Ich könnte dazu jetzt einen Spruch machen, aber verkneif ihn mir. *mundzuhalt*
Stöhnst du mir mal meine IP?
von Khark am 27. August 2007 um 21:51 UhrNachdenklich
von Khark am 17. August 2007 um 04:17 UhrOder bin ich bloss wie eine entgleiste Eisenbahn in der Wüste?
Unfähig sich neben der eigenen Spur zu bewegen, nur im Stande sich vom Wechselspiel der Natur bewegen zu lassen.
So wie der Fels in der Brandung, der Schlafende auf dem Schlachtfeld und andere tolle Metaphern.
IT-Sicherheit in staatl. IT-Projekten
von Khark am 17. August 2007 um 03:32 UhrEs war und ist einmal ein staatl. IT-Projekt. Dieses IT-Projekt wurde und wird, wie Fefe immer so schön sagt “Gründlich verkackt.”. (2-3 Jahre über dem Zeitplan und ca. 1 Million Euro mehr über dem Budget pro Tag.)
U.a. gab es in diesem Projekt einige Dinge die als Geheim oder gar Streng Geheim eingestuft waren. So unter anderem Aufbau & Beschaffenheit der IT-Infrastruktur sowie, teilweise die eingesetzte Software.
Dies war auch der Grund, wieso man die 2 Racks (1,3 Millionen Euro pro Rack) in einen 8m² großen Raum stellte, der eine sehr große Glasscheibe und Glastür hatte.
Zudem befand sich auf der anderen Seite des Raumes eine Tür.
Hinter dieser stinknormalen Tür fand Vormittags- bis Nachmittags Berufsschulunterricht statt.
Sollte ich anmerken das die Tür über einen 2-3cm großen Spalt verfügt?
Eine IT-Sicherheitstechnische Meisterleistung.
Hetzners Remote-Konsole (LARA)
von Khark am 16. August 2007 um 18:21 UhrNun habe ich ja eben meinen Rootserver via /etc/init.d/networking stop effektiv vom Internet getrennt.
Um diesen wieder erreichbar zu machen reicht ein /etc/init.d/networking start, was sich aber aus verständlichen Gründen nicht mehr via SSH erledigen lässt.
Also beantrage ich bei Hetzner eine Remote Konsole (Typo “Lara eco” – auch einfach LARA genannt) und will mich dann per serieller Konsole als root anmelden, den Befehl eintippern, fertig.
Keine Sache von 5 Minuten.
Ich könnte auch rebooten, dies will ich aber nicht..
Dumm nur, das die LARA an einen PS2-Port angeschlossen wird. Somit funktioniert die Tastatureingabe erst, wenn man seinen Server neugestartet hat (z.B. über den automatischen Hardwarereset im Hetzner-Robot).
Da hätte ich mir die 45min Wartezeit auf das anschließen der LARA gleich sparen können. *gna*
Aber immerhin konnte ich meinem Server so mal beim booten zugucken :-D
Dummheit braucht eine serielle Konsole.
von Khark am 16. August 2007 um 16:40 Uhrdigital-roach:~# /etc/init.d/networking stop
Treffer. Versenkt :-(
Fail2Ban hat ausgedient
von Khark am 16. August 2007 um 16:17 UhrFail2Ban hat bei mir jetzt ausgedient. Ich setze es nicht mehr ein.
Mittlerweile haben 3/4 aller Hosts die meinen SSH-Dienst penetrieren kein Problem mehr mit den Sperrungen der IP-Adresse.
Sie scheinen die Timeouts einfach zu ignorieren und stumpf weiterzusenden.
Ein Tool ist mir auch aufgefallen, welches sich zu merken scheint, wann die Pakete abgewiesen werden und dann ~10min wartet bevor wieder an exakt der gleichen Stelle fortgesetzt wird.
Könnte man ja eigentlich noch verbessern indem man die Zeit variabel durchtestet und versucht die Sperrdauer (bantime-Parameter) herauszufinden :P
Also setze ich dann doch bald auf nur Key-Authentication.
CenterICQ, Jabber und –bind [UPDATE]
von Khark am 16. August 2007 um 16:11 UhrDa mein Rootserver mehrere IP-Adresse hat binde ich meine Messaging-Programme (IRC, SILC, ICQ), u.a. auch aus Konfigurationsgründen (Firewall) auf eine bestimmte IP-Adresse.
Bei CenterICQ passiert dies, in dem ich CenterICQ wie folgt starte:
centericq --bind ip.ip.ip.ip
Jetzt fällt mir aber auf, das ich nicht mehr ins Jabber-Netzwerk komme. Ich bekomme immer gleich die Meldung ich sei wieder disconnected.
[icq] connecting to the server
[jab] connecting to the server
[icq] logged in
[jab] disconnected
Starte ich CenterICQ ohne die Option –bind geht es wunderbar.
[icq] connecting to the server
[jab] connecting to the server
[icq] logged in
[jab] logged in
Was mich wundert ist, das beim starten von CenterICQ mit –bind zwar der DNS A-Record für jabber.com (207.182.166.31) abgefragt wird, aber nicht ein einziges Paket auf die Reise zu diesem Host geschickt wird. Kein TCP-SYN, nichts.
Ohne –bind kommt ein normaler TCP-Handshake zustande.
– Die Firewall war bei anfertigen der Mitschnitte deaktiviert.
Eine Suche bei Google und in der Dokumentation förderte nichts zu tage und die Anfrage auf CenterICQ-Users habe ich ebenfalls erst vor 2min abgeschickt.
Weiß jemand ob CenterICQ evtl. Probleme mit –bind und Jabber hat?
Beziehungsweise könnte das mal bei sich testen ob die gleichen Probleme auftreten?
Ach ja: Bei der Suche habe ich auch festgestellt, das es einen CenterICQ-Fork gibt.
CenterIM
UPDATE:
Der Fehler wurde in CenterIM in der aktuellen Version gefixt.
Zitat:
There was problem when on reconnect (in this case it's "checking state of non-blocking connection"), it tried to re-bind the socket every time and of course failed.
Ghostscript und PDF-Rechte
von Khark am 14. August 2007 um 23:50 UhrIch wollte eben auf meinem Rootserver eine PDF-Datei nach Postscript konvertieren, da ich den Text im PDF nicht markieren kann.
FoxIt sagt, das mir die Rechte im PDF ein markieren nicht zulassen. Der Trick, das PDF mit Ghostscript einfach nochmal nach PDF zu wandeln (dabei vergisst Ghostscript die Berechtigungen und evtl. Passwörter) klappte nicht. Der Druckerspooler fraß sich voll mit RAM aber das wars.
Es half nur noch den Prozess abzuschießen.
Unter Linux klappt das konvertieren auch nicht, da Ghostscript mit den Bildern im PDF nicht klarkommt.
gs -q -dNOPAUSE -sDEVICE=pdfwrite -sOutputFile=out.pdf in.pdf -c quit
**** Warning: File encountered 'rangecheck' error while processing an image.
[Und so weiter...]
**** Warning: File encountered 'rangecheck' error while processing an image.
Segmentation fault
Dann wollte ich wenigstens nach Postscript konvertieren.
gs -q -dNOPAUSE -sDEVICE=pswrite -sOutputFile=out.ps in.pdf -c quit
Kurz danach zerschmetterte sich meine SSH-Verbindung, der Mailserver war nicht mehr erreichbar und es half nur noch ein Reboot.
Eine serielle Konsole hätte wohl auch gereicht, aber die muss man bei Hetzner leider vorher beantragen und die Supportzeiten sind nur bis 22:45.
Danach kostet es richtig Kohle..
Was ich daraus lerne:
– Home-Office arbeiten macht man nicht auf dem Rootserver
– GhostScript ist scheisse
– Hetzner stinkt
Dann tipp ich das jetzt eben manuell. Obwohl es schöner gewesen wäre sich aus dem PDF auch Dinge herauskopieren zu können für meine Doku.
Wer macht eigentlich so einen Scheiss…
Wer sich selbst versuchen will:
Rootkit Hunting vs. Compromise Detection (PDF)
Paradox
von Khark am 3. August 2007 um 11:17 UhrJetzt kennzeichnen die Phisher ihre E-Mails schon selbst als Phishing Mails…
Betreff: [PHISHING]: Volksbanken – Dringende Geheimmitteiling.
Und wie man Links aufbaut wissen Sie auch nicht…
[...]
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.http://www.volksbank.de.vr-web.pid26oycewbhfds/update/bestatigen.cgi
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.
[...]
Schön ist dann auch noch, und jetzt wird es erst richtig paradox, die spanische Meldung von Panda Antivirus am Ende Mail, die mir angeblich garantiert es handelt sich nicht um Spam/Viren oder eine PhishingMail.
Besuch
von Khark am 1. August 2007 um 01:36 UhrLieblingsgeek war mal wieder zu Besuch.
Bekommen habe ich ein “Kurz & Gut”-Buch von O’Reilly über Spam, welches bei ihm kostenlos an der Uni auslag.
Mitgenommen hat er meinen TV-B-Gone und die Ninja-Remote.
Ich habe ihm gesagt er kann die Dinger gerne tunen (für die TV-B-Gone hat der Erfinder ja Schaltpläne released – nur nicht den Mikroprozessor-Code).
Lieblingsgeek hat nur komisch gegrinst.
Mal gucken.
Evtl. kann ich mit den Dingern bald das Space Shuttle fernsteuern :-)
Wau Holland über den 15jährigen Khark
von Khark am 1. August 2007 um 00:32 UhrIch habe gerade mal etwas in meinen alten Bookmark-Archiven gewühlt, weil ich einen Link suchte.
Dabei stieß ich auf einen Link zu folgender Seite http://www.fitug.de/debate/0004/msg00024.html
zuerst konnte ich mir nicht erklären wieso ich diesen abgespeichert hatte.
Nach dem Lesen und sehen, wer da, was an wen geschrieben hatte und um was es ging – da war es dann etwas anderes.
Zitat:
In diesem Sinne sind K.inder Kompetente inder.
Der IMO haerteste Disclaimer fuer Links kam heute von einem
15jaehrigen: http://members.tripod.de/Khark/Link.htmlDie Kids hier wissen schon einiges…
Auf die Webseite zu schreiben “Der Rechtsweg ist ausgeschlossen”
ist einfach super.
Das ist schon einer, der nachdenkt, was er eigentlich tut.
Er erfuellt tendenziell mehr als die Fertigkeit Webdesigner.
Tendenziell mehr als die Fertigkeit Webdesigner. Also ich bin mittlerweile Linux/Windows-Admin. Er hatte also recht :-)
Fernsehumfragen
von Khark am 31. Juli 2007 um 23:12 UhrIm Fernsehen gibt es ja immer diese s-u-p-e-r Gewinnspiele mit den s-u-p-e-r schweren Fragen.
Fragen wie:
Was wird man im Weltall?
a) Kopflos
b) Schwerelos
Mich würden ja mal interessieren:
a) Wie viele Leute machen wirklich bei sowas mit? (Prozentual gemessen an den Einschaltquoten)
b) Wieviele geben die falsche Antwort
c) Wieviele schicken soviele SMS wie es Antworten gibt. Sprich: Gebe jede Antwort einmal ab.
Und: Gibt es eigentlich auch “Umschaltquoten”? Ich meine.. Wenn die in der Lage sind Einschaltquoten zu ermitteln müssen die doch auch ermitteln können wie viele Leute umschalten :-)
Mitteilung
von Khark am 29. Juli 2007 um 01:06 UhrIch hab den Beitrag bzgl. der Wiederbeschaffung meiner Zeitung und dem Fahrrad mal entfernt.
Ein Bekannter mal darauf aufmerksam gemacht hat, was da evtl. für Konsequenzen draus entstehen können..
Mein lieber Schwan da hast du aber Schwein gehabt
von Khark am 27. Juli 2007 um 23:57 UhrBei der Bremer Polizei scheint es versteckte literarische Talente zu geben :-)
POL-HB: Nr.:0440–Mein lieber Schwan…
Dass es sich dabei um das eigene Spiegelbild handelte, lässt gewisse Rückschlüsse auf das optische Drohpotenzial des Schwans zu. Offenbar wurde das eigene Aussehen als empfindliche Störung des Geschmacks bewertet. Deswegen wohl habe Schwäne grundsätzlich keine Spiegel zur Verfügung.
POL-HB: Nr.:0283–Schwein gehabt – jedenfalls fast
Es entwickelte sich nun “eine Hochgeschwindigkeits-Verfolgungsjagd”, die trotz der verwaltungsrechtlich exakt formulierten Anweisung “Bleib stehen, du Sau!”, zunächst kein schnelles Ende fand.
POL-HB: Nr: 0442 – Igel immer hemmungsloser
Nach Umstellung des Gartens wurde die Örtlichkeit mit Suchscheinwerfern beleuchtet. An einem kleinen Teich konnten die Verursacher der Geräusche ausgemacht werden. Ein Igelpärchen bemühte sich lautstark um den Fortbestand ihrer Spezies.
Wer mir verrät wie ich den Igel auch noch in der Überschrift unterbringen kann, bekommt einen Keks :-)
Unreal & Ebay
von Khark am 27. Juli 2007 um 21:01 UhrIch wurde vor ein paar Tagen offiziel von Ebay verwarnt :D
Grund war, das ich bei Ebay eine Suchanzeige nach der “Game of the Year Edition” von “Unreal Tournament” (UT99) aufgegeben hatte. Dieses ist laut Ebay inidiziert. (Ok, es ist ab 18. Was praktisch das gleiche ist – für Unternehmen.) Somit wurde die Anzeige gelöscht und mir nahegelegt nochmals die AGBs zu lesen :-)
Aber sowas ähnliches hatten wir ja schon mal.
Naja, jedenfalls habe ich jetzt über Umwege jemanden gefunden der z.Z. in Amerika verweilt und mir dort das Spiel + Versand für umgerechnet 10 Euro besorgt.
Ein Hoch auf die Globalität.
In Deutschland habe ich nur obskure Ü18-Shops gefunden die nebenbei auch ein paar FSK/USK18 Computerspiele verkaufen. Zu heftigen Preisen..
Somit habe ich jetzt die gesamte Unreal-Palette (Unreal + Addon, Unreal 2, Unreal Tournament + 2003/2004) die auf meinem Spiele-PC hier noch läuft.
P.S: Die Unreal Tournament 2003/2004 Synchronisation ist eklig und die Karten irgendwie nicht so toll wie beim ersten Unreal Tournament. Aber die Grafik ist whoa..
Nur das einem die Mitspieler immer totmachen wenn man am Wegesrand die Blümchen anguckt :(
Kein libapache2-mod-auth-mysql in Etch
von Khark am 18. Juli 2007 um 23:30 UhrIch möchte mal erwähnen, das ich es beschissen finde, das in Debian Etch kein libapache2-mod-auth-mysql gibt.
In Sarge ist es enthalten und in Sid (Testing) auch. Nur in Etch nicht.
Wieso? Nun der Autor hat keinen Bock mehr auf das Apache-Modul-Gefrickel und seinen den Betreuerposten für das Paket aufgegeben.
Mittlerweile hat sich ein neuer gefunden, weswegen es auch wieder in Sid ist, aber für Stable hat es dann nicht gereicht.
Debian empfiehlt stattdessen libpam-mysql mit libapache2-mod-auth-pam zu nutzen.
Leider benötigt der Webserver dafür immer Leserechte auf die /etc/shadow. (Wenn dem nicht der Fall ist, bitte korrigiert mich.) Etwas das für mich einfach nicht vertretbar ist.
Den wenn ich von MySQL rede ist fast immer PHP mit im Spiel. Und PHP-Software kann teilw. schon recht eklig sein.
Dieser dann aber noch die Möglichkeit einräumen über den Webserver die /etc/shadow zu lesen.
- Nein danke.
Gut über so Sachen wie suPHP/suexec könnte man das ganze wieder eindämmen. Das ist dann wieder zuviel gefrickel. Da ist es einfacher die Benutzerauthentifizierung gegen MySQL in die Anwendung direkt einzubauen.
Zudem ist die Doku zu dem Umgang mit libpam-mysql dürftig. Zwar findet man die Direktiven irgendwo unterhalb von /usr/share/doc/libpam-mysql/README aber naja..
Nun gut. Jetzt ist es ja nicht so, das Apache keine anderen Module hat die man für die Authentifikation gegen eine MySQL-Datenbank nutzen könnte.
Zum Beispiel sieht mod_dbd zusammen mit mod-authn-dbd doch recht vielversprechend aus.
Unterstützt wird laut http://httpd.apache.org/docs/2.2/mod/mod_dbd.html#dbdparams Oracle, PostgreSQL, MySQL und SQLlite 2/3.
Schön. Allerdings kommt der Treiber für MySQL nicht mit, weil MySQL da andere Lizenzbedingungen hat als Debian.
Siehe: http://apache.webthing.com/database/
Selbst nachkompilieren geht nicht, weil ich den Apache-Source nicht habe, geschweige den apxs um das Modul zu basteln. Ich könnte ihn zwar installieren (Pakete apache2-src und apache2-threaded-dev) will ich aber nicht.
- Zuviel gefrickel.
Zudem sind die mod_dbd Direktiven nur im Server oder Virtual Server Kontext zulässig. Soll heißen das ich für jedes Verzeichnis, für jede Applikation bei der ich per mod_dbd und mod-authn-dbd die User authentifizieren will, einen eigenen virtuellen Host anlegen müsste.
In meinem Versuch klappt es nicht 2 unterschiedliche DBDParams-Direktiven in einem virtuellen Host anzulegen. (Getestet mit PostgreSQL.)
Man könnte das ganze ja wiederum über Include-Anweisungen lösen, dann müsste man zumindest nicht die DBD-Direktiven immer neu schreiben.
Aber ich mache doch nicht für jedes Verzeichniss einen eigenen virtuellen Host auf. Die Lösung über .htaccess oder die Directory-Direktiven fand ich da schon besser.
Also zur guckt man nach einer anderen Alternative. Zum Beispiel nachträglich erstellten MySQLAuth-Paketen für Debian Etch. (http://www.heuer.org/mod_auth_mysql/)
- Diese wollen aber auch nicht. “Floating point exception.” beim starten von Apache.
So langsam kann ich echt verstehen wieso der Autor das Paket aufgegeben hat.
Ich integriere die Benutzerauthentifizierung jetzt jedenfalls direkt in meine PHP-Anwendungen. Spart jede Menge Ärger, ist zukunftssicherer und macht die Applikation unabhängiger vom Webserver.
It’s beta baby!
von Khark am 13. Juli 2007 um 19:19 UhrIch habe ja einen Freund, der an der Games Academy studiert.
Dier macht z.Z. ein 3D-Projekt. Dabei handelt es sich um ein 3D Echtzeitstrategie-Spiel mit dem Titel “Dawn of Bugs”.
Die Homepage ist: http://www.dawnofbugs.de/
Kurzer Abriss: Menschheit hat *puff* gemacht, also sind jetzt die Käfer dran. Und die haben natürlich auch nichts besseres im Sinn als es uns gleich zu tun.
– Blöde Krabbelviecher eben :-)
Und da er sich über Feedback freuen würde, mache ich hier mal etwas Werbung dafür :-)
Die 3 .rar-Pakete findet ihr unter http://www.dawnofbugs.de/ links im Menü.
Ihr benötigt alle 3 Pakete. Anweisungen stehen in der readme.txt
Ein paar Sachen vorweg:
– Eine 7500er Geforce gibt ca. 25 Frames (also nicht wundern wenn es ruckelt :-)
– Die Startbilder werden noch nicht skaliert
– Bei den Startbildern muss man eine Taste drücken, damit es weiter geht
– Im bin-Ordner kann man die gnu.config editieren um z.B. Kamerahöhe/-winkel zu verstellen
– Von der Brücke etwas runterscrollen und dann etwas nach links (am Tanklaster) da stehen eure Einheiten
– Ihr seid der blaue Spieler. Also nicht versuchen die roten Käfer zu bewegen :-)
Für Feedback entweder hier kommentieren oder an die Mailaddi im Impressum.
SILC-Client unter Debian Etch auf amd64 kompilieren
von Khark am 12. Juli 2007 um 22:45 UhrWenn der SILC-Client auf Debian Etch (Architektur: amd64) partou nicht bauen will, weil er über die fehlende GLib meckert, dann kann folgendes helfen:
apt-get install libglib1.2 libglib1.2-dev libncurses5-dev libextutils-pkgconfig-perl
libglib1.2 & libglib1.2-dev installiert die benötigte Library und libextutils-pkgconfig-perl sorgt dafür, dass das configure-Skript vom SILC-Client diese dann auch findet.
(Gut, die libncurses wird für das Problem nicht benötigt, aber ich habe Sie mal mit aufgelistet, weil danach überprüft wird, ob sie vorhanden ist.)
*LÖLz*
von Khark am 12. Juli 2007 um 21:23 Uhr-!- b0xii [n=somebody@hsd1.tx.comcast.net] has joined #courier
<b0xii> i set up courier using imap a year ago and use it for my personal mail…i’ve tried allowing other accounts to receive mail, but it’s stuck in /var/mail/username and not going to their Maildir
<b0xii> it’s been so long since I messed with my server… how do i fix this?
<Stuka> b0xii: what’s your DEFAULTDELIVERY?
<PerlStalker> b0xii: Are you using system accounts or virtual accounts?
<PerlStalker> Which MTA are you using?
<b0xii> i’m an idiot…it’s been so long since i tinkered with this…I’m not even using courier, but postfix…thanks for the help anyway
-!- b0xii [n=somebody@hsd1.tx.comcast.net] has left #courier []
<Stuka> Man, nice to know I’m not the only one that does that kind of thing
Ich hab den Quote mal bei Bash.org eingereicht. Mal sehen ob er angenommen wird :-)
unschuldige Kabelfreaks…
von ssc am 12. Juli 2007 um 13:50 UhrWir waren damals einfach Kabelfreaks, einsame Kabelfreaks.
Das Löten war uns ein Gewinn.
Löten statt Töten! Cyberspace statt Leberkäs!
Das Löten gab uns einen Sinn.
…
Aber hört selbst: kabelfreaks.mp3