In den letzten Jahren wurden, gerade auch im IT-Bereich, immer mehr paradoxe Begriffe etabliert. Gerade diese sind jedoch nicht ungefährlich, implizieren sie doch für eine große Masse genau diese falschen Zuschreibungen.
Allen voran ist hier der Begriff der sozialen Netzwerke
. Diese sind jedoch alles andere als sozial sondern
fallen durch das hohe Maß an sozialem Druck, den sie aufbauen (vor allem auch auf Leute, die sich dessen
bewußt sind) auf. Eigentlich geht es diesen Systemen nur darum, möglichst viele Daten über deren Nutzer
zu sammeln um diese mit gezielter Werbung zu manipulieren. Insofern sind es eher asoziale denn soziale
Netzwerke.
Eine andere paradoxe Zuschreibung ist das Smartphone
. Ein solches Gerät gibt vor, Smart (intelligent) zu
sein. Dabei sind diese Geräte vor allem eines, eine Datensammelmaschine für die Firmen dahinter! Dabei wird
das eigentlich in der IT etablierte Prinzip, eine Sache zu können, diese aber richtig, auf Kosten
der Bequemlichkeit konterkariert. Wenn man heutzutage ein Handy möchte, das gut in der Hand liegt, mit dem man
telephonieren und allenfalls noch SMS schreiben möchte aber sonst nichts, wird die Auswahl sehr überschaubar.
Insbesondere ein Handy ohne Kamera ist nicht mehr zu bekommen.
Ähnlich zu bewerten sind viele andere Dinge, die mit Smart... bezeichnet werden wie Smarthome
, Smarter
Fernseher
, ...
Kommen wir zum großen Bruder des Smartphone
, der künstlichen Intelligenz
. Dabei handelt es sich nicht um
etwas intelligentes sondern um einen großen Hype, bei dem vor allem große Datenmengen analysieren werden. Die
größte Gefahr davon ist es, wenn Menschen die Ausgaben dieser Implementierungen als wahre Münze annehmen und
selber aufhören, zu denken und zu lernen. Das führt durch eine Stagnation des Wissens eher zur Abnahme der
Volksintelligenz als zu deren Zunahme.
Als nächstes wäre das Prinzip des responsible disclosure
zu nennen. Das ist jedoch alles andere als
responsible
. Dabei geht es einzig und alleine darum, dem Verursacher eines fatalen Fehlers in Soft- oder
Hardware mehr oder weniger beliebig viel Zeit zu geben, weiter diese zu ignorieren und Geld mit minderwertigen
Produkten zu machen. Responsible
im eigentlichen Sinn wäre, einen Fehler möglichst sofort detailliert und
verständlich zu veröffentlichen um den Anwendern und Admins die Möglichkeit zu geben, Gegenmaßnahmen zu
ergreifen.
Wechseln wir mal das Metier und wenden uns der Politik zu. Der Begriff Volksvertreter
hat üblicherweise mehr
mit dem Staubsaugervertreter zu tun als mit jemandem, der das Volk vertritt. Schön kann man das in Deutschland
oder der EU beobachten, wo es schon lange nicht mehr darum geht, Politik fürs Volk zu machen, sondern darum,
das Volk mit möglichst viel Gewinn an Großkonzerne oder andere Player zu verkaufen.
— Klaus Ethgen — Wed 1. May 2024
Ich verwende nun schon seit rund zwanzig Jahren Debian sowohl auf meinen Servern
als auch auf meinen Desktops und Laptops. Während ich jedoch auf den Servern die
Stabilität von stable
zu schätzen weiß, kommt bei meinen Laptops und Desktops
ausschließlich unstable
zum Einsatz.
Und genau hierin liegt das generelle Problem. Debian ist angetreten, das universelle OS zu sein. Und damit handelt es sich grundsätzliche Probleme ein, die darin begründet liegen. Während man auf einem Server doch grundsätzlich stabile und durchaus abgehangene Software zu schätzen weiß, möchte man auf dem Desktop doch möglichst nahe am Bleeding-Edge sein.
Auch einige Systemkonzepte sind absolut unterschiedlich. Ein Desktop soll möglichst schnell booten während der Server möglichst verläßlich und nachvollziehbar booten soll und man bei Problemen möglichst transparent auf alle Informationen zugreifen möchte.
Bis vor einigen Jahren ging das ganze noch recht gut. Debian unterstützte vor allem die Stabilität, die man auf Servern möchte und Ubuntu ist angetreten, ein debianoides OS auf den Desktop zu bringen. Das ganze führte zu den teilweise seltsamen Auswüchsen, daß Firmen Ubuntu auf ihren Servern einsetzten und man als Admin einiges an Energie hineinstecken mußte, dieses so zu stabilisieren, daß es einigermaßen die Qualität von Debian erreichte. Grund hierfür war die Zusicherung von Canonical, einen 7-Jahres-Support anzubieten. Dies war ein geschickter Schachzug, die Führungsebenen einzufangen. Als Admin war man dagegen recht machtlos.
Nun schwappt jedoch immer mehr Technologie von Ubuntu nach Debian und andere Parteien bringen aggressiv Desktoptechnologien in Debian. Auf der anderen Seite verscherzt es sich Debian mit anderen Softwareauthoren, gerade im Sicherheitsbereich, die ihre Software immer aktuell und sicher warten.
— Klaus Ethgen — Mon 25. April 2016
Viele setzen IP-Tables im Linux-Kernel ja nur als einfache Filterinfrastruktur ein. Dabei besitzt IP-Tables durchaus recht mächtige Funktionen. Ich gebe hier mal ein paar Beispiele:
Als erstes ein kleiner Filter, der loggt, wenn ssh ausschließlich mit niedriger Verschlüsselung verwendet wird. Blockieren auf der Ebene wäre zwar möglich, da die Verbindung jedoch schon steht, würde das nur ein DOS auf den eigenen ssh-Server begünstigen.
iptables -A INPUT -p tcp -m tcp --dport 22 \ -m string --string "hmac-sha1,hmac-sha1-96,hmac-md5,hmac-md5-96,hmac-ripemd160,hmac-ripemd160@openssh.com" --algo bm --from 64 --to 1024 \ -j ULOG --ulog-prefix "[LOW_SSH]"
Nun ein etwas komplexeres Beispiel. Diesen Filter verwende ich am Ende meiner INPUT-Chain (zumindest der Check selber) um zu detektieren, wenn jemand ständig unbediente Ports ausprobiert. Die Idee dahinter ist, daß erst am Ende der Chain die eigentliche Entscheidung fällt. Technologisch setzte ich hier vor allem auf hashlimit um false positives zu vermeiden. Zum eigentlichen Blockieren setze ich auf recent, das dazu recht praktisch ist.
iptables -A INPUT -m recent \
--update \
--seconds 3600 \
--name attacks \
--rsource \
-j DROP_AUDIT
iptables -A INPUT -p tcp -j DETECT_INVALID
iptables -A INPUT -p udp -j DETECT_INVALID
iptables -A DETECT_INVALID ! -i eth0 -j RETURN
iptables -A DETECT_INVALID -p tcp -m tcp --tcp-flags SYN,RST RST -j RETURN
iptables -A DETECT_INVALID -p tcp -m tcp --tcp-flags ALL ACK,FIN -j RETURN
iptables -A DETECT_INVALID -m hashlimit \
--hashlimit-upto 10/hour \
--hashlimit-burst 10 \
--hashlimit-mode srcip \
--hashlimit-name attack_invalid \
-j RETURN
iptables -A DETECT_INVALID -m limit --limit 3/minute -j ULOG --ulog-prefix "[invalid_attack]"
iptables -A DETECT_INVALID -m recent --set --name attacks --rsource -j DROP_AUDIT
Nun ein Beispiel mit ineinandergeschachtelten hashlimits. Dieser Teil ist in der Lage (wie der Chain-Name schon vermuten läßt), Portscans zu erkennen und entsprechende Maßnahmen zu ergreifen.
iptables -A INPUT -m recent \
--update \
--seconds 3600 \
--name attacks \
--rsource \
-j DROP_AUDIT
iptables -A INPUT -p tcp -j DETECT_PORTSCAN
iptables -A INPUT -p udp -j DETECT_PORTSCAN
iptables -A DETECT_PORTSCAN -p tcp -m tcp --tcp-flags SYN,RST RST -j RETURN
iptables -A DETECT_PORTSCAN -m hashlimit \
--hashlimit-above 3/minute \
--hashlimit-burst 5 \
--hashlimit-mode srcip,dstport \
--hashlimit-name portscan_port \
-m hashlimit \
--hashlimit-upto 3/sec \
--hashlimit-burst 5 \
--hashlimit-mode srcip,dstport \
--hashlimit-name portscan_port_p \
-j RETURN
iptables -A DETECT_PORTSCAN -m hashlimit \
--hashlimit-upto 5/minute \
--hashlimit-burst 10 \
--hashlimit-mode srcip \
--hashlimit-name portscan \
--hashlimit-srcmask 24 \
-j RETURN
iptables -A DETECT_PORTSCAN -m limit --limit 3/minute -j ULOG --ulog-prefix "[portscan]"
iptables -A DETECT_PORTSCAN -m recent --set --name portscan --rsource -j DROP_AUDIT
Update: Reihenfolge in Portscans-Detection geändert, daß sie macht was sie soll
— Klaus Ethgen — Thu 11. June 2015
Seit einigen Tagen beobachte ich vermehrte Angriffsversuche oder Scans. Wenn ich ein Muster darin suche, stoße ich fast ausschließlich auf Cloudflare. Cloudflare scheint China vollständig als Malware verseuchtes Netzwerk abgelöst zu haben.
Macht gerne so weiter, Cloudflare, in meiner IPTables-Blockliste ist noch ne Menge Platz für eure IP-Ranges. 6 recht große Ranges von euch sind schon drin.
— Klaus Ethgen — Sat 6. June 2015
Nun ist Google vielleicht nicht gerade die Firma, die man mit SSL in Verbindung bringt, als Technologiefirma erwartet man jedoch ein gewisses Grundverständnis.
Leider hat es Google in den letzten Monaten geschafft, SSL mit der größtmöglichen Dummheit zu implementieren. Seit einigen Monaten tauscht Google im Monatsrhythmus ihre gesamten Zertifikate aus.
Damit aber zerstört Google nicht nur das Vertrauen in die Zertifikate, es macht es auch quasi unmöglich, zu erkennen, wenn und ob ein Fremdzertifikat zum Angriff verwendet wird.
Nicht nur, daß ein solches Vorgehen Addons wie Certificate Patrol ad absurdum führt, es bombardiert auch Software, die SSL auf die einzigst sinnvolle Art implementiert wie zum Beispiel imapfilter, wo keinem ominösen Root-Zertifikat vertraut wird, sondern der User (nach vorheriger Prüfung) das aktuelle Zertifikat bestätigt.
Das Root-Zertifikat-Ausgebern nicht vertraut werden kann ist ja schon lange bekannt. Bestes Beispiel ist ja, daß solche Anbieter wie Türktrust immer noch in allen Browsern enthalten sind. Dabei ist CAcert, was zumindest Communitybasiert ist, nirgends mehr enthalten. Irgendwie eine komplett verkehrte Welt also.
— Klaus Ethgen — Mon 9. March 2015
Und wieder mal geht ein Krieg von deutschem Boden aus. Wie aus den heutigen Medien zu entnehmen ist, setzt die NATO und allen voran die deutsche Regierung in der Ukraine-Krise voll auf Eskalation.
Noch stößt die Kriegstreiberei der Bundesregierung auf größtenteils Ablehnung in der Bevölkerung aber es ist nur eine Frage der Zeit, bis diese Warnrufe verstummen.
Dieser Eintrag paßt zwar thematisch nicht ganz hierher, ich denke nur, man kann nicht deutlich genug darauf aufmerksam machen, wie die Bundesregierung alle Mittel einsetzt, daß Deutschland wieder einen Krieg führen kann.
Ich meine, es funktioniert ja auch in Amerika recht gut; wenn man droht in eine Rezession zu rutschen, zettelt man einen Krieg im Irak oder in Afghanistan an und schon geht es der Wirtschaft wieder besser. Warum soll daß in Deutschland nicht auch funktionieren.
[0] Fokus Artikel über die neuen Eskalationsversuche der NATO und Deutschlands
[1] RP-Online-Artikel
[2] FAZ
— Klaus Ethgen — Sun 1. February 2015
Ich bin ja nie ein Fan von unsichtbarer Verschlüsselung ala TLS gewesen und war und bin ein erbitterter Feind der Begriffsverwässerung, mit TLS sowohl das eigentliche TLS als auch SSL zu bezeichnen.
Das Chaos der Versionierung von TLS und SSL und das TLS1.0 eine höhere Version ist als SSLv3, macht die Problematik nur noch komplett.
Zur Erinnerung, im Browser verwendet man einen anderen Port der nur und ausschließlich SSL spricht, während Mail über Port 25, wenn sie verschlüsselt wird, per TLS gesichert wird (um nur mal zwei Beispiele zu nennen). Der Vorteil an SSL ist ja gerade, daß man sieht, daß die Verbindung verschlüsselt wird (mal von Implementierungsfehlern abgesehen).
Bei TLS ist das leider nicht direkt sichtbar und kann zwischendrin problemlos abgeschaltet werden wie jetzt bei einem Provider in den USA nachgewiesen wurde. (Artikel bei Golem)
Daß das jedoch der einzigste Fall sein soll, wage ich zu bezweifeln. Es ist nur ein Provider, der dumm genug war, sich erwischen zu lassen.
Insofern kann man nach wie vor jedem nur raten, von unsichtbarer Verschlüsselung die Finger zu lassen und Verschlüsselung klar sichtbar auf Protokollebene zu implementieren und zu nutzen.
— Klaus Ethgen — Wed 15. October 2014
Zur Zeit scheint es ja einen großen Trend zu geben, daß Leute ihren 1024(!)-Bit-Key durch eine größere Variante ersetzen. Auf der einen Seite muß man sagen, daß das begrüßenswert ist, aber auf der anderen ist das doch reichlich spät. Wenn dann noch der 1024er-Key nur durch eine 2048-Bit-Variante ersetzt wird, ist das recht kurzfristig gedacht. Leute, schaut euch doch mal in der Welt um. Schon auf dem 20c3 gab es einen Vortrag, daß 1024 Bit nicht mehr ausreichend sind. Auch andere Quellen wie zum Beispiel ein Paper von Arjen K. Lenstra und Eric R. Verheul sowie eine Empfehlung zur Schlüssellänge (bei archive.org, da im Original nicht mehr verfügbar) lassen schon seit Jahren den Schluß zu, keine kurzen Schlüssel mehr zu verwenden.
Leider bedeutet ein solch später Austausch des Keys, daß man sich unmöglich auf die Sicherheit des alten Schlüssels verlassen kann, wenn man den Neuen signieren möchte. Eine Revalidierung bei einem persönlichen Treffen ist unumgänglich.
Meine eigenen Schlüssel habe ich schon frühzeitig zu einer längeren Variante migriert. (1024er Key 2001 widerrufen und Migration von 2048 auf 4096 im Gange.) Leider taten das der ein oder andere als paranoide Spinnerei ab. Nun scheinen es ja einige einzusehen; aber leider zu spät.
— Klaus Ethgen — Mon 14. October 2013
Vielleicht ist die Überschrift etwas fehlweisend. Wer seit langem Truecrypt einsetzt, aber eigentlich schon länger davon loskommen möchte, daß er irgendwelche schräge Software auf seinem Rechner hat, die von unbekannten gepflegt wird, für den ist seit Version 1.6.0 in Cryptsetup eine Neuerung reingewandert. Set dieser Version kann nämlich Cryptsetup direkt Truecryptcontainer öffnen; und zwar nicht nur einfache, sondern auch explizit die versteckten Container. Damit gibt es somit keine Notwendigkeit mehr, ein Truecryptbinary zu behalten, sofern man nicht neue Container erstellen möchte.
— Klaus Ethgen — Sun 25. August 2013
Essentiell für die Fliegerei ist eine vollständige Flugplanung. Wie diejenigen, die selber fliegen, sicher wissen, nimmt diese doch einiges an Zeit in Anspruch. Die meiste Zeit geht darauf verloren, daß die unterschiedlichen Informationen nicht an einer Stelle zu finden sind, sondern sich von vielen verschiedenen Quellen und teilweise auch kostenpflichtigen Quellen zusammengesucht werden müssen.
Dabei sollte man meinen, daß zumindest die wichtigsten Dinge zentral und einfach erreichbar sein sollten; handelt es sich doch hierbei um sicherheitsrelevante Informationen. Zusätzlich mühsam wird es dann, wenn, wie zum Beispiel beim DFS, ein langjährig erprobter und recht sinnvoller Service (NOTAM-Briefing als PDF) durch eine mühsam zu bedienende Portal-Lösung abgelöst wird, die es auch nicht mehr erlaubt, einfach Bookmarks zu den relevantesten Strecken abzulegen.
Wie auch immer, ich habe hier mal ein paar solche Dinge zusammengefaßt. Sollte wer Ergänzungen haben, so würde ich mich über eine kurze Mail freuen.
Als erstes wäre hier ein Wetterbriefing für den aktuellen bzw. die nächsten Tage zu nennen. Es gibt zwar einige Wetterseiten, die jedoch alle nicht die Anforderungen für die Aviatik erfüllen. Zur Zeit kenne ich für die Schweiz und Deutschland leider nur kostenpflichtige Versionen.
Ein erfreulich offener Service sind METAR und TAF. Beide kann man für Flugplätze weltweit unter METAR und TAF abrufen. Teilweise sind diese sogar schneller verfügbar als die nationalen Quellen wie zum Beispiel Metoschweiz.
Als nächstes hätten wir eine allgemeine Wetterübersicht anhand einer Isobarenkarte wie zum Beispiel beim DWD oder bei Meteoschweiz zu bekommen.
Gerade für Alpenflüge interessant und wichtig, sind auch die Angaben aus dem GAMET. Leider kenne ich keine öffentliche Quelle, woher diese Informationen zu bekommen sind. Aufgrund der Wichtigkeit kann ich über solch eine Politik nur den Kopf schütteln.
Genau das Selbe gilt leider für AIRMET und SIGMET. Auch diese, essentiellen, Informationen sind nur gegen bare Münze zu bekommen und schlecht zu automatisieren.
Weiter geht es mit dem GAFOR. Auch hier sitzen die lokalen Meteokonsortien auf den Daten und rücken sie nur gegen Geld raus. Im Gegensatz zu den beiden obigen Informationen sind dies jedoch abgeleitete Daten, die man durchaus auch selbst erstellen kann, wenn man die notwendige Erfahrung hat. Somit kann ich es sogar noch etwas verstehen, daß eine Firma für eine solche Dienstleistung Geld möchte.
Kommen wir wieder zu erfreulicherweise offenen Informationen. Auch wenn diese teilweise recht tief verlinkt und definitiv nicht schnell zu finden sind.
Hier wäre zuerst einmal ein DABS zu nennen. Hier kenne ich nur die Quelle für die Schweiz. Auf den Seiten der Skyguide kann man tief drin selbiges finden. (http://www.skyguide.ch/fileadmin/dabs-today/DABS_%Y%m%d.pdf) Wie man sieht, jedoch recht mühsam als Link zu speichern. Zudem scheint das PDF seit kurzem verschlüsselt zu sein und erlaubt es nicht mehr, es automatisch in eine eigene Planung zu integrieren.
Eher für Segler, aber auch für Motorflugpiloten interessant ist das Emagramm. Für die Schweiz erhält man dies auf den Seiten von Meteoschweit (O UTC und 12 UTC).
Für eine Gefahrenabwägung ist noch ein LWC wichtig, das unter http://weather.noaa.gov/pub/fax/PGDE14.PNG zu bekommen ist.
Schlußendlich wäre noch das NOTAM zu erwähnen. Dieses bekommt man für Deutschland, Österreich und die Schweiz beim DFS zwar kostenfrei, leider aber nicht mehr so schön aufbereitet, wie es früher unter http://www.dfs-vfrebulletin.de/ zu finden.
Andere Länder sind bei diesen Informationen durchaus freigiebiger. Dort bekommt
man dann auch ganze AIPs. Leider gilt das aber nicht für unsere
fortschrittlichen
Ländern Deutschland und Schweiz.
— Klaus Ethgen — Sat 3. August 2013
Seit meiner Flugprüfung liegt nun fast ein Jahr und über 40 Flugstunden. Endlich erschloß sich mir auch die dritte Dimension. Als ich anfing, konnte ich nicht ahnen, wie süchtig ich mal darauf sein werde.
Heute war ich wieder fliegen. Das Wetter war exakt nach meinem Geschmack. Eine herrliche Sicht auf die Berge und die Turbulenzen sorgten dafür, daß bei mir keine Langeweile aufkam.
— Klaus Ethgen — Sat 3. November 2012
UTF-8 wird mehr und mehr zum Ärgernis. Während es früher mühsam war, UTF-8 zu benutzen, kann es mittlerweile genau umgekehrt sein und bei Verwendung eines anderen Encodings als UTF-8 zu Problemen führen.
Dabei ist der unreflektierte Einsatz von UTF-8 nicht nur lästig, sondern kann unter Umständen auch gefährlich sein, zum Beispiel, wenn die URL ähnliche, aber nicht gleiche Zeichen enthält wie zum Beispiel die der eigenen Bank.
An anderen Stellen, wie zum Beispiel im IRC, macht UTF-8 die Kommunikation durch die ganzen Mehrzeichenzeichen (blödes Wort, aber mir fällt zu dem Müll kein brauchbarerer Ausdruck ein) recht mühsam mit den ganzen ö, ü und schlimmeren Konstrukten. Deswegen habe ich schon eine automatische Lösung implementiert, um sowas einfach zu ignorieren; in dem Sinn führt also UTF-8 nicht zu mehr Verständigung sondern zu wendiger!
Schlußendlich verursacht UTF-8 auch einen, teilweise nicht unerheblichen, Overhead bei der Datenübertragung. Auch die Verarbeitung gestaltet sich mühsam und ein Datenstrom ist nicht mehr beliebig seekbar.
— Klaus Ethgen — Sat 19. November 2011
Ich bin seit einiger Zeit schon am rumrätseln, warum meine Systeme zwar immer
schnellere Hardware haben, aber trotzdem ein apt-get upgrade
immer langsamer
wird und wie ich das damals auf meinem langsamen Pentium 100 ausgehalten habe.
Nun bin ich vor kurzem auf ein kleines Tool gestoßen, eatmydata, daß schlicht
und einfach fsync und Konsorten über eine kleine Preload-Library abschaltet. Ich
war begeistert, was das an Geschwindigkeit brachte. Nun dauerte ein apt-get
upgrade
nicht mehr wie üblich in den Größenordnungen ½ bis eine Stunde, sondern
war nach wenigen Sekunden (bei der sonst selben Menge Upgrades) fertig. Das
Risiko des Datenverlustes ist in den wenigen Sekunden ohne fsync jedenfalls um
Klassen geringer als in der Stunde mit fsync!
Scheinbar wird in apt-get mittlerweile so viel mit fsync gearbeitet, das alle Zugriffsoptimierungen, die der Kernel in Filesystem, LVM, Softwareraid und Hardwarezugriff macht, komplett negiert werden.
Ich frage mich auch ein Wenig, warum, wenn ein fsync so wichtig sein soll, die Kernelentwickler dieses nicht automatisch machen. Das hat sicher seinen Grund. Das jetzt von anderen gefordert wird, auch in cp und tar fleißig zu fsyncen[0] zeugt nur von übermäßiger Unkenntnis dessen, was sie behaupten.
Ein weiterer Punkt, der unter ständigem fsync leidet ist das Bereinigen meine Bacula-sqlite-Datenbank. Wärend ich den dbcheck-Lauf bisher immer über Nacht durchgeführt habe, weil er doch mehrere Stunden in Anspruch nahm, in denen das System eine enorm hohe IO-Last hatte, dauert das ganze mit eatmydata nur noch unter einer Minute bei wesentlich geringerer IO-Last. Datenverlust wäre mir in dem Fall sogar egal, da ich ein dump von der Datenbank davor habe.
Es bleibt nur zu hoffen, daß nicht noch mehr Tools auf die fsync-Unart aufspringen, sondern sich davor mal Gedanken machen, warum das so ist wie es ist. Ich meine damit nicht, daß fsync völlig sinnlos ist. Es hat sicher seine Anwendungsgebiete. Aber die extensive Nutzung dieses Werkzeuges führt seinen Sinn ad-absurdum.
— Klaus Ethgen — Fri 16. September 2011
Mittlerweile wird es recht lästig, da startet man ein Tool, das für KDE geschrieben wurde – zum Beispiel tellico – und hat danach tausende an Daemonen laufen darunter unter Anderem sogar einen mysql. Anstelle diese Damonen, so sie denn verwendet werden, nach Beendigung des Programms mit zu beenden, laufen diese ewig weiter, verschwenden Resourcen und stellen im schlimmsten Fall eine Sicherheitslücke dar.
Schlimm genug, daß diese ganzen ungewollten Daemonen nicht wirklich dokumentiert sind (die meisten kommen ohne Man-Page daher), werden diese auch noch durch Abhängigkeiten mittlerweile automatisch installiert. Dabei reichen die folgenden paar Befehle aus, zumindest die eine Hälfte in Griff zu bekommen:
for i in \
/usr/bin/{akonadiserver,nepomukserver,akonadi_control} \
/usr/lib/gamin/gam_server; do \
dpkg-divert --local --rename $i; \
ln -s /bin/true $i; \
done
Die andere Hälfte bekommt man leider nur durch ein Killen der entsprechenden Daemonen nach Anwendungsbeendigung in Griff:
pkill -9 kded4 pkill -9 knotify pkill -9 kdeinit4 pkill -9 kio_http_cache_
oder kürzer:
pkill -9 'kded4|knotify|kdeinit4|kio_http_cache_'
Achtung, der Prozessname ist nicht kio_http_cache_cleaner, da wird sogar Verstecken gespielt. Der korrekte Name ist kio_http_cache_ (Aus /proc/<pid>/comm).
Irgendwie ist es tragisch, das mittlerweile nur noch diese drastischen Optionen helfen.
— Klaus Ethgen — Wed 5. May 2010
Meine ersten Unix-Erfahrungen machte ich auf der tcsh, einfach, weil diese die Voreinstellung für neue User im Rechenzentrum der FH, in der ich studierte, Voreinstellung war.
Nach einiger Zeit merkte ich jedoch, daß diese ihre Unzulänglichkeiten hat und wechselte (als die Bashcompletions salonfähig wurden) zur Bash, der ich nun Jahre lang die Treue gehalten habe. Allerdings gab es immer wieder ein paar Dinge, die mich an der Bash im allgemeinen bzw. wie diese unter Debian übersetzt ist, störten. Da war die Eigenheit von Debian, die Socketunterstützung der Shell (/dev/tcp/host/port bzw. /dev/udp/host/port) rauszukompilieren oder diverse Unzulänglichkeiten und Ungereimtheiten.
Nun stieß ich vor einiger Zeit auf die Zsh, wie sie in Grml verwendet wird. Erstmal schreckten mich ein paar Sachen ab wie zum Beispiel die Besserwisserei der Shell, meine Eingaben immer berichtigen zu müssen. Nachdem ich mich aber mal etwas tiefer mit dieser Shell beschäftigt habe, wandelte sich meine Ablehnung schnell in Begeisterung.
Mittlerweile sind wieder ein paar Wochen ins Lande gegangen und die Zsh hat sich bei mir etabliert. Aber auch bei der Zsh gibt es noch das ein oder andere zu verbesseren. Da wäre zuerst mal eine komplette Dokumentation – meinetwegen auch als Buch. Gerade das System mit den zstyles ist doch sehr unübersichtlich. Ach ja, dann könnte diese Shell auch ein paar brauchbare Defaultprompts für helle Hintergründe haben, aber das kann man ja zum Glück selbst konfigurieren.
Alles in allem werde ich wohl noch einige Zeit mit der Zsh arbeiten.
— Klaus Ethgen — Sun 11. April 2010
Gestern ist mal wieder ein lokaler Root-Exploid für den Linux-Kernel bekannt
geworden.
(Siehe auch Mailing auf Fulldisclosure)
Eigentlich gar nicht so tragisch, da es sich ja um selten
verwendete Protokolle
(Heise-Zitat) handelt. Allerdings haben die gängigen
Linux-Distributoren ja genau diese selten verwendete Protokolle
ja in ihren
Kerneln drin. Wenn man einen eigenen Kernel hat, der nur die verwendeten
Protokolle kann, ist man (meistens) gut dran und nicht betroffen.
Nun, was hilft es, wenn man beim Brötchengeber solche Distributionskernel einsetzt. Aber zum Glück gibt es ja einen Weg, wie man das auch anderweitig abschalten kann (siehe unten).
Ich hoffe mal, der Bug führt endlich dazu, daß die Admins nicht immer jeden Scheiß installieren und starten und das bei den Distributoren ein Umdenken zu sparsamer Nutzung von Features stattfindet.
Da das unter Umständen auch für nicht-deutschsprachige User von Relevanz ist, hier noch eine kleine Zusammenfassung auf Englisch sowie ein möglicher Workaround.
Well, lets put together the facts in English too. The recent Linux vulnerability has the relevance mainly caused of that the main distributors like to enable all features by default.
Now, in this case there is a workaround. Just add the following lines to your /etc/modprobe.conf (kernel 2.6) or /etc/modules.conf (kernel 2.4) and boot the system:
alias net-pf-3 off
alias net-pf-4 off
alias net-pf-5 off
alias net-pf-9 off
alias net-pf-10 off
alias net-pf-23 off
alias net-pf-24 off
alias net-pf-31 off
This will disable the protocols ipv6, appletalk, ax25, ipx, x25, irda, pppoe and bluetooth. This will disable the protocols completely, so if you use one of that you have to search for other ways to fix the bug.
Also, please note that I cannot prove that the list of vulnerable protocols is complete. It is only a workaround, the kernel has to be fixed anyway.
— Klaus Ethgen — Fri 14. August 2009
Mal wieder ein Grund, sich über SVN aufzuregen. Normalerweise vermeide ich ja, diesen Müll überhaupt zu verwenden und verwende git-svn als einzig brauchbare Schnittstelle. Manchmal jedoch kann auch git-svn nicht mehr alle Bugs von SVN ausgleichen und man muß sich doch mit dem unbrauchbaren Backend befassen.
Dieses Mal bin ich Opfer geworden des Handlings von Logmeldungen unter SVN. Angefangen hat alles mit einer Fehlermeldung beim git-svn dcommit
:
ZM-Schicht Anforderung gescheitert: wende Logmeldung auf /svn/xxx/!svn/wbl/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/xxx an: 400 Bad Request (https://xxxxxxx.xxx.xxxx.xx) at /usr/bin/git-svn line 3270
Im https-Log fand sich folgendes:
XML Parser Error: XML parser error code: not well-formed (invalid token) (4)
Wie sich nach einigen Versuchen herausstellte, bedeutete das schlichtweg, daß SVN nicht mit einem deutschen Umlaut im Log klar kam, das natürlich in latin1 kodiert war. Nun ja, während in vergangenen Versionen noch das komplette Repository unbrauchbar wurde, wenn man einen Logeintrag machte, der nicht in UTF-8 kodiert war, wird mittlerweile ein solcher Versuch wenigstens abgewiesen. Es ist jedoch ein Armutszeugnis, daß eine Versionsverwaltung schon an der Kodierung der Logeinträge scheitert!
Wie auch immer, sollte euch Google von der obigen Fehlermeldung geleitet auf diese Seite führen, die Lösung ist einfach, git-svn commit -e
und dann im Editor das Vorkommen jeglichen Zeichens, welches kein ASCII darstellt, zu entfernen bzw. durch das entsprechende UTF-8-Zeichen zu ersetzen.
— Klaus Ethgen — Tue 11. November 2008
Nachdem nun auch mein Brötchengeber auf den Hype SVN aufspringt, muß ich mich hier doch mal ein bißchen über diesen Müll auslassen und mir etwas Luft machen.
Also habe ich mal einen Nachruf für Subversion geschrieben.
— Klaus Ethgen — Sun 27. April 2008
Nach langer Zeit habe ich mal wieder ALSA ausprobiert; schließlich muß man den den Systemen immer mehrere Chancen einräumen.
Also einen neuen Kernel kompiliert, gebootet und – keine fünf Minuten später stand mein System. (Nach Benutzung von audacity.) Dieses Ergebnis läßt sich beliebig oft reproduzieren. Sinnvoller Sound ist mit ALSA anscheinend nicht möglich.
OK, war ein kurzes Gastspiel. Nun musiziert bei mir wieder ein OSS (allerdings die kommerzielle Version, da nur die USB-Sound kann). Damit hatte ich bisher nie Probleme; weder was Stabilität noch was Performance anbelangt.
Es ist zwar nicht alles, was aus der SuSI-Ecke kommt schlecht, aber anscheinend kann man das in den meisten Fällen annehmen. Krank finde ich es nur, daß Torwalds und Co. ALSA als Default in den Kernel übernommen hat, das alles andere als brauchbar ist und so über Technologien, die ausnahmsweise mal brauchbar sind aus der SuSI-Ecke, daherwettert.
— Klaus Ethgen — Thu 5. April 2007
Um endlich morgens wach zu werden, habe ich mir einen Schlafphasenwecker bestellt, der gestern auch angekommen ist.
Heute Nacht konnte ich ihn ausprobieren und war angenehm überrascht, als mich der Wecker 23 Minuten vor der spätesten Weckzeit auch tatsächlich weckte und wach bekam.
Damit das Ganze funktioniert, muß ich ein Frottee-Armband mit einem Sensor tragen, der in der Nacht drahtlos meine Bewegungen an den Wecker überträgt. Morgens wird man dann ganz sanft geweckt.
Bleibt nur zu hoffen, daß das so bleibt.
— Klaus Ethgen — Sun 15. October 2006
Dieses Wochenende habe ich das erste Mal in einer größeren Runde ein Rollenspiel
gemeistert. Zum einen DAS – Das Schwarze Auge
– sowie ein Kleine Helden DSA
-Abenteuer.
Beide habe ich selbst ausgearbeitet, was mich einiges an Zeit kostete. Die Zeit
hat sich allerdings gelohnt, denn die beiden Abenteuer kamen dann doch sehr gut
an.
Somit werde ich wohl noch ein paar Abenteuer dieser Art anbieten. Vor allem
Kleine Helden DSA
mit Kindern als Helden
ist eher ein Abenteuer für Spieler, die gutes Rollenspiel Powercharaktern
vorziehen. Spaß macht es sowohl den Spielern als auch dem Meister.
— Klaus Ethgen — Sun 17. September 2006
So, nun habe ich mir denn auch ein eigenes Gästebuch programmiert. Leider gab es bisher keines, daß meine Anforderungen erfüllte. Bei Interesse gebe ich es auch gerne unter der GPL frei. Bitte bei Interesse eine kurze Mail an mich schicken.
Bei der Gelegenheit habe ich auch angefangen, meine Website in einer dritten Sprache – Norwegisch – anzubieten. Allerdings wird noch einiges an Zeit vergehen, bis die meisten Seiten übersetzt habe. ;-)
Na denn, hoffe ich mal auf viele Einträge in meinem Gästebuch.
Ach ja, die Einträge hier im Gästebuch können auch verlinkt werden. Der Titel ist gleichzeitig ein Link auf sich selbst.
— Klaus Ethgen — Fri 4. August 2006
Mit Einführung der 2.6.* Kernelserie hat Linus Torwalds zwei weitere Fehlentscheidungen, neben der damaligen Umstellung auf Bitkeeper, gemacht.
Einmal ist hier der Umstieg von OSS auf ALSA zu sehen. Während die OSS-Treiber ziemlich stabil und performant laufen, hat die ALSA-Plattform doch einige Tücken. Eine ist eine Lokalisierung der Libraries. So muß man mit deutschen Localizes zwar das Komma als Dezimaltrenner in Konfigurationsdateien benutzen, kann diese aber nicht verwenden, da sie vom Parser abgelehnt werden. Ein anderes Problem mit dieser Soundplatform ist, daß ALSA sehr Resourcenfressend ist und schon Ausgabestocker hat, wenn man nur ein Fenster auf dem Desktop verschiebt.
Zum anderen und zudem noch viel entscheidender ist hier die neue Numerierungspolitik. Leider läßt sich der 2.6'er Kernel nicht mehr in produktiven Umgebungen einsetzen, da er an vielen Enden viel zu instabil ist. Solange diese Kernelreihe als Entwicklungszweig verwendet wird, wird sich vermutlich daran auch nichts ändern. In meinen Augen gibt es in dieser Hinsicht nur zwei Möglichkeiten: Entweder Linus führt endlich wieder einen 2.7'er Entwicklungszweig ein und friert den 2.6'er Featuremäßig ein, oder es findet ein Split beim Kernel wie bei Xorg statt.
— Klaus Ethgen — Sun 23. April 2006
Nun ist zwar die Umstellung auf die Sommerzeit schon eine Weile her, trotzdem ärgere ich mich, wie jedes Jahr, immernoch über diese absolut unsinnige und problematische Umstellung der Zeit.
Auf der einen Seite gibt es Menschen, denen macht die Umstellung nichts aus. Auf der anderen Seite, und dazu zähle ich mich, verursacht die Zeitumstellung jedes Jahr mächtige Probleme. Von einem Tag auf den anderen muß man eine Stunde früher aufstehen und ins Bett gehen, die Zeit, wie sie die Sonne jedoch vorgibt, bleibt gleich. Nun habe ich eh' schon mächtig Probleme, jeden Morgen aus dem Bett zu kommen. Mit der Zeitumstellung wird das nur noch schlimmer und ich höre nun den Wecker überhaupt nicht mehr. Mein Körper benötigt jedesmal etwa ein halbes Jahr, bis er sich an die Umstellung gewöhnt hat.
Nun ja, alles Schimpfen nützt nichts, da ich keinerlei Einfluß auf solch unsinnige (und in der Schweiz auch am Rande der Legalität, da sie gegen den Willen des Volkes eingeführt wurde) Entscheidungen. Werde ich halt nach wie vor die Mitteleuropäische Normalzeit leben und halt im Sommer alle Termine eine Stunde früher eintragen. Das ist zwar keine umfassende Lösung, aber zumindest kann ich in meinem persönlichen Umfeld mit weniger Problemen den Sommer überstehen.
— Klaus Ethgen — Sun 23. April 2006
Vor einigen Wochen habe ich mir einen Kilt gekauft. Anfänglich ist es erstmal etwas ungewohnt, als Mann einen Kilt zu tragen; aber nachdem man sich daran gewöhnt hat, ist es ganz angenehm.
Bleibt nur noch die Akzeptanz, daß Männer auch mal einen Rock tragen können. Hier in Zürich ist das kein Problem. Fast niemand dreht sich um oder stiert einen an. Was anderes mag es da in anderen Teilen der Schweiz und Deutschlands sein. Nunja, aber eigentlich trage ich das Teil, weil es mir Spaß macht und angenehm ist. Da interessieren mich anderer Meinung nur am Rande.
— Klaus Ethgen — Sun 23. April 2006
Nachdem ich nun (hoffe ich) wieder komplett zur Realität gefunden habe, muß ich doch noch etwas zu meinem ersten Larp am vergangenen Wochenende loswerden.
Nachdem ich mich nun schon Jahre mit dem Gedanken rumtrug, mal an einem Larp teilzunehmen, war es vergangenes Wochenende soweit. Ich bin als Geschichtenerzähler Alvis Finnulf bei Apfelwein & Hagelstein, einem Spiel vom Herzogtum Riedburg gegangen. Es machte unheimlich Spaß, in eine komplett andere Rolle zu schlüpfen.
Es viel mir zwar erstmal leicht, mich in meine Rolle zu finden, aber ich könnte mich zumindest etwas besser mit Geschichten vorbereiten. Es ist nicht unbedingt leicht, einen Geschichtenerzähler im Mittelalter darzustellen. Mit etwas weiterentwickelter Rolle wird es mich in Zukunft noch an dem ein oder anderen Spiel geben.
Der anschließenden Realitätsverlußt viel nicht weiter auf, da mein Beruf schon den ein oder anderen skurrilen Charakter hervorbrachte – ich meine jetzt meinen richtigen Beruf. ;-)
— Klaus Ethgen — Fri 24. March 2006
So, nun sollte auch die Vordergrundfarbe auf meinen Seiten etwas besser harmonieren. Rückmeldungen (an Klaus' Mailadresse) sind durchaus erwünscht. ;-)
Weiterhin habe ich mich nun endlich drangesetzt, ein Tool zu schreiben, daß das Problem der offenen gelöschten Files lösen kann. (Restarter als .gz) Ist zwar noch längst nicht fertig, aber tut schonmal ziemlich gut seinen Dienst.
— Klaus Ethgen — Sat 25. February 2006
So, nach langer Zeit gibt es mal wieder ein Redesign meiner Sites. Dank CSS ist dies enorm praktisch und erfordert nur geringe Anpassungen an den einzelnen Seiten selbst.
Dank CSS ist es auch möglich, die Sites möglichst barrierefrei und suchmaschinenfreundlich zu lassen. Leider stehe ich da mit einigen wenigen ziemlich alleine im Netz. Die meisten verschachteln ihre Seiten in möglichst vielen Tabellen und verwenden viel Javascript oder ähnliche Inhalte, obwohl das selbe viel eleganter per CSS lösbar ist. Eine weitere Problematik sehe ich darin, daß viele Sites den User in ungerechtfertigtem Maße einschränken und die Seiten nur auf einem Bruchteil der Browserbreite dargestellt wird. Letzteres ist jedoch nicht per CSS behebbar, sondern erfordert ein Umdenken der Webdesigner, daß die Anwender auch unter Umständen eine höhere Auflösung als 640x480 verwenden.
— Klaus Ethgen — Sun 12. February 2006
Es ist schon beeindruckend, direkt vor der Nase gibt es das drittgrößte Höhlensystem, das Hölloch, und man kennt es nicht.
Am Wochenende konnte ich diese Bildungslücke
schließen und war zwei Tage im
Hölloch auf Tour.
Obwohl ich nur einen kleinen Teil des Höhlensystem sehen konnte, war es doch mächtig interessant. Da war zum einen die absolute Dunkelheit, wenn man die Lampen löschte. Auf der anderen Seite die Schönheit, die die Natur in Jahrzehntausenden dort unten geschaffen hat. Sogar das Leben hat sich angepasst.
Der Trip war jedoch auch eine Erfahrung der eigenen Grenzen. Das Auf und Ab und ständige Kriechen ging mir mächtig an die Substanz. Deswegen war ich auch gestern Abend nicht mehr in der Lage, diesen Eintrag hier zu schreiben. ;-)
Es war auf jeden Fall ein gelungener Event und ich werde sicher nicht das letzte mal im Hölloch gewesen sein.
— Klaus Ethgen — Mon 16. January 2006
Man bekommt ja in Zürich und Umgebung wirklich fast alles. Möchte man jedoch
sowas einfaches wie eine Feuerzangenbowle machen, ist man
aufgeschmissen. Den benötigten Strohrum bekommt man ja noch im
Drink-Laden
in den Katakomben des Hauptbahnhofs. Aber nach etwa 2½ Stunden
Herumirrens in Zürich mußte ich zum Schluß kommen, daß es nicht möglich ist,
eine Feuerzange zu bekommen.
Dafür kenne ich nun wahrscheinlich alle Haushaltswarengeschäfte in Zürich.
— Klaus Ethgen — Fri 6. January 2006
Ahh, die erste Sauna im neuen Jahr. Es tut doch jedesmal gut, am Mittwoch Abend die Sauna zum Tagesabspann zu genießen. Dazu noch ein Aufguß mit Salz bzw. Eis, wie man es eigentlich hier in der Schweiz garnicht kennt. Und zur Abrundung noch die Abkühlung bei -1°C im Freien.
Dazu noch bei einer Massage entspannen; ein richtig gelungener Abend.
— Klaus Ethgen — Wed 4. January 2006
Erstmal läuten alle Alarmglocken, da plötzlich kein Sound mehr geht, weil das Soundmodul einfach nicht geladen wird und sucht verzweifelt nach eventuellen Rootkits.
Die Lösung des Problems war einfach. Debian hat ein neues Paket – linux-sound-base – daß mit irgendwelchen Abhängigkeiten aufs System gekommen ist und daß Alsa als Voreinstellung hat und OSS disabled.
Dumm nur, wenn man lieber ein funktionierendes Soundsystem verwenden möchtet, als ein experimentelles.
— Klaus Ethgen — Sun 18. December 2005
Irgendwie erinnert mich der Schweizer
an einen Mathematiker. Wenn einmal ein
Problem gelöst ist, wird ein Ähnliches auf letzteres reduziert.
So hat der Schweizer
wohl in der Frühzeit irgendwann mal rausgefunden, daß,
wenn bei einem Zebrastreifen viele Autos vorbeifahren, man so lange stehen
bleibt, bis ein Auto stehen bleibt und dann erst losgeht. Dazu muß man noch
wissen, daß an Zebrastreifen in selbiger Zeit keine Haltepflicht für Autos
bestand. Was aber nun, wenn kein Auto kommt und die Straße frei ist? Nun, für
den Schweizer
ist das ein schwieriges Problem. Er löst es, indem er so lange
am Zebrastreifen stehen bleibt, bis nun endlich ein Auto kommt und stehen
bleibt. Somit ist das Problem auf ein bekanntes reduziert und er kann
rübergehen.
Nervend ist dieses Verhalten vor allem, da man, auch wenn die Straße vor einem
frei ist, quasi an jedem Zebrastreifen anhalten muß. Daß man schon rübergehen
kann, wenn erst weit entfernt ein Auto naht, scheint der Schweizer
nicht zu
begreifen.
— Klaus Ethgen — Fri 11. March 2005