannery. You would control the
product, processing and distribution. You would need to leave this
small coastal fishing village and move to Mexico City, then LA and
eventually NYC where you will run your expanding enterprise."

The Mexican fisherman asked, "But senor, how long will this all take?"

To which the American replied, "15 or 20 years."

"But what then, senor?"

The American laughed and said, "that’s the best part. When the time is
right you would announce an IPO and sell your company stock to the
public and become very rich, you would make millions."

"Millions, senor? Then what?"

The American said, "Then you would retire. Move to a small coastal
village where you would sleep late, fish a little, play with your
kids, take siesta with your wife, stroll to the village in the
evenings where you could sip wine and play your guitar with your
amigos."

GAME OVER - Insert Coin(s) - Other Game(s)

Tja und am Ende noch ein aktuelles Bild von heute. Die Haare sind ausgefallen und auch sonst geht es bergab

Als ich 1994 mein Abi bekam, drückte mir unser Rektor ein Grundgesetz
in die Hand, faselte etwas von „haltet die Grundfesten unserer
Demokratie in Ehren.." und entliess mich in mein weiteres Leben.
Heute, fast 10 Jahre später, erscheint mir dieses GRUNDgesetz wie ein
wertloses Stück Papier, wie ein schlechter Witz, wie eine Ansammlung
von guten Vorsätzen die längst überholt zu sein scheinen und die nicht
wirklich irgendjemanden interessieren. Wieviele Grundrechte sind in
den letzten 10 Jahren ausgehöhlt worden, ohne triftige Gründe.
Inzwischen dürfen wir wieder in den Krieg ziehen um vom grossen
Zerstörungs- und Wiederaufbaukuchen auch ein paar Stücke abzubekommen.
Der Staat darf uns abhören, sogar in unseren Wohnungen, Personen
dürfen auf Bahnhöfen durchsucht werden, Daten werden ohne Verdacht auf
lange Zeit gespeichert, wir alle könnten ja potentielle Terroristen
sein. War in den 90er Jahren der „grosse Lauschangriff" noch ein Thema
das die Gemüter über Monate bewegte, so werden alle neuen
Überwachungsgesetzte die zur Zeit in unsere Gesetzbücher drängen von
der Öffentlichkeit kaum wahrgenommen. Der regelmässige Leser meiner
Seite kann sich fragen, warum in den Mainstream-Medien so gut wie
nichts von dem berichtet wird, was hier zu finden ist. Besteht kein
Interesse mehr an der Freiheit des Bürgers ? Ist das Wort Freiheit
inzwischen nur noch eine gutklingende Floskel der Essenz keinen
Interessiert wenn die gläzende Hülle noch existiert ?

Ich möchte einige bedrohliche Entwicklungen aufzeigen, welche sich in
den letzten 10 Jahren, besonders aber nach dem 11.09.2001 verstärkt
haben. Grundsätzlich ist durch die starke Verbreitung von
Mobiltelefonen ein enormes Überwachungs- und Kontrollpotential
geschaffen worden. Handybenutzer können in Grossstädten auf einige
Meter genau lokalisiert werden, es ist möglich die Telefonbücher von
den SIM-Karten auszulesen, so dass das gesamte Umfeld einer Person
offen liegt. Durch die Möglichkeit der genauen Lokalisation einer
Person ergibt sich die Möglichkeit in Verbindung mit Datenbanken
komplette Bewegungs- und Lebensprofile einzelner Personen zu erstellen
und zu archivieren. Weiterhin besitzen alle neueren Mobiltelefone eine
durch „unsichtbare SMS" aktivierbare „Mithörfunktion". Das heisst,
befähigte Stellen können sogar ausgeschaltete Handies jederzeit in
einen „Wanzenmodus" stellen. Dass Telefongespräche an sich abgehört
werden können (und werden) ist ein „alter Hut" und muss nicht extra
erwähnt werden. Hinzu kommt ein extremer Schwund von der klassischen
Telefonzelle. In einigen Jahren wird man nicht mehr straffrei anonym
telefonieren können, da jedes Handy nach dem Telekommunikationsgesetz
personengebunden bei den Telefongesellschaften registriert werden
muss. Die ganze westliche Welt ist in den letzten Jahren
flächendeckend verwanzt worden. Man kann sich inzwischen in kaum einem
öffentlichen Raum aufhalten in dem niemand ein Mobiltelefon bei sich
trägt. Blinkende Logos, lustige Photos und niedliche SMS-Flirts
versüssen dem Bürger sein liebgewonnenes persöliches
Überwachungskästchen dermassen, dass für die allermeisten das Gerät
nicht mehr aus dem Leben wegzudenken ist. Hinzu kommen weitere
Kontrollbestrebungen:
Relativ aktuell ist der Wunsch des Staates an Verkehrsknotenpunkten,
Autobahnen und Ausfallstrassen die KFZ-Kennzeichen vorbeifahrender
Kraftfahrzeuge automatisch zu erfassen und mit Datenbanken
abzugleichen. Auch hier findet eine Vorratsdatenerfassung statt. Jeder
ist automatisch verdächtig. Das Netz zieht sich zu, bald wird man sich
nirgendwo in Europa mehr bewegen können ohne dass entsprechende
Stellen herausfinden könnten, wo man sich gerade befindet. Nach dem
11.09. wurde ausserdem der Personalausweis mit biometrischen Merkmalen
gesellschaftsfähig. Es ist inzwischen möglich automatsiche Kameras mit
Gesichtserkennungssoftware anzubringen, welche anhand des Gesichtes
erkennen, welche Person sich gerade in Ihrer Nähe aufhält. Ohne die
zentrale Erfassung bimetrischer Daten ist es diesen System nur möglich
herauszufinden, dass dieselbe Person „x" sich erst an Stelle A, danach
an Stelle B befand. Mit einer zentralen Datenbank der
Gesichtscharakteristika aller Bürger ist es möglich festzhalten, dass
die Person Knut Müller sich erst an Stelle A, dann an Stelle B befand.
Hinzu kommen bargeldlose Zahlungsmittel und Bankkonten. Auch hier
lässt sich leicht eine Historie der Kaufgewohnheiten und
Aufenthaltsorte einer Person erstellen. Wird man sich den Fragen
stellen müssen warum man an einem bestimmten Daten ausgerechnet an
dieser oder jener Tankstelle getankt hat ?

Beängstigend werden die ganzen Fakten, die zur Zeit geschaffen werden
mit Blick auf eine ungewisse Zukunft. Man stelle sich eine Rechtsdruck
in der Regierung, wie er zur Zeit in den USA bereits stattfindet vor.
Eine solche Regierung hat dann bereits alle Instrumentarien vorliegen
um den Bürger komplett zu überwachen, zu kontrollieren und klein zu
halten.

Begründet werden alle momentanen Bestrebungen mit der Gefahr die durch
den Terrorismus entstanden ist. Dies war übrigens zu RAF-Zeiten nicht
anders. Bereits in den 70er Jahren wurde Deutschland von einer Flut
von Notstandsgesetzen überrollt. Dennoch können alle diese
Kontrollmechanismen nichts gegen den Terrorismus ausricheten.
Terroristen wissen wie sie Ihre Kommunikation verschlüsseln und
verbergen können, nur der Normalbürger weiss das nicht. Ein Terrorist
wird alle technischen Möglichkeiten (die durchaus vorhanden sind)
benutzen um seine Kommunikation zu verschlüsseln, zu verstecken und zu
kaschieren. Oder glauben Sie, dass ein Terrorist mit seinem Handy bei
seinen Kollegen anruft um das nächste Attentat zu planen ?
Es gibt inzwischen Verschlüsselungsgeräte für Telefonkommunikation,
das Internet bietet eine Unmenge von Möglichkeiten um Nachrichten zu
verschlüsseln, sie unsichtbar in jedem Bild zu verstecken, etc. Der
Terrorist hat das Wissen und die technischen Möglichkeiten genauso
unbehelligt zu kommunizieren wie immer. Der Normalbürger nicht.

Am Besten packt man es an das Ende seines Einwahlskriptes, so dass es sofort nach dem Verbindungsaufbau beginnt mitzuzählen.

Alles ohne Gewähr.... weiss nicht ob es verbugt ist oder so, also Benutzung auf eigene Gefahr Bei mir mit BASE könnte das sehr teuer werden, also Vorsicht!

#!/bin/bash

# trafficcount - Zeigt Trafficdaten für die aktuelle Verbindung an und
# erechnet Kosten für die Verbindung


# CONFIG:

# Netzwerkkarte der Verbindung
INTERFACE=eth0

# Kosten pro 1 MB Traffic
PREIS_PRO_MB=0.24

# Updateinterval in Sek
UPDATEINTERVAL=5

############################################

# Errechnet MB aus Byte
calc_mb()
{
BYTES=$1
MEGABYTES=`echo "scale=2; $BYTES / 1048576" | bc`
#echo "*** $MEGABYTES ***"
}

# Holt Trafficdaten aus ifconfig
get_data()
{
# RX bytes:3435333852 (3.1 GiB)  TX bytes:1233166424 (1.1 GiB)
TRAFFICCUT=`ifconfig $INTERFACE | grep "RX bytes"`

#Recieved cutten
TMP=`echo $TRAFFICCUT | cut -d: -f2`
IN=`echo $TMP | cut -d" " -f1`

# SENT cutten
TMP=`echo $TRAFFICCUT | cut -d: -f3`
OUT=`echo $TMP | cut -d" " -f1`

# TOTAL ERRECHNEN
TOTAL=`echo "$IN + $OUT" | bc`
}

S_TOTAL=0
S_IN=0
S_OUT=0

get_data
START_TOTAL=$TOTAL
START_IN=$IN
START_OUT=$OUT

#echo $START_TOTAL
#echo $START_IN
#echo $START_OUT

clear

while [ 1 ]
do

get_data

# Aktuellen Traffic in der Sitzung bestimmen
S_TOTAL=`echo "$TOTAL - $START_TOTAL" | bc`

#echo "*** S_TOTAL: $S_TOTAL ***"

S_IN=`echo "$IN - $START_IN" | bc`
S_OUT=`echo "$OUT - $START_OUT" | bc`

# in MB umwandeln
calc_mb $TOTAL; TOTAL=$MEGABYTES
calc_mb $IN; IN=$MEGABYTES
calc_mb $OUT; OUT=$MEGABYTES
calc_mb $S_OUT; S_OUT=$MEGABYTES
calc_mb $S_IN; S_IN=$MEGABYTES
calc_mb $S_TOTAL; S_TOTAL=$MEGABYTES

# Kosten ermitteln
KOSTEN=`echo "scale=2; $S_TOTAL * $PREIS_PRO_MB " | bc`
#echo "*** $KOSTEN - $S_TOTAL - $PREIS_PRO_MB***"

# Sitzungsdaten updaten

#echo $TRAFFICCUT
#echo
echo "GESAMT  an $INTERFACE: In: $IN MB | Out: $OUT MB | Total: $TOTAL MB "
echo "SITZUNG an $INTERFACE: In: $S_IN MB | Out: $S_OUT MB | Total: $S_TOTAL MB "
echo "KOSTEN: Euro $KOSTEN"

sleep $UPDATEINTERVAL
clear

done

Bild anklicken um es zu vergrößern

Dies ist einer meiner Lieblingsstrips von http://xkcd.com
einer smarten und manchmal zauberhaften Comic Serie.

]]> http://www.daniel-ritter.de/blog/ach-wurde-das-nur-gehen/feed 0 http://www.daniel-ritter.de/blog/making-your-server-box-talk-like-in-those-old-movies http://www.daniel-ritter.de/blog/making-your-server-box-talk-like-in-those-old-movies#comments Mon, 26 May 2008 20:45:47 +0000 Daniel http://www.daniel-ritter.de/blog/?p=23

This is a silly geek thing but you might like it. Why not let your penguin-server talk to you when it needs updates or other interesting things happen?

Code and config in these examples are tested on a debian box.

 What we need:
-A software for speech synthesis
espeak is good for this purpose. quiet configurable and the voice quality is OK.

apt-get install espeak

-A software that can trigger events, when certain log entries appear
swatch is our friend here. it reads logs in realtime and triggers a command if a specific pattern is found.
In our case it will just trigger espeak to say something.

apt-get install swatch

Now that we have our tools lets make a sample talker...
We want our box to report, if new (no-spam) mail arrived.

I'm using spamassassin to filter my mail.
I get a line similar to

Jul 26 16:34:04 star spamd[13365]: spamd: clean message (-2.4/0.5) for mailbox:1001 in 1.9 seconds, 7128 bytes.


in /var/log/mail.log everytime a good messages reaches my inbox.

So create a config file for swatch to look out for lines like that

File: /etc/swatch/ham

watchfor /clean message/
exec "espeak new_mail &"

The only thing left to do now is to start the swatch daemon

/usr/bin/swatch --daemon --config-file=/etc/swatch/ham --tail-file=/var/log/mail.log
I think you got the point. The possibilities are endless. Everything that is logged can be spoken.

But there are other interesting possibilities. Lets say you want your box to report new available updates to you.
This little script can do it when run from a repeating cron-job:


#!/bin/bash
apt-get update
UPDATELINE=`apt-get --simulate upgrade | grep remove`
EINS=`echo $UPDATELINE | cut -d " " -f 1`
ZWEI=`echo $UPDATELINE | cut -d " " -f 3`
DREI=`echo $UPDATELINE | cut -d " " -f 6`
VIER=`echo $UPDATELINE | cut -d " " -f 10`
((UPDATES=EINS+ZWEI+DREI+VIER))
if [ $UPDATES -gt 0 ]; then
espeak "REPORT: i need $UPDATES updates! please install as soon as possible"
fi


Now you have got all the tools to make your server an absolutely anoying brabbling box.
Enjoy.