Grundvoraussetung ist ein eigener Linux-Server mit Apache und MySQL.

Zunächst muss Horde 4 installiert werden:

# Die Packetierung von Horde 4 läuft über PEAR
apt-get install pear

# PEAR auf den neuesten Stand bringen
pear upgrade pear

# Den Horde-Channel dem lokalen Pear bekannt machen
pear channel-discover pear.horde.org

# Horde Installationsverzeichnis konfigurieren
pear install horde/horde_role
pear run-scripts horde/horde_role

# Hier wird nach einem Installationsverzeichnis für Horde 4 gefragt.
# In meinem Beispiel ist es /var/www/horde4

# Horde installieren
pear install -a -B horde/webmail

# Horde Konfiguration umbenennen, um Horde zu aktivieren
cd /var/www/horde4/config
cp ./conf.php.dist ./conf.php

# Dem Webserver Rechte auf alle Horde-Files geben
chown -R www-data /var/www/horde4

Datenbank für Horde in MySQL anlegen:

Horde benötigt eine Datenbank in MySQL. In meinem Beispiel habe ich für Horde mit PHPMyAdmin den Benutzer "horde4" und die Datenbank "horde4" angelegt.

Horde über den Webbrowser konfigurieren:

Horde kann nun über den Webbrowser konfiguriert werden. Dazu öffnet man im Browser http://www.meinserver.de/horde4 . Da noch nicht konfiguriert wurde, welche Authentifizierung Horde nutzt, wird man direkt als Administrator der Installation eingeloggt.

Datenbank konfigurieren:
(Administration -> Konfiguration -> Horde -> Database)

Hier die Daten zur angelegten MySQL Datenbank eintragen:

Horde Authentifizierung konfigurieren:

Horde benötigt ein Backend um den Benutzernamen und das Passwort zu überprüfen. Horde bietet dafür viele verschiedene Möglichkeiten an. Der Einfachheit halber kann man hier das Password-File benutzen (/etc/passwd). Der User muss dann nur im lokalen System angelegt werden:

adduser horde_user

(Administration -> Konfiguration -> Horde -> Authentication)

Datenbanktabellen für Horde anlegen:

Horde konnte bisher die eigenen Datenbanktabellen in MySQL noch nicht anlegen, da wir ihm eben erst die MySQL-Benutzerdaten mitgeteilt haben. Um die Tabellen anzulegen besucht man die Hauptseite der Konfiguration und wählt "Alle DB-Schemata aktualisieren", bis das Ganze so aussieht:

(Administration -> Konfiguration)

Ab sofort sollte man sich in Horde mit dem Benutzer "horde_user" und dem beim adduser-Kommando gewählten Passwort einloggen können.

Apache konfigurieren

Damit Android an Horde syncen kann, muss noch ein Alias in die Apache-Konfiguration eingetragen werden:

#/etc/apache2/httpd.conf
Alias /Microsoft-Server-ActiveSync /var/www/horde4/rpc.php

Das ist notwendig, da Active-Sync Clients automatisiert die URL /Microsoft-Server-ActiveSync aufrufen, wenn sie mit ihrem Server connecten. Horde händelt die Synchronisation allerdings über die Datei rpc.php

Danach muss Apache seine Konfiguration neu laden lassen:

/etc/init.d apache2 reload

Wenn alles geklappt hat, sollte man nun auf seinem Androiden Sync-Konten einrichten können:

Mit diesem Setup Synce ich erfolgreich zwischen Horde, einem Sony Ericsson Xperia Mini Pro und einem Samsung Galaxy Tab.

Fallstricke:

• Ich hatte zunächst mit doppelten Kontakten und Kalendereinträgen zu kämpfen. Am Besten exportiert man zunächst alle Kontakte und den Kalender aus dem Handy und importiert sie in Horde. Danach löscht man alle Daten auf dem Handy und lässt sie von Horde wieder in das angelegte Active-Sync-Konto auf dem handy schieben. Horde bietet viele verschiedene Möglichkeiten an Daten zu importieren. (Organisieren -> Kalender -> Import/Export) und (Organisieren -> Adressbuch -> Import/Export). Den Kalender bekommt man zum Beispiel aus Android gut mit der App "iCal Import/Export" heraus. Mein SONY bot für den Export der Kontakte selbst die Möglichkeit an, diese in ein VCard-File zu exportieren. Aber auch hier gibt es sicher eine geeignete Lösung bei Google Play.
• Die Horde Authentifizierung per /etc/passwd sollte wie oben beschrieben funktionieren. Ich habe sie allerdings nur der Einfachheit halber für dieses Howto gewählt und nicht getestet, da ich selbst Horde an meinem IMAP-Server authentifiziere.
• Als ich angefangen habe die Syncerei zu testen, funktionierte es zuerst nur mit meinem Tablet und nicht mit dem Handy. Nach 1 Stunde frickeln war der Fehler gefunden: Android synct nicht, wenn der interne Speicher zu voll ist. Nachdem ich ein paar Apps auf die SD-Karte verschoben hatte, ging es sofort.

Da es seit gestern einen neuen Kampfpreis bei Yourfone für EUR 24,90 ohne Vertragsbindung gibt, war es mal wieder an der Zeit zu wechseln. Zwar sind in dem Preis SMS nicht inklusive, aber da ich ohnehin kaum über 10 SMS im Monat komme, war auch das kein Hindernis.

Hätte ich meine Rufnummer nicht portieren wollen, hätte ich gar nichts tun müssen. Die SIM-Karte wird nach Ende des Aktivitätszeitraumes automatisch deaktiviert.

Da ich meine Handynummer jedoch mitnehmen wollte zum neuen Anbieter, war folgendes Vorgehen notwendig:

• Blau.de Hotline anrufen und um Zusendung des Formulares "Verzichtserklärung zur Rufnummernmitnahme" bitten.
• Formular ausfüllen und an BLAU faxen
• EUR 24,95 Mitnahmegbühr (bekommt man vom neuen Anbieter zurück) an BLAU überweisen
• Auf Bestätigung der Freigabe der eigenen Rufnummer von BLAU per E-Mail warten
• Beim neuen Anbieter mit Rufnummernmitnahme anmelden

Ich war sehr zufrieden mit BLAU, jedoch sind die EUR 15 Ersparnis / Monat ein Argument, dem ich mich nicht verschließen konnte Ich hoffe der Service bei Yourfone ist gut, ansonsten ist die Auswahl ja zur Zeit sehr groß.

03.05.2012

Erste Ernüchterungen. Ich habe bisher weder eine Nachricht von BLAU, noch eine von Yourfone erhalten. Beim  Anruf auf der Yourfone 0800er Hotline erfuhr ich, dass meine Portierung fehlgeschlagen sei. BLAU hat die Portierung abgelehnt, da nicht die gleichen Daten bei BLAU und Yourfone hinterlegt worden sind, was definitiv nicht korrekt ist. Hätte ich mich nicht persönlich gemeldet, wäre die Sache wohl im Sande verlaufen. Der Hotliner bat mich die Daten noch einmal zu überprüfen und die Portierung dann erneut anzustoßen. Nach Überprüfung ging dann leider der bekannte Hotline-Terror los. Bei einem erneuten Anruf auf der 0800er-Hotline wollte mir die Hotlinerin nicht bei meinem Problem helfen, da sie nur Neubestellungen aufnehmen könne. Für mein Problem sollte ich die 0900er Hotline anrufen. Sie wollte mir allerdings eine erneute Bestellung entlocken, die ich abgelehnt habe, da ich nicht mit zwei SIM-Karten zuhause sitzen wollte. Ich bin inzwischen sehr vorsichtig damit bei Telcos internes Verwaltungschaos zu generieren. Die sehr widerwillig angewählte 0900er Hotline war über mein Sipgate-VoiP-Festnetz nicht erreichbar.

Also habe ich erneut eine Mail an kundenbetreuung@yourfone.de und portierung@yourfone.de geschrieben und darum gebeten meine Portierung erneut zu überprüfen. Die Portierungs-Adresse wurde extra für Portierungsprobleme eingerichtet.

07.05.2012

Antwort von Yourfone, dass die Portierung erneut versucht wurde.

11.05.2012

Mail von Yourfone, dass die Portierung erfolgreich angestossen wurde und dass ich ab dem 14.05. über Yourfone geschaltet sein werde.

Versandbestätigung meiner SIM-Karte.

14.05.2012

Morgens funktioniert mein Handy nicht mehr. Meine BLAU-Karte darf sich nicht mehr einbuchen.

Im Briefkasten liegt meine neue Yourfone-SIM. Sie muss online oder telefonisch aktiviert werden. Ich wähle die Online-Aktivierung. Ca. 30 Minuten später ist meine Yourfone-SIM aktiv. Ich bekomme sofort Konfigurationsnachrichten für Daten und MMS. Ich bin online im (alten) neuen Netz. Geschafft!

Ein erster Test der Internetverbindung war erschreckend. Ein Newsartikel benötigte ca. 30 Sekunden um zu laden. Glücklicherweise lag das nicht an Yourfone sondern an meinem Android-Handy. Durch die Konfigurationsnachricht von Yourfone wurde auch ein WAP-Zugangspunkt im Handy hinterlegt, den mein Android als default genommen hatte. Nach Entfernen des WAP-Zugangspunktes hatte ich mit dem Internet-Profil eine (gefühlt) bessere Performance als mit BLAU.

#!/bin/bash
# Eingangs und Ausgangsverzeichnis konfigurieren
INDIR=/home/user/vid_in
OUTDIR=/home/user/vid_out

# Eventuellen Whitespace aus den Dateinamen entfernen
find $INDIR -name "* *" -type f | rename 's/ /_/g'

for f in $(ls $INDIR)
do
# Mit ffmpeg in H264 und AAC konvertieren (Achtung, der ffmpeg-Befehl muss in EINE Zeile)
ffmpeg -y -i $INDIR/$f -vcodec libx264 -level 41 -crf 24 -threads 2 -acodec libfaac -ab 128k -ac 2 -ar 48000 $OUTDIR/$f.mp4
# Ende ffmpeg Befehl

# Die folgende Zeile kann auskommentiert werden, wenn die Originaldateien
# gelöscht werden sollen.
#rm $INDIR/$f

done

Das in den Ubuntu-Repos vorhandene ffmpeg unterstützt leider kein H264, man muss ffmpeg selbst kompilieren um in den Genuß zu kommen. Das geht mit diesem Script hier ganz leicht:

http://pasindudps.blogspot.de/2011/10/install-ffmpeg-in-ubuntu-1110-oneiric.html

Vorwahlbot

Nach Problemen mit einer Onboard-Netzwerkkarte habe ich problemlos funktionierenden aktuellen Ersatz gesucht und bin auf folgende Karte gestossen:

Intel EXPI9301CTBLK PRO1000 Netzwerkkarte CT PCIex bulk

Sie funktioniert direkt Out of the Box unter Ubuntu und Debian mit aktuellem Kernel und dem Kernelmodul e1000e.

Ins PXE-Setup gelangt man beim booten des Rechners durch drücken von CTRL-S.

ww-ww-13:05:10 ~ -> uname -a
Linux ww 3.0.0-16-generic #28-Ubuntu SMP Fri Jan 27 17:44:39 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux

ww-ww-13:05:41 ~ -> lspci | grep Intel
02:00.0 Ethernet controller: Intel Corporation 82574L Gigabit Network Connection

ww-ww-13:05:48 ~ -> dmesg | grep Intel
[    0.000000]   Intel GenuineIntel
[    1.426119] e1000e: Intel(R) PRO/1000 Network Driver - 1.3.10-k2
[    1.426121] e1000e: Copyright(c) 1999 - 2011 Intel Corporation.
[    1.543197] e1000e 0000:02:00.0: eth1: Intel(R) PRO/1000 Network Connection

ww-root-13:15:13 /home/ww -> ethtool eth1
Settings for eth1:
        Supported ports: [ TP ]
        Supported link modes:   10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
        Supports auto-negotiation: Yes
        Advertised link modes:  10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
        Advertised pause frame use: No
        Advertised auto-negotiation: Yes
        Speed: 100Mb/s
        Duplex: Full
        Port: Twisted Pair
        PHYAD: 1
        Transceiver: internal
        Auto-negotiation: on
        MDI-X: off
        Supports Wake-on: pumbg
        Wake-on: g
        Current message level: 0x00000001 (1)
                               drv
        Link detected: yes

ww-root-13:17:30 /home/ww -> ethtool -i eth1
driver: e1000e
version: 1.3.10-k2
firmware-version: 1.8-0
bus-info: 0000:02:00.0
supports-statistics: yes
supports-test: yes
supports-eeprom-access: yes
supports-register-dump: yes

box-root-16:32:35 / -> df -h /dev/shm
Dateisystem            Größe Benut  Verf Ben%% Eingehängt auf
none                  7,9G   11M  7,9G   1% /run/shm

Man muss Firefox lediglich so konfigurieren, dass /dev/shm als Cache-Verzeichnis genutzt wird. Leider ist dies nicht mehr über die grafischen Einstellungen möglich, man muss selbst Hand anlegen. Dazu öffnet man Firefox und gibt in der Adressleiste about:config ein.

Mit einem Rechtsklick legt man im Konfigurationsinterface einen neuen String-Wert mit dem Namen browser.cache.disk.parent_directory an und gibt diesem den Wert /dev/shm.

Ab sofort speichert Firefox auf der RAM-Disk zwischen. Vor- und Zurückblättern im Browser wird einen Tick schneller.

Je nach Betrachtungsweise ist der Vorteil oder Nachteil an dieser Einstellung, dass der Cache verloren geht, wenn man den Rechner ausschaltet, da die zwischengespeicherten Webseiten und Bilder nur noch im RAM laden und nicht mehr auf der Platte.

Leider vermietet Alice zwangsweise seine kombinierte Anschlußbox mit Router, WLAN und vorkonfiguriertem VoIP mit. Das mag für die meisten User in Ordnung sein, ich habe meinen Server lieber direkt als Firewall und Router an der Leitung.

Falls man Alice auch zum telefonieren benutzen möchte benötigt man leider zwingend die Alice-Box, da hier die Telefonie Zugangsdaten versteckt von Alice hinterlegt sind. Ohne sie kann man nicht telefonieren, die Hotline nennt diese bei Nachfrage angeblich nicht.

Da ich die Alice-Telefonie zum Glück nicht brauche und die Leitung nur für Internet benutzen will, stand meinem gewünschten Setup nichts mehr im Wege, ausser ein wenig pppd-Frickelei.

Nach Alice-Angabe muss man die Leitung zunächst "aktivieren". Dafür liegt dem Modem eine CD bei, die mit einem (verbuggten) Assistenten durch die Inbetriebnahme führt. Ich vermute, dass dieser Schritt nicht wirklich nötig ist, aber ich habe ihn zur Sicherheit ausgeführt.

Dafür habe ich ein Windows-Notebook an die original Alice-Box geklemmt und die "Aktivierung" durchgeführt.

Danach benötigt man die Alice-Box nicht mehr.

Ich habe mein altes Congstar-Box DSL-Modem ohne Splitter an die Leitung gehängt und per Ethernet mit meinem Server verbunden.

Danach müssen nur noch ein paar Configdateien angepasst werden:

#/etc/ppp/peers/alice

# Interface zum DSL-Modem auswählen und MTU setzen

pty "pppoe -I eth1 -m 1452"

connect /bin/true
ipcp-accept-remote
ipcp-accept-local
usepeerdns
noipdefault
defaultroute 

#Hier eigenen Usernamen eintragen

user "0123456789@alice-dsl.de"

hide-password
noaccomp
nopcomp
novj
novjccomp
nobsdcomp
nodeflate
noccp
nocrtscts
local
noauth
lcp-echo-interval 10
lcp-echo-failure 3
lock 

# Die beiden Nachfolgenden Optionen sind nützlich zum Debuggen

#debug
#nodetach

#/etc/ppp/pap-secrets
"0123456789@alice-dsl.de" * "passwort" *

Danach ist mit pon alice eine Anwahl möglich

gbn-root-21:40:15 /etc/ppp -> pon alice

Die Konfig funktioniert gut und ist ganz dreist geklaut von http://www.alice-wiki.de/Debian Dort findet man auch Erklärungen zu allen Optionen und eine Menge weitere gute Infos über die DSL-Einwahl im Allgemeinen und bei Alice im Besondern.

Natürlich wollte ich die Internetverbindung nicht über einen Client herstellen, sondern wie gewohnt über meinen Homeserver, der für das ganze Heimnetz als Router fungiert.

Die größten Probleme hatte ich mit der Alice Hotline. Mit der SIMkarte kam eine Kurzanleitung, wie man diese über das Alice-Portal aktivieren könne. Leider hat das Portal weder in Firefox, Chrome oder Opera richtig funktioniert. Ich bin nicht bis zur Aktivierung der SIMkarte vorgedrungen.

Also leider Anrufe auf der 01805 Hotline. Sehr ärgerlich für 42ct./Min.

Über die Hotline war die Akivierung der Karte zum Glück schnell erledigt, leider konnte man mir dort zunächst nicht den notwendigen APN für die Konfiguration von wvdial nennen. Ich wollte hier sicher gehen, da ich etwas Angst vor exorbitanten Rechnungen hatte bei falscher Konfiguration des Wertes. Hier konnte mir die Technik zum Glück weiterhelfen. Für die Alice / O2 Quickstart Mobile Internet Flat lautet der APN nach Angaben der Hotline "internet.partner1". Bei der Vergabe des Namens war wohl niemand vom Marketing beteiligt

Als nächsten Schritt habe ich die SIMkarte in ein Handy eingelegt um auf die Aktivierung zu warten und diese mitzubekommen. Das ging recht schnell, nach ca. 30 Minuten war meine SIM bereits aktiv und konnte sich ins Netz einbuchen. Erstaunlich schnell, da die Aktivierung von Alice zunächst zu O2 propagiert wird. Um das Handy zu zwingen sich neu ins Netz einzubuchen, kann man es aus- und wieder einschalten. Ich habe nun mit dem Handy noch die PIN-Abfrage der SIM deaktiviert, da ich vor einiger Zeit schon einmal üble Probleme mit wvdial und einer PIN hatte.

Der Rest funktionierte erstaunlich gut.

Ich habe die SIM in meinen Huawei Surfstick (T-Mobile Surfstick III)

Bus 001 Device 004: ID 12d1:1003 Huawei Technologies Co., Ltd. E220 HSDPA Modem / E270 HSDPA/HSUPA Modem

eingelegt. Nach dem Einstecken in einen USB-Port stellt Debian mit einem aktuellen Kernel das Device /dev/ttyUSB0 zur Verfügung.

Dieses kann man mit wvdial ansprechen

#/etc/wvdial.conf

[Dialer Defaults]
Init1 = ATZ
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
Init3 = AT+CGDCONT=1,"IP","internet.partner1"
Phone = *99***1#
Password = blank
Username = blank
New PPPD = yes
Modem = /dev/ttyUSB0
Baud = 460800
Modem Type = USB Modem
Auto Reconnect = on

Danach kann mit einem "wvdial" die Verbindung hergestellt werden:

gbn-root-00:19:27 ~ -> wvdial
--> WvDial: Internet dialer version 1.60
--> Cannot get information for serial port.
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
OK
--> Sending: AT+CGDCONT=1,"IP","internet.partner1"
AT+CGDCONT=1,"IP","internet.partner1"
OK
--> Modem initialized.
--> Sending: ATDT*99***1#
--> Waiting for carrier.
ATDT*99***1#
CONNECT
--> Carrier detected.  Waiting for prompt.
--> Don't know what to do!  Starting pppd and hoping for the best.
--> Starting pppd at Sun Jan 29 00:19:58 2012
--> Pid of pppd: 3749
--> Using interface ppp0
--> pppd: ��� ��� ȧ�
--> pppd: ��� ��� ȧ�
--> pppd: ��� ��� ȧ�
--> pppd: ��� ��� ȧ�
--> pppd: ��� ��� ȧ�
--> pppd: ��� ��� ȧ�
--> local  IP address 10.43.145.228
--> pppd: ��� ��� ȧ�
--> remote IP address 10.64.64.64
--> pppd: ��� ��� ȧ�
--> primary   DNS address 193.189.244.225
--> pppd: ��� ��� ȧ�
--> secondary DNS address 193.189.244.206
--> pppd: ��� ��� ȧ� 

Danach steht über die Luftschnittstelle das Internet an Device PPP0 zur Verfügung, das man nun für Routing und Firewallregeln benutzen kann.

Der Downstream ist im Zentrum von Düsseldorf ganz in Ordnung, der Upstream lässt allerdings SEHR zu wünschen übrig:

Download-Geschwindigkeit: 2.082 kbit/s (260 kByte/s)
Upload-Geschwindigkeit:   71 kbit/s    (9 kByte/s)

Aber... Einem geschenkten Gaul schaut man nicht ins Maul. Bezahlen würde ich für diese Performance allerdings nicht.

Nachtrag

Leider ist die Verbindung nicht stabil. Nach weniger als einer Stunde fliessen keine Daten mehr über PPP0, wvdial bekommt davon leider nichts mit und denkt die Verbindung sei noch aktiv, wählt also auch nicht selbstständig neu ein. Dieses Problem zu debuggen war mir zu kompliziert, da diese Notlösung ohnehin nur einige Wochen bis zur Schaltung des DSLers funktionieren muss. Das folgende kleine Skript überprüft ob die Verbindung noch steht. Falls nicht, wird wvdial gekillt und neu gestartet.

#!/bin/bash

ping -c1 www.google.de > /dev/null

if [ $? -ne 0 ];
        then
        killall wvdial
        echo `date` >> /var/log/connection_lost.log
        wvdial &
fi

Dieses Skript rufe ich automatisch über einen Cronjob auf und bin jetzt always on:

#/etc/crontab

# REDIAL CRAPPY O2 line
* * * * *       root    /root/scripts/redial_ppp

Fallstricke:

• PIN-Schutz der SIM nicht deaktiviert
• Die Verbindung über Mobilfunkprovider ist leider geNATtet. Der eigene Server ist von Außen nicht direkt erreichbar. Serverdienste können nur schwierig angeboten werden.

Da durch den Durchbruch von Facebook der Klarname ins Netz gewandert ist, ist die Verknüpfbarkeit von Surfgewohnheiten mit der eignen Person nicht mehr nur eine theoretische Möglichkeit sondern geschieht vollautomatisch und ständig.

In diesem Artikel werde ich einige Möglichkeiten auflisten seine Privatsphäre online zu verteidigen. Leider benötigen fast alle Maßnahmen eine gewisse Eigeninitiative und ein wenig Einarbeitung. Oft verliert man (zumindest am Anfang) etwas Komfort beim Surfen. Trotzdem kann die Nutzung der Tipps auf lange Sicht sehr nützlich sein.

Doch erstmal ein kleines Experiement. Für den kleinen Test habe ich einen aktuellen Firefoxbrowser in der Standardkonfiguration gestartet, alle vorhandenen Cookies gelöscht und danach 6 Seiten angesurft, und zwar Spiegel.de, Bild.de, GMX.de, Twitter, Facebook und eine Pornoseite. Das Ergebnis sind 21 neue permanente Cookies auf dem Rechner.

Bereits nach dem Aufruf dieser wenigen Seiten ist der Browser komplett verwanzt mit 3rd Party Cookies. Diese Cookies identifizieren meine Browserinstallation nun gegenüber den Urhebern und können von ihnen wieder ausgelesen werden. Dies kann zunächst einmal auf ihren eignen Seiten geschehen. Aber auch auf Seiten Dritter, mit welchen kooperiert wird.

So wird der Google-Cookie zum Beispiel auf jeder Seite gelesen , die Google-Analytics nutzt, Google Werbung schaltet, Google Maps einbindet oder einen der vielen anderen konstenlosen Google-Dienste für Webmaster benutzt. So erhält Google nicht nur eine Historie meiner Google Suchen, sondern nimmt es auch bei vielen anderen Seiten wahr, dass ich sie besuche.

Ähnlich läuft es mit den Cookies der anderen Anbieter. Werbefirmen, Marktforschungsinstitute, Spammer und Marketingfirmen versuchen ständig auf dem Browser Cookies zu setzen und auf Partnerseiten wieder auszulesen, um mehr über mich zu erfahren.

Dies geschieht entweder über kleine unsichbare Dateien auf der Webseite ("Zählpixel","TrackingImage") oder durch Javascripte, die auf den Partnerseiten eingebaut werden.

Ein erster Schritt für mehr Privatsphäre ist es also die Tracking-Cookie, Zählpixel und Tracking-JavaScript Flut zu bekämpfen.

Tipp 1 - Mit einem lokalen Hostfile einen Großteil der Spione komplett aussperren.

Als Grundimmunisierung gegen die Pest hilft ein lokales Hostfile. In jedem modernen Betriebssystem kann im Hostfile eine Liste von Domainnamen mit der dazugehörigen IP
hinterlegt werden. Das System benutzt zuerst das lokale Hostfile um Adressen im Internet nachzuschlagen, erst danach einen DNS-Server im Internet. Trägt man im Hostfile also Adressen von schädlichen Domains ein, die Tracking-Cookies setzen wollen und leitet die Anfragen an diese Seiten lokal um, kann der Browser diese schädlichen Seiten nicht mehr erreichen.

Somit hat man schon einen Großteil des Problems gelöst. Ein sehr gut gepflegtes Hostfile, das tausende von Trackingdomains enthält kann man hier finden:http://winhelp2002.mvps.org/hosts.txt Unter Linux speichert man es einfach als /etc/hosts auf dem lokalen Rechner ab, um es zu aktivieren.

#!/bin/bash
wget -O /tmp/tracking.txt http://winhelp2002.mvps.org/hosts.txt
mv /etc/hosts /etc/hosts.backup
mv /tmp/tracking.txt /etc/hosts

Betreibt man einen eigenen DNS-Server im LAN, kann man diesen auch so konfigurieren, dass er das Hostsfile nutzt und so automatisch das ganze LAN zentral befreien.

Tipp 2: Google nur das Nötigste mitteilen mit GoogleSharing

Google ist Tracker #1 im Internet und erfasst auf Umwegen inzwischen fast auf jeder besuchten Seite persönliche Daten, diese können durch persönliche Identifikation über GMail, Google+ oder andere personalisierte Dienste auf die eigene Person zurückgeführt werden und mit den eigenen Google-Suchen verknüpft werden. Dagegen hilft das Ablehnen des Google-Cookies und das interessante Firefox-Plugin GoogleSharing. Das Plugin anonymisert jeden Kontakt zu Google indem es ständig zufällige Identitäten erstellt, die mit allen anderen Nutzern des Plugins geteilt werden. Google kann bei Benutzung des Plugins den einzelnen Nutzer nicht mehr in dieser anonymisierten Zufallsmasse identifizieren.

Das Plugin funktioniert vollautomatisch und verringert die Geschwindigkeit von Google nur unerheblich.
GoogleSharing gibt es direkt in Firefox unter Extras/Addons oder von dieser Webseite: https://addons.mozilla.org/en-US/firefox/addon/googlesharing/

Tipp 3: Volle Kontrolle über Cookies mit Cookie Monster

Cookies sind nicht nur zum Tracken da. Viele Webseiten benutzen sie für vollkommen legitime Funktionen, wie das Loginmanagement oder das Speichern von Benutzervoreinstellungen. Deshalb ist es sinnvoll, zunächst einmal alle Cookies generell zu verbieten und danach Schritt für Schritt manuell die Cookies zu erlauben, die man tatsächlich für Seiten, die man häufig aktiv nutzt benötigt. Dies ist mit Firefox-Bordmitteln zwar möglich, aber leider recht umständlich. Hier hilft das kostenlose Plugin "Cookie Monster". Es befindet sich nach der Installation im Systemtray und ermöglicht einen schnellen Zugriff auf die Cookieeinstellungen für die aktuell geöffnete Seite. Cookie Monster zu konfigurieren macht zunächst ein wenig Arbeit, da viele Seiten tatsächlich ohne Cookies nicht funktionieren, jedoch erhält man nach kurzer Zeit das bestmögliche Maß an individueller Cookiehygiene. Cookie Monster gibt es hier: https://addons.mozilla.org/de/firefox/addon/cookie-monster/

Tipp 4: Tracking JavaScripte, IFRAMES und Flash-Movies verbieten mit NoScript

Die meisten Cookies werden durch JavaScripte gesetzt. Da sehr viele Webseiten beim kompletten Deaktivieren von Javascript unbenutzbar werden, muss man leider auch hier eine Selektion vornehmen, genauso wie bei den Cookies. Tracking kann auch über IFRAMES und Flash-Movies erfolgen, auch hier hilft NoScript.

Hier gilt der gleiche Ansatz: Zunächst einmal alle Scripte komplett verbieten und danach Stück für Stück benötigte Skripte erlauben. Dabei hilft das Firefox Plugin NoScript, das ähnlich wie Cookie Monster von der Taskleiste aus erreichbar ist und das Erlauben oder Verbieten von Javascript pro besuchter Seite erlaubt. Auch hier hat man zu Beginn viel Stress, fast gar nichts funktioniert mehr. Mit der Zeit hat man das Plugin allerdings so gut an die persönlichen Bedürfnisse angepasst, dass es kaum noch behindert. Als netter Zusatzeffekt laden viele Seiten deutlich schneller, da sie nicht während dem Seitenaufbau noch verschiedene externe Daten von Drittanbietern nachladen müssen.

Tipp 5: IP-Adresse anonymisieren mit TOR-Button

Durch die vorhergehenden Tipps habe ich nun zumindest schon einmal 99,9% der 3rd Party Tracker ausgeschaltet. Webseiten die ich besuche bekommen aber trotzdem noch mit wer ich bin und können meine IP-Adresse protokollieren. Hier hilft das TOR-Netzwerk, über das man anonym surfen kann. Das Prizip ist ähnlich dem GoogleSharing. Die eigene IP-Adresse geht in einem großen Pool anderer Adressen unter und ist nicht mehr auf den eigenen Anschluß zurückzuverfolgen.

TOR ist leider recht langsam und deshalb nicht für den alltäglichen Gebrauch geeignet. Es kann aber fallweise sehr nützlich sein. TOR ist über ein Plugin sehr leicht in den Firefox zu integrieren und schnell ein- und ausschalten. Weitere Infos und Downloads gibt es hier: https://www.torproject.org/torbutton/

Tipp 6: Werbung entfernen mit AdBlock Plus

Alle Werbebanner, sich nicht durch die bisherigen Tipps ohnehin schon verabschiedet haben, kann man mit AdBlock Plus entfernen. Dieses Plugin benutzt eine Liste von Servern von Werbeanbietern und blockt den Zugriff auf deren Server. So kann Firefox keine Werbebanner und Filme mehr nachladen und die entsprechenden Stellen auf den Webseiten bleiben leer. Das Plugin funktioniert vollautomatisch und erwischt sehr viel Werbung, bevor sie den Browser erreichen kann. Werbung, die AdBlock nicht automatisch blockt, kann manuell markiert werden, so dass AdBlock sie danach erkennen und blocken kann. Adblock gibt es hier: https://addons.mozilla.org/de/firefox/addon/adblock-plus

Tipp 7: So oft wie möglich HTTPS benutzen mit HTTPS-Everywhere

Viele Webseiten ermöglichen den Zugang nich nur per HTTP (unverschlüsselt) sondern auch per HTTPS (verschlüsselt). Das bedeutet, dass der komplette Datenverkehr zwischen dem lokalen Rechner und dem Webserver verschlüsselt wird und niemand zwischen dem eigenen Rechner und dem Server den Datenverkehr mitlesen kann. Das Plugin HTTPS-Everywhere pflegt eine Liste von Webseiten, die sowohl HTTP als auch HTTPS anbieten. Benutzt man für eine dieser Webseiten HTTP, wird man automatisch auf die HTTPS-Version der Seite umgelenkt und surft somit verschlüsselt. https://www.eff.org/https-everywhere

Daten von den Meldeämtern werden weitergegeben an:

Staatliche Behörden, bei berechtigtem Interesse im Rahmen der Amtshilfe

Also z.B. Polizei, Staatsanwaltschaft, statistische Ämter, etc.

die GEZ

Die Brüder kennen wir ja schon zur Genüge.

Parteien, Wählergruppen und anderen Trägern von Wahlvorschlägen im
Zusammenhang mit Parlaments- und Kommunalwahlen; § 35 Abs.1 MG NRW

Um die hübsche Hochglanz-Wahlwerbung zu erhalten.

an Antragsteller und Parteien im Zusammenhang mit Volksbegehren und
Volksentscheiden sowie mit Bürgerentscheiden; § 35 Abs.2 MG NRW

Um Hochglanz-Entscheidungshilfen bei den häufigen Volksabstimmungen zu erhalten.

im Wege des automatisierten Abrufs über das Internet; § 34 Abs.1b MG NRW

Das ist der Punkt, der mir bisher nicht bekannt war. Über ein Internetportal kann
jeder, der einige Kenndaten einer Person kennt automatisiert über das Internet
Meldeauskünfte einholen. Die Abfrage kostet zur Zeit 4 Euro pro Datensatz in Düsseldorf.

Das Meldegesetz NRW sagt an dieser Stelle:

https://recht.nrw.de/lmi/owa/br_bes_text?anw_nr=2&gld_nr=2&ugl_nr=210&bes_id=4655&aufgehoben=N&menu=1&sg=

§ 34 Abs.1b MG NRW
(1b) Soll der Abruf über das Internet ermöglicht werden, ist sicherzustellen, dass das Antragsverfahren und die Auskunftserteilung in verschlüsselter Form erfolgen. Die Eröffnung des Zugangs ist öffentlich bekannt zu machen. Ein Abruf ist nicht zulässig, wenn der Betroffene dieser Form der Auskunftserteilung widersprochen hat. Die Meldebehörde hat spätestens einen Monat vor der Eröffnung des Internetzugangs durch öffentliche Bekanntmachung auf das Widerspruchsrecht hinzuweisen. Im Übrigen gilt § 35 Abs. 6 Satz 2 entsprechend.

Ein Widerspruch gegen die Weitergabe der Daten ist durch das Ausfüllen eines Formulars möglich. Für Düsseldorf findet sich dieses hier: https://formulare.duesseldorf.de/forms/frm/7PRPfAZH5gQA8Ja8AkNGaH1rNpDcHR3 Dieses kann kostenlos in Bürgerämtern abgegeben werden. Danach ist kein Onlinezugriff auf die eigenen Daten mehr möglich. Anscheinend werden die Datenzugriffe regional von den jeweiligen Städten und Kreisen organisiert.

Auf meine Nachfrage bei der (sehr freundlichen) Sachbearbeiterin im Bürgerbüro hin, konnte
man mir leider nicht die URL des Abfrageportals mitteilen. Eine kurze Recherche hat mich dann aber schnell auf diese Seite der Stadt Düsseldorf geführt:

https://www.duesseldorf.de/emra/emra.jsp?stadt=D%FCsseldorf&art=Stadt

Das Portal machte technisch gelinde gesagt einen sehr zweifelhaften Eindruck.
Zunächst einmal scheint es keinerlei Captcha oder ähnliches zu geben. Eine Massenabfrage scheint also mit entsprechenden Skripten möglich zu sein.

Außerdem verabschiedete sich die Webapplikation bei meiner Testabfrage mit folgender Tomcat Fehlermeldung, da ich keine Cookies aktiviert hatte:

Dies lies mich dann doch zunehmend an der Professionalität einer Anwendung zweifeln, die Zugriff auf die Daten aller Bürger der Stadt bietet. Ein Skript sollte nicht abstürzen, wenn Voraussetzungen am Rechner des Benutzers nicht gegeben sind (in diesem Fall mein fehlender Cookie). Skript-Fehlermeldungen von Webservern, die sich im produktiven Einsatz befinden nicht zu deaktivieren ist fahrlässig, da sie viel über die verwendete Systemumgebung verraten können. Zumal man bei jsp (wie im Screenshot oben) je nach Konfiguration des Servers auch noch Kommentare des Programmierers und Quelltextschnippsel dazu bekommt. Hier wurde geschlampt. An einer Schnittstelle zu persönlichen Daten sollte das nicht passieren.

Aufhorchen ließ mich auch die benutze Tomcat Version, welche in der Fehlermeldung auch unten auftaucht. (Apache Tomcat/6.0.24) Dies ist eine ältere Version des Webservers vom 21.01.2010. Aktuell ist die Version 6.0.33. Der Melderegister-Server wurde 4 Versionen lang nicht aktualisiert. Schaut man sich die Sicherheitslücken an, die in diesen letzten Versionen behoben wurden, wird es langsam ungemütlich. Der Server befindet sich offensichtlich nicht im bestmöglichen Zustand:

http://tomcat.apache.org/security-6.html

Fixed in Apache Tomcat 6.0.33	released 18 Aug 2011

    Moderate: Multiple weaknesses in HTTP DIGEST authentication CVE-2011-1184

    The implementation of HTTP DIGEST authentication was discovered to have several weaknesses:

        replay attacks were permitted
        server nonces were not checked
        client nonce counts were not checked
        qop values were not checked
        realm values were not checked
        the server secret was hard-coded to a known string

    The result of these weaknesses is that DIGEST authentication was only as secure as BASIC authentication.

    This was fixed in revision 1158180.

    This was identified by the Tomcat security team on 16 March 2011 and made public on 26 September 2011.

    Affects: 6.0.0-6.0.32

    Low: Information disclosure CVE-2011-2204

    When using the MemoryUserDatabase (based on tomcat-users.xml) and creating users via JMX, an exception during the user creation process may trigger an error message in the JMX client that includes the user's password. This error message is also written to the Tomcat logs. User passwords are visible to administrators with JMX access and/or administrators with read access to the tomcat-users.xml file. Users that do not have these permissions but are able to read log files may be able to discover a user's password.

    This was fixed in revision 1140071.

    This was identified by Polina Genova on 14 June 2011 and made public on 27 June 2011.

    Affects: 6.0.0-6.0.32

    Low: Information disclosure CVE-2011-2526

    Tomcat provides support for sendfile with the HTTP NIO and HTTP APR connectors. sendfile is used automatically for content served via the DefaultServlet and deployed web applications may use it directly via setting request attributes. These request attributes were not validated. When running under a security manager, this lack of validation allowed a malicious web application to do one or more of the following that would normally be prevented by a security manager:

        return files to users that the security manager should make inaccessible
        terminate (via a crash) the JVM

    Additionally, these vulnerabilities only occur when all of the following are true:

        untrusted web applications are being used
        the SecurityManager is used to limit the untrusted web applications
        the HTTP NIO or HTTP APR connector is used
        sendfile is enabled for the connector (this is the default)

    This was fixed in revision 1146703.

    This was identified by the Tomcat security team on 7 July 2011 and made public on 13 July 2011.

    Affects: 6.0.0-6.0.32

    Important: Information disclosure CVE-2011-2729

    Due to a bug in the capabilities code, jsvc (the service wrapper for Linux that is part of the Commons Daemon project) does not drop capabilities allowing the application to access files and directories owned by superuser. This vulnerability only occurs when all of the following are true:

        Tomcat is running on a Linux operating system
        jsvc was compiled with libcap
        -user parameter is used

    Affected Tomcat versions shipped with source files for jsvc that included this vulnerability.

    This was fixed in revision 1153824.

    This was identified by Wilfried Weissmann on 20 July 2011 and made public on 12 August 2011.

    Affects: 6.0.30-6.0.32

Fixed in Apache Tomcat 6.0.32	released 03 Feb 2011

    Note: The issue below was fixed in Apache Tomcat 6.0.31 but the release vote for the 6.0.31 release candidate did not pass. Therefore, although users must download 6.0.32 to obtain a version that includes a fix for this issue, version 6.0.31 is not included in the list of affected versions.

    Important: Remote Denial Of Service CVE-2011-0534

    The NIO connector expands its buffer endlessly during request line processing. That behaviour can be used for a denial of service attack using a carefully crafted request.

    This was fixed in revision 1066313.

    This was identified by the Tomcat security team on 27 Jan 2011 and made public on 5 Feb 2011.

    Affects: 6.0.0-6.0.30

Fixed in Apache Tomcat 6.0.30	released 13 Jan 2011

    Low: Cross-site scripting CVE-2011-0013

    The HTML Manager interface displayed web application provided data, such as display names, without filtering. A malicious web application could trigger script execution by an administrative user when viewing the manager pages.

    This was fixed in revision 1057270.

    This was identified by the Tomcat security team on 12 Nov 2010 and made public on 5 Feb 2011.

    Affects: 6.0.0-6.0.29

    Moderate: Cross-site scripting CVE-2010-4172

    The Manager application used the user provided parameters sort and orderBy directly without filtering thereby permitting cross-site scripting.

    This was fixed in revision 1037779.

    This was first reported to the Tomcat security team on 15 Nov 2010 and made public on 22 Nov 2010.

    Affects: 6.0.12-6.0.29

    Low: SecurityManager file permission bypass CVE-2010-3718

    When running under a SecurityManager, access to the file system is limited but web applications are granted read/write permissions to the work directory. This directory is used for a variety of temporary files such as the intermediate files generated when compiling JSPs to Servlets. The location of the work directory is specified by a ServletContect attribute that is meant to be read-only to web applications. However, due to a coding error, the read-only setting was not applied. Therefore, a malicious web application may modify the attribute before Tomcat applies the file permissions. This can be used to grant read/write permissions to any area on the file system which a malicious web application may then take advantage of. This vulnerability is only applicable when hosting web applications from untrusted sources such as shared hosting environments.

    This was fixed in revision 1022560.

    This was discovered by the Tomcat security team on 12 Oct 2010 and made public on 5 Feb 2011.

    Affects: 6.0.0-6.0.29

Fixed in Apache Tomcat 6.0.28	released 9 Jul 2010

    Important: Remote Denial Of Service and Information Disclosure Vulnerability CVE-2010-2227

    Several flaws in the handling of the 'Transfer-Encoding' header were found that prevented the recycling of a buffer. A remote attacker could trigger this flaw which would cause subsequent requests to fail and/or information to leak between requests. This flaw is mitigated if Tomcat is behind a reverse proxy (such as Apache httpd 2.2) as the proxy should reject the invalid transfer encoding header.

    This was fixed in revision 958977.

    This was first reported to the Tomcat security team on 14 Jun 2010 and made public on 9 Jul 2010.

    Affects: 6.0.0-6.0.27

    Note: The issue below was fixed in Apache Tomcat 6.0.27 but the release vote for the 6.0.27 release candidate did not pass. Therefore, although users must download 6.0.28 to obtain a version that includes a fix for this issue, version 6.0.27 is not included in the list of affected versions.

    Low: Information disclosure in authentication headers CVE-2010-1157

    The WWW-Authenticate HTTP header for BASIC and DIGEST authentication includes a realm name. If a  element is specified for the application in web.xml it will be used. However, a  is not specified then Tomcat will generate realm name using the code snippet request.getServerName() + ":" + request.getServerPort(). In some circumstances this can expose the local host name or IP address of the machine running Tomcat.

    This was fixed in revision 936540.

    This was first reported to the Tomcat security team on 31 Dec 2009 and made public on 21 Apr 2010.

    Affects: 6.0.0-6.0.26

Das alles wirkt sehr unsicher und steht für mich exemplarisch für den gelebten Datenschutzwillen des Staates. Die Daten werden verkauft und es ist kaum jemandem bekannt. Die technische Umsetzung lässt sehr zu Wünschen übrig und läuft über technische Systeme, die bekanntermaßen fehlerhaft sind und dringend aktualisiert werden müssten. Auch scheint eine Endkontrolle und qualifizierte Abnahme bei IT-Projekten (die bekanntermaßen für den Staat meistens recht teuer sind) nicht immer stattzufinden.

Als einzigen Pluspunkt kann ich vermerken, dass es kein zentrales bundesweites Portal mit Online-Fernabfrage für alle Meldedaten zu geben scheint. Dann wären wir sicherlich nicht mehr weit entfernt von dem, was den Israelis vor Kurzem geschehen ist.

Ich bin froh, dass ich mich ausgetragen habe, aber ob jemand mit etwas krimineller Energie und technischem Verständnis nicht trotzdem (kostenlos) an meine Daten (und alle anderen) kommen könnte, halte ich zumindest für fragwürdig. Auf den ersten Blick wirkt das Düsseldorfer System nicht abgehärtet gegen Angriffe.

HISTORY:
Nov 20 2011 | Version 0.1
Initial release. Deletes Tweets

Dez 28 2011 | Version 0.2
Small bug fixes. Now deletes Retweets as well.

KNOWN BUGS:
- Won't work if you tweet more than 1000 tweets in the timeframe you plan to keep tweets. Same for retweets (100 allowed). These are shortcomings of the Twitter GET API I am using ATM. Maybe I'll fix this with the next release

Tweet Neglector uses the Twitter API to delete all your tweets that were posted before a given number of days from now. This way you could configure the script to delete all tweets that are older than a week or a month for example. The script should be automatically run from a cronjob or another automation mechanism on a regular base.

This script can't protect you from external Tweet archives. Also it is unknown if deleted Tweets are still archived by Twitter (I bet they are). So (as always) think before tweeting.

Tweet Neglector uses PHP as scripting language and bundles the Twitter OAuth Library from Matt Harris for API-Access.

Installation

- PHP5 required for tmhOAuth

- Unzip the archive into a directory of your choice.

- Register your Twitter API-Keys at https://dev.twitter.com/apps

- Edit the configuration of the script to suit your needs:

# Twitter API keys, tokens and secrets
# Get these keys at -> https://dev.twitter.com/apps

$consumer_key        =  "YOUR KEY HERE";
$consumer_secret     =  "YOUR KEY HERE";
$access_token        =  "YOUR KEY HERE";
$access_token_secret =  "YOUR KEY HERE";

# Number of tweets to work on per session
$tweets_per_session = 1000;

# Twitter Username
$twitter_username = "YOUR USERNAME HERE";

# Days to keep tweets
$keep_days = 30;

- Run the script manually from browser, console or automatically by cronjob
/usr/bin/php /var/www/tweetneglector/tweetneglector.php

Download Tweet Neglector 0.2 here

Ein kleiner DHCP-Server ist mit dnsmasq sehr schnell eingerichtet.

# dnsmasq installieren
apt-get install dnsmasq

Die Konfiguration findet zentral in der Datei /etc/dnsmasq.conf statt. Man sollte sich vor den geballten Konfigurationsoptionen in der Datei nicht abschrecken lassen. So gut wie alles dient nur als Beispiel und ist per default auskommentiert. Eine sehr kurze Konfig reicht bereits für ein funktionierendes Setup:

DHCP

# DHCP netmask
# Clients bekommen 255.255.255.0 als Netmask
dhcp-option=1,255.255.255.0

# default gateway
# Clients bekommen als Gateway 192.168.1.251
dhcp-option=3,192.168.1.251

# dns
# Clients bekommen als Nameserver 192.168.1.4
# Falls man dnsmasq auch als DNS-Cache benutzen möchte, sollte dies die
# IP des Servers sein, auf dem dnsmasq läuft
dhcp-option=6,192.168.1.4

# Für bekannte Rechner immer dieselbe IP anhand der MAC-Adresse vergeben:
# Hier bekommt der Rechner mit der MAC 00:11:22:33:44:55 die IP 192,168.1.1 für 12 Stunden

dhcp-host=00:11:22:33:44:55,lobby,192.168.1.1,12h
dhcp-host=00:11:22:33:44:66,lobby2,192.168.1.2,12h

# Alle Rechner, die nicht per MAC identifiziert werden können, erhalten IPs
# aus dem Pool 192.168.1.120 bis 150

dhcp-range=192.168.1.120,192.168.1.150,12h

DNS

Die DNS-Funktionalität von dnsmasq benötigt eigentlich keine Konfiguration.
dnsmasq besorgt sich seine Nameserver aus /etc/resolv.conf . Hier sollten die
bekannten Nameserver des Providers eingetragen werden und evtl noch als Fallback
die 8.8.8.8 für Googles DNS-Server.

Weitere Hostnames, die im lokalen Netz gelten sollen, können dnsmasq in der Datei
/etc/hosts bekannt gemacht werden. Hier eingetragene Hostnames stehen allen Rechnern
im LAN zur Verfügung.

Fallstricke

dnsmasq muss nach Konfigänderungen seine Konfigurationsdateien neu einlesen

/etc/init.d/dnsmasq restart

Falls Clients noch eine Lease vom alten DHCP-Server haben, kann man sie manuell dazu bringen, einen neuen DHCP-request zu starten.

#Linux
dhclient eth0

#Windows
ipconfig /RELEASE
ipconfig /RENEW

Dringend muss man darauf achten, den bisher genutzen DHCP-Server (meistens im Router zum Internet) zu deaktivieren. 2 DHCP-Server im LAN können viel Chaos generieren.

Ich bin mir nicht ganz sicher woran es liegt, wahrscheinlich hat der rt2860 Treiber mit irgendeinem Update einen Bug bekommen.

Zum Glück kann das Problem durch die Installation der Windows-Treiber mit ndiswrapper gelöst werden.

Dies ist nur eine etwas verkürzte deutsche Übersetzung der englischen Originalanleitung von nevdelap aus dem Ubuntuforum. (Vielen Dank)

1. Windows Treiber saugen und entpacken (comm_driver_gigabyte_mimobility_v.1.3.1.0.15.zip)

2. Linux Treiber blacklisten

#/etc/modprobe.d/blacklist.conf

blacklist rt2x00lib
blacklist rt2x00pci
blacklist rt2x00usb
blacklist rt2400pci
blacklist rt2500pci
blacklist rt2500usb
blacklist rt2800lib
blacklist rt2800pci
blacklist rt2800usb
blacklist rt61pci
blacklist rt73usb
blacklist rt2600
blacklist rt2860 # Asus eee 1000H has an rt2860. To be loaded by ndiswrapper.
blacklist b43
blacklist b43legacy
blacklist ssb
blacklist r8192s_usb

3. Mit ndisgtk den Windowstreiber aus drivers/GN-WI30N_WP30N_WS30N_WS30HN_WS31N/WINXP2k installieren

sudo ndisgtk

4. Grub konfigurieren

#/etc/default/grub
GRUB_CMDLINE_LINUX_DEFAULT="pciehp.pciehp_force=1 pciehp.pciehp_poll=1 quiet splash"

sudo update-grub2

5. Powermanagement Rule erstellen

#/etc/pm/sleep.d/ndiswrapper

#!/bin/bash
case "$1" in
    hibernate|suspend)
        sudo rmmod ndiswrapper
        ;;
    thaw|resume)
        sudo modprobe ndiswrapper
        ;;
    *)
        ;;
esac
exit $?

chmod +x /etc/pm/sleep.d/ndiswrapper

6. Reboot

Danach läuft das WLAN schnell und stabil.

Pseudo Multithreading mit screen

#!/usr/bin/php5

for ($i=1;$i<50;$i++)
{
echo "starting $i\n";
exec("screen -d -m /usr/bin/php5 ./thread.php");
}

MySQL Server has gone away in lange laufenden PHP-Shellscripten

#/etc/php5/cli/php.ini
mysql.allow_persistent = On
mysql.max_persistent = -1
mysql.max_links = -1
mysql.connect_timeout = -1

box-ww-11:57:35 ~ -> ping www.hinet.net
PING www.hinet.net (202.39.224.7) 56(84) bytes of data.
64 bytes from 202-39-224-7.HINET-IP.hinet.net (202.39.224.7): icmp_req=1 ttl=237 time=306 ms
64 bytes from 202-39-224-7.HINET-IP.hinet.net (202.39.224.7): icmp_req=2 ttl=237 time=306 ms

LOL. Was hätte man anderes erwarten können? Exakt die gleichen Ping-Werte wie zuvor. Exakt die gleiche internationale Route wie zuvor. Kein technisches Problem. Einfach nur viel Bullshit-Blah-Blah. Ich bin gespannt, ob die Kündigung genauso "problemlos" funktionieren wird wie die Schaltung.

Der XS Stick W 14 unter Ubuntu zickte ein wenig herum. Gelegentlich erkannte der Network-Manager ihn als USB-Modem, dann konnte er allerdings trotzdem keine Verbindung herstellen. Nach ein wenig erfolgloser Frickelei bin ich auf das Sakis3G Script gestoßen, das verspricht mit fast allen Sticks eine Verbindung herstellen zu können. Und tatsächlich: Es hat mit Sakis3G sofort funktioniert. Empfehlenswert, wahrscheinlich auch für andere Sticks.

TYPENSCHILD

XS Stick W14
P/N 3000.000056.00
www.4g-systems.com

#lsusb
Bus 002 Device 006: ID 1c9e:9603

# /var/log/syslog beim Einstecken

Jun 19 20:41:04 box kernel: [74186.796148] usb 2-2: new high speed USB device using ehci_hcd and address 7
Jun 19 20:41:04 box kernel: [74186.946031] scsi11 : usb-storage 2-2:1.0
Jun 19 20:41:05 box usb_modeswitch: switching 1c9e:f000 (USB Modem: USB Modem)
Jun 19 20:41:06 box kernel: [74189.293850] usb 2-2: USB disconnect, address 7
Jun 19 20:41:07 box kernel: [74189.660069] usb 2-2: new high speed USB device using ehci_hcd and address 8
Jun 19 20:41:07 box kernel: [74189.819348] option 2-2:1.0: GSM modem (1-port) converter detected
Jun 19 20:41:07 box kernel: [74189.819577] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB0
Jun 19 20:41:07 box kernel: [74189.819802] option 2-2:1.1: GSM modem (1-port) converter detected
Jun 19 20:41:07 box kernel: [74189.819950] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB1
Jun 19 20:41:07 box kernel: [74189.820220] option 2-2:1.2: GSM modem (1-port) converter detected
Jun 19 20:41:07 box kernel: [74189.820395] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB2
Jun 19 20:41:07 box kernel: [74189.821414] scsi12 : usb-storage 2-2:1.3
Jun 19 20:41:07 box modem-manager[10480]:   (ttyUSB1) opening serial port...
Jun 19 20:41:07 box modem-manager[10480]:   (ttyUSB0) opening serial port...
Jun 19 20:41:07 box modem-manager[10480]:   (ttyUSB2) opening serial port...
Jun 19 20:41:08 box usb_modeswitch: switched to 1c9e:9603 (USB Modem: Modem Configuration)
Jun 19 20:41:08 box kernel: [74190.823474] scsi 12:0:0:0: Direct-Access     USBModem Disk             2.31 PQ: 0 ANSI: 2
Jun 19 20:41:08 box kernel: [74190.825402] sd 12:0:0:0: Attached scsi generic sg3 type 0
Jun 19 20:41:08 box kernel: [74190.833436] sd 12:0:0:0: [sdc] Attached SCSI removable disk

Alle Tipps und Codesnips beziehen sich auf eine aktuelle Debian-Kiste.

1. Die Firewall - erst einmal alles verbieten

Die meisten Linux-Distributionen öffnen in ihren Standardinstallationen keine Ports nach außen, die nicht unbedingt notwendig sind. Diese Situation kann man jedoch schnell selbst ändern, wenn man am Server
herumspielt und Dinge ausprobiert. Plötzlich lauscht auch der Mediaserver im Internet oder die Datenbank
nimmt Verbindungen aus dem Internet entgegen. Deshalb ist es nicht verkehrt sich selbst zu disziplinieren und eine sehr restriktive Firewall aufzusetzen, die grundsätzlich erst einmal alle Verbindungen von außen verbietet und nur (selbst) ausgewählte Verbindungen gestattet. Zum Glück ist das mit iptables schnell erledigt. Auf diese Art und Weise kann man nicht mehr aus versehen Dienste der Welt zugänglich machen, die dort nichts zu suchen haben. Man bezahlt leider mit etwas Komfort - die Firewall muss jedes Mal angepasst werden, wenn man neue Dienste anbieten möchte. Trotzdem ist der Aufwand klein und der Nutzen groß.

#!/bin/bash

# Bestehende Tables löschen
iptables -F

# Alle eingehenden Verbindungen verbieten
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Alle ausgehenden erlauben
iptables -P OUTPUT ACCEPT

# SSH erlauben
iptables -A INPUT -j ACCEPT -p tcp --dport 22 

# HTTP erlauben
iptables -A INPUT -j ACCEPT -p tcp --dport 80 

# Weiteren Dienst (UDP) erlauben, zum Beispiel Gameserver
iptables -A INPUT -j ACCEPT -p udp --dport 4534 

# Alles von Localhost erlauben. (Damit der Server selbst ungehindert auf seine Dienste zugreifen kann,
# zum Beispiel PHP auf die lokale Datenbank
iptables -A INPUT -j ACCEPT -s 127.0.0.1

# Bereits aufgebaute Verbindungen werden an jedem Port akzeptiert
# (Notwendig für manche Daemons)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Dieses kleine Grundgerüst kann man einfach weiter ausbauen und eigene Dienste hinzufügen. Bei Arbeiten an der Firewall sollte man immer für den Fall vorsorgen, dass man sich selbst aussperrt. Besonders bei Remote-Servern, auf die man keinen physischen Zugriff hat, ist es sehr ärgerlich, durch eine mißglückte Firewallregel den eigenen Zugriff zu verlieren. Um diesem Problem aus dem Weg zu gehen, kann man bei Arbeiten an der Firewall einfach temporär einen Cronjob starten lassen, der die Firewall alle paar Minuten zurücksetzt oder den Server neu startet. Sind die Regeln später getestet und geliebt, kann der Cronjob wieder deaktiviert werden und die neuen Regeln bleiben permanent aktiv.

Um herauszufinden, welche Dienste gerade auf dem eigenen Server herumlauschen, kann man netstat benutzen:

#Für TCP-Sockets:
netstat -lpn | grep tcp

#Analog für UDP:
netstat -lpn | grep udp

Um zu testen ob die Firewall wirklich funktioniert, kann man den eigenen Server von einem anderen Rechner aus portscannen. Hat alles geklappt, sollten im Ergebnis nur die selbst geöffneten Ports auftauchen:

#Für TCP:
nmap -p1-65535 meinserver.de

#Für UDP:
nmap -sU -p1-65535 meinserver.de

2. SSH Logins verbieten

Am eigenen root-Server hat man uneingeschränkten SSH-Zugriff. Das ist recht praktisch, da man von jedem SSH-Client aus mal eben auf den Server kann um an ihm zu arbeiten. Der Nachteil davon ist, dass das natürlich auch jeder andere kann, der unglücklicher Weise irgendwie an das eigene Passwort gelangt ist. Es ist viel sicherer SSH-Logins nur mit einer gültigen Schlüsseldatei zu erlauben. Dafür wird der öffentliche Schlüssel des Clients auf den Server kopiert und interaktive Logins per Passworteingabe werden deaktiviert.

# Auf dem Client einen öffentlichen Schlüssel erstellen
# Wird bei der Generierung ein Passwort angegeben, benötigt man zum
# einloggen später die Schlüsseldatei UND das Passwort. Ansonsten wird
# nur der Schlüssel benötigt.

ssh-keygen -t rsa

# Den erstellten Schlüssel danach auf den Server kopieren

ssh-copy-id -i ~/.ssh/id_rsa.pub root@meinserver.de

# Danach auf dem Server /etc/ssh/sshd_config anpassen
.
.
PasswordAuthentication no
.
.

# Danach SSh neu starten
/etc/init.d/ssh restart

Auch hier sollte man Vorkehrungen treffen, um sich nicht selbst auszusperren, falls etwas nicht funktioniert.
Der Public Key auf einem USB-Stick mit dem dazugehörigen Passwort im eigenen Kopf macht es sehr viel schwerer für böse Buben eine Shell zu erhalten.

3. SSH Bruteforcing verhindern mit denyhosts

Falls Tipp 2 nicht praktikabel ist und man den Komfort von passwortgestützten Logins nicht aufgeben will, kann man zumindest das automatisierte Passwortraten von Angreifern auf dem Server verhindern. Sehr viele Bots im Internet machen den ganzen Tag nichts anderes als nach SSH-Servern zu suchen und bei Ihnen verschiedenste Passwörter durchzuprobieren. Mit einem halbwegs sicheren Passwort ist das kein großes Problem, trotzdem gibt es ein besseres Gefühl, wenn nicht einmal das möglich ist. Außerdem schützt man so auch seine User, falls auf dem Server auch Useraccounts bestehen. Hier kann man sich nicht darauf verlassen, dass die Benutzer sichere Passwörter verwenden. denyhosts überprüft ständig Logins auf dem ssh und sperrt Benutzer für eine gewisse Zeit, die ihr Passwort wiederholt falsch angegeben haben. Die IP's dieser Nutzer landen temporär in /etc/hosts.deny, so dass für sie kein Zugriff mehr möglich ist. Damit wird SSH-Bruteforcing zu einer sehr langwierigen und wenig erfolgversprechenden Aufgabe.

apt-get install denyhosts

# denyhosts funktioniert direkt nach der Installation. Man kann es
# in der Datei /etc/denyhosts.conf feintunen

4. Blacklisten benutzen, um bekannte Problem-IPs auszusperren

Im Internet werden verschiedene Blacklisten gepflegt, die eine große Anzahl von kriminellen/gehackten/spammenden/betrügerischen Servern auflisten. Diese IP-Listen können direkt in die Firewall eingetragen werden, so dass von diesen bekanntermaßen nicht vertrauenswürdigen Rechnern überhaupt keine Verbindung mehr zum eigenen Server möglich ist. So kann man das Spamaufkommen auf dem eigenen Server drastisch verringern und auch das eine oder andere Script-Kiddie aussperren, weil sein Russland-Proxy plötzlich nicht mehr funktioniert. Wie man das macht habe ich bereits in einem anderen Blog-Artikel am Beispiel der Blacklist von Infiltrated.net beschrieben.

5. Kein FTP benutzen für die Arbeit am Server

FTP ist ein Relikt aus besseren Zeiten in denen das Internet noch ein kleines vertrauenswürdiges Dörfchen war. Viele Admins von Webseiten nutzen nach wie vor FTP um Dateien zum Server zu übertragen oder um an der eigenen Website zu arbeiten. Das ist leider sehr unsicher, da FTP alle Daten ungesichert übertragt. Passwörter und Daten können an jedem Hop zwischen Server und Client ohne Probleme mitgelesen werden. Viel sicherer geht es mit sshfs. Hiermit kann man sich per SSH ein Verzeichnis des Remote-Servers in sein lokales Dateisystem mounten. Man kann danach auf dem Server so arbeiten, als sei er auf dem lokalen Rechner. Alle Dateizugriffe auf Dateien auf dem Server sind komplett transparant, man kann also auch mit dem lokalen Grafikprogramm ein Bild auf dem Server direkt öffnen, bearbeiten und wieder speichern. Mehr Komfort und mehr Sicherheit ohne großen Aufwand.

#sshfs installieren
apt-get install sshfs

#mountpoint im lokalen Dateisystem anlegen
mkdir /media/meinserver

#Server ins lokale Dateisystem mounten
sshfs www-data@mein-server.de:/var/www /media/meinserver

#Nun ist das Verzeichnis /var/www auf meinserver lokal unter /media/meinserver verfügbar

6. Updates installieren

Ein super abgesichertes System hilft nichts, wenn das System selbst fehlerhaft ist und eine bekannte Sicherheitslücke ausgenutzt werden kann. Meist werden diese Sicherheitslücken schnell geschlossen, oft vergessen Admins jedoch regelmäßige Updates des Systems zu machen. Ob man automatische Updates auf Linux-Servern aktivieren sollte oder nicht ist ein strittiges Thema. Einige würden es niemals tun, da es natürlich mit viel Pech auch sein kann, dass die Updates das System unbrauchbar machen. Dies ist mir in über 10 Jahren Arbeit an Debian-Systemen allerdings niemals passiert und ich schätze den Nutzen von zeitnahen und regelmässigen Updates viel höher ein, als die daraus entstehende Gefahr.

#Diese Zeile in der /etc/crontab aktualisiert das System täglich um 6 Uhr morgens
0 6 * * *       root    apt-get update && apt-get -y upgrade

Diese Quick-and-dirty Methode funktionierte bei mir bisher immer gut. Vor kurzem habe ich gelesen, dass im Debian Repository auch das Paket unattended-upgrades existiert, das die Aufgabe wohl etwas eleganter löst, ich habe es allerdings bisher nicht getestet.

Auch bei diesen vollautomtischen Systemupdates ist man nicht komplett aus dem Schneider. Falls ein Kernel-Update ausgeliefert wurde, muss man das System trotzdem noch per Hand neu booten, da ansonsten die Änderungen nicht aktiv werden.

Benutzt man fremden PHP-Code auf dem Server, wie zum Beispiel ein Open-Source CMS oder ein Forum, ist es natürlich absolut notwendig auch diesen Code mit neuen Versionen aktuell zu halten. Da Debian mit seinen Updates Änderungen an diesen Applikationen in der Regeln nicht abdeckt, ist hier Handarbeit nötig. Am besten liest man die Mailinglisten der entsprechenden Produkte mit um immer auf dem Laufenden zu sein.

7. PHP einsperren mit open_basedir

Viele Hacks basieren darauf, dass eine Sicherheitslücke im PHP-Code ausgenutzt wird, um auf Dateien im Dateisystem zuzugreifen, die nicht zur Website gehören, sondern zum System selbst. Deshalb sollte man PHP einsperren, so dass es nur in explizit erlaubten Verzeichnissen lesen und schreiben darf. Dafür bietet die php.ini die Konfigurationsoption open_basedir. PHP hat nach setzten der Option nur noch Zugriff auf die dort erlaubten Verzeichnisse. Dateien wie /etc/passwd werden unerreichbar. Hostet man auf einem Server mehrere Webseiten sollte man open_basedir in der jeweiligen VirtualHost-Konfiguration pro Seite setzen.

# Global per php.ini:
# /etc/php5/apache2/php.ini
open_basedir = /var/www/:/tmp/

# Per Site in der VirtualHost Config:
php_value open_basedir /var/www/site/:/tmp/

Wichtig ist zu prüfen ob wirklich alle Orte eingetragen wurden, auf die die Skripte normalerweise Zugriff haben müssen, ansonsten kann es sein, dass man auch legitime Funktionen der PHP-Applikation behindert.

8. Für Websites einen eigenen MySQL-Benutzer anlegen

Benutzt die eigene PHP-Applikation MySQL, sollte man unbedingt für die Apllikation einen eigenen MySQL-Benutzer anlegen und auf keinen Fall den MySQL-root-Benutzer für Zugriffe nutzen. Außerdem sollte man die Rechte des Benutzers so weit einschränken, dass wirklich nur noch Operationen erlaubt sind, die das PHP-Skript benötigt. CREATE TABLE und DROP TABLE werden zum Beispiel häufig bei SQL-Injections genutzt und werden in den meisten PHP-Applikationen nie benötigt. Hostet man mehrere Websites mit mehreren Datenbanken auf einem Server, sollte man für alle Datenbanken eigene Benutzer anlegen. So hat ein Angreifer nach einem erfolgreichen Angriff nur Zugriff auf eine der Datenbanken und nicht direkt auf alle. Wenn man nicht die Kommandozeile bemühen möchte, um die MySQL-Useraccounts zu verwalten, funktioniert das Usermanagement auch recht einfach mit PHPmyAdmin unter der Registerkarte "Rechte".

9. PHP Fehlermeldungen abschalten

PHP-Fehlermeldungen können einem Angreifer viel über den eigenen Server verraten: Verzeichnisstrukturen, Datenbankstrukturen, Konfigurationsfehler, etc. Außerdem sehen sie für den Benutzer sehr unprofessionell aus. Aus diesem Grund sollte man sie auf einem Live-Webserver grundsätzlich abschalten, da man sie ohnehin weiterhin in den Logs sehen kann.

# Global per php.ini:
# /etc/php5/apache2/php.ini
display_errors = Off

# Per Site in der VirtualHost Config:
php_flag display_errors Off

# Fehlermeldungen trotzdem lesen:
cat /var/log/apache2/error.log | grep PHP

10. Angriffsfläche für SQL-Injections einschränken mit modSecurity

SQL-injections sind die wohl am häufigsten genutzte Angriffsmethode auf Webserver. Der Zugriff erfolgt direkt über die Webapplikation und es genügt ein Browser um sie durchzuführen. Dabei werden über vom User übermittelte Variablen geschickt SQL-Abfragen eingebaut, die mit den Rechten des Datenbankbenutzers alles an der eigenen Datenbank nach belieben auslesen, löschen oder bearbeiten können. Ein wirklicher echter Schutz gegen SQL-Injections besteht nur, wenn der PHP-Code der Site im Hinblick auf diese Angriffe geschrieben wurde. Jede Variable aus Benutzereingaben, die in eine SQL-Abfrage gelangen könnte, muss geprüft und escaped werden. PHP bietet dafür die Funktion real_mysql_escape_string().

Ist man nicht sicher, ob der Code sauber ist, kann mod_security für den Apache helfen eine große Menge dieser Angriffe trotzdem abzuwehren. mod_security überprüft ständig alle Requests an den Webserver und reagiert auf vorgefertigte Muster mit denen viele SQL-Injection-Angriffe abgewehrt werden können. Leider funktioniert auch mod_security nur gut mit manuellem Aufwand. Oft blockt mod_security nach einer frischen Installation auch gewünschte (normale) Funktionen des eigenen PHP-Codes, so dass einem nichts anderes übrig bleibt, als die komplette Applikation nach der Installation einmal durchzutesten. Nur so findet man heraus, ob mod_security nicht eventuell auch gewünscht Funktionen blockt. Ist das der Fall, muss die Filterliste angepasst werden, so dass die false-positives verschwinden.

Die Konfiguration von mod_security ist etwas komplizierter und würde den Umfang dieses Artikels sprengen, es gibt aber massenweise gute Tutorials zu mod_security im Internet.

11. Ausweiskontrolle - Der Apache sagt nicht mehr, wer er ist
Dies ist keine wirklich wirkungsvolle Methode gegen einen Hack, sie macht es automatisierten Skripten, die nach Server-Versionen suchen aber etwas schwerer. Normalerweise zeigt der Apache auf Seiten mit Fehlermeldungen (z.B. 404 Not Found) seine Serversignatur.

Apache/2.2.16 (Debian) Server at www.daniel-ritter.de Port 80

So erhalten potentielle Angreifer zumindest schon einmal Informationen über den eigesetzten Webserver und den Versionsstand. Die Serversignatur ist schnell ausgeschaltet:

#/etc/apache2/conf.d/security
ServerSignature Off

12. Nicht benutze Apache-Module deaktivieren

Per default hat der Apache einige Module geladen, die fast nie benötigt werden. Unter Debian findet man die geladenen Module
als Softlinks in /etc/apache2/mods-enabled.

Fast immer entfernt werden können:

mod_cgi

Dient dem ausführen von CGI-Skripten. Diese Technik stammt noch aus den Urzeiten des Web und war der Vorvater der modernen Skriptsprachen um dynamische Webseiten zu ermöglichen. mod_cgi ist auf 99% der PHP-Websites unnötig und bei einer fehlerhaften Apache-Config eine potentielle Sicherheitslücke

a2dismod cgi

mod_status

Ermöglicht es Browsern Statusinformationen über den Apache auszulesen. Es wird so gut wie nie für "normale" Sites genutzt, bietet Angreifern aber Statusinformationen über den Apache.

a2dismod status

mod_autoindex

mod_autoindex sorgt dafür, dass Verzeichnisse auf dem Webserver aufgelistet werden können, wenn es keine gültige Index-Seite in dem entsprechenden Verzeichnis gibt. Falls diese Funktionalität nicht erwünscht ist, sollte man sie abschalten, da durch sie ganze Verzeichnisbäume auf dem Webserver nach aussen sichtbar werden können.

a2dismod autoindex

Im Internet gibt es viele böse Buben: Scammer, Hacker, Viagrabuden, Scriptkiddies, etc.

Infiltrated.net pflegt eine recht umfangreiche Liste auffällig gewordener Server unter http://www.infiltrated.net/blacklisted.

Wenn man Zugriff auf seinen Server oder auch sein Heimnetz von diesen IP's unterbindet, hat man bereits sehr viele Russen Proxies, Spammer und anderes Gesindel ausgesperrt.

Das folgende kleine Script saugt sich automatisch die aktuelle Liste und trägt die Hosts in die Firewall ein.

Mit einem Cronjob regelmässig gestartet, ermöglicht es ein Quentchen mehr Sicherheit für die eigenen Dienste.

#!/usr/bin/php
<?
# Zuerst bereits bestehende (eigene) Firewallrules ausführen
exec("/root/scripts/meine_standard_firewall_rules");

# Blacklist saugen
exec("wget -O /tmp/infiltrated_blacklist http://www.infiltrated.net/blacklisted");

$list = file("/tmp/infiltrated_blacklist");

$i = 1;

# Ein bisschen auseinanderschnibbeln und ab in Iptables
foreach ($list as $line)
{
$line = trim($line);
$line = str_replace("\t"," ",$line);

$line = explode(" ",$line);
$line = $line[0];

$firstchar = substr($line,0,1);
if (!is_numeric($firstchar))continue;

exec ("iptables -I INPUT -s $line  -j DROP");
$i++;
}

echo "done. $i rules set.";
?>

1. Hardwarebeschleunigung deaktivieren

In ein Flash-Video rechtsklicken. Einstellungen wählen. Haken bei Hardwarebeschleunigung entfernen.

2. Plugin-Crash-Handling von Firefox deaktivieren

about:config in der Adresszeile eingeben

Die Werte dom.ipc.plugins.processLaunchTimeoutSecs und dom.ipc.plugins.timeoutSecs auf "-1" setzen.

Seitdem habe ich keine Probleme mehr mit Ubuntu 10.10, Firefox 4 und Flash 10.2.153.1

Es ist mal wieder an der Zeit für Out-Of-The-Box Hardware für Ubuntu. Der Low-Budget USB WLAN-Stick von LogiLink funktioniert sofort ohne Konfiguration und Treiberinstallation unter einem aktuellen Ubuntu 10.10. Nach dem Einstecken ist im Netzwerkmanager sofort die Liste der verfügbaren WLANs verfügbar. Nicht schlecht für einen absoluten Low-Budget Stick (ca. 10 Euro). Mit den teureren von Netgear und Konsorten hat man leider einige Probleme mehr. Lediglich die Empfangsstärke ist nicht berauschend. Falls sich der Accesspoint oder Router im selben Raum befindet, hat man jedoch keine Probleme.

So meldet sich der Stick nach dem Einstecken:

Jan 27 15:15:48 box kernel: [50425.764049] usb 2-1: new high speed USB device using ehci_hcd and address 7
Jan 27 15:15:48 box kernel: [50425.916061] === pAd = f89cc000, size = 472668 ===
Jan 27 15:15:48 box kernel: [50425.916063] <-- RTMPAllocAdapterBlock, Status=0
Jan 27 15:15:48 box kernel: [50426.212122] <-- RTMPAllocTxRxRingMemory, Status=0
Jan 27 15:15:48 box kernel: [50426.214376] -->RTUSBVenderReset
Jan 27 15:15:48 box kernel: [50426.214495] <--RTUSBVenderReset
Jan 27 15:15:48 box kernel: [50426.495844] 1. Phy Mode = 0
Jan 27 15:15:48 box kernel: [50426.495847] 2. Phy Mode = 0
Jan 27 15:15:48 box kernel: [50426.495849] NVM is Efuse and its size =2d[2d0-2fc]
Jan 27 15:15:48 box kernel: [50426.556586] RTMPSetPhyMode: channel is out of range, use first channel=1
Jan 27 15:15:48 box kernel: [50426.573077] 3. Phy Mode = 0
Jan 27 15:15:48 box kernel: [50426.578953] MCS Set = 00 00 00 00 00
Jan 27 15:15:48 box kernel: [50426.638326] <==== rt28xx_init, Status=0
Jan 27 15:15:48 box kernel: [50426.639953] 0x1300 = 00073200
Jan 27 15:15:49 box kernel: [50426.924845] ---> RTMPFreeTxRxRingMemory
Jan 27 15:15:49 box kernel: [50426.924866] <--- RTMPFreeTxRxRingMemory
Jan 27 15:15:49 box kernel: [50427.195749] <-- RTMPAllocTxRxRingMemory, Status=0
Jan 27 15:15:49 box kernel: [50427.198006] -->RTUSBVenderReset
Jan 27 15:15:49 box kernel: [50427.198133] <--RTUSBVenderReset
Jan 27 15:15:49 box kernel: [50427.484608] 1. Phy Mode = 0
Jan 27 15:15:49 box kernel: [50427.484610] 2. Phy Mode = 0
Jan 27 15:15:49 box kernel: [50427.484612] NVM is Efuse and its size =2d[2d0-2fc]
Jan 27 15:15:49 box kernel: [50427.557222] 3. Phy Mode = 0
Jan 27 15:15:49 box kernel: [50427.563097] MCS Set = 00 00 00 00 00
Jan 27 15:15:49 box kernel: [50427.625962] <==== rt28xx_init, Status=0
Jan 27 15:15:49 box kernel: [50427.627588] 0x1300 = 00073200
Jan 27 15:15:54 box kernel: [50432.648580] ===>rt_ioctl_giwscan. 3(3) BSS returned, data->length = 483
Jan 27 15:15:59 box kernel: [50437.679264] ===>rt_ioctl_giwscan. 2(2) BSS returned, data->length = 308
Jan 27 15:15:59 box kernel: [50437.679356] ==>rt_ioctl_siwfreq::SIOCSIWFREQ[cmd=0x8b04] (Channel=1)

Eine befreundete Designstudentin wollte für die Präsentation ihrer Diplomarbeit eine Videoinstallation aufbauen. Auf im Raum angeordneten Fernsehern sollten parallel 3 von ihr erstellte Filme laufen und gleichzeitig gestartet werden. Die 3 Filme sind so geschnitten, dass sie gemeinsam ein Gesamtkunstwerk (und hoffentlich eine gute Abschlussnote) ergeben. Ein Veranstaltungsunternehmen verlangte für den Aufbau einige 1000 Euro. Das überstieg das Budget meiner Bekannten leider um einige 1000 Euro, deshalb haben wir den Aufbau selbst mit Open Source Software zusammengefrickelt. 3 (Windows)-Notebooks wurden per HDMI an die jeweiligen Fernseher angeschlossen und über einen Switch vernetzt. Ein viertes (Linux)-Notebook diente als zentraler Steuerrechner. Der VLC Media-Player bietet neben einer hervorragenden Unterstützung fast aller Videoformate auch viele weitere nützliche Funktionen. In diesem Aufbau kam das Remote Control Interface des VLC zum Einsatz, das es ermöglicht, den Player übers Netzwerk oder das Internet komplett fernzusteuern.

Die Windows Rechner bekamen die IP's 192.168.0.1 bis 192.168.0.3. Der Linux-Steuer-Rechner die IP 192.168.0.100.
Das Fernsteuerungsskript ist angelehnt an das Tutorial von Markus Berg (vielen Dank).

#/bin/bash

ip[0]="192.168.0.1"
ip[1]="192.168.0.2"
ip[2]="192.168.0.3"

port=20000

function send_cmd {

for address in ${ip[@]}
	do
                echo "$1" | nc $address $port &
	done

}

while ( [ 1 ] )
do
clear
echo "Video Command"
echo
echo " s  | START"
echo " p  | PAUSE/PLAY"
echo " z  | ZURUECKSPULEN"
echo " zp | ZURUECKSPULEN + PAUSE"
echo " f  | VOLLBILD AN/AUS"
echo " b  | Beenden"
echo
echo

echo
echo -n "Kommando? "
read command

case "$command" in
     s)
	   send_cmd play
           ;;
     p)
	   send_cmd pause
           ;;
     z)
	   send_cmd prev
           ;;
     zp)
	   send_cmd prev
	   perl -e 'select(undef,undef,undef,.3)'
	   send_cmd pause
           ;;
     f)
	   send_cmd fullscreen
           ;;
     b)
	   exit
	   ;;
esac
done;

Dieses Skript auf dem Steuerungsrechner ergibt dieses spartanische menü:

Video Command

 s  | START
 p  | PAUSE/PLAY
 z  | ZURUECKSPULEN
 zp | ZURUECKSPULEN + PAUSE
 f  | VOLLBILD AN/AUS
 b  | Beenden

Kommando? 

Auf den Windowsrechner musste nun nur noch aus der Windows-Konsole heraus VLC im Remote Control Modus gestartet werden:

vlc --extraintf oldrc --rc-host 192.168.0.1:20000

Nun wurde noch das Video in die jeweilige VLC-Playlist eingefügt. Die Fernsteuerung war fertig.

Leider gab es (wie fast immer) einige Fallstricke. Bei unseren Tests zickte zunächst die Windows-Firewall herum. Für die Präsentation musste diese deaktiviert werden. Generell war Windows keine besonders gute Wahl für die Präsentation, da Update-Meldungen, Avira-Popups und andere Nervereien natürlich im Video ziemlich peinlich wirken. Die Windows-Rechner mussten ziemlich kastriert werden. Firewalls, Virenscanner und Automatische Updates wurden deaktiviert. Zahlreiche Programme, die es sich im Tray gemütlich gemacht hatten, wurden deinstalliert. Im Endeffekt würde ich beim nächsten Mal das Abspielen auch mit Linux Clients realisieren, die aber wegen des Zeitdrucks nicht verfügbar waren.

Download: Original | Lokaler Mirror

So sieht ein Flashvorgang mit sbf_flash aus:

box-root-18:01:33 /home/ww/Desktop -> ./sbf_flash ./GOT_DACH_GERMANY_2_2_1FULL.sbf
SBF FLASH 1.08 (mbm)

=== GOT_DACH_GERMANY_2_2_1FULL.sbf ===
00: RDL03 0x82000000-0x8204CFFF 2FC7 AP
01:  CG31 0xB01C0000-0xB01C47FF 24FE AP
02:  CG33 0xD13FB000-0xD1BB783F E479 AP
03:  CG34 0xB03A0000-0xB03A47FF CC19 AP
04:  CG35 0xB07A0000-0xB0A607FF 888E AP
05:  CG36 0xF0B7D000-0xF0BE083F 6799 AP
06:  CG37 0xE4034000-0xE40379BF 9325 AP
07:  CG39 0xD1D64000-0xDADE583F 6DA8 AP
08:  CG40 0xDD2E4000-0xDD2E483F FDFF AP
09:  CG42 0xB06A0000-0xB06DFFFF 73E3 AP
10:  CG45 0xB0B20000-0xB0E207FF 79ED AP
11:  CG47 0xB0EE0000-0xB12A07FF 679E AP
12:  CG53 0xCFD80000-0xCFD807FF FDFF AP
13:  CG61 0xB0640000-0xB06607FF 6C74 AP

Milestone found.
 >> uploading RDL03
Uploading: 100% OK
 >> verifying ramloader
 -- OK
 >> executing ramloader
Milestone found.
 >> sending erase
 >> uploading CG31
Uploading: 100% OK
 >> uploading CG33
Uploading: 100% OK
 >> uploading CG34
Uploading: 100% OK
 >> uploading CG35
Uploading: 100% OK
 >> uploading CG36
Uploading: 100% OK
 >> uploading CG37
Uploading: 100% OK
 >> uploading CG39
Uploading: 100% OK
 >> uploading CG40
Uploading: 100% OK
 >> uploading CG42
Uploading: 100% OK
 >> uploading CG45
Uploading: 100% OK
 >> uploading CG47
Uploading: 100% OK
 >> uploading CG53
Uploading: 100% OK
 >> uploading CG61
Uploading: 100% OK
 >> verifying CG31
 -- OK
 >> verifying CG33
 -- OK
 >> verifying CG34
 -- OK
 >> verifying CG35
 -- OK
 >> verifying CG36
 -- OK
 >> verifying CG37
 -- OK
 >> verifying CG39
 -- OK
 >> verifying CG40
 -- OK
 >> verifying CG42
 -- OK
 >> verifying CG45
 -- OK
 >> verifying CG47
 -- OK
 >> verifying CG53
 -- OK
 >> verifying CG61
 -- OK
 >> rebooting

Starcraft II läuft erstaunlich gut unter Lucid mit wine. Allerdings gibt es einige Problemchen, die aus der Welt zu schaffen sind. Danach ist der Spielspass, zumindest mit einer relativ aktuellen NVidia-Grafikkarte fast perfekt. Meine Versuche mit einer ATI-Karte das Ganze hinzubekommen sind leider gescheitert.

Die Installation

Starcraft II zu installieren ist sehr einfach. Um es direkt von der DVD zu installieren, muss man etwas tricksen, einfacher ist es, sich über seinen Battle.net-Account die digitale Downloadversion zu besorgen. Diese lässt sich mit Wine starten, patcht sich auch brav hoch bis zur aktuellen Version und lässt den aktuellen Gameclient auf der Platte zurück.

Die Grafik

Um zu zocken benötigt man den proprietären NVidia-Treiber. Die Version die bei Lucid dabei ist, ist leider etwas angestaubt. Mit der aktuellen Version erhält man eine viel bessere Performance. Zum Glück gibt es ein PPA, das immer die aktuelle Version des Treibers nachliefert und automatisch installiert.

sudo add-apt-repository ppa:ubuntu-x-swat/x-updates
sudo apt-get update
sudo apt-get upgrade

Nun hat man die aktuellen NVidia-Treiber.

Um die Grafik-Performance weiter zu verbessern, erstellt man in der "Windows"-Registry einige Keys.

wine regedit
HKEY_CURRENT_USER/Software/Wine/Direct3D erstellen.

Danach unterhalb von "Direct3d" folgende String-Werte eintragen:

DirectDrawRenderer
opengl

Multisampling
disabled

OffScreenRenderingMode
pbuffer

UseGLSL
disabled

VertexShaderMode
hardware

VideoMemorySize
1024 (RAM der Grafikkarte)

Der Sound

ALSA, das Soundsystem unter Wine verträgt sich leider nicht besonders gut mit Pulseaudio. Der Sound funktioniert zwar, aber man kann keine MP3s oder andere Sounds unter Ubuntu laufen lassen, während man spielt. Ein Fork von Wine mit direktem Pulseaudio-Support behebt aber dieses Problem, so dass der Sound unter Starcraft sich mit allen anderen Sounds des Systems verträgt. Diese spezielle wine-Version hat wieder ein eigenes PPA:

sudo add-apt-repository ppa:c-korn/ppa
sudo apt-get update
sudo apt-get upgrade

Nun hat man die Wine-Version mit Pulseaudio-Support und sollte in der Wine-Konfiguration unter "Audio" Pulse-Audio auswählen. Zusätzlich stellt man Anwendungen/Windows-Version auf "Windows7" und fügt unter "Bibliotheken" eine neue Überschreibung für "mmdevapi" hinzu und stellt diese auf "Ausschalten"

In-Game scrollen mit Compiz-Würfel

In-Game kann es bei bestimmten Compiz-Konfigurationen, bei mir beim Desktop-Würfel zu Problemen mit dem scrollen kommen. Die Maus springt an den Kanten des Desktops weg. Um das zu beheben, öffnet man den Compizconfig Settings-Manager und navigiert zu "Würfel drehen -> Bindings -> Würfel rotieren". Hier stellt man die Werte für Drehen (nach links/rechts kippen) auf "Nichts".

Jetzt läuft Starcraft II Fullscreen mit funktionierendem Sound und netter Grafik. Leider einen Tick langsamer als unter Windows aber mit moderateren Grafikeinstellungen bekommt man ein sehr gutes Spielerlebnis.

Viel Spass!

Vorgeschichte:

Ich habe mein Meilestone nun seit ca. einem halben Jahr und es war bisher eine Haßliebe. Die Freude an den wirklich unglaublich guten Internetfunktionen wurde mir leider durch üble Verarbeitungsfehler vermiest.

Mein Gerät hat zwei schwere Probleme. Zum einen hat die Kopfhörer-Buchse einen Wackelkontakt, so dass man in Bewegung keine Musik hören kann. Es knackst andauernd oder einer der Kanäle verschwindet. Dies scheint ein Produktionsfehler bei den Geräten zu sein den leider sehr viele Käufer beklagen. http://www.android-hilfe.de/motorola-milestone/13227-wackelkontakt-kopfhoereranschluss.html (19 Seiten Thread)

Der erste Fehler war schon nervig, der zweite machte mein Gerät allerdings über die Zeit hinweg unbenutzbar. Mein Gerät leidet auch an sehr schlechter Sprachqualität. Meine Gespärchspartner fragen bis zu 2x in der Minute ob ich das zuletzt gesagte nicht wiederholen könne. Die Qualität entspricht ungefähr einem 70er-Jahre Wählscheibentelefon über eine Satelitenverbindung. Auch dieser Fehler ist bekannt und sehr viele Leute haben ihn mit ihren Geräten. http://www.android-hilfe.de/motorola-milestone/11655-motorola-milestone-gespraechsqualitaet-miserabel.html (81! Seiten Thread) Motorola schweigt dieses Problem leider tot und behauptet es würde nicht existieren. Die Community hat inzwischen herausgefunden woran es liegt. Das zweite Mikrofon zum erkennen und herausfiltern von Hintergrundgeräuschen oder dessen Steuersoftware/chip hat bei vielen Geräten einen Fehler und filtert die Stimme des Sprechenden gleich mit heraus. Eine echte QA-Katastrophe für ein Gerät dieser Preisklasse.

Nach dem Update auf Android 2.1 wurde es so schlimm, dass ich nun nur noch über ein zweites Handy telefoniert habe. Das Milestone wurde für seine "Hauptfunktion" unbenutzbar.

Deshalb habe ich mich dazu entschlossen es in Reperatur zu schicken, obwohl ich mir auch da nicht viele Hoffnungen machte. In den oben genannten Threads haben einige Leute das Gerät 5x! weggeschickt, ohne Besserung.

Nach Rücksprache mit meinem Händler ging mein Stein dann also auf die Reise zu http://www.datrepair.de , einer der beiden deutschen Vertragswerkstätten von Motorola. Zumindest ihr Imagefilm sah vielversprechend aus

1.7.2010
Gerät per DHL eingeschickt. Ich wurde gebeten das Gerät mit einer ausführlichen Fehlerbeschreibung einzusenden:

2.7.2010
Gerät ist bei dat repair angekommen. Das Reperaturtracking von dat repair hat mir gut gefallen, leider konnte das Reperaturergebnis nicht ganz mithalten.

8.7.2010
Das Gerät ist wieder "repariert" in meinen Händen.

Ich freute mich natürlich zunächst sehr, dann aber leider auch nur noch sehr kurz. Das Gerät lässt sich nicht mehr einschalten, da der Akku nicht mehr auflädt. Die Ladeanzeige bleibt stundenlang auf 5% stehen. Das ist zu wenig Saft um das Gerät hochzufahren. Ich vermute, dass mir entweder ein defekter Akku statt meines funktionierenden zurückgeschickt wurde (habe mir leider die Seriennummer des Akkus nicht aufgeschrieben), dass mein Akku beschädigt wurde oder dass bei der Reperatur die Ladeelektronik meines Steins beschädigt wurde. Sehr ärgerlich.

9.7.2010
Nach einer ganzen Nacht des Ladens hat der Akku leider nach wie vor nur stolze 5% auf der Brust. Ich rufe bei dat repair an und schildere mein Problem. "Das Gerät hat nach Test einwandfrei unser Haus verlassen, bitte schicken Sie es erneut ein". Man glaubte mir nicht so richtig oder wollte mich abwimmeln. Die Dame am Telefon bat mich das Ladegerät mit einzuschicken. Ich hatte auch schon daran gedacht, dass mein Ladegerät vielleicht kaputt gegangen sein könnte. Das halte ich allerdings für sehr unwahrscheinlich, da ich 2 Ladegeräte und eine Ladeschale besitze, die das Handy alle nicht mehr laden konnten.

Bevor ich mein Handy erneut auf die Reise schicken wollte, habe ich versucht einen Ersatzakku zu bekommen um zu testen ob es evtl nur am Akku liegt. Ein Anruf beim Mediamarkt offenbarte mir, dass dort verschiedene Akkus fürs Milestone von verschiedenen Herstellern vorrätig seien. Im Mediamarkt gab es dann leider doch nicht einen einzigen. Auch alle kleinen Telefonläden der Stadt hatten keinen auf Lager. Weder Vodafone, O2, noch The Phonehouse, etc. Ich werde das Handy also wohl ohne diesen Test zurücksenden müssen.

9.7.2010 (später)

Mein Milestone ist wieder auf der Reise nach Flensburg. Samt Akku und meinen 2 Ladegeräten.

12.7.2010
DHL lässt sich Zeit. Die Sendungsverfolgung sagt:

12.07.10 17:44 Uhr
Hagen
Die Sendung wurde im Start-Paketzentrum bearbeitet.

13.7.2010

Mein Stein hat dat repair wieder erreicht.

14.7.2010
Ich habe bei dat repair angerufen und erneut um schnellere Bearbeitung gebeten, da der Fehler von dat repair versursacht wurde. Mir wurde gesagt, dass ich heute schon der 10. wäre der sich nicht gedulden könne. OK.

19.7.2010
Mein Stein wurde mal wieder repariert und ist unterwegs zu mir. Ich mache mir nicht mehr viele Hoffnungen. Vielleicht kann man ihn ja wenigstens wieder einschalten....

19.7.2010 (später)
Ich habe nochmal bei dat repair angerufen um herauszufinden ob und wie der Gesprächsqualitätsfehler behoben wurde. Der Herr am Telefon hat mir mitgeteilt, dass der Fehler inzwischen reparierbar wäre und der Bug gefunden wurde. Ich bin gespannt und weiss morgen mehr.

Er sagte mir gewechselt worden seien "Antenna Cap" und "Camera Lens irgendwas". Außerdem würde ich einen neuen Akku bekommen.

Ich bin gespannt....

20.7.2010

Mein Milestone ist wieder da und es geht sogar an Mir wurde ein neuer Akku geschickt. Ich vermute, dass sie mir beim letzten Mal einen defekten zugesandt hatten. Leider kam nach dem ersten Einschalten bereits wieder die erste Ernüchterung. Beim Anmelden mit meinem Google-Konto kommt die Meldung "Es kann keine stabile Datenverbindung zum Server hergestellt werden". Das Problem ist hier beschriben: http://www.android-hilfe.de/t-mobile-pulse-forum/15879-keine-stabile-datenverbindung-zu-server.html Ich versuche das Zurücksetzen auf Werkseinstellungen.

27.7.2010
Nach dem Wipen vom Stein funktionierte wieder alles. Ziemlich Zeitgleich mit meinem Stein kam auch ein Softwareupdate auf Firmware 2.1.36 das bei sehr vielen Leuten die Probleme mit der SPrachqualität beseitigt hat. Mein Stein funktioniert jetzt aber ich weiss nicht ob es an dem Update oder der Reperatur lag. Ich zweifele da etwas. Zumal mein erstes Problem, die lockere Kopfhörerbuchse nur halbherzig beseitigt wurde. Sie sitzt jetzt fester, hat aber nach wie vor einen Wackelkontakt.

Fazit
15 Euro Porto, 3 Wochen ohne Handy, Reperaturen die nicht wirklich repariert haben. Zwangsverlängerung der Reperatur durch einen falschen Akku..... Ich hätte mir den Spuk sparen können glaube ich. Auf jeden Fall werde ich in Zukunft Motorola und dat repair meiden.

Linux Professional Institute
Score Report for Exam 102

Daniel Ritter

---------------------------------------------------------------------------
Candidate ID: LPI0001******
Registration ID: **********
Score Report Date: Jun 22 2010

Your Score: 620
Required Passing Score: 500
Status: Pass

Test Section Information
Percent Correct Section

80% Shells, Scripting and Data Management

40% User Interfaces and Desktops

50% Administrative Tasks

90% Essential System Services

85% Networking Fundamentals

66% Security

---------------------------------------------------------------------------

Thank you for taking LPI's certification exam.

Scores on the exam are scaled so that the range is from 200 to 800.

Nach fast einem Monat Warterei auf eine Lösung habe ich die "Anti-Linux"-Firmware installiert. Ich wollte wieder online zocken. Trotzdem kotzt es mich an.

#/etc/sudoers
.
.
username      ALL=NOPASSWD:   /sbin/reboot
username      ALL=NOPASSWD:   /sbin/poweroff

Wichtig ist, dass die Zeilen hinten an die Datei angehängt werden.

Nun kann man sich im Panel oder auf dem Desktop einen benutzerdefinierten Anwendungsstarter anlegen, der "sudo /sbin/poweroff" oder "sudo /sbin/reboot" ausführt.

Dann mal los:

Man braucht zunächst einmal eine Software für Sprachausgabe. "espeak" ist für den Zweck ziemlich gut geeignet. 80er-Robo-Style und gut konfigurierbar.

sudo apt-get install espeak

Um die Sprachausgaben zu automatisieren habe ich mich für "swatch" entschieden. Swatch ist ein Programm, das Logs live mitliest und beim Auffinden von bestimmten Suchmustern ein externes Programm startet - in unserem Fall espeak.

sudo apt-get install swatch

Jetzt ist alles installiert um einen ersten Laber-Task anzulegen.
Die Kiste (ein Server) soll sprechen, wenn neue Mail ankommt.

Ich benutzte Spamassassin um meine Mail zu filtern. Deshalb erhalte ich solch eine Zeile in /var/log/mail.log. Und zwar jedes Mal, wenn eine neue Mail ankommt:

# /var/log/mail.log
May 03 16:34:04 star spamd[13365]: spamd: clean message (-2.4/0.5) for mailbox:1001 in 1.9 seconds, 7128 bytes.

Nun ist es an der Zeit swatch beizubringen, auf was es achten soll:

# /etc/swatch/ham
watchfor /clean message/
exec "espeak new_mail &"

Nun muss nur noch der Swatch-Daemon gestartet werden:

/usr/bin/swatch --daemon --config-file=/etc/swatch/ham --tail-file=/var/log/mail.log

Ganz simpel. Aber die Möglichkeiten sind endlos. Alles was geloggt wird, kann gesprochen werden. Jetzt hat man alle Tools an der Hand um eine Kiste zu einer absolut nervigen Labertasche zu machen. Viel Spass!

Cool!

http://www.ubuntu.com/getubuntu/download

Ding #1 - Eine sichere Remote-Shell

Das ist das Offensichtlichste was man mit SSH tun kann und die meisten Linuxuser haben es wohl schon einmal gemacht: Eine sichere Verbindung mit einem anderen Rechner herstellen und diesen darüber administrieren.

Das geht sehr einfach:

ssh user@box_B

Das verbindet Dich zu BOX B als "user". Danach kann man als "user" auf BOX B arbeiten.

Manchmal benötigt man gar keine interaktive Sitzung zu einem entfernten Rechner, sondern möchte lediglich ein einzelnes Kommando ausführen.

ssh user@box_B command

Hier wird man zu Box B als "user" verbunden, das Kommando "command" wird ausgeführt, das Ergebnis landet auf der lokalen Standardausgabe und die Verbindung wird beendet.

Ding #2 - Dateien zwischen Rechnern sicher kopieren

Cool, wir können eine entfernte Maschine mit SSH administrieren, aber man kann mit SSH auch Dateien von einer Maschine zu einer anderen kopieren. Es funktioniert im Grunde so wie das "cp" Kommando, es heisst aber "scp" - Secure Copy.

scp /home/me/a_file.txt user@box_B:/home/me/

Das kopiert die lokale Datei "/home/me/a_file.txt" auf Box A nach "/home/me/a_file.txt" auf Box B.

Es funktioniert auch andersherum:

scp user@box_B:/home/me/b_file.txt /home/me

Das würde die Datei "/home/me/b_file.txt" von Box B ins Home-Verzeichnis auf Box A kopieren.

Weil "scp" so ähnlich funktioniert wie "cp" sind auch Wildcards erlaubt:

scp /var/log/* user@box_B:/home/me/logsbackup

Das kopiert alle Logfiles von Box A nach "/home/me/logsbackup" auf Box B.

Ding #3 - Ein Verzeichnis auf einem entfernten Rechner ins lokale Dateisystem mounten

Manchmal reicht es nicht einfach nur einige Dateien von einem Rechner auf einen anderen zu kopieren. Ein entferntes Verzeichnis ins lokale Dateisystem zu mounten ist super nützlich, wenn man mit lokalen Programmen Remote-Files bearbeiten will. Ein gutes Beispiel dafür wäre zum Beispiel die Arbeit an einer Webseite auf einem entfernten Server. Man kann einfach das Web-Verzeichnis des entfernten Servers ins lokale Dateisystem mounten und danach die Dateien mit all den coolen lokal installierten HTML-Editoren und Grafikprogrammen öffnen und speichern. Ganz so als wären die Dateien auf der loaklen Platte. Hierfür benötigt man "sshfs". Das FUSE-Filesystem ist in vielen Distributionen nicht standardmässig installiert aber meistens in den Repositories enthalten. Unter Debian und Ubuntu kann man es so installieren:

apt-get install sshfs

Nach der Installation kann man beginnen es zu benutzen

mkdir /mnt/b_data
sshfs user@box_B:/b_data /mnt/b_data

Das mountet das Verzeichnis "/b_data" auf Box B nach "/mnt/b_data" im lokalen Dateisystem. Nun kann man mit lokalen Programm die Remote-Dateien bearbeiten. Wenn man fertig ist, kann man den mount wieder entfernen:

fusermount -u /mnt/b_data

Falls der unmount fehlschlägt sollte man überprüfen, ob noch Dateien vom Remoterechner geöffnet sind oder ob man sich noch mit der Shell oder einem Dateimanager im gemounteten Verzeichnis befindet.

Ding #4 - Unzensiert und anonym von "kritischen Orten" aus im Web surfen

Firmenrichtlinien, faschistische Regierungen, Internet-Cafes und andere unfreundliche Regelungen, Institutionen und Orte können einen sicheren und privaten Zugriff aufs Web ziemlich schwierig gestalten. Firewalls und Proxys könnten interessante Webseiten blocken, loggen wo man herumsurft, Man-In-The-Middle-Attacken ausführen oder einfach nur ein mulmiges Gefühl generieren. SSH ist die Lösung für alle diese Probleme. Es bietet die Möglichkeit als Web-Proxy (SOCKS) zu arbeiten. Man verbindet sich einfach per SSH zur guten vertrauenswürdigen BOX B und surft durch diese Verbindung.

(Lokaler Browser <-> Lokaler SSH Proxy <-> SSH <-> Box B <-> Webseite)

Dann kann niemand mehr im unfreundlichen lokalen LAN blockieren, zensieren oder schnüffeln.
Klingt gut? Es ist sogar sehr einfach einzurichten und zu benutzen! SSH bietet die "-D" Option um einen SOCKS-Proxy auf der lokalen Maschine einzurichten:

ssh -D 1234 user@box_B

Nun hat man einen SOCKS-Proxy der auf localhost Port 1234 lauscht. Nun muss man nur noch seinem Browser so konfigurieren, dass er für Internetverbindungen diesen Proxy benutzt. Man kann überprüfen ob alles funktioniert hat, wenn man im Browser eine Webseite aufruft, die die IP-Adresse ausgibt, die für die Verbindung genutzt wurde. http://www.whatismyip.com würde funktionieren, aber es gibt auch 1000de andere Seiten. Wenn dort die IP von Box B erscheint, ist alles in Butter. Ein portalbler Browser auf einem USB-Stick wie zum Beispiel Portable Firefox würde die Sache noch angenehmer machen.

Ding #5 - Den Traffic von lokalen Programmen verschlüsseln und tunneln oder auf Dienste in LANs zugreifen, die normalerweise nicht übers Internet erreichbar sind.

OK, wir haben sicher Maschinen administriert, Dateien sicher von Maschine zu Maschine kopiert und haben sogar in China unzensiert im Web gesurft. Aber SSH kann mehr! Man kann damit den Datenaustausch aller lokalen Programme die TCP benutzen durch einen Tunnel zu einem vertrauenswürdigen Rechner schicken. Wie schon mit dem SOCKS-Proxy kann man Daten-Verkehr zunächst durch diesen Tunnel schicken, zum Beispiel den vom lokalen E-Mail Client, damit er nicht durchs lokale LAN fliessen muss. Wir möchten unsere E-Mail in einer "kritischen" Umgebung abrufen. Skript Kiddies, blöde Admins und Terror-China-Hacker könnten die Mail mitlesen oder sogar das E-Mail-Passwort mitsniffen. SSH hilft. Die Syntax für Tunnel mit SSH ist etwas krampfig und zunächst ein ziemlicher Brain-Twister aber eigentlich ziemlich logisch und mit ein bisschen Übung nicht schwierig:

ssh -L local_port:target_host:target_port user@box_B

zum Beispiel:

ssh -L 10000:pop3.mailprovider.com:110 user@box_B

Was ist hier geschehen? SSH wurde angewiesen einen Tunnnel mit einem lokalen (-L) Endpunkt auf Port 10000 anzulegen. Alles was in diesen lokalen Endpunkt an Daten hineingeworfen wird, fliesst zunächst verschlüsselt zu Box B und danach zu "pop3.mailprovider.com" auf port 110 (Port 110 ist POP3). Die Daten fliessen also vom lokalen E-Mail Client verschlüsselt zu Box B und von dort aus an den E-Mail-Provider. Der E-mail Account im lokalen Client benötigt somit also für den POP-Server folgende Einstellungen: Server: localhost / Port: 10000. Aber es muss nicht unbedingt E-Mail sein. Jede Applikation, die das TCP-Protokoll benutzt kann so getunnelt werden. Zum Beispiel IRC, FTP, HTTP, IMAP, etc.

Falls sich der Server auf den zugegriffen werden soll nicht irgendwo im Internet sondern auf Box B selbst befindet, kann der Zielrechner natürlich auch BOX B sein:

ssh -L 10000:127.0.0.1:110 user@box_B

Ziel in diesem Beispiel ist "127.0.0.1", weil es das Ziel aus der Sicht von Box B ist. Denn "127.0.0.1" gesehen von Box B ist Box B selbst.

Tunneln kann nützlich sein um Internetdienste abzusichern, aber auch um auf Dienste in BOX B's privatem Netzwerk zuzugreifen. Falls man einen von außen zugänglichen SSH-Account in einem LAN besitzt, kann man so auf alle TCP-Dienste in diesm LAN zugreifen, ganz so als sei man ein "echter" Client in diesem LAN.

Angenommen BOX B steht in einem Intrantet, das einen interessanten Webserver beherbergt, der aber nicht aus dem Ineternet zugänglich ist. Dieser Server läuft im LAN auf Kiste 192.168.0.77. Mit SSH tunnelt man nun einfach einen lokalen Port auf Port 80 des Webservers im LAN:

ssh -L 10000:192.168.0.77:80 user@box_B

Wenn man nun "http://127.0.0.1:10000" im lokalen Webbrowser aufruft landet man auf der Homepage des Webservers im entfernten Intranet.

Ding #6 - Ein Tunnel - andersherum

Wenn #5 klar ist, sollten umgekehrte Tunnel kein Problem mehr sein. Hier wird ein entfernter Endpunkt für den Tunnel erstellt. Alles was dort hineinfliesst wird verschlüsselt weitergeleitet an BOX A (den lokale Rechner) und danach an den Zielrechner weitergeleitet.

ssh -R remote_port:target_host:target_port user@box_B

zum Beispiel:

ssh -R 10000:pop3.mailprovider.com:110 user@box_B

Im E-Mail-Client würde man als POP-Server "Box B" und Port "10000" eintragen.
BOX B tunnelt dann den Traffic zunächst sicher auf BOX A um. Box A leitet danach weiter an "pop3.mailprovider.com" port "110"

Nützliche Kommandozeilenoptionen für SSH

-c "Compress"

Die "-c" Option komprimiert die übertragenen Daten mit gzip bevor sie durchs Inetrnet fliessen. Das erhöht die Geschwindigkeit beim Übertragen von unkomprimierten Daten (so wie reinem Text) stark. Sie ist nützlich beim Übertragen
langer Textdateien oder beim Websurfen wenn man SSH als Proxy nutzt.

ssh -c -D 1234 user@box_B

-g "Grant Access"

Die "-g" option eraubt anderen Rechnern als localhost auf die lokal angelegten Tunnelendpunkte zuzugreifen. So können also zum Beispiel auch andere Rechner im LAN die lokal angelegten Tunnel nutzen.

ssh -L -g 10000:127.0.0.1:110 user@box_B

-p "Port"

Die "-p" Option benötigt man, wenn der entfernte SSH-Server nicht auf dem Standardport 22 lauscht.

ssh -p 22000 user@box_b

-v "Verbose"

Mit dieser Option kann man sehr viele technische Verbindungsinformationen sehen, falls man tiefer in SSH eintauchen möchte.

Mehr Lesestoff:

Ich habe versucht diesen Artikel so einfach wie möglich zu schreiben, da er mir selbst in erster Linie als Referenz dienen soll. Es gibt aber noch sehr viel mehr was man mit SSH tun kann:

The SSH man page

The SSH RFC

Wikipedia on SSH

SSH - The Definitive Guide by O'Reilly

Der Luchs ist da! Deshalb ist es wie schon bei Karmic an der Zeit alle Änderungen zu dokumentieren, die ich vornehmen musste, damit alles nach meinen Vorstellungen läuft. Diese Liste wird über die Lebenszeit des Luchses sicherlich noch etwas wachsen. Einige Probleme sind sehr speziell, andere könnten auch andere Benutzer interessieren. Im Großen und Ganzen bin ich schwer begeistert von 10.04: Alles wirkt etwas smoother, schneller und aufgeräumter. Karmic hat mir zwar gute Dienste geleistet, aber den Luchs habe ich bereits jetzt ins Herz geschlossen. Euch allen ein schönes halbes Jahr (oder sogar 3?) mit Ubuntu 10.04 Lucid Lynx!

Problemchen #1: Fensterbuttons nach rechts verschieben

Zum Glück nur einmal Copy/Paste....

gconftool-2 --set /apps/metacity/general/button_layout --type string "menu:minimize,maximize,close"

Problemchen #2: Miese Flash Performance

Seit Karmic wurden die Standardeinstellungen für den Radeon-Treiber geändert. Meine Mobility Radeon 9600 auf einem Asus M6N kommt im Zusammenspiel mit Flash damit nicht klar. Webseiten mit Flash pushen die CPU auf 100%. Mit dieser xorg.conf klappt es:

Section "Device"
	Identifier	"Configured Video Device"
	Option          "AccelMethod" "XAA"
EndSection

Problemchen #3: Fensterskalierung bei Pokerstars

In Pokerstars unter Wine skalieren die Tische nicht mit, wenn man das Tischfenster resized. Mit einem speziellen Eintrag in der user.ini im Pokerstarsverzeichnis lässt sich das beheben. Nach einem Neustart von Pokerstars lässt sich das Fenster mit F5 auf die richtige Größe bringen.

# user.ini
[Options]
f5redrawtable=1

Problemchen #4: Links in Pokerstars

In Pokerstars unter Wine öffnen angeklickte Links den Browser nicht.

"wine regedit" starten
Key HKEY_CLASSES_ROOT\http\shell\open\command suchen
In diesem Key "%1" nach "-nohome" anhängen

Problemchen #5: ffmpeg mit unfreien Codecs installieren

ffmpeg ist super zum konvertieren von Videos. Um auch unfreie Codecs nutzen zu können (z.B. h264, AAC) muss man ffmpeg selbst kompilieren. Das original Howto ist hier.

Problemchen #6: Logitech Quickcam Chat funktioniert unter Skype nicht

Die Kamera benötigt eine spezielle Library. So klappt es:

# Skype starten
LD_PRELOAD=/usr/lib/libv4l/v4l1compat.so skype

Danke an Arun

Problemchen #7: Es werden nicht alle Auflösungen und Wiederholraten meines externen Monitors erkannt

Eine Anpassung der xorg.conf mit den richtigen Werten funktioniert:

# /etc/X11/xorg.conf
Section "Monitor"
        Identifier      "NOVITAS"
        Option          "VGA"
        HorizSync       30-80
        VertRefresh     50-75
        ModeLine        "1024x768@75" 94.43 1024 1056 1528 1560 768 782 792 807
EndSection

Section "Screen"
        Identifier      "Default Screen"
        Device          "Configured Video Device"
        Monitor         "NOVITAS"
        DefaultDepth    24
        SubSection "Display"
                Depth           24
                Modes           "1027x768@75" "1024x768" "800x600"
        EndSubSection
EndSection

Problemchen #8: Der "Dokumentbetrachter" kann nicht drucken.

Geht doch. Hatte nur Probleme mit einem ganz bestimmten Dokument. Alle anderen funktionieren.

Problemchen #9: Der Ziffernblock meiner Tastatur geht nicht mehr

Wow was ist das denn? Jetzt wirds langsam nervig
"Mauszeiger per Tastatur steuern" war aktiv. Ist das eine neue Standardeinstellung?
(unter System > Einstellungen > Tastatur > Maustasten). Nach dem Deaktivieren dieses Features ging es wieder.

Problemchen #10: Lautstärkeregler im Panel ohne E-Mail Icon (Benachrichtigungsanzeige)

Seit Lucid sind der Lautstärkeregler und die Steuerung für Evolution und Messenger gebündelt als "Benachrichtigungsanzeige". Ich benutze Evolution nicht und das E-mail-Icon nimmt Platz weg.

Unter System -> Einstellungen -> Startprogramme "gnome-volume-control-applet" eintragen um nur die Lautstärkensteuerung ohne das Brief-Icon zu bekommen.

Problemchen #11: Aktuellste Adobe-Flash Version installieren

#!/bin/bash
#
# http://labs.adobe.com/downloads/flashplayer10.html
#

sudo su
cd /tmp
wget http://download.macromedia.com/pub/labs/flashplayer10/flashplayer10_1_rc2_linux_041910.tar.gz
tar xvf /tmp/flashplayer10_1_rc2_linux_041910.tar.gz
mv /usr/lib/flashplugin-installer/libflashplayer.so /usr/lib/flashplugin-installer/libflashplayer.so.orig
mv /tmp/libflashplayer.so /usr/lib/flashplugin-installer/
rm /tmp/flashplayer10_1_rc2_linux_041910.tar.gz

Dropbox ist schon ein tolles Tool. Nach der Installation hat man einen Ordner im lokalen Dateisystem, der automatisch alle enthaltenen Dateien online sichert und synchronisiert. Wenn man mehrere Rechner hat, erscheinen die Dateien auf allen Rechnern. Das ist sehr praktisch, zum Beispiel um wichtige Dokumente auf jedem Rechner verfügbar zu haben, oder um Konfigurationsdateien, wie zum Beispiel das E-Mail-Adressbuch zwischen Rechnern zu synchronisieren. Allerdings sollte man sich darüber bewußt sein, dass alle Daten im Dropbox-Ordner natürlich auch auf einer Festplatte irgendwo in der "Cloud" liegen (müssen). Dropbox gibt zwar an, dass sie die Daten der Nutzer selbst nicht einsehen können, da sie mit dem Passwort des Nutzers verschlüsselt werden. Trotzdem hatte ich immer ein ungutes Gefühl dabei "wichtige" Dateien zu "dropboxen". Mit Hilfe von encfs kann man sich allerdings innerhalb der Dropbox einen verschlüsselten Bereich anlegen, der vollkommen transparent verschlüsselt und entschlüsselt wird. Ein gutes Gefühl, oder?

Na dann mal los. Zunächst braucht man 2 neue Verzeichnisse. Zum einen ein Verzeichnis in der Dropbox, das später verschlüsselt wird und zum anderen ein Verzeichnis in das man das verschlüsselte Verzeichnis später entschlüsselt mounten kann:

mkdir /home/user/Dropbox/enc
mkdir /home/user/dec

Danach bereitet man das verschlüsselte Verzeichnis für die Benutzung vor und mountet es direkt:

sudo apt-get install encfs
encfs /home/user/Dropbox/enc /home/user/dec

Ab sofort werden alle Dateien, die in /home/user/dec abgelegt werden, verschlüsselt in die Dropbox gepackt.

Dateien in den Verzeichnissen sehen danach so aus:

# /home/user/dec

ww-ww-20:39:28 ~/dec-> ls -la
insgesamt 2320
drwxrwxr-x 13 ww ww    4096 2010-12-18 20:39 .
drwxr-xr-x 70 ww ww    4096 2010-12-18 03:39 ..
-rw-rw-r--  1 ww ww      13 2010-12-18 20:39 meine_geheime_datei

ww-ww-20:40:33 ~/dec -> cat ./meine_geheime_datei
SUPER GEHEIM

#/home/user/Dropbox/enc

ww-ww-20:39:28 ~/Dropbox/enc-> ls -la
-rw-rw-r--  1 ww ww      29 2010-12-18 20:39 zKcZI9p9vmR60OMvDJPKeZPnGyRByRWVRUKyAOr4sRTVu-

ww-ww-20:42:32 ~/Dropbox/enc -> cat ./zKcZI9p9vmR60OMvDJPKeZPnGyRByRWVRUKyAOr4sRTVu- 

��Z�
    ��>o��q0�����"�q
                    �

Den Mountvorgang kann man beim Login mit einem kleinen Einzeiler automatisieren:

#!/bin/bash
echo "MeinPasswort" | encfs -S /home/user/Dropbox/emc /home/user/dec

Eine gratis Dropbox mit 2.25 GB Speicher bekommst Du hier.

Um es gleich vorweg zu nehmen - der Adapter läuft mit einem aktuellen Linux ohne Treiberinstallation sofort "out of the Box" (getestet unter Debian Lenny und Ubuntu Karmic). Drinnen steckt ein indischer MOSCHIP 7830. Mit dem praktischen Teil kann man allen Kisten mit USB-Anschluss eine weitere Netzwerkkarte spendieren. Zum Beispiel um ein Notebook als Bridge oder Router zu benutzen, oder um Kisten ohne Netzwerkkarte online zu bekommen.

Nach dem Einstecken:

# /var/log/messages

Apr 23 18:23:08 ww kernel: [13489.976038] usb 1-3: new high speed USB device using ehci_hcd and address 7
Apr 23 18:23:08 ww kernel: [13490.112911] usb 1-3: configuration #1 chosen from 1 choice
Apr 23 18:23:08 ww kernel: [13490.184613] usb 1-3: applying rev.C fixup
Apr 23 18:23:08 ww kernel: [13490.192111] usb 1-3: applying rev.C fixup
Apr 23 18:23:08 ww kernel: [13490.201739] eth2: register 'MOSCHIP usb-ethernet driver' at usb-0000:00:1d.7-3, MOSCHIP 7830/7730 usb-NET adapter, 00:13:3b:04:00:5a
Apr 23 18:23:09 ww NetworkManager:    SCPlugin-Ifupdown: devices added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb1/1-3/1-3:1.0/net/eth5, iface: eth5)
Apr 23 18:23:09 ww kernel: [13490.251588] udev: renamed network interface eth2 to eth5
Apr 23 18:23:09 ww NetworkManager:    SCPlugin-Ifupdown: device added (path: /sys/devices/pci0000:00/0000:00:1d.7/usb1/1-3/1-3:1.0/net/eth5, iface: eth5): no ifupdown configuration found.

eth5 existiert danach und kann direkt konfiguriert werden.

Mit dabei ist noch eine Treiber-CD mit Treibern für Windows und Linux, man kann sich zur Not also auch das Kernelmodul selbst kompilieren. Der Hersteller bietet eine Seite mit aktuellen Treibern für alle gängigen Betriebssysteme. Und auch vom Chiphersteller selbst gibt es eine Treiber-Downloadseite.

Ein cooles Teil. Es wird sich noch im täglichen Gebrauch beweisen müssen, aber der erste Eindruck war sehr gut.

[Zeige als Diashow]

[Mit PicLens anzeigen]

Marketlink

Hier ein paar meiner Vignette-Schnappschüsse mit einem Motorola Milestone, mehr gibts bei Flickr.

[Zeige als Diashow]

[Mit PicLens anzeigen]

Einen Tag später: "Wir können keine Mails mehr verschicken!" Oh nein, eine Workstation hat einen Trojaner. Der Spammer ist im LAN. Avira Workstation Pro läuft auf allen XP-Clients im LAN und hat in der Regel auch zuverlässig funktioniert. Hier ist aber wohl etwas schief gelaufen.

Um herauszufinden wer der Übeltäter ist, habe ich den SMTP-Traffic zwischen DSL-Router und LAN gesnifft. Da alle Clients an Switchen hängen, war passives Mithören am selben Switch mit einem Client nicht möglich (Das geht nur mit HUB's). Deshalb habe ich mit einer Debian-Kiste, 2 Netzwerkkarten und 2 Switches ziemlich umständlich einen Wiretap gebaut. Dabei war mir dieser Artikel von heise netze sehr nützlich.

Im Endeffekt muss nur die Verkablung des Sniff-Rechners stimmen, danach muss eine
Netzwerkbrücke erstellt werden:

Die beiden Netzwerkkarten im Rechner wurden gebridged, damit der ganze LAN-INTERNET Traffic auch durch den Pinguin fliessen konnte. Ein Sniff mit Wireshark auf TCP/25 brachte dann sehr schnell die Lösung. In Sekundenschnelle füllte sich das Livelog mit SMTP-Verbindungen eines LAN-CLients zu externen SMTPs.

Den Übeltäter habe ich mit dem Avira Rescue System gebootet. Die Live-CD hat einen Trojaner (TR/Trojan.GEN) festgestellt, konnte ihn aber nicht löschen. Ich habe die infizierte Datei (Zufallsname in system32/drivers) danach mit einer Ubuntu-Live-CD entfernt. Die Spamflut hatte aufgehört. Ich muss es noch einige Zeit beobachten, aber ich glaube der Client ist wieder Herr seiner Sinne.

Ich werde mir mal so einen USB LAN NIC besorgen. Dann geht das ganze auch mit dem Notebook. Das wäre viel angenehmer beim nächsten Mal.

Die heise Schnüffel-Bridge:

apt-get install brctl

ifconfig eth0 -arp promisc 0.0.0.0 up
ifconfig eth1 -arp promisc 0.0.0.0 up
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 -arp promisc 0.0.0.0 up

Alle Wallpaper bekommt man zum Download im Launchpad.

[Zeige als Diashow]

[Mit PicLens anzeigen]

Den Screenshot habe ich übrigens mit "ShootMe" gemacht. Kostenlos und sehr gut - allerdings nur für gerootete Droiden...

Um der PS3 vorzugaukeln, dass sie bereits die aktuelle Version hat, benötigt man einen lokalen Proxy-Server (im Beispiel Squid), der die Anfrage an den SONY-Server an einen anderen Webserver umleitet, auf dem eine ältere Version der Textdatei liegt. Die PS3 denkt, dass sie aktuell ist und geht online.

Der Code wurde getstet unter einem Debian Lenny mit einem lokalen Webserver auf der Maschine. Er sollte aber auch unter Ubuntu ohne Probleme funktionieren.

Danach muss man in der PS3 als Proxy (Einstellungen -> Netwerk-Einstellungen -> Internetverbindungseinstellungen) lediglich noch die IP des Squid-Proxys angeben. Der Squid-Standardport ist 3128.

Leider ist das keine permanente Lösung. Sobald die ersten Games die Firmware 3.21 voraussetzen, werden diese durch diesen Workaround unspielbar. Aber wahrscheinlich ist ohnehin bald eine permanente Lösung verfügbar. Eventuell tut sich auch auf rechtlicher Seite etwas, da das Vorgehen von SONY klar gegen die EU-Direktive 1999/44 verstößt, die unter anderem vorschreibt, dass ein in der EU gekauftes Produkt die Funktion erfüllen muss, die dem Käufer zur Zeit des Kaufes bekanntgemacht wurde. Wörtlich: "fit for the purpose which the consumer requires them and which was made known to the seller at the time of purchase""

Ich habe bisher nicht upgedatet, um das "Other OS" nicht zu gefährden, da ich mir damit eine Emu-Box bauen wollte. Bisher wurde der Patch von Geohot noch nicht veröffentlicht. Um weiterhin mit einer nicht aktualisierten PS3 online gehen zu können, kann mit einem Webproxy wie zum Beispiel Squid gebastelt werden. Ich bin gespannt. Mehr Infos hier: http://geohotps3.blogspot.com/

Diesem Problem hat sich das Ubuntuzilla-Projekt angenommen. Sie betreiben ein Repository für Ubuntu, das stets die aktuellen stabilien Mozilla-Builds von Firefox, Thunderbird und Seamonkey enthält. Einmal dem aktuellen System hinzugefügt, bekommt man so bequem über die Paketverwaltung die neuesten Versionen eingespielt.

Und so funktioniert es:

Ubuntuzilla-Repo der sources.list hinzufügen

echo -e "\ndeb http://downloads.sourceforge.net/project/ubuntuzilla/mozilla/apt all main" | sudo tee -a /etc/apt/sources.list > /dev/null

Den Repository Key hinzufügen um Nachfragen des Paketmanagers zu vermeiden

sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com C1289A29

Danach die gewünschten Pakete installieren

sudo apt-get update
sudo apt-get install firefox-mozilla-build
sudo apt-get install thunderbird-mozilla-build
sudo apt-get install seamonkey-mozilla-build

Dies ist mein BASH-Spickzettel. Ich werde hier nützliche Codeschnipsel und Konstrukte sammeln, die ich ansonsten immer mal wieder googlen oder man'en musste. Der Artikel dient mir persönlich als Nachschlagewerk aber könnte auch anderen nützlich sein, die häufig mit der Bourne-again Shell zu tun haben.

Schleifen

while [ 1 ] #Endlosschleife
do
    echo "Blah"
done

for i in $(ls /etc)
do
  echo $i
done

for i in `seq 1 10`;
do
  echo $i
done

Case

case "$1" in
     a)
            echo "a"
            ;;
     b)
            echo b"

            ;;
     *)
             echo "$1 ist nicht a oder b"
             ;;
esac

Switches für Test : http://bash-hackers.org/wiki/doku.php/commands/classictest

oder

/usr/bin/[ --help

If-Then-Else

if [ "$1" = "a" ]; then
   echo "a"
else
    echo "kein a"
fi

dpkg + apt

#Installierte Files aus einem Paket auflisten
dpkg -L [Paketname]

#Files IN einem Paket auflisten
dpkg -c [paket.deb]

#Info über ein Paket
dpkg -I [paket.deb]

#Alle installierten Pakete auflisten
dpkg -l
dpkg --get-selections > getselections.txt

#Installationsauswahl aus Datei einspielen
dpkg --set-selections < getselections.txt

netstat

# Alle nach außen geöffneten Ports listen
netstat -lpn | grep LISTEN | grep -v localhost

mdadm

# Testmail senden
# Benutzt MAILADDR aus /etc/mdadm/mdadm.conf
mdadm --monitor -1 /dev/md0 -t

# Device dem Array hinzufügen
mdadm --add /dev/md0 /dev/sda1

# Device aus dem Array entfernen
mdadm --remove /dev/md0 /dev/sda1

# Fehlerhafte Devices entfernen
mdadm --manage /dev/md0 --remove faulty
mdadm --manage /dev/md0 --remove failed

# Bootloader nachinstallieren
grub
grub> root (hd0,0)
grub> setup(hd0)

# Festplatteninfos ausgeben
smartctl -i /dev/sdx

ext

# Disklabel setzen
e2label device label

screen

# Screens in Scripten automatisch generieren und task in screen starten
screen -S [screenname] -d -m [script.sh]

# Neue screen erstellen oder zu bestehender wechseln
screen -R -d [screenname]

# Keystroke zum verlassen einer Screen
CTRL - A - D

mysql

# Alle Datenbanken in eine Datei dumpen
mysqldump -u root -psecret --all-databases > backup.sql

# Nur die Datenbankstruktur in eine Datei dumpen
mysqldump -u root -psecret --no-data --all-databases > backup.sql

# Dump wieder herstellen
mysql -u root -psecret < backup.sql

# root Passwort resetten
/etc/init.d/mysql stop
echo "SET PASSWORD FOR 'root'@'localhost' = PASSWORD('neuespasswort');" >~/setrootpassword.sql
mysqld_safe --init-file=~/setrootpassword.sql
#[ctrl]+[c]
/etc/init.d/mysql start
rm -f ~/setrootpassword.sql

imagemagick

# Alle Bilder im aktuellen Verzeichnis resizen
mogrify -resize 800x600 ./*.JPG

# Alle Bilder im aktuellen Verzeichnis in PNG konvertieren
mogrify -format png ./*

unionfs-fuse

# Union zwischen a und b in c
# Geschrieben wird nach a

unionfs-fuse -o cow /home/a=RW:/home/b=RW /home/ww/Desktop/c

ffmpeg

# flv in 3gp umwandeln
ffmpeg -i in.flv -f 3gp -vcodec h263 -s 176x144 -ab 12.2k -ar 8000 -ac 1 out.3gp

# so ziemlich von jedem Format in jedes andere so verlustfrei wie möglich umwandeln
ffmpeg -i infile.ext -pass 2 -sameq  outfile.ext

find

# Dateien suchen und etwas mit ihnen tun
find . -name "*.mp3" -exec file {} \;

# Softlinks finden und anzeigen
find . -type l  -exec ls -l {} \; 

# Alle Dateien in einem Verzeichnis zählen
find /verzeichnis -type f | wc -l

sudo

#/etc/sudoers
# User username erlauben einen privilegierten Befehl ohne Passwort auszuführen
# (Muss ganz am Ende von /etc/sudoers angehängt werden)

username      ALL=NOPASSWD:   /sbin/reboot

iptables

# Alles auf INPUT erlauben
 iptables -F; iptables -P INPUT ACCEPT

# Verbindungen debuggen
# Paketzähler einer Chain auf 0 setzen
iptables -Z INPUT

# Chain mit Paketzähler anzeigen
iptables -L INPUT -v

FTP mounten

mkdir /tmp/mnt
modprobe fuse
curlftpfs -v ftp.host.com -o nonempty -o user=username:passwort /tmp/mnt
umount /tmp/mnt

umount "Device is busy" - Blockierenden Prozess finden

fuser -m [mountpoint]

wget Website mirrorn

wget -km http://www.website.com

SAMBA mounten

mount.cifs //192.168.0.1/share /media/share -o username=$USERNAME,password=$PASSWORD

32bit oder 64bit

getconf LONG_BIT

/etc/fstab

NFS:
192.168.0.1:/home  /home  nfs  rsize=8192,wsize=8192,hard,intr  0 0

Disk Full - Speicherfresser finden

apt-get install ncdu
ncdu

# / ohne mounts auf andere FS in /mnt mounten
# (Falls mounts Daten auf der lokalen Platte verdecken)
mount --bind / /mnt ; du -sm /mnt

Vollverschlüsselung des Systems

Sehr gutes Tutorial von Andreas Haerter:

http://blog.andreas-haerter.com/2011/06/18/ubuntu-festplattenvollverschluesselung-lvm-luks

Platte über das LAN klonen

dd if=/dev/hda | ssh -c blowfish -C root@otherbox.ip.addr dd of=/dev/hda

Aktuellen UNIX TIMESTAMP (Epoch) ausgeben

date +%s

Asterisk

#Sounddatei in von Asterisk abspielbares Format umwandeln
ffmpeg -i ./input.mp3 -ar 8000 -ac 1 -ab 64 ./output.wav

Ein Tag später. Mein Ehrgeiz wurde geweckt. Ich verkleinere, verschiebe, kopiere meine Partitionen, bis sie alle hinten auf der Platte liegen. GParted braucht 3 Stunden dafür. Ich boote mit einer Live-CD, mounte meine root-Partition, chroote in sie rein und installiere Grub neu. Ubuntu läuft wieder. Ich mache mich also daran XP nochmal zu installieren. Diesmal an den Anfang der Platte. Leider will XP die Installation am Anfang der Platte wieder auf H:\ ausführen. Es geht wohl nicht um die Reihenfolge der Partitionen auf der Platte sondern um die Reihenfolge in der Partitionstabelle. Wieder was gelernt. Ich könnte Windows auf C :\ installieren, das ist aber  eigentlich mein sda1 auf dem meine root-Partition liegt. Ich will Windows nicht mein Ubuntu killen lassen. Ich boote erneut mit der Live-CD und mache mit partimage ein Backup meiner root-Partition um es nach der XP-Installation wieder in eine neue Partition zurückspielen zu können. Ich starte mal wieder das XP Setup. Jetzt bin ich völlig verwirrt.Der freie Platz am Anfang der Platte heisst jetzt doch C:\. Warum das? Ich hatte an den Partitionen nichts mehr geändert. Ich bekomme so langsam aber sicher das Gefühl, dass ich an irgendeiner  Stelle dieser Odysee etwas hätte schlauer machen können. Ich gähne mich durch die erneute XP-Installation. Mann, warum müssen sie mitten in der Installation die Fragen stellen und nicht einfach ganz am Anfang. Man muß daneben sitzen. XP ist wieder da. Auf C:\. Ich installiere den LAN Treiber und den VGA-Treiber. REBOOT. CANNOT LOAD OPERATING SYSTEM. Na ja. Kenne ich ja schon. Vielleicht bin ich in einer Windows-Support Endlosschleife in der Hölle. REBOOT.  Also nochmal die Super Grub Disk und update-grub && grub-install. REBOOT. Zurück in XP. "Ihr Computer ist eventuell gefährdet" - da bin ich mir sicher. Ich sauge mir erneut den Motorola-USB-Treiber. Geschafft. Es funktioniert. Was für ein Krampf.

Nachtrag: Ein befreundeteter Windows-Admin hat mir erzählt, wie ich es mir viel einfacher hätte machen können: ein "subst h: c:\" hätte vor der Installation des Treibers gereicht. Ich Windows-DAU!

Ich hatte immer mal wieder mit Mailservern zu tun. Leider war ich häufiger etwas verwirrt, da - je nach Setup - sehr viele verschiedene Komponenten miteinander kommunizieren müssen. Aus diesem Grund hier mein Spickzettel für einen Mailserver auf einem Internethost mit FQDN. Ausprobiert wurde es auf einem Debian Lenny.

Alle Verbindungen nach außen sind verschlüsselt oder mit MD5-Cram Pasword Hashes verschleiert. Eingehende Mail wird auf Spam und Viren geprüft und Benutzer können ihre Mail über IMAP lesen.

Im Bild oben sind Daemons gelb, Datenbanken grau und gesichtere Verbindungen grün.

Was machen die einzelnen Komponenten?

• Postfix empfängt Mails, die Clients versenden wollen. Diese leitet er weiter an den richtigen Server im Internet. Außerdem entfängt Postfix Mails aus dem Internet für Benutzer mit Mailboxen auf dem Server.
• VirtualAliases(Teil von Postfix) ist eine Datenbank mit der Postfix empfangene Mails den einzelnen Mailusern zuordnen kann.
• Saslauthd authentifiziert User die Mail über Postfix per SMTP verschicken wollen. Er überprüft Username und Passwort mit MD5-Cram Hashes.
• Sasldb ist die Datenbank, aus der Saslauthd Usernamen und Passwörter anfragen kann.
• Courier-IMAP stellt dem Mailclient eines Nutzers die Mails aus seinem Maildir zur Verfügung
• Courier-Authdaemon authentifiziert  User, die Mail über den Courier-IMAP lesen. Er überprüft Username und Passwort mit MD5-Cram Hashes.
• Userdb (Teil von Courier) ist die Datenbank, aus der Courier-Authdaemon Usernamen und Passwörter anfragen kann.
• Procmail ist ein Filter, durch den jede eingehende Mail laufen muss. Procmail reicht die Mail an den Spamfilter und den Virenscanner durch und liefert sie danach an den User aus.
• Clamassassin ist ein kleines Tool, das eine Schnittstelle zwischen Procmail und ClamAV bildet. Es reicht die Mails nur durch an ClamAV.
• Spamassassin (spamd) Spamchecker. Gibt jeder Mail einen Score, der aussagt wie wahrscheinlich es ist, dass die überprüfte Mail SPAM ist.
• Maildir Mailbox Hier liegen die Mails der Benutzer des Systems. Es ist ein normales Verzeichnis im Dateisystem. IMAP-Clients können sie von hieraus abrufen.

Vorbereitung

Alle benötigten Pakete installieren

apt-get update && apt-get upgrade
apt-get install postfix postfix-doc postfix libsasl2-2 sasl2-bin libsasl2-modules courier-imap-ssl procmail spamassassin clamav clamassassin

Konfigfragen von Courier

• Verzeichnisse für WWW-Administration? Nein

Konfigfragen von Postfix

• Internet-Server
• E-Mail-Name:  Der per DNS auflösbare FQDN des Servers (z.B. meinedomain.de)

Konfiguration von Postfix fortsetzten

dpkg-reconfigure postfix

Weitere Konfigfragen von Postfix

• Internet-Server
• An wen sollen Mails für root weitergeleitet werden: Nichts eintragen, kommt später.
• Rechner für die dieser Rechner als Zielsystem gilt: Alle Domains die mit Postfix Mails empfangen können und die einen DNS-Eintrag für die IP des Servers haben. (z.B. meinedomain.de, meinanderedomain.de, meinedrittedomain.de)

Postfix

Configdatei für Postfix

# /etc/postfix/main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = /usr/share/doc/postfix                                 

# TLS aktivieren
smtpd_use_tls=yes                                                         

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
myhostname = meinedomain.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = meinedomain.de, meineanderedomain, meinedrittedomain , localhost, 127.0.0.1
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
html_directory = /usr/share/doc/postfix/html
inet_protocols = ipv4

# Auth über SASL
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
# Nur User Mail versenden lassen, die in SASL-DB stehen, nur MD5-Passwörter erlauben
smtp_sasl_security_options = noanonymous, noplaintext

# Nur Localhost (mynetworks) und über SASL angemeldete User dürfen Mails verschicken
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_local_domain =

# Nur verschlüsselt Authentifizieren mit TLS
smtp_tls_auth_only = yes

#TLS aktivieren
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes

# Selbstgenerierter Schlüssel und das Zertifikat
smtpd_tls_key_file = /etc/postfix/cert/smtpd.key
smtpd_tls_cert_file = /etc/postfix/cert/smtpd.crt
smtpd_tls_CAfile = /etc/postfix/cert/cacert.pem

# SPäter auf 0 setzen, gut zum debuggen
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

# Mails in Maildirs ausliefern
home_mailbox = Maildir/

# Dateiname der Virtual-Alias-Map mit der Zuordnung von E-Mail-Adresse zu lokaler Mailbox
virtual_alias_maps = hash:/etc/postfix/virtual

# Mail wird nicht direkt in Mailboxen gelegt sondern an Procmail übergeben
mailbox_command = procmail -a "$EXTENSION"

SASL

SASL stellt für verschiedene Daemons einen Authentifizierungsmechanismus zur Verfügung. In diesem Setup werden in einer SASL-Datenbank die Benutzer gespeichert, die über unseren Postfix Post verschicken dürfen. (Also der Username und das Passwort, die im E-Mail-Client als Zugangsdaten für den SMTP-Server eingetragen werden müssen)

Konfigdatei für SASL erstellen

# /etc/postfix/smtpd.conf
pwcheck_method: authdaemond
mech_list: CRAM-MD5

Postfix kann leider noch nicht den saslauthd benutzen um Benutzerdaten zu überprüfen, da Postfix in einer chroot-Umgebung läuft und noch keinen Zugriff auf den saslauthd hat.

# /etc/default/saslauthd
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="pam"
MECH_OPTIONS=""
THREADS=5

# Mit -m legen wir das Socket von saslauthd in ein Verzeichnis, das Postfix aus dem chroot erreichen kann.
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

Danach muss noch im "start-instance"-Block von /etc/init.d/saslauthd der Ort für die PID geändert werden, auch wieder damit Postfix das PID-File lesen kann.

# /etc/init.d/saslauthd
.
.
PIDFILE="/var/spool/postfix/var/run/${NAME}/saslauthd.pid"
.
.

TLS

Es können nun keine nicht-authentifizierten Sender mehr Mail über den Postfix SMTP versenden, allerdings gehen die Mails noch im Klartext durch LAN und Internet. Die TLS-Verschlüsselung wurde bereits oben in der Postfix-Konfigdatei main.cf aktiviert. Allerdings fehlen noch Key und Zertifikat.

mkdir /etc/postfix/cert
cd /etc/postfix/cert

openssl genrsa -des3 -rand /etc/hosts -out ./smtpd.key 1024
chmod 600 ./smtpd.key
openssl req -new -key ./smtpd.key -out ./smtpd.csr
openssl x509 -req -days 99999 -in ./smtpd.csr -signkey ./smtpd.key -out ./smtpd.crt
openssl rsa -in ./smtpd.key -out ./smtpd.key.tmp
mv -f ./smtpd.key.tmp ./smtpd.key
chmod 600 ./smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout ./cakey.pem -out ./cacert.pem -days 99999

SASL DB erstellen

Mails werden nun bei der Übertragung verschlüsselt, Usernamen und Passwörter für den Mailversand über den SMTP-Server gehen jedoch noch im Klartext durchs Internet. Diese kann man zumindest mit der MD5-Cram-Methode kaschieren. Diese wurde bereits in der /etc/postfix/smtpd.conf aktiviert. Es fehlt nur noch die SASL-Datenbank selbst. Diese legt man an, indem man einfach einem späteren Mailuser einen Usernamen und ein Passwort gibt.

# Für Username einen lokalen Mailuser einsetzen um die SASL-DB zu erstellen mit einem ersten Benutzer
saslpasswd2 username

Postfix ist fertig. Er kann Mails empfangen und verschicken. Verbindungen zu Clients und anderen Mailservern sind verschlüsselt.

Courier

Couriers Konfigdateien

# /etc/courier/authdaemonrc

# UserDB zur authentifizierung benutzen
authmodulelist="authuserdb"

authmodulelistorig="authuserdb authpam authpgsql authldap authmysql authcustom authpipe"
daemons=5
authdaemonvar=/var/run/courier/authdaemon

# Gut zum debuggen
DEBUG_LOGIN=2
DEFAULTOPTIONS=""
LOGGEROPTS=""

#/etc/courier/authmodulelist

# courierauthdaemon nutzt MD5-cram
authcram

# /etc/courier/imapd

ADDRESS=0
PORT=143
MAXDAEMONS=40
MAXPERIP=20
PIDFILE=/var/run/courier/imapd.pid
TCPDOPTS="-nodnslookup -noidentlookup"
LOGGEROPTS="-name=imapd"

#Hier wird AUTH=CRAM-MD5 hinzugefügt

IMAP_CAPABILITY="IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 IDLE"

IMAP_KEYWORDS=1
IMAP_ACL=1
IMAP_CAPABILITY_ORIG="IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 AUTH=CRAM-SHA1 AUTH=CRAM-SHA256 IDLE"
IMAP_PROXY=0
IMAP_PROXY_FOREIGN=0
IMAP_IDLE_TIMEOUT=60
IMAP_MAILBOX_SANITY_CHECK=1
IMAP_CAPABILITY_TLS="$IMAP_CAPABILITY AUTH=PLAIN"
IMAP_CAPABILITY_TLS_ORIG="$IMAP_CAPABILITY_ORIG AUTH=PLAIN"
IMAP_DISABLETHREADSORT=0
IMAP_CHECK_ALL_FOLDERS=0
IMAP_OBSOLETE_CLIENT=0
IMAP_UMASK=022
IMAP_ULIMITD=65536
IMAP_USELOCKS=1
IMAP_SHAREDINDEXFILE=/etc/courier/shared/index
IMAP_ENHANCEDIDLE=0
IMAP_TRASHFOLDERNAME=Trash
IMAP_EMPTYTRASH=Trash:7
IMAP_MOVE_EXPUNGE_TO_TRASH=0
SENDMAIL=/usr/sbin/sendmail
HEADERFROM=X-IMAP-Sender
IMAPDSTART=YES
MAILDIRPATH=Maildir

SSLPORT=993
SSLADDRESS=externe.ip.des.servers
SSLPIDFILE=/var/run/courier/imapd-ssl.pid
SSLLOGGEROPTS="-name=imapd-ssl"
IMAPDSSLSTART=YES
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
COURIERTLS=/usr/bin/couriertls
TLS_KX_LIST=ALL
TLS_COMPRESSION=ALL
TLS_CERTS=X509
TLS_CERTFILE=/etc/courier/imapd.pem
TLS_TRUSTCERTS=/etc/ssl/certs
TLS_VERIFYPEER=NONE
TLS_CACHEFILE=/var/lib/courier/couriersslcache
TLS_CACHESIZE=524288
MAILDIRPATH=Maildir

# Auch hier kommt AUTH=CRAM-MD5 hinzu

IMAP_CAPABILITY="IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 IDLE"

Spamassassin

Spamassassin muss aktiviert werden

# /etc/default/spamassassin
ENABLED=1
OPTIONS="--create-prefs --max-children 5 --helper-home-dir"
PIDFILE="/var/run/spamd.pid"
CRON=0

Procmail

Nachdem Postfix Mails aus dem Internet für einen lokalen Benutzer empfangen hat, übergibt er sie an procmail. Procmail wiederum übergibt die Mail an Spamassassin um sie auf Spam zu überprüfen und an clamassassin, der sie weiterreicht an den Virenscanner clamav.

# Eine Beispiel .procmailrc für die Homeverzeichnisse der Mailuser

PATH=$HOME/bin:/usr/bin:/bin:/usr/local/bin:.
MAILDIR=$HOME/Maildir/
DEFAULT=$HOME/Maildir/new
LOGFILE=$HOME/procmail.log

# SPAMASSASSIN
:0fw: /var/run/spam.lock
* < 256000
| spamc -f -u $LOGNAME

# Alle SPAMS mit Score 10-99 gleich weg
:0:
* ^X-Spam-Status: Yes, score=[1-9][0-9]\.
/dev/null

# Alle SPAMS mit Score > 3 gleich weg
#:0:
#* ^X-Spam-Status: Yes, score=[4-9]\.
#/dev/null

:0fw
| /usr/bin/clamassassin

# Rewrite Subject Line, if SpamLevel is high enough.
:0fw
* ^X-Virus-Status: Yes
| sed '1,/^$/s@^Subject:@Subject: /VIRUS!/@'

:0:
* ^X-Virus-Status: Yes
/dev/null

# Move SA SPAM MAILS TO SPAM
:0:
* ^X-Spam-Status: Yes
$MAILDIR/.Spam/new

# Alle Mails die es ohne Blessuren bis hier geschafft haben, landen automatisch in der Inbox des Users. "Sie haben Post!"

Puh! Das Mailsystem ist fertig! Es fehlen nur noch Benutzer, die Maildirs und die Konfiguration der Virtual-Aliases um festzulegen welche Email-Adressen in welchen lokalen Mailboxen laden. Das folgende Skript legt den UNIX-Systembenutzer an, und denselben Benutzer noch einmal für Postfix in der SASLdb und für Courier in der Courier-Userdb.

Skript zum anlegen neuer User

# Added einen neuen User zum Mailsystem                      

#!/bin/bash
clear
echo "Neuer User fuer das Mailsystem";
echo "Username eingeben: ";
read newuser                          

echo $newuser >> /root/scripts/mail/mail_users.dat

# Adding Unix User

adduser --ingroup users --quiet --shell /bin/false $newuser

echo
echo "Linux User wurde angelegt....."
echo

# Adding Courier Mailboxes

maildirmake /home/$newuser/Maildir
maildirmake -f Spam /home/$newuser/Maildir
maildirmake -f Virus /home/$newuser/Maildir
maildirmake -f LerneSpam /home/$newuser/Maildir
maildirmake -f LerneKeinSpam /home/$newuser/Maildir
maildirmake -f MeineOrdner /home/$newuser/Maildir
maildirmake -f Sent /home/$newuser/Maildir
maildirmake -f Trash /home/$newuser/Maildir
chown -R $newuser.users /home/$newuser/Maildir
echo
echo "IMAP Mailverzeichnisse wurden angelegt...."
echo

# Setting SASL Password for Postfix SMTP auth

echo
echo
echo "Passwort für SMTP-Auth angeben (Mails verschicken mit dem Client)"
saslpasswd2 $newuser

echo
echo
echo "Passwort für Courier angeben (Zuganspasswort für den IMAPSERVER)"

NEWUID=`cat /etc/passwd | grep $newuser | cut -d: -f3`

userdb $newuser set home=/home/$newuser uid=$NEWUID gid=100
userdbpw -hmac-md5 | userdb $newuser set imap-hmac-md5pw home=/home/$newuser
makeuserdb

/etc/init.d/courier-authdaemon restart
/etc/init.d/saslauthd restart

echo "OK. User angelegt"
echo "Weisen Sie dem neuen User bitte noch E-Mail-Adressen zu!"
echo
echo
echo "Datei /etc/postfix/virtual editieren."
echo "Danach einmalig ausführen: postmap /etc/postfix/virtual"
echo "Danach einmalig ausführen: /etc/init.d/postfix reload"

Skript zum löschen von Usern

echo "Diesen User loeschen:"
read DELUSER

# aus mail_users_dat kriegt lernespam die mailuser
cat /root/scripts/mail/mail_users.dat | grep -v "^$DELUSER$" > /root/scripts/mail/mail_users.dat.tmp
rm /root/scripts/mail/mail_users.dat
mv /root/scripts/mail/mail_users.dat.tmp /root/scripts/mail/mail_users.dat

deluser --remove-home $DELUSER
saslpasswd2 -d $DELUSER
userdb $DELUSER del
makeuserdb
/etc/init.d/courier-authdaemon restart
/etc/init.d/saslauthd restart

Skript zum manuellen Spam-lernen

#!/bin/bash

for user in $(cat /root/scripts/mail/mail_users.dat);
do

SADIR=/home/$user/.spamassassin
NOSPAM=/home/$user/Maildir/.LerneKeinSpam/cur/

for l in $(ls $NOSPAM );
do
PRINT=`cat $NOSPAM/$l | grep -e "^From:" | grep -o "[[:alnum:]\.\+\-\_]*@[[:alnum:]\.\-]*" | sort -u`
echo "whitelist_from $PRINT" >> $SADIR/user_prefs
done

# Let SA learn
/usr/bin/sa-learn -D  --spam /home/$user/Maildir/.LerneSpam/cur
/usr/bin/sa-learn -D  --ham /home/$user/Maildir/.LerneKeinSpam/cur

# Move Stuff
mv /home/$user/Maildir/.LerneKeinSpam/cur/* /home/$user/Maildir/cur/
rm /home/$user/Maildir/.LerneSpam/cur/*

done
exit

Virtual Aliases

Unser Postfix weiss noch gar nicht welche E-Mail-Adressen welchen lokalen Mailboxen zugeordnet sind. Diese Zuordnung wird in der Datei /etc/postfix/virtual geschaffen. Links stehen E-Mail-Adressen oder lokale Absender wie "root", rechts steht der Username für die IMAP-Mailbox oder eine Ziel-E-Mail-Adresse für Weiterleitungen

# /etc/postfix/virtual
root                                        daniel
daniel@meinedomain.de            daniel
daniel@meineanderedomain.de   daniel
fritz@meinedomain.de               fritz
alle@meinedomain.de                daniel,fritz
weiterleitung@meinedomain.de   daniel@gmail.com

Danach muss Postfix die virtuellen Aliase neu initialisieren. Das ist nach jeder Änderung der Datei notwendig.

postmap /etc/postfix/virtual

Jetzt ist wirklich alles fertig. Es müssen noch alle Dienste gestartet werden.

/etc/init.d/postfix restart
/etc/init.d/courier-imap restart
/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-authdaemon restart
/etc/init.d/saslauthd restart
/etc/init.d/spamassassin restart
/etc/init.d/clamav restart

Irgendwas wird sicherlich nicht funktionieren! Zum Debuggen eignet sich /var/log/mail.log ganz gut. In vielen Configdateien kann man das Loglevel hochsetzen um mehr Informationen zu bekommen.

Transport Maps

Um Mails an einen anderen SMTP weiterzurouten, benötigt man Transport-Maps. Sie werden in der Datei /etc/postfix/transport angelegt:

#/etc/postfix/transport
# Links lokales Ziel
# Rechts SMTP an den weitergeleitet wird

daniel-ritter.de       smtp:12.13.14.15
daniel-ritter.de       smtp:anderer.host.de

# Zusätzlich alle Subdomains
.daniel-ritter.de      smtp:anderer.host.de

#/etc/postfix/main.cf
transport_maps = hash:/etc/postfix/transport

# Aktivieren von Änderungen an den Transportmaps

postmap /etc/postfix/transport
/etc/init.d/postfix reload

Nutzer das Courier-Passwort selbst ändern lassen

echo "Courier Passwort ändern"
echo

echo
echo "Benutzername: "
read U
echo "Altes Passwort: "
read A
echo "Neues Passwort: "
read N

if [ $(echo $N | grep -e ^[0-9]) ];
then
echo "Entschuldigung. Passwörter dürfen nicht mit einer Zahl beginnen."
exit
fi

echo -e "$U\0$A\0$N\0" | /opt/courierpasswd --verbose --stderr --stdin --changepw

Iptables können ziemlich verwirrend sein. Deshalb habe ich, um einen Grundstock zu schaffen, ein ganz simples Skript gebastelt. Standardmässig sind keine Ports von außen erreichbar, gewünschte Ports müssen explizit freigegeben werden. Von innen initiierte Verbindungen funktionieren, Verbindungen mit den freigegebenen Ports auch. Kann man es noch weiter vereinfachen?

#!/bin/bash

# alle bestehenden Regeln löschen
iptables -F

# Standardmässig eingehende Verbindungen verbieten
iptables -P INPUT DROP

# Standardmässig ausgehende Verbindungen erlauben
iptables -P OUTPUT ACCEPT

# Nicht routen
iptables -P FORWARD DROP

# localhost darf alles
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Eingehende Verbindungen für SSH und HTTP erlauben
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 80

# Eingehende Verbindungen erlauben, die sich auf bestehende Verbindungen
# beziehen. (Damit es nach dem Verbindungsrequest eines Clients auch weitergeht)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Lets face the truth. Desktop Linux has made an incredible progress in the last few years. It still gives you all the freedom, happiness and elegance it inherited from it's UNIX-foundation - and it tries hard to compete with the Windows Plug-And-Play mentality.

The standard user shouldn't need to do complicated things on the console. Basic things should just work. Especially Ubuntu did great, they really improved many GUI aspects of the GNOME-desktop. Most modern machines run and work just "out of the box" with a fresh Ubuntu install. BUT there are still these little annoyances and things that don't work as expected. I will collect my personal annoyances with Ubuntu 9.10 "Karmic Koala" in this post and add solutions, if I find them.

Annoyance #1
Logs are spammed with messages about CPU temperature

This one is an ugly one. It started for me with Karmic. /var/log/kern.log and /var/log/syslog got spammed with millions of messages from the kernel stating things like:

CPU0: Temperature above threshold, cpu clock throttled (total events = 208[ 8973.550089] CPU0: Temperature/speed normal

CPU0: Temperat cpu clock throttled (total events = 2080190)
This was a real problem, because about 100 messages per second were written to the logs, making them hard to read for other purposes. Syslog archiving them pushed my CPU to 100% and they filled up my root partition very quickly. This behaviour seems to originate from a kernel bug that should be fixed anytime soon. There is an Ubuntu Bug-Report on the problem already: https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/453444. There is no real fix for it, as this is a kernel bug, but there is a workaround that fixed the odd behaviour of my system. I just disabled the logging of lines, that contain the bogus information:

• Create a file /etc/rsyslog.d/10-temperature.conf
• Paste the following code into it::msg,contains,"Temperature/speed normal" ~
  :msg,contains,"Temperature above threshold" ~

• Save it
• Do an sudo restart rsyslog to make the new rule active.

Annoyance #2
CPU Frequency Scaling Monitor didn't remember my password

There is a very useful little applet for the Gnome panel, that allows you to change the speed of your CPU while working. As I am using a notebook most of the time, this thingy came in quiet handy for me. Because changing of the CPU policy requires root-privileges, you had to enter your password once with old Ubuntu versions. After that you were able to check a checkbox and Ubuntu remembered your policy. Things changed in Karmic. With the new policykit2 environment, there was no possibility anymore to remember the password. I had to reenter it every time i wanted to change my CPU policy. I found out, that I could set the permisson right in the config files for policykit2:

• Create a file  /var/lib/polkit-1/localauthority/50-local.d/gnome-cpufreq.pkla
• Paste the following code into it (be sure to replace YOURUSERNAME with your username):[Allow users to set the CPU frequency]
  Identity=unix-group:YOURUSERNAME
  Action=org.gnome.cpufreqselector
  ResultAny=no
  ResultInactive=no
  ResultActive=yes

• Save it
• There is no password needed anymore for changing CPU policies

Annoyance #3
Streamtuner couldn't load the Shoutcast streamlist anymore

This started with Intrepid or so. Shoutcast changed the hostname of it's streamlist-servers. The old hostname seems to be hardcoded into Streamtuner, so it couldn't get the streamlist anymore. This was  unconvenient  for me, because i got used to tune into my favourite internet radio stations (like Lemixx Paris France) with Streamtuner. There seems to be no effort to fix this in the Ubuntu package, as the bug is now several months old already. I fixed it by adding the right IP to /etc/hosts.

• Open up /etc/hosts with a text editor
• Add the following line to it:205.188.234.120 www.shoutcast.com

• Save it
• Streamtuner can access Shoutcast streams again

Annoyance #4
USB Startup Disk Creator is unable to create an USB Startup Disk

Ubuntu brings it's own tool to clone itself onto an USB flashdrive. You basicly get a fully working Ubuntu Installation on your flashdrive. A very useful thingy to carry around if you want to connect to the internet from untrusted machines or if you want to fix a brokeen down computer. So far so good, it didn't work. When you start the USB Startup Disk Creator from Ubuntus menu, the tool starts but is unable to format or write to partitions on your flashdrive. The solution is surprisingly simple: It needs to be run as root to make it work:

• Open up a terminal
• Enter the following command:
  sudo usb-creator-gtk
• Create and enjoy your flashdrive
  

Annoyance #5
Couldn't click on any web link in Pokerstars with wine

Poker is one of my hobbies and the guys from Pokerstars did a great job on making it a good experience on Linux with wine too. There are a few downgrades though. When clicking on links in the Pokerstars software, no webbrowser opened up in Gnome. You need to edit the registry to fix that.

• Run wine regedit to open the registry editor
• Navigate to  HKEY_CLASSES_ROOT\http\shell\open\command
• Add a "%1" after -nohome in that registry key
• Links work now in Pokerstars

Annoyance #6
Couldn't make Pokerstars tables fullscreen with wine

Another Pokerstars problem. Scaling tables didn't work well. There was no way to make a table fullscreen. There is a way to fix that, implemented espcially for wine users by Pokerstars.

• Open up the file user.ini in your Pokerstars directory ($HOME/.wine/Program....)
• Add a line with  f5redrawtable=1 to the file
• Save it
• Tables are redrawn now after resizing them when you press F5
  

Annoyance #7
Skype didn't show video on my Logitech Qucikcam Chat

Skype detected my cam as /dev/video0 but was unable to grab pictures from it. The video window just stayed in plain old black

I started Skype with -> LD_PRELOAD=/usr/lib/libv4l/v4l1compat.so skype  to fix it.

To be continued...

]]> http://www.daniel-ritter.de/blog/my-karmic-koala-annoyances-and-how-i-fixed-them/feed 1 http://www.daniel-ritter.de/blog/6-useful-things-you-can-do-with-ssh http://www.daniel-ritter.de/blog/6-useful-things-you-can-do-with-ssh#comments Thu, 19 Nov 2009 02:11:11 +0000 Daniel http://www.daniel-ritter.de/blog/?p=148 SSH must be my favourite piece of software ever. It's free, it gives you freedom, it's simple to use yet powerful in the things it can do. It helps you to encrypt and secure your communication. It can do this in an universal way and for nearly every usage case. In this post, I want to show you 6 things you can do with SSH without too much hassle. SSH can do more than just serve as an encrypted remote session. Try the following examples for yourself and explore the power of the Secure Shell.

Thingy #1 - A secure remote shell

OK, this is the most obvious thing you can do with SSH and i bet most of you have already done it: Connect to a remote machine via a SSH-secured connection and type on it's console to administer it.

This is very simple:

ssh user@box_B

This will connect you to Box B as user "user". After having entered your password, you will be able to use BOX B's console.

Sometimes you don't want to connect to the remote machine for an interactive session, because you just want to run a single command on the remote machine. In that case you can just do a

ssh user@box_B command

This will connect to Box B as "user", run "command", show you "command"'s output and disconnect.

Thingy #2 - Copy files between your boxes

Great, we can administer a remote machine with SSH but we can also move data between machines in an encrypted and secure way. It basicly works like the standard "cp" command, but it has got a different name: "scp"

scp /home/me/a_file.txt user@box_B:/home/me/

This will copy the local file "/home/me/a_file.txt" on our Box A to "/home/me/a_file.txt" on Box B.

It will work vice versa as well:

scp user@box_B:/home/me/b_file.txt /home/me

This would get the file "/home/me/b_file.txt" and would put in into our home dir on box A.

Because "scp" works like "cp" wildcards are allowed as well:

scp /var/log/* user@box_B:/home/me/logsbackup

This would copy all of the log files from our Box A to "/home/me/logsbackup" on Box B.

Thingy #3 - Mount a remote directory into your local file system

Sometimes it's not enough to simply copy one or more files from one machine to another. Mounting a remote directrory into your local filesystem becomes super useful, when you want to work on the remote files with local programs. A good example for this would be working on a remote website. You can simply mount the web-directory from the remote server into your local filesystem and use all your fancy HTML-editors and image-programs on the remote files as if they were on your local harddrive. That's where "sshfs" comes in handy. The tool isn't installed by default in most distributions but you should be able to find it in your repository. On Debian based systems just install it with:

apt-get install sshfs

After having installed sshfs you can start using it:

mkdir /mnt/b_data
sshfs user@box_B:/b_data /mnt/b_data

This mounts the directory "/b_data" from box B into "/mnt/b_data" on your local file system. Now you can work on your remote files with local tools. When you are done, you can unmount the directory with:

fusermount -u /mnt/b_data

If the unmount fails, check if you have still open files in the directory or if you are still in that directory in some shell or Nautilus/Konqueror window.

Thingy #4 - Surf the Web uncensored and anonymously from "critical" locations

Corporate policies, fascist governments, internet cafés and other "unfriendly" rules, institutions and places can give you a hard time, when you want to access the web in a secure and private way. Firewalls and proxies may block your favourite sites, log the sites you have visited, perform man in the middle attacks or can just give you a bad feeling. SSH is the solution for these problems. It offers you the possibility to use it as a web-proxy. You simply connect to your good old trusted box B and surf through the encrypted connection.

(Local Browser <-> Local SSH Proxy <-> SSH <-> Box B <-> Website)

Now nobody on your unfriendly local LAN can block or spy on your surfing session.
Sounds good? Great! It's even simple to setup. SSH offers the "-D" option to provide a SOCKS proxy on the local machine:

ssh -D 1234 user@box_B

You'll have a proxy listening on localhost port 1234. Now you just have to setup your webbrowser to use the "SOCKS proxy" on localhost port 1234 and all your surfing will go through Box B. You can check if it worked by visiting a website that shows your IP. http://www.whatismyip.com is a site that would work. If that site shows Box B's IP-address instead of your local one, you setup everything correctly. A portable webbrowser on your USB-pendrive like  Portable Firefox would make things even more cozy.

Thingy #5 - Encrypt the data traffic of your favourite local application or access services in LAN's you couldn't reach otherwise with SSH-tunnels

OK, we encrypted remote admin-sessions, copied files securely and even surfed the web in a private way. But SSH can do more. You can encrypt the traffic of every application that uses the TCP-protocol with SSH tunnels. Like with our SOCKS-proxy, we can tunnel other data through ssh, for example the traffic of our e-mail client. Lets say you want to pickup your e-mail while being in a "critical" environment. Bad corporations / governments / script kiddies could read your email and even worse could sniff your e-mail password. SSH helps. The syntax for tunnels in SSH might puzzle your brain at first sight, but it's not too hard:

ssh -L local_port:target_host:target_port user@box_B

for example

ssh -L 10000:pop3.mailprovider.com:110 user@box_B

OK, lets see what happened here. We told ssh to create a tunnel with a local (-L) endpoint at port "10000". Everything that is put into our local endpoint goes first encrypted to our Box B and after that to "pop3.mailprovider.com" on port 110 (which is POP3). You relay all data that goes into our local endpoint in an encrypted way via Box B to your E-Mail provider. In this example you would set the POP-account in your e-mail client to "localhost" port "10000". It doesn't have to be e-mail. Any other application that uses a protocol utilizing TCP works as well. For example IRC, FTP, HTTP, IMAP, you name it...

in case you are running your own server-service on Box B, "target host" can be Box B itself of course:

ssh -L 10000:127.0.0.1:110 user@box_B

Target host in this example is "127.0.0.1" because it's the target from Box B's point of view. "127.0.0.1" seen from Box B sure is Box B itself.

Tunneling can be useful to secure your services or to connect to services inside BOX B's network. Lets say BOX B is in an intranet that has an interesting webserver on IP "192.168.0.77" and you are unable to access that server from the outside. You just tunnel your way to BOX B and let BOX B forward you to the webserver:

ssh -L 10000:192.168.0.77:80 user@box_B

Now typing "http://127.0.0.1:10000" into your local webbrowser will show you the homepage of the intranets webserver.

Thingy #6 - A tunnel the other way around

OK, this could have been part of "Thingy #5" but to make things more clear i made an extra point for it. If you understood #5 this should be no problem for you. Here, you open up a "remote" endpoint on Box B. Everything that goes in there is relayed encrypted to Box A (the one you are using at the moment) and after that to the target host.

ssh -R remote_port:target_host:target_port user@box_B

for example

ssh -R 10000:pop3.mailprovider.com:110 user@box_B

An e-mail client would set "box_B" and port "10000" as the POP3 server. BOX B would relay the traffic to BOX A through SSH. BOX A would relay the traffic to "pop3.mailprovider.com" port "110".

Useful commandline options for SSH

-c "Compress"

The "-c" option in SSH compresses all traffic with gzip before sending it to the remote host. This increases the speed greatly with uncompressed data-types. It's very useful for copying large text-files over SSH or for surfing the web with the "-D" option. In general "-c" never hurts, it just puts a little more pressure onto your CPU.

ssh -c -D 1234 user@box_B

-g "Grant Access"

The "-g" option allows other hosts to connect to your local tunnel endpoints. If you don't use "-g" in combination with a tunnel, only your own localhost (Box A in the examples) may use the tunnel.

ssh -L -g 10000:127.0.0.1:110 user@box_B

-p "Port"

The "-p" option is needed, if the SSH-server you want to connect to doesn't run on the default port "22"

ssh -p 22000 user@box_b

-v "Verbose"

Add this option if you want to dive deeper into SSH. You will see many technical information while connecting to a remote host.

Further reading

I tried to keep this article as simple as possible to make it usable. There is a lot more to know about SSH. If you are looking for a more comprehensive read i suggest you check out these docs:

The SSH man page

The SSH RFC

Wikipedia on SSH

SSH - The Definitive Guide by O'Reilly

Just for the kicks, i tried to connect 2 Asterisk servers thru a SSH tunnel to place encrypted calls via IAX2 from BOX1 to BOX2. It worked, but the sound quality is ugly and the FIFO-nature of converting UDP-traffic into TCP-traffic gave some strange results. But after all I learned a lot doing it....

What we need:

- 2 Asterisk Boxes

- root on BOX2

- ssh

- socat

What I did:

Connect both boxes with a SSH port-forwarding to get the calls thru the internet. Convert the IAX2 UDP-traffic coming from Box1s Asterisk into TCP with socat, because SSH doesn't support UDP tunneling. Send the TCP data thru the tunnel. Pick it up at the other side with socat and convert it back to UDP. Feed the UDP data into the target asterisk.

How I did it:

BOX1:

context to feed an outbound call into our socat converter:

exten => 3,1,Dial(IAX2/user:pass@127.0.0.1:10000/1)

setting up socat:

socat udp4-listen:10000,reuseaddr,fork tcp:127.0.0.1:10001

setting up our ssh tunnel:

ssh -L 10001:127.0.0.1:10000 root@box2

Box2:

Setting up socat to pick up the TCP-stream from the tunnel and pass it to asterisk:

socat tcp4-listen:10000,reuseaddr,fork UDP:127.0.0.1:4569

iax.conf:

[general]
bindport = 4569
bindaddr = 0.0.0.0
disallow=all
allow=ulaw
allow=alaw

[box1]
type=peer
username=user
secret=pass
auth=plaintext
context=iax-tunnel
peercontext=iax-tunnel
qualify=yes
trunk=yes

The iax-tunnel context just playing a beep:
; IAX testing
[iax-tunnel]
exten => 1,1,Answer()
exten => 1,2,Playback(beep)
exten => 1,3,Hangup()

Enjoy...

An American businessman was at the pier of a small coastal Mexican
village when a small boat with just one fisherman docked. Inside the
small boat were several large yellowfin tuna.

The American complimented the Mexican on the quality of his fish and
asked how long it took to catch them. The Mexican replied, "only a
little while." The American then asked why didn’t he stay out longer
and catch more fish? The Mexican said he had enough to support his
family’s immediate needs.

The American then asked, "But what do you do with the rest of your
time?" The Mexican fisherman said, "I sleep late, fish a little, play
with my children, take siesta with my wife, Maria, stroll into the
village each evening where I sip wine and play guitar with my amigos.
I have a full and busy life, senor."

The American scoffed, "I am a Harvard MBA and could help you. You
should spend more time fishing and with the proceeds buy a bigger
boat, with the proceeds from the bigger boat you could buy several
boats, eventually you would have a fleet of fishing boats. Instead of
selling your catch to a middleman you would sell directly to the
processor, eventually opening your own cannery. You would control the
product, processing and distribution. You would need to leave this
small coastal fishing village and move to Mexico City, then LA and
eventually NYC where you will run your expanding enterprise."

The Mexican fisherman asked, "But senor, how long will this all take?"

To which the American replied, "15 or 20 years."

"But what then, senor?"

The American laughed and said, "that’s the best part. When the time is
right you would announce an IPO and sell your company stock to the
public and become very rich, you would make millions."

"Millions, senor? Then what?"

The American said, "Then you would retire. Move to a small coastal
village where you would sleep late, fish a little, play with your
kids, take siesta with your wife, stroll to the village in the
evenings where you could sip wine and play your guitar with your
amigos."

GAME OVER - Insert Coin(s) - Other Game(s)

Als ich 1994 mein Abi bekam, drückte mir unser Rektor ein Grundgesetz
in die Hand, faselte etwas von „haltet die Grundfesten unserer
Demokratie in Ehren.." und entliess mich in mein weiteres Leben.
Heute, fast 10 Jahre später, erscheint mir dieses GRUNDgesetz wie ein
wertloses Stück Papier, wie ein schlechter Witz, wie eine Ansammlung
von guten Vorsätzen die längst überholt zu sein scheinen und die nicht
wirklich irgendjemanden interessieren. Wieviele Grundrechte sind in
den letzten 10 Jahren ausgehöhlt worden, ohne triftige Gründe.
Inzwischen dürfen wir wieder in den Krieg ziehen um vom grossen
Zerstörungs- und Wiederaufbaukuchen auch ein paar Stücke abzubekommen.
Der Staat darf uns abhören, sogar in unseren Wohnungen, Personen
dürfen auf Bahnhöfen durchsucht werden, Daten werden ohne Verdacht auf
lange Zeit gespeichert, wir alle könnten ja potentielle Terroristen
sein. War in den 90er Jahren der „grosse Lauschangriff" noch ein Thema
das die Gemüter über Monate bewegte, so werden alle neuen
Überwachungsgesetzte die zur Zeit in unsere Gesetzbücher drängen von
der Öffentlichkeit kaum wahrgenommen. Der regelmässige Leser meiner
Seite kann sich fragen, warum in den Mainstream-Medien so gut wie
nichts von dem berichtet wird, was hier zu finden ist. Besteht kein
Interesse mehr an der Freiheit des Bürgers ? Ist das Wort Freiheit
inzwischen nur noch eine gutklingende Floskel der Essenz keinen
Interessiert wenn die gläzende Hülle noch existiert ?

Ich möchte einige bedrohliche Entwicklungen aufzeigen, welche sich in
den letzten 10 Jahren, besonders aber nach dem 11.09.2001 verstärkt
haben. Grundsätzlich ist durch die starke Verbreitung von
Mobiltelefonen ein enormes Überwachungs- und Kontrollpotential
geschaffen worden. Handybenutzer können in Grossstädten auf einige
Meter genau lokalisiert werden, es ist möglich die Telefonbücher von
den SIM-Karten auszulesen, so dass das gesamte Umfeld einer Person
offen liegt. Durch die Möglichkeit der genauen Lokalisation einer
Person ergibt sich die Möglichkeit in Verbindung mit Datenbanken
komplette Bewegungs- und Lebensprofile einzelner Personen zu erstellen
und zu archivieren. Weiterhin besitzen alle neueren Mobiltelefone eine
durch „unsichtbare SMS" aktivierbare „Mithörfunktion". Das heisst,
befähigte Stellen können sogar ausgeschaltete Handies jederzeit in
einen „Wanzenmodus" stellen. Dass Telefongespräche an sich abgehört
werden können (und werden) ist ein „alter Hut" und muss nicht extra
erwähnt werden. Hinzu kommt ein extremer Schwund von der klassischen
Telefonzelle. In einigen Jahren wird man nicht mehr straffrei anonym
telefonieren können, da jedes Handy nach dem Telekommunikationsgesetz
personengebunden bei den Telefongesellschaften registriert werden
muss. Die ganze westliche Welt ist in den letzten Jahren
flächendeckend verwanzt worden. Man kann sich inzwischen in kaum einem
öffentlichen Raum aufhalten in dem niemand ein Mobiltelefon bei sich
trägt. Blinkende Logos, lustige Photos und niedliche SMS-Flirts
versüssen dem Bürger sein liebgewonnenes persöliches
Überwachungskästchen dermassen, dass für die allermeisten das Gerät
nicht mehr aus dem Leben wegzudenken ist. Hinzu kommen weitere
Kontrollbestrebungen:
Relativ aktuell ist der Wunsch des Staates an Verkehrsknotenpunkten,
Autobahnen und Ausfallstrassen die KFZ-Kennzeichen vorbeifahrender
Kraftfahrzeuge automatisch zu erfassen und mit Datenbanken
abzugleichen. Auch hier findet eine Vorratsdatenerfassung statt. Jeder
ist automatisch verdächtig. Das Netz zieht sich zu, bald wird man sich
nirgendwo in Europa mehr bewegen können ohne dass entsprechende
Stellen herausfinden könnten, wo man sich gerade befindet. Nach dem
11.09. wurde ausserdem der Personalausweis mit biometrischen Merkmalen
gesellschaftsfähig. Es ist inzwischen möglich automatsiche Kameras mit
Gesichtserkennungssoftware anzubringen, welche anhand des Gesichtes
erkennen, welche Person sich gerade in Ihrer Nähe aufhält. Ohne die
zentrale Erfassung bimetrischer Daten ist es diesen System nur möglich
herauszufinden, dass dieselbe Person „x" sich erst an Stelle A, danach
an Stelle B befand. Mit einer zentralen Datenbank der
Gesichtscharakteristika aller Bürger ist es möglich festzhalten, dass
die Person Knut Müller sich erst an Stelle A, dann an Stelle B befand.
Hinzu kommen bargeldlose Zahlungsmittel und Bankkonten. Auch hier
lässt sich leicht eine Historie der Kaufgewohnheiten und
Aufenthaltsorte einer Person erstellen. Wird man sich den Fragen
stellen müssen warum man an einem bestimmten Daten ausgerechnet an
dieser oder jener Tankstelle getankt hat ?

Beängstigend werden die ganzen Fakten, die zur Zeit geschaffen werden
mit Blick auf eine ungewisse Zukunft. Man stelle sich eine Rechtsdruck
in der Regierung, wie er zur Zeit in den USA bereits stattfindet vor.
Eine solche Regierung hat dann bereits alle Instrumentarien vorliegen
um den Bürger komplett zu überwachen, zu kontrollieren und klein zu
halten.

Begründet werden alle momentanen Bestrebungen mit der Gefahr die durch
den Terrorismus entstanden ist. Dies war übrigens zu RAF-Zeiten nicht
anders. Bereits in den 70er Jahren wurde Deutschland von einer Flut
von Notstandsgesetzen überrollt. Dennoch können alle diese
Kontrollmechanismen nichts gegen den Terrorismus ausricheten.
Terroristen wissen wie sie Ihre Kommunikation verschlüsseln und
verbergen können, nur der Normalbürger weiss das nicht. Ein Terrorist
wird alle technischen Möglichkeiten (die durchaus vorhanden sind)
benutzen um seine Kommunikation zu verschlüsseln, zu verstecken und zu
kaschieren. Oder glauben Sie, dass ein Terrorist mit seinem Handy bei
seinen Kollegen anruft um das nächste Attentat zu planen ?
Es gibt inzwischen Verschlüsselungsgeräte für Telefonkommunikation,
das Internet bietet eine Unmenge von Möglichkeiten um Nachrichten zu
verschlüsseln, sie unsichtbar in jedem Bild zu verstecken, etc. Der
Terrorist hat das Wissen und die technischen Möglichkeiten genauso
unbehelligt zu kommunizieren wie immer. Der Normalbürger nicht.

Am Besten packt man es an das Ende seines Einwahlskriptes, so dass es sofort nach dem Verbindungsaufbau beginnt mitzuzählen.

Alles ohne Gewähr.... weiss nicht ob es verbugt ist oder so, also Benutzung auf eigene Gefahr Bei mir mit BASE könnte das sehr teuer werden, also Vorsicht!

#!/bin/bash

# trafficcount - Zeigt Trafficdaten für die aktuelle Verbindung an und
# erechnet Kosten für die Verbindung


# CONFIG:

# Netzwerkkarte der Verbindung
INTERFACE=eth0

# Kosten pro 1 MB Traffic
PREIS_PRO_MB=0.24

# Updateinterval in Sek
UPDATEINTERVAL=5

############################################

# Errechnet MB aus Byte
calc_mb()
{
BYTES=$1
MEGABYTES=`echo "scale=2; $BYTES / 1048576" | bc`
#echo "*** $MEGABYTES ***"
}

# Holt Trafficdaten aus ifconfig
get_data()
{
# RX bytes:3435333852 (3.1 GiB)  TX bytes:1233166424 (1.1 GiB)
TRAFFICCUT=`ifconfig $INTERFACE | grep "RX bytes"`

#Recieved cutten
TMP=`echo $TRAFFICCUT | cut -d: -f2`
IN=`echo $TMP | cut -d" " -f1`

# SENT cutten
TMP=`echo $TRAFFICCUT | cut -d: -f3`
OUT=`echo $TMP | cut -d" " -f1`

# TOTAL ERRECHNEN
TOTAL=`echo "$IN + $OUT" | bc`
}

S_TOTAL=0
S_IN=0
S_OUT=0

get_data
START_TOTAL=$TOTAL
START_IN=$IN
START_OUT=$OUT

#echo $START_TOTAL
#echo $START_IN
#echo $START_OUT

clear

while [ 1 ]
do

get_data

# Aktuellen Traffic in der Sitzung bestimmen
S_TOTAL=`echo "$TOTAL - $START_TOTAL" | bc`

#echo "*** S_TOTAL: $S_TOTAL ***"

S_IN=`echo "$IN - $START_IN" | bc`
S_OUT=`echo "$OUT - $START_OUT" | bc`

# in MB umwandeln
calc_mb $TOTAL; TOTAL=$MEGABYTES
calc_mb $IN; IN=$MEGABYTES
calc_mb $OUT; OUT=$MEGABYTES
calc_mb $S_OUT; S_OUT=$MEGABYTES
calc_mb $S_IN; S_IN=$MEGABYTES
calc_mb $S_TOTAL; S_TOTAL=$MEGABYTES

# Kosten ermitteln
KOSTEN=`echo "scale=2; $S_TOTAL * $PREIS_PRO_MB " | bc`
#echo "*** $KOSTEN - $S_TOTAL - $PREIS_PRO_MB***"

# Sitzungsdaten updaten

#echo $TRAFFICCUT
#echo
echo "GESAMT  an $INTERFACE: In: $IN MB | Out: $OUT MB | Total: $TOTAL MB "
echo "SITZUNG an $INTERFACE: In: $S_IN MB | Out: $S_OUT MB | Total: $S_TOTAL MB "
echo "KOSTEN: Euro $KOSTEN"

sleep $UPDATEINTERVAL
clear

done

Bild anklicken um es zu vergrößern

Dies ist einer meiner Lieblingsstrips von http://xkcd.com
einer smarten und manchmal zauberhaften Comic Serie.

]]> http://www.daniel-ritter.de/blog/ach-wurde-das-nur-gehen/feed 0 http://www.daniel-ritter.de/blog/making-your-server-box-talk-like-in-those-old-movies http://www.daniel-ritter.de/blog/making-your-server-box-talk-like-in-those-old-movies#comments Mon, 26 May 2008 20:45:47 +0000 Daniel http://www.daniel-ritter.de/blog/?p=23

This is a silly geek thing but you might like it. Why not let your penguin-server talk to you when it needs updates or other interesting things happen?

Code and config in these examples are tested on a debian box.

 What we need:
-A software for speech synthesis
espeak is good for this purpose. quiet configurable and the voice quality is OK.

apt-get install espeak

-A software that can trigger events, when certain log entries appear
swatch is our friend here. it reads logs in realtime and triggers a command if a specific pattern is found.
In our case it will just trigger espeak to say something.

apt-get install swatch

Now that we have our tools lets make a sample talker...
We want our box to report, if new (no-spam) mail arrived.

I'm using spamassassin to filter my mail.
I get a line similar to

Jul 26 16:34:04 star spamd[13365]: spamd: clean message (-2.4/0.5) for mailbox:1001 in 1.9 seconds, 7128 bytes.


in /var/log/mail.log everytime a good messages reaches my inbox.

So create a config file for swatch to look out for lines like that

File: /etc/swatch/ham

watchfor /clean message/
exec "espeak new_mail &"

The only thing left to do now is to start the swatch daemon

/usr/bin/swatch --daemon --config-file=/etc/swatch/ham --tail-file=/var/log/mail.log
I think you got the point. The possibilities are endless. Everything that is logged can be spoken.

But there are other interesting possibilities. Lets say you want your box to report new available updates to you.
This little script can do it when run from a repeating cron-job:


#!/bin/bash
apt-get update
UPDATELINE=`apt-get --simulate upgrade | grep remove`
EINS=`echo $UPDATELINE | cut -d " " -f 1`
ZWEI=`echo $UPDATELINE | cut -d " " -f 3`
DREI=`echo $UPDATELINE | cut -d " " -f 6`
VIER=`echo $UPDATELINE | cut -d " " -f 10`
((UPDATES=EINS+ZWEI+DREI+VIER))
if [ $UPDATES -gt 0 ]; then
espeak "REPORT: i need $UPDATES updates! please install as soon as possible"
fi


Now you have got all the tools to make your server an absolutely anoying brabbling box.
Enjoy.