Blog-Archive

Alles rund um Betriebssysteme

GnuPG Smartcard mit Ubuntu

Nachdem ich doch relativ viel Zeit damit verbracht habe meine GPG Smartcard mit Ubuntu zu verheiraten hier eine kurze und einfache Anleitung:

1. Ganz normal diese Anleitung hier von der fsfe befolgen. Wobei sie sich eigentlich so zusammenfassen lässt:

wget -O udev.sh "http://wiki.fsfe.org/Card_howtos/Card_reader_setup_%28udev%29?action=AttachFile&do=get&target=udev.sh"
sudo bash udev.sh

Dabei werden udev regeln erstellt um die gängigsten Cardreader für die neu angelegte Gruppe „scard“ nutzbar zu machen.

2. Als nächstest fällt auf das leider trotz dieser Anleitung kein erfolg zu sehen ist 🙁 Das liegt daran das Ubuntu leider einen nicht funktionierenden Ersatz für den gpg-agent mitliefert. Kurzfristig lässt sich dieser zum testen so aushebeln:

GPG_AGENT_INFO=""
gpg2 --card-status

dies ist nur leider keine langfristig brauchbare Lösung. Da hilft wie im Bug beschrieben ein:

mkdir ~/.config/autostart
cp /etc/xdg/autostart/gnome-keyring-gpg.desktop ~/.config/autostart/
echo "X-GNOME-Autostart-enabled=false" >> ~/.config/autostart/gnome-keyring-gpg.desktop

Nach einer erneuten Anmeldung sollte jetzt alles funktionieren.



Festplatten Löschen

Ich musste letztens eine größere Menge Festplatten ins Nirvana befördern hier meine zugegeben nicht perfekte aber deutlich arbeitserleichternde Methode… Wer sich über den Wust wundert, das sind gewachsene Strukturen 🙂

Ich kann mit diesem Skript im Grunde beliebig viele Festplatten parallel mit shred löschen und zum Abschluss noch die SMART Daten als .txt nach /var/www legen. Dabei fordert einen das Script dazu auf fertige Platten zu tauschen.

Wem es nützt der möge sich bedienen. Aber bitte mit verstand:

#!/bin/bash
#Platte nuken und smart auslesen mit hotswap
#bitte mit vorsicht verwenden dieses skript ist dafür gemacht daten zu vernichten!

#Seriennummer der Systemplatte (wird nicht angefasst) Alle anderen Schon!
SYSTEMDRIVE="PVF904ZFR3RTWN"
#Anzahl der zu startenden Jobs
JOBS=3
#SMAR Daten Zielverzeichnis
SMARTFOLDER=/var/www
#Tempverzeichnis anlegen
TEMPDIR=/tmp/hddclean
#TEMPDIR=$(mktemp -d)

if [[ $EUID -ne 0 ]]; then
   echo "This script must be run as root" 1>&2
   exit 1
fi

mkdir -p $TEMPDIR
echo "Warning this script was designed to destroy data! (Hopefully the right)..."
read -p "Press any key to continue... "

nuke_instance()
{
 jobnr=$1
 while true; do
  sleep $jobnr
  for HOSTA in /sys/class/scsi_host/host?/scan; do
   echo "- - -" > $HOSTA
  done

  for PLADDE in /dev/sd?; do
   if [[ $(mkdir $TEMPDIR/$(basename $PLADDE) 2>&1) ]]; then
    echo Job $jobnr: $PLADDE is locked...
    sleep 1
   else
    echo Job $jobnr: Working on $PLADDE...
    SERIAL=$(smartctl -a $PLADDE | grep "Serial Number" | tr -d " " | cut -d":" -f2)
    sleep $jobnr
    if [ $SERIAL ]; then
     if [[ $(mkdir $TEMPDIR/$SERIAL 2>&1) ]]; then
      echo Job $jobnr: $SERIAL is locked...
     else
      if [ $SERIAL == $SYSTEMDRIVE ]; then
       echo Job $jobnr: $PLADDE is my system disk no way...
       rm -rf $TEMPDIR/$SERIAL
      else
       if [ -e $SMARTFOLDER/$SERIAL.txt ];then
        echo Job $jobnr: $PLADDE is already done... please replace disk $SERIAL!
        echo 1 > /sys/block/$(basename $PLADDE)/device/delete && rm -rf $TEMPDIR/$SERIAL
       else
        echo Job $jobnr: $PLADDE with serial number $SERIAL will be nuked now...
        shred $PLADDE -f -z -n1
        smartctl -a $PLADDE > $SMARTFOLDER/$SERIAL.txt
        echo 1 > /sys/block/$(basename $PLADDE)/device/delete && rm -rf $TEMPDIR/$SERIAL
       fi
      fi
     fi
    else
     echo Job $jobnr: no disk to work on!
    fi
    rm -rf $TEMPDIR/$(basename $PLADDE)
   fi
  done
  sleep 300
 done
}

for inst in $(seq 1 $JOBS); do
 nuke_instance $inst &
done

p.s. Ich bin nicht schuld wenn sich irgend jemand die falschen Daten weg schießt…



HTC Desire

So Nu hab ich tatsächlich mal wieder ein Handy …
Kann ich jetzt noch nicht so viel zu sagen, werde mich aber demnächst dann ordentlich darüber auslassen. Der erste Eindruck ist durchweg positiv.



DNS

Seit einiger Zeit betreibe ich für meine Domains eigene DNS Server…
Meine Domain b9d.de hat drei DNS Server welche mit ipv4 und ipv6 glue Records bei der DENIC registriert sind. was man sich beispielsweise so angucken kann:

dig b9d.de @a.nic.de

Also sind meine Systeme jetzt nicht nur ipv6 aktiv sondern auch ohne ipv4 benützbar.



Sieve

Sieve ist eine Scriptsprache zur serverseitigen Filterung von E-Mails. Das heißt die Mails werden bereits beim eintreffen auf dem Mailserver in unterschiedliche IMAP-Ordner einsortiert. Ursprünglich wurde diese Technik für den Cyrus IMAPD entwickelt, wurde jedoch auch für andere Server implementiert.

Ich verwende z.b. Dovecot in Kombination mit Postfix. Um Sieve verwenden zu können muss der LDA vom Dovecot verwendet werden dazu muss in der Postfix Konfiguration die Zeile mailbox_command welche beispielsweise so aussehen kann:

mailbox_command = procmail -a “$EXTENSION” DEFAULT=$HOME/mails/

in:

mailbox_command = /usr/lib/dovecot/deliver

geändert  werden.
Nun muss noch in der Dovecot Konfiguration, welche üblicherweise unter /etc/dovecot/dovecot.conf zu finden ist Der LDA und Sieve aktiviert werden:

protocol lda {
# Address to use when sending rejection mails.
postmaster_address = postmaster@b9d.de
…
# Enabling Sieve plugin for server-side mail filtering
mail_plugins = cmusieve
}

Jetzt kann in der Datei ~/.dovecot.sieve ein Sievescript abgelegt werden nach dessen regeln Mails zukünftig gefiltert werden.

Eine einfürung in die grundlagen von Sieve bietet die Wikipedia. Ich verwende Sieve Hauptsächlich um mich vor einer Überschwemmung meines Posteingangs durch Mailinglisten zu schützen, indem ich diese jeweils in einen eigenen Ordner sortieren lasse.



vServer von Knallhart

SwitchportsIch miete nun seit gut einem Monat einen vServer von Knallhart und bin mit den Leistungen sehr zufrieden. Es gibt vier verschiedene Tarifmodelle; Von 265 MB Ram bis 1024 MB Ram, mit 5 GB bis 40 GB Speicherkapazität und von 4,99€ bis 39,99€ im Monat.

Ich habe mich für den „kleinsten“ entschieden. Also den vServer.BASIC mit 256 MB Ram, 5 GB Festplattenkapazität und ohne Domain. Als Betriebssystem habe ich mich für Debian 5.0 mit LAMP entschieden. Nach einigen kleinen Anpassungen waren Apache, MySQL und PHP dann auch zu gebrauchen. Nun noch mal eben (an dieser Stelle nochmals Dank an Felix!) ein Mailsystem eingerichtet, und schon war das Ding benutzbar. Jetzt wollte ich meinen vServer nur noch mit OpenVPN in mein LAN zuhause bringen und fertig. Doch leider schlug die Initialisierung des TAP-Interfaces fehl, die nötigen Kernelmodule waren nicht geladen. Also flux eine Email an Knallhart geschrieben und 20 Minuten später konnte das TAP-Interface erstellt werden. Aber es nimmt noch keine Ende: Im Maillog war zu lesen das nicht genug Sockets frei sind um Emails zu empfangen, also noch eine Email an Knallhart geschrieben, und, ich weiß nicht mehr genau wie lange, aber unerwartet schnell, wurde meine Socketbegrenzung erhöht und mein Mailsystem tat seinen Dienst.

Ich bin dem Support von Knallhart sehr dankbar, bei anderen Hostern wird man da schnell zum nächst teureren Produkt oder kostenpflichtigen Upgrades weiterempfohlen.

Ganz allgemein kann ich Knallhart empfehlen, ich bin Kunde seit über einem Jahr, erst mit Webspace, nun auch noch mit einem vServer, und habe keinerlei Beanstandungen, ich habe nie bemerkt das irgendwie irgendwas offline war oder sonst nicht zu erreichen. Was vielleicht für den ein oder anderen auch ein Argument ist, ich meine irgendwo mal gelesen zu haben das Knallhart eine Tochter der „http.net Internet GmbH“ ist.



OpenVPN

Wie Hamachi ist auch OpenVPN eine Softwarelösung zum erstellen eines virtuellen Netzwerks.

OpenVPN ist jedoch im Gegensatz zu Hamachi freie Software und auch im Betrieb unabhängig von kommerziellen Anbietern. Für OpenVPN ist es daher jedoch nötig selbst einen Server einzurichten und zu betreiben. Die Konfiguration von OpenVPN ist anspruchsvoller als die von Hamachi. Bietet gleichzeitig aber auch ungleich viel mehr Möglichkeiten welche es für einen professionellen Einsatz qualifizieren. Auch bietet eine sorgfältig eingerichtet und gewartete OpenVPN Installation vermutlich wesentlich mehr Sicherheit als Hamachi.

OpenVPN ist für ansruchsvollere Szenarios in jedem Fall die bessere Wahl bietet jedoch auch in einfachen Installationen signifikante Vorteile. Wer jedoch den aufwand einer OpenVPN installation scheut kann getrost Hamachi verwenden.



Hamachi

Was ist Hamachi?
Hier eine kurze Beschreibung aus der Wikipedia:

Hamachi ist ein einfach zu konfigurierender, proprietärer VPN-Client mit einem integrierten Instant Messenger. Er ermöglicht, ein virtuelles LAN über das Internet zu erstellen. Programme, die sonst nur über lokale Netzwerke funktionieren, lassen sich so auch über das Internet nutzen, zum Beispiel Computerspiele oder Filesharing-Programme.

Wen die Funktionsweise weiter Interessiert dem sei der Artikel in Wikipedia dazu empfohlen.

Nun das wirklich spannende, ich habe mich mit ein paar Freunden schon mal vor ca. einem Jahr ausgiebig mit Hamachi beschäftigt. Leider waren wir nich in der Lage mit Hilfe von Hamachi ein voll funktionstüchtiges VPN zu errichten. Nun habe ich mich noch mal damit beschäftigt und einigen Ehrgeiz entwickelt endlich ein eigenes VPN mit Hilfe von Hamachi zu erstellen.
Und, oh Wunder, es sind zwischen meinen beiden Versuchen etliche neu Versionen released worden. Nach eine einfachen Installation unter Windows (XP), dem erstellen eines Virtuellen Netzwerkes und dem Hinzufügen von anderen Computern hatten wir ein funtionierendes VPN. Der einzige Hacken an der Sache ist, dass alle Firewalls deaktiviert werden müssen. Aus diesem Grund empfehle ich nur Freunde und/oder Bekannte in ein
Virtuelles Hamachi Netzwerk aufzunehmen, da sonst dritte auf ihren PC vollen Zugriff erlagen könnten.

(Bild: wikipedia.org)



IPv6

Seit neustem bin ich dank SixXS mit IPv6 bewaffnet. Das „IPv6-Internet“ ist aber noch ziemlich  tot.



Endlich Lenny

Was lange währt wird endlich gut…

Mit leichter Verspätung war es Heute endlich so weit Debian 5.0 Lenny ist fertig. Ich abe alles was bei mir auf Debian-stable läuft schon umgestellt.



Top