Administrator's Blog

Firefox wird 5 Jahre alt - meine Add-ons vorgestellt

nospam@example.com (Maddin) — Mon, 09 Nov 2009 14:01:01 +0100

Heute vor 5 Jahren erblickte ein neuer Browser das Licht der Welt: Mozilla Firefox. Firefox enstand damals aus der Mozilla-Browser-Suite, die einen Browser, einen E-Mail-Client sowie einen RSS-Reader enthielt. Dies schien den damaligen Entwicklern ein zu aufgeblähtes Produkt, weshalb man sich entschied einen eigenständigen Browser zu entwickeln. Und war heraus kam, ist meiner Meinung nach, der beste Browser der Welt

Hier noch einmal einen herzlichen Glückwunsch an die Mozilla-Foundation für dieses tolle Produkt und ein Happy Birthday an Firefox!

Firefox ist unter anderem dafür bekannt, durch seine Add-ons beliebig erweiterbar zu sein. Und das nicht zu unrecht. Im Moment gibt es sage und schreibe etwa 38.682 Add-on Sammlungen und etwa 163.819.085 Add-ons sind derzeit in Benutzung. Eine statistische Übersicht dazu findet man bei Mozilla selbst.

Heute möchte ich euch meine für mich wichtigsten und beliebtesten Add-ons vorstellen (alphabetisch geordnet):

Adblock Plus
- eins der wichtigsten Plugins, denn ich hasse Werbeeinblendungen auf Webseiten, hilfreich für jeden der sich im Web bewegt

ColorZilla
- ist ein Add-on um Farbbestimmungen durchzuführen, zum Beispiel mit dem ColorPicker, sehr zu empfehlen für Webentwickler

DomainDetails
- zeigt in der unteren Statusleiste Informationen über den Domainnamen, gelieferte Server-Header, IP-Adressen und Geo-Lokalisierungen an, hilfreich für die Admin's unter uns

FireGestures
- nachdem es die MouseGestures für den Firefox 3.x leider nicht mehr gab, habe ich diese installiert, dient der Navigation im Browser mit der Maus, hilfreich für Geeks

Flashblock
- blockt Flash, ich mag kein Flash

LiveHTTPHeaders
- ein sehr gutes Add-on zum debuggen von HTTP-Request's, zeigt alle Request's vom und zum Browser, hilfreich für Admin's

Lori
- Life of request info, ein sehr geniales Add-on, zeigt in der unteren Statusleiste Statistiken zum Aufbau (Sekunden zum ersten Byte, Sekunden zum vollständigen Laden, Summe KB) von Webseiten an, sehr hilfreich für Admin's

ModifyHeaders
- ein Add-on zum editieren der zu sendenden HTTP-Header, hilfreich für das debuggen von Webanwendungen

NagiosChecker
- wahrscheinlich das wichtigste Add-on überhaupt, zeigt den Nagios-Status in der unteren Statusleiste, unverzichtbar für Admin's die Nagios nutzen

ShortenURL
- dieses Add-on nutze ich, seitdem mich der Rob dazu gezwungen hat diesen ganzen Web 2.5-3.0 Stuff mitzumachen , kürzt URL's mit einem beliebiegen Dienst sofort im Browser

Eventuell findet Ihr hier ein tolles Add-on für Euch. Über gute Add-on Tipps in den Kommentarten würde ich mich natürlich sehr freuen!

Eine Zeitung: Wie geil ist das denn?

nospam@example.com (Rob) — Sat, 07 Nov 2009 22:45:00 +0100

Nachdem ich auf Twitter schon öfter den Link zu diesem genialen Bühnen-Scetch gesehen habe und schon mehrfach darüber lachen konnte, möchte ich euch das natürlich nicht vorenthalten. Ist auch nicht komplett Off-Topic hier im Blog, schließlich geht es um Medien, Web 2.0 und Laptops. Konkret um ein MacBook Air und ein (abgebliches) Sony-Notebook sowie eine Tageszeitung (SZ). Sieht aber nicht so aus, als ob es tatsächlich ein Sony bzw. Vaio wäre, oder?

Witzigerweise scheint der Spaß schon von 2008 zu sein, wurde aber jetzt dank Twitter wieder zum Renner. Ich kannte es bis vor ein paar Tagen jedenfalls noch nicht..

Henri Nannen Preisverleihung 2008. Bühnensketch zum Thema Zeitung. Heiko Seidel und Christian Ehring vom Düsseldorfer Kommödchen parodieren 2 Manager-Schnösel:

Neue, coole Gesten für das Trackpad unter OSX; Springer goes Zensursula

nospam@example.com (Rob) — Fri, 06 Nov 2009 10:35:00 +0100

Eben auf Golem.de einen Bericht zu jitouch gelesen, einer wirklich guten Erweiterung der bereits vorhandenen Mausgesten unter OSX. Eine Testversion ist gratis verfügbar, die Vollversion kostet nur kleines Geld, nämlich $5,49, die man bequem via PayPal bezahlen kann. Das habe ich auch eben getan.

Nach dem Download muss man in den Systemeinstellungen unter Bedienungshilfen -> Maus & Trackpad noch den "Zugriff für Hilfsgeräte" aktivieren, bevor die Applikation gestartet wird. Anschließend befindet sich oben rechts in der Statusleiste dann das jitouch-Icon, welches durch die Farbe blau signalisiert, dass es aktiv ist bzw. grau wird, wenn jitouch deaktiviert wurde.

Was man dann, vor Allem im Browser, für tolle Sachen mit dem Trackpad anstellen kann, zeigt das folgende Video. Klar, man muss sich erstmal reinfitzen, nach ein paar Versuchen klappen aber zumindest die einfachen Gesten wie "nächstes Tab im Browser" etc. sehr gut. Und das ist etwas, das ich auf jeden Fall beim surfen sehr praktisch finde. Schön ist auch, wie einfach man nun ohne Tastatur oder rechte Maustaste Links im neuen Tab öffnen kann. Aber seht selbst:

Springer goes Zensursula - freiwillig

Außerdem möchte ich an dieser Stelle noch kurz auf das "LOL des Tages" (wie Oliver von aptgetupdate.de es treffend nannte..) eingehen. Nach diversen Meldungen auf Twitter sowie dem Artikel auf dwdl.de könnte man annehmen, die zuständigen Leute beim Springer-Verlag sind nicht ganz auf der Höhe der Zeit. Wie sonst sollte man auf die schwachsinnige Idee kommen, die Medieninhalte von z.B. bild.de oder welt.de für das iPhone zu sperren, um seine eigenen, kostenpflichtigen Applikationen an den Kunden zu bringen? Das kann und wird definitiv nicht funktionieren. Und warum auch nur für das iPhone? Zensursula auf freiwilliger Basis seitens Springer, quasi..

Ganz davon abgesehen, dass ich bild.de oder welt.de noch nie vom iPhone aus aufgerufen habe, ließe sich das mittels Proxy zumindest auf Jailbreaked-iPhones locker umgehen. Wobei es eigentlich dank der ziemlich guten Apps von stern.de, focus.de oder n24.de eigentlich keinen Grund dafür gibt. Diese sind nämlich gratis zu haben. Und man kann sogar die entsprechenden Websites dazu aufrufen - was für mich auch den Normalzustand auf einem Smartphone darstellt.

Hilfe bei SQL-JOINS

nospam@example.com (Rob) — Mon, 02 Nov 2009 18:19:00 +0100

Wer mit SQL zu tun hat und viel mit JOINS arbeitet, steht öfter mal vor der Frage, welcher JOIN jetzt für welchen Zweck am sinnvollsten und vor Allem am performantesten ist. Da mir das auch hin und wieder so geht, finde ich das "SQL JOINS Cheatsheet" durchaus hilfreich, denn es stellt grafisch dar, welche Ergebnismengen bei welchen JOINS beachtet werden.

Aber seht selbst:

[ via adminlife.net ]

[Tipps und Tricks] gelöschte Bibliotheken nach System-Updates herausfinden

nospam@example.com (Maddin) — Sat, 31 Oct 2009 15:06:00 +0100

Heute wieder ein Trick aus der Linux-Admin-Ecke an euch. Es kommt ja öfters vor, dass bei einem Update nur einige System-Bibliotheken geupdatet werden und man das System deswegen ja nicht unbedingt neu starten muss.
Allerdings werden von gestarteten Programmen immer noch die Bibliotheken verwendet, die vor dem Update aktuell waren, solange diese Programme nicht neu gestartet werden. Dies kann dazu führen, dass die Systeme, obwohl man sie aktuell hält, dennoch verwundbar sind.

Um alle gelöschten oder veränderten und dennoch verwendeten Bilbiotheken heraus zu finden, führt man nach dem Update auf seinen Systemen folgendes Kommando aus:

lsof -n | egrep -i "(DEL|inode)"

Danach sollte man eine Augabe ähnlich dieser erhalten:

server:~# lsof -n | egrep -i "(del|node)"
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
nrpe 1111 nagios mem REG 9,1 22637092 /usr/lib/libssl.so.0.9.8 (path inode=22638819)
dbus-daem 2222 messagebus mem REG 9,1 22635753 /usr/lib/libexpat.so.1.5.2 (path inode=22638405)
apache2 3333 www-data mem REG 9,1 22635753 /usr/lib/libexpat.so.1.5.2 (path inode=22638405)

Dabei wird über das del nach gelöschten Dateien und Dateien die zwar noch im Speicher gemapped sind, aber auf der Festplatte nicht mehr existieren, gesucht. Das node sucht nach der Ausgabe path inode=, also nach inodes die sich verändert haben. Bei meiner Ausgabe sieht man das die Programme nrpe, dbus und apache2 also einmal neugestartet werden müssten, da diese alte Versionen der Bibliotheken verwenden.

Wie ich bei meiner Recherche gerade herausfand, gibt es für Debian das Paket debian-goodies, welches das Tool checkrestart enthält. Dieses übernimmt genau diese Aufgabe und teilt euch mit, welche Init-Scripte ausgeführt werden müssen :

server:~# checkrestart
Found 7 processes using old versions of upgraded files
(2 distinct programs)
(2 distinct packages)

Of these, 2 seem to contain init scripts which can be used to restart them:
The following packages seem to have init scripts that could be used
to restart them:
dbus:
1111 /usr/bin/dbus-daemon
apache2-mpm-prefork:
22222 /usr/sbin/apache2
2222 /usr/sbin/apache2
23232 /usr/sbin/apache2
32323 /usr/sbin/apache2
22322 /usr/sbin/apache2
33233 /usr/sbin/apache2

These are the init scripts:
/etc/init.d/dbus restart
/etc/init.d/apache2 restart

Eine von beiden Möglichkeiten wird euch sicher helfen

Wir lieben Apple - Beweisvideo

nospam@example.com (Rob) — Fri, 30 Oct 2009 14:11:17 +0100

Man soll ja nicht angeben, aber wir haben heute mal ein schickes Video gedreht und den Großteil unserer Apple-Sachen hier im Büro ausgebreitet. Die tollen Sachen muss man auch mal feiern dürfen, an einem Freitag seht ihr uns das sicher nach

Übrigens war das mein erstes Video mit iMovie, geht ganz gut für so kleine Sachen, muss ich sagen. Ich hatte zwar beim Enconding etc. wieder das Gefühl, das MacBook Pro läuft am Limit, aber das muss wohl so sein

Windows 7 via VMware auf dem Mac

nospam@example.com (Rob) — Thu, 29 Oct 2009 10:35:00 +0100

Man soll ja für Alles offen sein, weshalb ich hin und wieder auch mal einen Blick über den Tellerrand werfe und mich mit den neuesten Windows-Geschichten beschäftige. So testete ich ja vor einiger Zeit schon die Beta von Windows 7. Seit gestern habe ich nun auch eine VM via VMware Fusion 3.0 mit Windows 7 Ultimate auf meinem MacBook Pro im Einsatz.

Die Installation ging problemlos, Fusion 3.0 bietet ja Windows 7 Support direkt an. Man kann sogar eine komplett automatische Installation durchführen - dazu muss man nur den Key eingeben und VMware regelt die Installation komplett selbst. Das ging aber schon seit XP und funktioniert perfekt. Sofort fiel mit hier wieder der hohe Speicherplatzverbrauch auf der Platte von Windows 7 auf, mehr als 10 GB meines 20 GB Images waren direkt nach der Installation belegt.

Ansonsten funktioniert es reibungslos, Aero sieht halbwegs schick aus usw. - Windows 7 halt. Nervig sind direkt die hereinkommenden Updates, die natürlich auch weiterhin Neustarts benötigten. Außerdem fiel mit negativ auf, dass sich das ganze System ein wenig lahm anfühlt in der VM. Gut, ich habe es im Vollbild bei 1920x1200 laufen lassen, mit der GeForce 9600M GT sollte das doch aber kein Problem sein. Im Leistungstest erreichte ich dennoch nur klägliche 2.9 Punkte, woran die Grafikkarte schuld war. Die anderen Werte bewegten sich um 5.

VMware verspricht ja auch Direct3D Support in Spielen. Das funktioniert bei mir überhaupt nicht. Testweise wurde Counterstrike:Source via Steam installiert, mehr als einen schwarzen Bildschirm nach dem Start habe ich aber bisher nicht zu Gesicht bekommen, trotz dass ich alle möglichen Auflösungen und Einstellung probiert habe. Allerdings hatte ich mehrfach das Gefühl, mein MacBook explodiert jeden Moment, zumindest liefen sämtliche Lüfter am Limit und die CPU war laut iStat um die 80 Grad heiss.

Zusammenfassend muss ich sagen, dass mit via VMware Fusion 3.0 relativ normal mit Windows 7 arbeiten kann, so lange mit nicht spielen möchte. Für Tests oder Arbeit mit dem Internet Explorer oder anderen Windows-Only-Tools ist es auf jeden Fall zu empfehlen, zumal ja im Unity-Mode einzelne Apps wie eben z.B. der Internet Explorer wie eine normale Mac-App behandelt werden. Und dank der Möglichkeit des "Anhaltens" der VM ist Windows 7 auch mal spontan gestartet, wenn man es braucht.

Ich bleibe natürlich trotzdem bei OSX bzw. Linux, denn ein Praxisvorteil hat sich bisher nicht gezeigt. Es gibt also keinen Grund, Windows 7 als Haupt-OS zu verwenden. Es sei denn, man hat aktuell Vista drauf

VMware Fusion 3.0 ist da - mit Lizenz-Problemen

nospam@example.com (Rob) — Tue, 27 Oct 2009 22:22:00 +0100

Ich bin ja seit einiger Zeit auf dem Mac auch User von VMware Fusion 2.0 und habe mir heute voller Freude direkt die 3.0 im VMware Online-Shop gekauft. Die Bezahlung erfolgte live per Kreditkarte. So weit, so gut. Ich erhielt anschließend auch direkt eine Mail mit der Rechnung und dem Downloadlink.

Nach dem Download startete also die Installation, während dieser ich meinen Lizenz-Schlüssel eingeben sollte. Da begannen schon die Probleme, denn den hatte ich nicht. Weder in der Mail noch auf der (extrem unübersichtlichen!) Website von VMware im Userbereich war der Key zu finden. Es kam (und kommt immernoch!) dauernd die Meldung, dass für meinen Account keine Lizenz-Schlüssel zur Verfügung stehen. Eine Mail an den Support von heute früh ist bisher unbeantwortet geblieben. Den deutschen Support in München konnte ich nicht erreichen, nach 5x Klingeln ging jedes Mal der Anrufbeantworter ran. Nicht wirklich toll.

Ärgerlich ist, dass ich bis dato keine VMs mehr nutzen kann, denn ich habe ja schon die 3 drauf, nur eben ohne Key. Klar könnte ich auf die 2 downgraden, aber darauf habe ich nicht wirklich Lust. Also einen weiteren Versuch unternommen, diesmal mit dem Livechat auf der Website von VWware. Dort konnte mir nach einigen Problemen ein dem Namen nach indischer Supportmensch mit schlechtem Englisch dann verklickern, dass es derzeit Probleme mit dem Lizenzsystem bei VMware gäbe. Berichte im Supportforum bestätigten dies ebenfalls.

Eben habe ich nochmal geschaut - meine Bestellung liegt nun schon über 10 Stunden zurück - und es ist noch immer kein Key im Userbereich sichtbar. Irgendwie ziemlich uncool, zumal die Kreditkarte schon belastet wurde ich ich Fusion 3.0 einfach noch nicht nutzen konnte. Denn auch Trial-Keys sind derzeit nicht zu bekommen. Man kann zwar einen beantragen, bekommt aber dann keine Mail und er erscheint auch nicht im Kundenbereich.

Jetzt wurde im offiziellen VMware-Blog wenigsten ein Trial-Key für die 3.0 gepostet, der 30 Tage gültig ist. Bis dahin werden die Probleme hoffentlich behoben sein, so dass ich dann mit meinem erworbenen Key arbeiten kann. Immerhin kann ich meine tollen Windows- und Linux-VMs jetzt wieder auf dem Mac starten.

Und ja, Fusion 3.0 ist absolut wirklich gut und bietet kompletten Windows7 Support. Dies werde ich in den nächsten Tagen nochmal genau testen, inklusive Gaming.

[Tools] Surfen via E-Mail - MailMyWeb.com

nospam@example.com (Maddin) — Tue, 27 Oct 2009 17:23:00 +0100

Letztens bin ich bei Telepolis auf einen Artikel gestoßen, der mich auf ein sehr interessantes Projekt verwies: MailMyWeb.com
Das Ziel des Projekt ist es, den Zugriff auf das Internet da zu ermöglichen, wo es aus politischen Gründen (seien es Firmenpolitische oder auch Landespolitische) nicht möglich ist, frei auf alle Inhalte des WWW zuzugreifen. Einfach halber und genialer Weise geschieht dies über das Medium E-Mail.
Eine gar nicht mal so schlechte Idee, bedenkt man die schon fast täglich aufkommenden Nachrichten von Websperren durch Provider oder den kompletten Webverboten in den etwas östlicher liegenden Ländern dieser Erde.

Auch die Bedienung des "MailWebBrowsers" ist gar nicht mal so schwer. Hat man sich erst einmal angemeldet und die korrekten Sender- und Empfangsadressen hinterlegt und dem tätigen eines virtuellem Einkaufs für 0 Euro, kann es auch sogleich mit dem browsen beginnen. Dazu schreibt man einfach eine E-Mail an robot@mailmyweb.com, mit der gewünschten Webseite im Betreff. Prompt erhält man nach etwa 1 Minute eine E-Mail mit der gewünschten Webseite im Body.
Eine tolle Sache daran ist: befindet sich im Content der angemailten Seite ein Link, wird dieser automatisch zu einem Mail-To Link umgebaut, d.h. klickt man in der E-Mail auf den Link, poppt eine neue E-Mail mit dem gewünschten Link im Betreff auf, welche dann nur noch versendet werden muss. Dies sollte es so ermöglichen, relativ komfortabel zu "mailbrowsen".
Sogar an heutige Videoportale wurde gedacht. Klickt man auf eines der Videos, wird dieses durch die Software auf die Server von MailMyWeb heruntergeladen, in ein wmv Video umgewandelt und dann an die E-Mail-Adresse verschickt. Leider funktionieren im Moment noch nicht alle Videoportale (dieses eine da, klingt so ähnlich wie YouTube, klappt leider nicht ). Um zu erfahren was noch alles mit MailMyWeb möglich ist, empfehle ich euch als erstes eine E-Mail an den robot mit dem Betreff "hilfe" zu senden. Danach bekommt man eine Anleitung zugesandt, in der eigentlich alles erklärt wird.

Es muss natürlich klar sein, das ein E-Mail-Client bei der Darstellung und Bedienung mit den heutigen Webbrowsern nicht mithalten kann. Ich denke aber das dies zu verschmerzen ist. Mein erster Test (heise.de --> News lesen --> das Forum durchsuchen und YouTube Musikvideos) war zumindest erfolgreich und angenehmer als gar kein Internet haben zu können. Für die Nutzer die so an Ihre gewünschten Informationen kommen, ist es vollkommen ausreichend.

Eventuell finden sich ja ein paar Tester, die mir via Kommentar von Ihren Erlebnissen von MailMyWeb berichten können.
Ich finde es auf jeden Fall eine gute Idee und ein Projekt, welches man im Auge behalten sollte.

Neuer Rootserver bei Hetzner, erste Eindrücke

nospam@example.com (Rob) — Sun, 25 Oct 2009 14:01:00 +0100

Seit einer Woche habe ich nun einen Hetzner Rootserver EQ4. Die haben derzeit einfach die besten Preise, denn wo bekomme ich sonst einen Quadcore mit 8GB RAM und 2x 750 Festplatten und nahazu unlimited Traffic (Drosselung ab 2 TB auf 10Mbit ist ok)? Da kann nichtmal der Low-Budget-Hoster Server4You mehr mithalten, wie es scheint. Klar, man muss erstmal 149 EUR Setup hinlegen, das hat sich bei dem niedrigen Preis aber schnell gerechnet. Und klar, es ist keine echte Server-Hardware, wie z.B. bei Strato oder Serverloft. Aber braucht man das wirklich? Oftmals nicht ..

Letzten Sonntag also bestellt, Montag früh um 7 war er fertig eingerichtet und ich konnte loslegen. Das nach meiner Wahl vorinstallierte Debian Lenny war eher nutzlos, da es nur aus einer großen Partition bestand. Da ich keine Lust auf abenteuerliche Resize-Geschichten mit dem Sofware-RAID 1 hatte, habe ich ihn also über das Rescue-System neu installiert. Dank einer Scriptsammlung, die von Hetzner unter dem Namen installimage bereitgestellt wird, ist das ein Kinderspiel. Man muss nur eine Config anpassen, wo Partitionierung etc. angegeben wird, und schon hat man ein Linux seiner Wahl auf dem Rootserver. Davon war ich wirklich begeistert und habe nun ein Debian Lenny mit den von mir gewünschten Partitionen, um ihn als Hosting-Server zu verwenden. Ein paar Tipps zur sicheren Einrichtungen mittels fcgi, suexec usw. wird demnächst hier veröffentlicht.

Die Anbindung scheint ebenfalls gut zu sein, Ping-Tests verliefen bisher positiv. Ich kann derzeit also Hetzner durchaus empfehlen, zumal der Robot eine angenehme Variante darstellt, um Domains, Handles und DNS-Einträge zu verwalten. Das Design ist zwar eher "schlicht", aber darum gehts ja an der Stelle nicht. Die Traffic-Stats sind nett aufbereitet, die Config der Benachrichtigungen bei Serverausfällen (ähnlich NAGIOS) ist eher frickelig. Könnte man sicher besser gestalten, aber naja.

Interessant wird es dann werden, wenn ich mal den techn. Support brauche, z.B. wenn eine Platte aussteigt. In der Vergangenheit hatte ich mit Hetzner allerdings ganz gute Erfahrungen, bis auf ein paar Stromausfälle vor einigen Jahren

Rechte-Einschränkungen unter XP im Kompatibilitätsmodus umgehen - Bug oder Feauture?

nospam@example.com (Rob) — Sat, 24 Oct 2009 21:11:00 +0200

Alle reden von Windows 7, während ich heute in die Verlegenheit kam, an der Volkshochschule mit einem Windows XP Laptop arbeiten zu müssen. Zumindest kurzzeitig, um mit ein paar anderen Kursteilnehmern eine Bildbearbeitung auf diesem Laptop zu installieren.

Leider war es uns mangels Einschränkungen nicht möglich, ohne die vorhandenen Admin-Rechte eine Installation durchzuführen, es erschien sofort nach dem Start des Setup ein Fehler, dass wir keine Rechte dafür haben. Schade, denn das Admin-Passwort war uns nicht bekannt und die Laufwerke sowie das BIOS gesperrt.

Da kam Jemand auf die Idee, die setup.exe doch mal im Windows98/ME "Kompatibilitätsmodus" zu starten (siehe Screenshot), die sich im Kontextmenü versteckt. Das wurde in XP und späteren Versionen eingebaut, um alte Software unter neuem Windows starten zu können. Und siehe da, wir konnten in diesem Modus völlig problemlos die Software installieren und dann als normaler User verwenden. Ich war schockiert und überrascht gleichermaßen, wie leicht sich die Vorgaben und Sicherheitsbeschränkungen aushebeln ließen.

Man könnte auf diese Weise problemlos das System komplett verändern, da bin ich sicher. Es stellt sich mir nur die Frage, ob das jetzt ein Bug im XP war oder die Kisten nur schlampig konfiguriert waren?!? Jedenfalls konnten wir dann dort arbeiten und ich endlich mein MacBook auspacken, das hat mir an Windows-Erfahrung erstmal wieder gereicht ..

SSH absichern und mehr mit knockd

nospam@example.com (fep) — Wed, 21 Oct 2009 21:40:00 +0200

Gelegentlich kommt man in die Verlegenheit dass man daran gebunden ist SSH auf dem Standardport 22 zu betreiben, was sich dann schon nach kurzer Zeit in andauernden Bruteforceattacken niederschlägt. Für diesen Fall ist neben fail2ban oder denyhosts der knockd ein guter Weg den Server gegen unerwünschte Angriffe abzusichern. Doch der Anklopfserver kann noch mehr - er verhindert von vornherein dass Angreifern die Extistenz bestimmter Dienste überhaupt bekannt wird oder kann im Notfall den Webserver neu starten.

Der knockd beobachtet ob auf Bestimmten, vorher festgelegten Ports Pakete in der vorher festgelegten Reihenfolge eintreffen und führt, wenn dies der Fall sein sollte, einen beliebigen Befehl aus. Praktisch nutzt man diese Funktion nun also dazu, das vorher über iptables gesperrte SSH durch das einfügen einer passenden Regel in in die iptables freizuschalten.

Zunächst installiert man den daemon über die Paketverwaltung des Betriebssystems - in diesem Fall Debian (Abwandlungen bei anderen Distributionen sind möglich).

aptitude install knockd Standardmäßig muss der Eintrag START_KNOCKD in der /etc/default/knockd auf 1 angepasst werden damit der Daemon überhaupt startet. Bei Bedarf kann hier auch das Interface angepasst werden, auf dem der Daemon lauscht. Anschließend wird das configfile /etc/knockd.conf angepasst - für SSH könnte das z.B. so aussehen:

[options]
UseSyslog

[opencloseSSH]
sequence = 9000,8000,7000
seq_timeout = 15
tcpflags = syn
start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
cmd_timeout = 10
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

Durch die Option UseSyslog werden Wichtige Informationen ins Syslog geschrieben. Wenn nun innerhalb des seq_timeout (in Sekunden) nacheinander Pakete mit dem in tcpflags festgelegten Flag an die in sequence festgelgten TCP-Ports gesandt werden wird das start_command ausgeführt. Nach Ablaufen des cmd_timeout wird das stop_command ausgeführt. Hierbei sollte man sequence unbedingt durch eigene Werte ersetzen und dabei auch mehr als nur 3 Ports verwenden (5-8 eignen sich gut).

Nun empfiehlt es sich den daemon nicht gleich zu starten sondern zunächst mit

knockd --debug --verbose

im Debugmode zu schauen ob denn auch alles so läuft wies soll. Ein Beispiel:

server:
$ knockd --debug --verbose
[...]
Local IP: 192.168.0.18
listening on eth0...

client:
$ knock 192.168.0.18 9000 8000 7000

server:
2009-09-21 18:53:32: tcp: 192.168.0.121:49087 -> 192.168.0.18:9000 74 bytes
192.168.0.121: opencloseSSH: Stage 1
2009-09-21 18:53:32: tcp: 192.168.0.121:58850 -> 192.168.0.18:8000 74 bytes
192.168.0.121: opencloseSSH: Stage 2
2009-09-21 18:53:32: tcp: 192.168.0.121:44580 -> 192.168.0.18:7000 74 bytes
192.168.0.121: opencloseSSH: Stage 3
192.168.0.121: opencloseSSH: OPEN SESAME <-- Der Server hat die sequenz erkannt.
opencloseSSH: running command: /sbin/iptables -I INPUT -s 192.168.0.121 -p tcp --dport 22 -j ACCEPT <-- öffnet den Port.
192.168.0.121: opencloseSSH: command timeout <-- 10 Sekunden Später ...
opencloseSSH: running command: /sbin/iptables -D INPUT -s 192.168.0.121 -p tcp --dport 22 -j ACCEPT <-- ... wird der Port wieder geschlossen

Wenn das alles so funktioniert und der Eintrag währen dieser 10 Sekunden auch mit

iptables -L

angezeigt wird. Kann der Daemon über das initscript /etc/init.d/knockd gestartet werden. Allerdings passiert zumindest auf einem Standardsystem hier noch nicht viel, da standardmäßig SSH natürlich nicht gesperrt ist. Dies könnte beispielsweise über

iptables -A INPUT -p tcp --dport 22 --syn -j REJECT

geändert werden. Wie man sieht werden nur syn-Pakete gedropt. Dadurch werden bestehende Verbindungen nicht beeinträchtigt. Sonst würde die frisch hergestellte Verbindung ja binnen 10 Sekunden wieder getrennt werden. Wenn alles funktioniert sollte der Eintrag über die /etc/rc.local übernommen werden damit die Firewall auch bei jedem Neustart wieder angepasst wird.

Wenn das ganze über eine SSH-Verbindung eingerichtet wird sollte diese offen gehalten werden bis alle Tests abgeschlossen sind, wenn was schief geht kommt man sonst womöglich nie wieder an seinen Server . Falls vorher schon eine iptables Konfiguration existiert müssen die Befehle natürlich daran angepasst werden.

Noch eine Beispielkonfiguration wie man openvpn starten und stoppen könnte:

[options]
UseSyslog

[startOpenVPN]
sequence = 7000,8000,9000
seq_timeout = 5
command = /etc/init.d/openvpn start
tcpflags = syn

[stopOpenVPN]
sequence = 9000,8000,7000
seq_timeout = 5
command = /etc/init.d/openvpn stop
tcpflags = syn

knock 192.168.0.18 7000 8000 9000 startet nun openvpn und knock 192.168.0.18 9000 8000 7000 stoppt es.

Zu Verschenken: G DATA Internet Security 2009

nospam@example.com (Rob) — Tue, 20 Oct 2009 15:21:00 +0200

Ich habe schon seit einer halben Ewigkeit eine Originalversion von G DATA Internet Security 2009 im Wert von 39,95 EUR hier umliegen. Im Rahmen einer Promotion-Aktion wurde mir diese Version samt Lizenz von einer Agentur zugeschickt. Es bestand die Hoffnung, dass ich darüber blogge und davon berichte - tue ich ja jetzt im Grunde auch

Leider habe ich ja nun schon seit einer halben Ewigkeit kein Windows mehr im Einsatz, daher verstaubte die Packung hier mehr und mehr. Damit ist jetzt Schluss, denn ich verschenke die Lizenz an einen unserer lieben Leser. Liefern kann ich den Gewinn per Post, ansonsten mache ich auch gerne eine ISO und schicke dem Gewinner dann den Key. Wäre zumindest eher würdig für das Admininistrator's Blog.

Um zu gewinnen, reicht ein Twitter-Link (aka Retweet) zu dem Gewinnspiel hier oder ein Kommentar zu diesem Blogpost. Hoffentlich will das überhaupt Einer haben noch ..
Am Samstag werde ich den Gewinner dann kontaktieren..

[Mac] das MacPorts Projekt

nospam@example.com (Maddin) — Mon, 19 Oct 2009 10:54:00 +0200

Heute möchte ich ein Projekt vorstellen, welches sich zum Ziel gesetzt hat "eine einfach zu benutzende Umgebung für Open Source Software zur Verfügung zu stellen, mit der es möglich ist, Kommandozeilen-, X11- oder Aqua basierte Programme für MacOS X zu kompilieren, zu installieren und zu erneuern". MacPorts heißt das ganze und ist unter der URL macports.org zu erreichen.

Das Prinzip des Portumgebung ist schon etwas älter und wurde erstmals 1994 für FreeBSD von Jordan K. Hubbard entwickelt. Mittlerweile nutzen es mehrere BSD- und auch Linux Varianten als die bevorzugte Paketverwaltung. Das eigentliche Ziel ist es, die Installation von Softwarepaketen aus dem Quellcode so einfach wie möglich zu gestalten, ohne dass der Nutzer darüber Kenntnisse haben muss.

Um MacPorts auf dem Mac zu installieren, lädt man sich einfach das zu seiner Version (Leo, Snow Leo, Tiger) passende DMG und startet die Installation. Ein Tipp, denn ich habe die Installation 3 mal gestartet : schaut euch im Installations-Programm via Apfel+L das Installations-Logfile an, da der Installer als erstes via rsync eine Menge Dateien vom einem MacPort Mirror zieht und man leider keinen Status im Installations Programm sieht und man unter Umständen denken könnte, dass der Installer sich erhangen hat.
Nach der Installation kann man sich dann das eigentliche Paketverwaltungs-Tool ansehen, welches sich wie sollte es anders sein, port nennt. Über dieses kann der Nutzer dann Software suchen, installieren, updaten und auch wieder deinstallieren. Wie immer empfehle ich vor der Benutzung der Software das Lesen der manpage via man 1 port.

Das schöne an MacPorts ist, dass es durch die Vielzahl der verfügbaren Pakete (im Moment sind es etwa 6680) und die Einfachheit der Verwaltung, eine Paketverwaltung für MacOS X zur Verfügung stellt, die so gut wie keine (Software-)Wünsche offen lässt.

Ich kann es nur jedem Mac Nutzer empfehlen, vor allem wenn man wie ich aus der Linux Ecke kommt und es gewöhnt ist, seine Software via apt/yum zu installieren.

[WORKAROUND] DNS Probleme bei Snow Leopard nach Ruhezustand beheben

nospam@example.com (Rob) — Sat, 17 Oct 2009 17:53:00 +0200

Mehrfach ist mir aufgefallen, dass Snow Leopard nach dem Ruhezustand mit DNS-Problemen zu kämpfen hat. Divese Foreneinträge bestätigen, dass es da offenbar ein internes Problem gibt. Es soll wohl mit der ipv6-Implementation zu tun haben, leider bringt aber das Deaktivieren von ipv6 in den Netzwerk-Einstellungen auch nichts.

Nachdem der Mac aus dem Ruhezustand aufgewacht war, konnten bei mir sporadisch wahllos irgendwelche Hostnamen nicht mehr aufgelöst werden. Mit Tools wie ping, dig oder nslookup bekam ich stets die IP 0.0.0.1 für die entsprechenden Domains zurück, was natürlich völliger Quatsch ist. Besonders ärgerlich war das, wenn z.B. der Mailserver betroffen war und keine Mails mehr ankamen (was man auch nicht gleich bemerkt).

Nun fand ich endlich den entscheidenen Hinweis, wie man bis zum Bugfix seitens Apple das Problem umgehen kann. Und zwar, indem man auf der Konsole den für das DNS-Caching zuständigen Daemon neu startet:

sudo killall -HUP mDNSResponder

Funktioniert perfekt und behebt dieses nervige Problem, zumindest bis zum nächsten Erwachen aus dem Ruhezustand. Verpackt in ein kleines Shellscript kann man den Befehl bequem per Cron aufrufen lassen.

Man kann dem DNS-Cache-Daemon laut diesem Posting auf serverfault.com noch einige weitere Informationen entlocken:

"sudo killall -USR1 mDNSResponder" to enable operation logging.
"sudo killall -USR2 mDNSResponder" to enable packet logging.
"sudo killall -HUP mDNSResponder" to clear the DNS cache.
"sudo killall -INFO mDNSResponder" to dump mDNSRepsonder's internal state.