Skip to content

Hint File für Cesidian Root

^ v M ><
Das hier ist nur interessant für Betreiber von DNS-Servern mit einem Hang zum Alternativen :-)

Nachdem bekannt wurde, dass ORSN auf Ende Jahr abgeschaltet würde, habe ich mich auf die Suche nach einem alternativen Rootserver-Netz gemacht. Bislang erscheint mir nur Cesidian Root ein halbwegs tauglicher Ersatz, obwohl die Betreiber sogar mir etwas freakig vorkommen. ORSN war richtig professionell, da kommen die anderen schlicht nicht mit.

Cesidian Root bietet jedoch kein Hint-File für die einfache Integration in seinen Nameserver an. Daher musste ich selbst Hand anlegen und selbst eins verfassen:

. 3600000 NS a-root.cesidio.net.
a-root.cesidio.net. 3600000 A 78.47.115.194
. 3600000 NS b-root.cesidio.net.
b-root.cesidio.net. 3600000 A 78.47.115.197
. 3600000 NS c-root.cesidio.net.
c-root.cesidio.net. 3600000 A 24.129.114.64
. 3600000 NS d-root.cesidio.net.
d-root.cesidio.net. 3600000 A 66.92.233.14
. 3600000 NS e-root.cesidio.net.
e-root.cesidio.net. 3600000 A 66.92.233.130
. 3600000 NS f-root.cesidio.net.
f-root.cesidio.net. 3600000 A 89.238.64.147
. 3600000 NS g-root.cesidio.net.
g-root.cesidio.net. 3600000 A 80.239.207.176


Ich empfehle jedoch, Cesidian Root nicht als alleiniges DNS-Root einzutragen. Es ist wohl besser, wenn man das Hint-File des ICANN-DNS-Netzwerks um mein Hint-File für Cesidian Root ergänzt.

Gedanken zur Serversicherheit

^ v M ><
Nachdem der Server wieder (fast) vollständig läuft und ich nun zwei Tage lang Doku (woraus ich das eine oder andere gelungene Howto veröffentlichen werde) geschrieben habe, fasse ich hier ein paar Gedanken zu Serversicherheit zusammen. Wir haben nun extrem viel Arbeit in die Sicherung des Systems gesteckt. Vermutlich haben wir einige Dinge richtig paranoid abgesichert. Aber irgendwie ging es zumindest mir mit der Zeit so, dass ich nur schon das theoretische Maximum an Möglichkeiten ausschöpfen wollte. Quasi eine akademische Suche nach Serversicherheit.


  • Sicherheit ist ein Prozess, kein Zustand. Nur während Δt=0 ist es ein Zustand!

  • Ein sicheres System verwenden. Dazu gehört, dass das System sicher designt wurde, dass Updates leicht einzuspielen sind und dass es vom Hersteller auf lange Frist unterstützt wird.

  • Virtualisierung nutzen, dadurch können Dienste getrennt werden. Wird eine virtuelle Maschine befallen, kann sie einfach ersetzt werden. Virtuelle Maschinen lassen sich leicht backuppen. VMWare bietet ausserdem mit nonpersistenten virtuellen Festplatten eine Möglichkeit, sämtliche Änderungen an einem Dateisystem mit einem Neustart zurückzusetzen.

  • chroot nutzen! Insbesondere besonders exponierte Dienste gehören in ein chroot. Natürlich nutzt ein chroot nur dann, wenn es sauber eingerichtet wird und der Dienst nicht mit root-Rechten läuft.

  • Dienste nutzen, die sicher designt wurden. Dazu gehört insbesondere, dass das Programm standardmässig root-Privilegien abgibt, auch wenn es z.B. privilegierte Ports nutzen will (da kann es einfach mit root-Rechten den Port öffnen und danach die Rechte abtreten).

  • Sicherheit aktiv prüfen. Dazu gehören automatisierte Tests wie rkhunter, logcheck oder auch Statusüberprüfung durch Nagios.

  • Restriktive Firewall. Es darf weder schädliches hinein noch unnötiges heraus. Neue Verbindungen soll das System idealerweise nur zu seinen Update-Servern öffnen dürfen.

  • Nur ein Minimum an Diensten betreiben. Und auch sonst möglichst wenig Software installieren.

  • Ausführliche und vollständige Dokumentation schreiben! Dazu gehört auch, dass jede Änderung am System sofort in der Doku nachzutragen ist, damit auch die anderen Admins wissen, was Sache ist.

  • Backups! Wenn denn doch etwas passiert, sind wenigstens die Anwenderdaten in Sicherheit.

  • Kommunikation mit Co-Admins und Kunden. Wer Daten auf dem Server hat, ist automatisch in den Sicherheitsprozess involviert.

  • Dass Passwörter lang und komplex sein müssen und nie im Klartext übertragen werden dürfen, brauch ich wohl kaum noch einmal zu wiederholen...

So viel los...

^ v M ><
Derzeit geht's rund! Ärger mit Servern, Ärger mit dem Militär und Freude über meinen Internetprovider!

Nachdem seit letztem Samstag mein Server wieder frisch läuft, hab ich ja Zeit, mich um anderes zu kümmern. MÖÖÖP, nix da! Am Dienstag stelle ich fest, dass in diesen Server hier eingebrochen wurde und das Ding nun frisch-fröhlich Spam versendet! Na toll. Vermutlich hat da einer der Domain-Mieter ein faules Skript in seinem Webroot liegen gehabt. An sich war der Server ja gut gewartet, aber wenn die Sicherheitsvorkehrungen unterwandert werden, nützt das auch nicht viel. Wie auch immer: Seit Donnerstag wurde die Sache neu gemacht und maximal gehärtet: Virtualisierung, exzessives chroot, verstärkte Firewallregeln, Rechteeinschränkungen, verstärkte Überwachung etc pp. Und wir sind noch lange nicht fertig!

Ganz überraschend lag am Donnerstag ein Päckchen in meinem Briefkasten. Siehe da. Fast 3 Monate nach Vertragsabschluss erhalte ich mein ADSL-Modem. Das nenne ich doch eine prompte Erledigung. Zum Glück bin ich als Informatiker sowieso mehrfach mit sowas ausgestattet. Heute habe ich trotzdem das neue installiert. Gemäss Leistungsaufschrift auf dem Netzteil sollte es wohl so 25% weniger Strom verbrauchen.

Am Freitag bekam ich ein nettes Briefchen von Väterchen Staat, worin stand, dass man von mir noch keine Meldung wegen obligatorischem Schiessen erhalten hätte. Na Ihr seid ja so toll, meine lieben! Ich kann absolut nicht verstehen, wieso ein Prozess, der seit 100 Jahren jedes Jahr 400'000 Mal ausgeführt wird, nach wie vor nicht reibungslos verläuft! Es kann doch nicht sein, dass ich jeden Scheiss selbst machen muss? Na gut, geh ich halt mein Schiessbüchlein hervorsuchen und schicke es euch. Bleibt zu hoffen, dass die Post das Ding nicht verschlampt. grrrrmpf!!!

Am Sonntag Morgen hatte ich ein unschönes Erwachen. Über Nacht hatte auch noch eine der beiden brandneuen Platten im Homeserver verabschiedet. Dank RAID-1 ist da zum Glück nichts passiert. Da es sich um HotPlug-taugliche SATA-Platten handelt, wurde die defekte Platte einfach im Kernel abgemeldet und das System lief mit der funktionsfähigen Disk weiter. Mühsamer und Zeitaufwändiger als die Reparatur des RAID-Arrays war aber der Umtausch der Platte. Da die Angaben auf der Homepage meines Lieferanten wieder alles andere als korrekt waren, musste ich zweimal in dessen Laden, um Ersatz zu erhalten.

Langsam normalisiert sich die Lage wieder. Bleibt zu hoffen, dass sie auch normal bleibt.

Anonym im Netz

^ v M ><
Neulich führte ich über ICQ (ja, Jabber wär mir lieber gewesen - grad auch im Kontext dieses Artikels :-) ) eine Diskussion über die Möglichkeiten der Anonymisierung seiner Datenspuren im Netz. Ich habe mir folglich ein paar Gedanken dazu gemacht, welche ich hier vorstellen möchte.

Natürlich ist im Zeitalter von staatlicher Terrorparanoia, Vorratsdatenspeicherung und verhaltensbasiertem Marketing kaum noch Anonymität möglich. Allerdings lassen sich die einige Massnahmen anwenden, um sich weniger bekannt zu machen. Dabei gelten quasi die gleichen Grundsätze wie beim Verstecken im Wald. Spuren vermeiden, Spuren verschleiern, falsche Fährten legen und Ruhe bewahren. Einige der dafür möglichen Massnahmen sind technischer Natur, andere psychologischer. Nicht alle meiner Ideen sind wirklich sinnvoll oder überhaupt realisierbar, ich versuche einfach eine möglichst umfassende Sammlung zu erstellen.

Technische Massnahmen


Spuren verschleiern


Passende Software auswählen:Hier gibt es zwei Strategien. Entweder man nutzt die häufigst benutzte Software (also Windows XP mit Internet Explorer, was praktisch alle anderen Massnahmen wohl grad zunichte macht) und versucht in der Masse unterzugehen, oder man nutzt Software, die standardmässig gute Privatsphären-Einstellungen bietet.

Software passend konfigurieren: Grad für den Firefox gibt es viele gute Addons, welche die Privatsphäre verbessern. Da wären u.a. Adblock Plus, Flashblock, Customize Google und Stealther zu zählen. Ausserdem sollten Cookies deaktiviert (oder besser: Nur für die aktuelle Session gespeichert) werden. Den Festplattencache sollte man bei einer DSL-Leitung auch abschalten oder in eine RAM-Disk verschieben.

TOR nutzen? TOR leitet IP-Pakete über zahlreiche Rechner um, wodurch die Herkunft verschleiert werden kann. Mit dem Firefox-Paket DeerPark bekommt man eine simpel zu nutzende TOR-Installation mitsamt Browser. Das Problem ist nur, dass praktisch alle TOR-Exit-Nodes von Geheimdiensten und Hackern betrieben werden. Ergo sollten keinesfalls Passwörter oder finanzielle Daten darüber gesendet werden. Meine Empfehlung ist also ganz klar besser die Finger von TOR zu lassen.

Anonymisierenden Proxy verwenden: Die etwas sicherere Variante zu TOR, jedoch muss man auch hier dem Betreiber des Proxys vertrauen, dass er weder protokolliert noch mitsnifft.

Fallstrick DNS: DNS-Anfragen geben natürlich Aufschluss darüber, welche Seiten man ansurft. Man sollte daher einen DNS-Server verwenden, der nichts protokolliert. Dieses Problem ist kaum auf triviale Weise zu lösen. Ideal ist's wohl, wenn man einen eigenen DNS-Cache nutzt, um wenigstens die Anfragen zu reduzieren, viel bringt das aber auch nicht.

IP-Adresse häufig ändern: Dies schlägt zwei Fliegen mit einer Klappe. Einerseits wird die Vorratsdatenspeicherung damit etwas strapaziert (obwohl... viel Platz braucht das im Logfile auch nicht...), andererseits wird man schwieriger verfolgbar. Allerdings ist das mit zwei Einschränkungen versehen. Erstens hat ein Provider nur eine bestimmten IP-Bereich zur Verfügung. Zweitens werden viele Sessions durch den Wechsel der IP gekappt. Hier gilt es also, einen guten Zwischenweg zu finden. Mein DSL-Router sollte trotzdem die IP so selten wie möglich wechseln, da ich zuhause einen Server betreibe, auf den ich gelegentlich auch aus dem Internet zugreifen möchte.

Spuren vermeiden


Werbeblocker nutzen: Durch die Nutzung von Werbeblockern wird es für die Werbetreiber ziemlich schwierig ein Profil aufzubauen. Man existiert für sie nämlich schlicht nicht. Des weiteren spart man ordentlich Bandbreite, da nicht mehr tausende Werbebanner geladen werden müssen. Und die Augen werden geschont, da die Webseiten nicht mehr blinken wie Las Vegas in der Nacht. Ganz wichtig ist es insbesondere, dass Flash-Filme blockiert werden, da diese Flash-Cookies ablegen können, die nicht durch bisherige Browser-Automatismen gelöscht werden.

Hosts-Datei anpassen: Zusätzlich zum Werbeblocker kann man die hosts-Datei modifiziert werden, einen guten hosts-Datei-Generator gibt's hier. Damit kann man auch ganz prima Google Analytics blocken lassen.

Google nicht nutzen! Auf jeden Fall Hände Weg von Chrome, Gmail, Picasa Webalbum, Google Docs etc pp. Neben der Google-Suche auch mal Yahoo oder Ask nutzen (nein, MSN empfehle ich aus Prinzip nicht!)

Kein Microsoft Office und keine .doc-Dateien verwenden: Microsoft Office hat die schlechte Angewohnheit, bei der Erstellung einer Datei sämtliche Daten in Word-Dateien mitzuspeichern. Nimmt man eine Änderung an einer Word-Datei vor, kann diese später nachvollzogen werden, indem man diese Datei einfach in einem Texteditor öffnet. Ich weiss nicht, ob das bei Office 2007 und .docx-Dateien noch der Fall ist, aber OpenOffice ist hier definitiv die bessere Variante. Office-Dateien sollten allerdings sowieso nie verschickt oder ins Internet gestellt werden, dafür gibt es PDF!

Verschlüsselung nutzen: Wenn möglich sollten Daten nur verschlüsselt genutzt werden.

Lügen wie gedruckt: Nicht nur Papier ist geduldig, nein, das Internet ist es auch. Mit der Wahrheit sollte man es folglich nicht so genau nehmen.

Do It Yourself! Statt einem Freemailer, der protokollieren muss, sollte man einen eigenen Mailserver aufsetzen, womit man der Vorratsdatenspeicherung entgeht. Ebenso sollte man anstelle von Skype, ICQ oder MSN auf Jabber umsteigen, natürlich ebenfalls mit eigenem Server. Idealerweise steht dieser Server dann im weit entfernten Ausland. Einziges Problem dabei: Man sollte ein Minimum an Ahnung von der Materie haben. Einen Server im Internet sollte man nur betreiben, wenn man wirklich weiss, was man tut.

Falsche Spuren generieren


Offenes WLAN anbieten: Die Idee ist simpel. Man lässt den Access Point unverschlüsselt, schon können Fremde etwas das eigene Internetprofil verfälschen. Grosses Problem dabei ist natürlich, wenn diese unbekannten Dritten illegale Dinge über den Anschluss laufen lassen. Dann riskiert man Ärger mit dem Gesetz.

TOR Exitnode anbieten: Dies ist genau dasselbe Prinzip wie das offene WLAN. Auch hier riskiert man, dass die Polizei den eigenen Rechner abholt.

TOR Durchgangsknoten anbieten: Das ist nett und nützt dem TOR-Netzwerk mehr als gar nichts zu tun, bringt aber leider keinen Gewinn für die eigene Anonymität. Wenigstens muss man auch keine Repressalien des Staates befürchten.

YaCy installieren: YaCy ist eine verteilte Internet-Suchmaschine. Das ist vermutlich die beste Lösung. YaCy verursacht permanent etwas Traffic, indem es Webseiten crawlt. Allerdings sind auch hier ein paar Einschränkungen zu beachten. Werden Remote-Crawls anderer YaCy-Betreiber akzeptiert, riskiert man ebenfalls wieder illegale Inhalte abzurufen und sich somit Ärger mit der Polizei einzuhandeln. Andererseits verfälscht man sein Profil nur mässig, wenn man nur eigene Crawls startet. Und drittens meldet sich YaCy bei anderen Webseiten immer als YaCy an, ergo kann diese leicht unterscheiden, ob nun die Anfrage von Mensch (Firefox/Opera/Safari/IE) oder Maschine kam.


Verhalten


Spuren verschleiern



Spuren vermeiden


Datensparsamkeit.

Sich nicht selbst googeln.

Nicht zu paranoid sein! Wer zu paranoid ist, schläft schlecht. Dadurch lässt die Aufmerksamkeit nach und man begeht datenschützerische Fehler. Also besser Ruhe bewahren und wachsam bleiben!

Namen ändern


Eine gute Methode und in der Masse unterzugehen ist ein Allerweltsname wie Hans Meier aus Zürich, den es dutzendmal gibt. Folglich sollte man in der Grossstadt wohnen und so einen Namen haben.

Falsche Spuren generieren


Dies ist wohl der zweitschwierigste Teil, da es einfacher als eine Änderung des Realnamens geht, aber mit viel Bedacht gemacht sein will. Durch gezieltes Streuen von Fehlinformationen könnte man eigene Identitäten erfinden und sich so schlechter Auffindbar machen. Beim Streuen der Daten sollte man jedoch seine Location (wie IP-Adresse) möglichst verschleiern.


Ultima Ratio für Hyperparanoiker


Meine ultimative Idee ist die Verwendung einer Prepaid-SIM-Karte für den Internetzugang über das Mobilfunknetz. Zwar müssen alle Prepaid-SIM-Karten registriert werden, allerdings gibt es Mittel und Wege, an bereits registrierte Karten heranzukommen. Allerdings warten noch viele weitere Stolperfallen. So muss man beim Nachladen des Guthabens immer mit Bargeld an anonymen Ladestationen bezahlen. SBB-Automaten könnten dafür eine Lösung sein, jedoch sind diese von Kameras überwacht. Des weiteren sind neben der SIM-Karte auch Handies mit einer Seriennummer versehen, welche bei Verwendung an die Basisstation gesendet wird. Man braucht folglich auch ein anonymisiertes Gerät. Des weiteren sind Handies prima Peilsender, welche die Position auf wenige Meter genau verraten, und dies wird natürlich vorratsgespeichert. Kommt noch dazu, dass dies eine extrem kostenintensive Methode ist. *plopp* Seifenblase geplatzt :-)

Fazit


Anonymität ist nicht möglich. Übermässige Paranoia nutzt aber auch nichts. Und je mehr Ahnung von IT man hat, desto mehr Anonymität kann man sich verschaffen. Also eigentlich gibt es überhaupt keine neuen Erkenntnisse :-)

Servergebastel, nächste Runde.

^ v M ><
Neben Ubuntu habe ich mich auch wieder mit Gentoo befasst, wenn auch eher zwangsweise. Mein Server hat kürzlich angefangen, beim Booten lustige Fehlermeldungen auszuspucken und sich geweigert, die verschlüsselten Partition zu entschlüsseln. Manuell liess es sich hingegen problemlos bewerkstelligen.

Die Gentoo-Installation war aber sowieso schon ein Bisschen in die Jahre gekommen und entsprechend mit vielen unnötigen Paketen zugekleistert. Gleichzeitig haben die Festplatten keinen freien Platz mehr geboten. Folglich war es also an der Zeit, wieder von vorne anzufangen. Und wenn man das schon macht, können ja grad noch ein paar Verbesserungen reingebracht werden.

Als erstes wurde die untertaktete Radeon9000 gegen eine uralte Mach64 ersetzt, was wohl den Stromverbrauch weiter senken dürfte.

Als zweites habe ich von drei auf zwei Platten reduziert und von leisen Platten mit 5400rpm auf 7200rpm-Scheiben umgestellt. Die sind wesentlich schneller und dennoch kaum lauter. Statt RAID-5 läuft jetzt alles als RAID-1, was auch die CPU freut. Der neue Array packt 80MB/s Übertragungsrate auch über längere Zeit. Sehr schön. Die Partitionierung wurde beibehalten, je eine LVM-Partition für /, /var und /home, auf RAID-1 sowie eigene Partitionen für den portage-Tree und /tmp bzw /var/tmp auf RAID-0.

Als drittes habe ich von "normalem" Gentoo auf Hardened Gentoo umgestellt. Da ich auch noch SELinux implementieren möchte, sind jetzt alle Partitionen bis auf die Portage-Partition mit ext3 statt reiserfs formatiert. Reiserfs unterstützt nicht alle Sicherheitslabel, die SELinux benötigt. Zuvor hatte ich übrigens noch Debian Lenny evaluiert, allerdings hatte ich da massive Probleme mit SELinux, so dass ich doch bei Gentoo geblieben bin.

Als viertes habe ich längst nicht mehr benötigte Dienste gar nicht mehr installiert. Samba braucht mein Microsoft-freies Netz ja nun mal gar nicht.

Gerne hätte ich als fünfte Verbesserung noch Virtualisierung genutzt, da jedoch die CPU noch keine Hardware-Virtualisierung bietet, wird das etwas knifflig: Für XEN-Dom0 gibt es nur alte Kernel. Selbiges gilt für UserModeLinux, welches wohl eh tot ist. In beiden Fällen müsste ich auf viele gute Verbesserungen der neueren Kernel verzichten. VMWare ist proprietär. Und Qemu lässt sich nicht mit einem gehärteten GCC kompilieren (ausser mit manuellem Gefrickel). Nun muss also vorerst alles nativ laufen und ich warte vorerst auf neuere Implementierungen von XEN, welches mir für meine Zwecke der beste Ansatz zu sein scheint.

Ubuntu 8.10

^ v M ><
Seit letztem Donnerstag gibt es Ubuntu 8.10, seitdem läuft es auch auf meinen Arbeitsrechnern. Im Gegensatz zu früheren Versionen verlief das Update auf drei Maschinen problemlos, was schon fast zu bedauern ist. Denn so komme ich nach wie vor nicht dazu, im Rahmen einer Neuinstallation auf eine 64bit-Installation umzustellen :-) Und grad da es so problemlos verlief, gibt es auch nicht viel dazu zu schreiben. Nur zwei, drei kleine Problemchen sind mir bislang aufgefallen:

  • Pidgin poppt Gesprächsfenster automatisch auf, obwohl er das gemäss Einstellungen nicht sollte. Eventuell muss ich also ~/.libpurple löschen und das Profil zurücksetzen, damit das wieder geht. Hab ich aber nicht gross Lust dazu, also muss ich damit leben.

  • VMWare Server funktioniert nach wie vor nicht mit Kernel 2.6.27. Dagegen hilft wohl nur auf die Gnade VMWare's zu warten (oder Patches aus mässig seriösen Quellen einzuspielen).

  • Meine Logitec-Billigst-Webcam funktionierte unter 8.04 noch in Briefmarkengrösse, unter 8.10 geht gar nichts. Ist mir aber egal.

  • Der Sound ist irgendwie basslastig geworden. Kann entweder an den alten Boxen liegen (wobei das ein extremer Zufall wäre, dass die grad beim Update defekt gehen), oder am Soundtreiber. Ich muss mal eine andere Soundquelle anhängen.

Auf neu funktionierenden Seite sind hingegen PulseAudio aufzuzählen, ebenso nvidia-settings, das nun endlich auch die config-Datei schreibt und nicht nur so tut.

Folglich ein ordentlicher Wurf, auch wenn mir unter Linux irgendwie der Pioniergeist früherer Jahre manchmal fehlt. Vermutlich muss ich doch auf FreeBSD umsteigen, damit mir nicht langweilig wird :-)

Firefox 3 und selbstsignierte SSL-Zertifikate

^ v M ><
Vieles ist an Firefox 3 besser als an Firefox 2. Einiges ist anders und gewöhnungsbedürftig, aber deshalb nicht zwingend schlechter. Einiges ist aber eindeutig zur Katastrophe geworden. Mein Liebling hierbei ist der Umgang mit selbstsignierten SSL-Zertifikaten. Was da nun an Verrenkungen nötig ist, damit entsprechende Seiten (wie z.B. diese hier) wieder Erreichbar sind, ist unglaublich. Den dadurch entstehenden Sicherheitsgewinn erachte ich als minimal, die nötigen Arbeitsschritte für gelegentliche Internetuser hingegen für unüberwindbar. Daher eine kleine Anleitung in vier Bildern. Einfach immer dort klicken, wo der Pfeil hinzeigt:


Achtung! Fehler! Alarm! Problem! Na gut, machen wir mal eine Ausnahme.


Ja, Ausnahme hinzufügen.


Gut, nun das Zertifikat herunterladen.


Und nun speichern. Es ist natürlich auch sinnvoll, hier erst auf "Ansehen..." zu klicken und das Zertifikate nochmals zu überprüfen. Anschliessend wird die Seite geladen.

Wirklich kritische Dinge gibt es auf Planetknauer.net nicht. Da ich keine Bank bin, Eure Kreditkartendaten nicht abfrage etc pp. ist das Hinzufügen der Ausnahme wenig bedenklich. Bei e-Banking, Online-Shopping sowie sonstigen Dingen, bei denen es um Geld, personenbezogene, private oder Firmendaten geht, sollte man natürlich drauf achten, dass die Gegenseite ein gültiges Zertifikat einer offiziellen CA (Certificate Authority) verwendet. Dann erscheint auch diese Warnung nicht. Alles andere ist unseriös.

SBB-Automaten mit X11

^ v M ><

Cool! Die SBB-Billetautomaten scheinen auf Unix-Basis zu laufen. Zumindest zeigen betriebsunfähige Automaten ein blankes X11, sprich schwarz-weiss gerasterte Oberfläche mit schwarzem X als Cursor:

Weniger cool, wenn dann grad eine ganze Reihe Automaten ausfällt (die Nachbarn ohne Touchscreen haben einfach rot "Ausser Betrieb" aufleuchten lassen). Noch viel weniger cool, wenn man Nachts kurz vor drei Uhr mit einem Bier zuviel intus auf den Zug rennen muss und vor den wenigen funktionierenden Automaten kilometerlange Schlangen sind, weil a) die Leute nicht auswendig wissen, wie man den Nachtzuschlag löst (da brauchte ich auch lange, bis ich das auswendig wusste) und sie mit glasigen Äuglein die komplette Automatenbeschriftung zu entziffern versuchen und/oder b) die Automaten wie üblich das hineingeworfene Geld nicht fressen wollen. Wobei ich der SBB ja mit Vergnügen unterstelle, dass das Absicht ist, um mehr Bussgelder einziehen zu können.

Nun ja, mit dem anvisierten Zug nach Hause kommen wollte ich auf jeden Fall, also Beweisfoto gemacht und Zwangs-Schwarzgefahren. Ui, ich pin ja so pöse. Allerdings hab ich nicht wirklich ein schlechtes Gewissen dabei, schliesslich hab ich auch schon Nachtzuschläge bezahlt für Busse und Züge, die dann überhaupt nicht gefahren sind. Aber vielleicht wär's trotzdem mal eine gute Idee, so eine Nachtzuschlags-Mehrfartenkarte zu kaufen. Damit würde ich immerhin 10% sparen und bräuchte nur Sekunden zum Entwerten...

Windows ist ja so einfach

^ v M ><
und Linux so kompliziert. Denn unter Linux muss man alles in der Kommandozeile machen, während man unter Windows bequem alles per Mausklick einstellen kann.

OK.

Wirklich?

Aber klar doch!

Folgender Fall: Für einen Mitarbeiter wird ein Notebook mit Windows Vista und XP downgrade-Option angeliefert. Ich installiere also XP von der Recovery-CD. Danach habe ich zuerst die komische Systembremse alias "Virenscanner" mit dem gelben Logo entfernt und eine gescheite Alternative installiert. Dann wollte ich das Windowsupdate einspielen lassen. Das WGA-Prüftool liess sich problemlos installieren, aber Servicepack 3 hat rumgezickt mit einer Meldung über einen nicht gestarteten Kryptographiedienst (wobei der definitiv aktiv war). Lösung? Gemäss Microsofts Knowledgebase (Methode 4) muss man dazu ja nur die Kommandozeile öffnen (ah ja?), 10 Befehle eintippen, neustarten, Kommandozeile öffnen, weitere 10 Befehle eintippen, neustarten.

Na schön, immerhin scheint's jetzt wieder zu funktionieren.

Und bei meinem Ubuntu-Desktop warte ich einfach, bis er alle Woche einmal meint, dass neue Updates vorhanden seien, dann klicke ich aufs Trayicon, gebe mein Passwort ein und warte, bis alles fertig ist. Solche lustige Probleme hatte ich da noch nie (ausser bei einem Distributionsupgrade, aber das ist was anderes).

Übrigens, die Installation plus Konfiguration von Ubuntu auf einem baugleichen Gerät hat 2h gedauert. Bei Windows bin ich seit gestern dran und hab noch nicht mal das Basissystem fertig. Da könnte ich ja grad so gut Gentoo auf dem Desktop nehmen, das dauert inklusive kompilieren auch nicht länger bis es installiert ist.

Vernetzung

^ v M ><
Da ich nun wieder ADSL hab, ist's natürlich angebracht, die gebotene Bandbreite sowie daheim brachliegende Hardwareressourcen etwas auszunutzen. Ich hab mir daher wieder die P2P-basierende Suchmaschine YaCy installiert und angefangen im Web zu crawlen. Als Einstiegspunkt habe ich naheliegenderweise meine eigene Webseite genommen. Ein cooles Feature von YaCy ist die Möglichkeit, die Vernetzung von Seiten zu visualisieren. Anbei, was bei einer Crawl-Tiefe von zwei Verknüpfungsebenen (folge einer Verknüpfung auf eine Seite, werden dort Verknüpfungen gefunden, wird diesen nochmals gefolgt, danach ist Schluss) so rauskommt:



Ich lass YaCy nun weitercrawlen. Wenn sich was interessantes ergibt, kann ich das Bild ja aktualisieren.

Ein letzes Wort zu UMTS

^ v M ><
Na ja, vielleicht auch mehr als nur eines :-)

Mit Kernel 2.6.26 ist der usbserial Patch nicht mehr nötig, da ist der usbserial-Bug endlich behoben. Damit funktioniert UMTS nun out-of-the-Box. Zu 2.6.25 kann ich keine Angaben machen, den habe ich Aufgrund von Ferien und Zwangsferien übersprungen.

Des weiteren hatte ich nun keine Geduld mehr, auf Kabel zu warten und hab mir ADSL legen lassen. Wenigstens übernimmt mein Provider die Swisscom-Zwangsabgabe. Blöd nur, dass die mir kein Modem geschickt haben. Mein Dialog mit der Hotline:
H: "Da giits ja nööööd! Wir haben Ihnen tatsächlich kein Modem zugeschickt. Haben Sie nicht zufällig ein anderes Modem rumliegen? Es kann bis 10 Tage dauern, bis Sie Ihr Modem haben."
Ich: "Ja, ich hab eins, so ein Zyxel 630."
H: "Oh je... na gut, ich werd das nun mit Ihnen zusammen einrichten."
Ich: "OK, aber Sie werden wohl grad noch mehr stöhnen, wenn ich Ihnen nun sage, dass ich nur Linux benutze."
H: "Ah, das ist super, ich benutz auch nur Linux. Aber ich glaube, für das Modem gibt's keinen Treiber..."
Ich: *frickel* *frickel*

Nach drei Stunden lief es unter Ubuntu, nach weiteren drei Stunden auch unter Gentoo. Faszinierend daran finde ich, dass es unter Ubuntu nur in einer PPP-over-ATM Konfiguration und Einwahl direkt durch pppd läuft, während es unter Gentoo nur mit PPPoE und rp-pppoe funktioniert, trotz ansonsten identischer Einstellungen.

VMWare Server in Ubuntu

^ v M ><
Eher eine kleine Notiz an mich, aber vielleicht hilft's ja auch sonstwem.

Wenn das GUI von VMWare nicht startet sondern nur die Konsole mit Fehlermeldungen der Art
/usr/local/lib/vmware/bin/vmware: /usr/local/lib/vmware/lib/libgcc_s.so.1/libgcc
_s.so.1: version `GCC_3.4' not found (required by /usr/lib/libcairo.so.2)

vollrotzt, hilft es, die libgcc_s.so.1 von VMWare mit der von Ubuntu zu überschreiben. Ich installiere VMWare stets nach /usr/local, d.h. ich muss folgendes ausführen:
cp -f /lib/libgcc_s.so.1 /usr/local/lib/vmware/lib/libgcc_s.so.1/

Linux und UMTS/HSPA die Zweite

^ v M ><
Neulich hab ich ein Email eines Bloglesers erhalten, dass der von mir hier beschriebene Patch mit dem neuen Kernel 2.6.24 nicht mehr funktionieren würde. Jedoch hatte ich bislang noch keines meiner Systeme, welches das UMTS-Modem nutzt schon so weit aktualisiert, was ich nun an meinem Gentoo-Server nachgeholt habe.
Tatsächlich haben sich ein paar Änderungen am Kernelmodul ergeben, wie mit ein kurzes diff zwischen der usb-serial.c von 2.6.23 und 2.6.24 gezeigt hat. Jedoch sollten diese nicht gravierend sein. Nichtsdestotrotz hab ich den Patch mal genauer angeschaut. In der Folge habe ich ein paar Schönheitskorrekturen vorgenommen. Der Patch liess sich nun einwandfrei anwenden und funktioniert problemlos.

Der Leser bemerkte auch noch, dass der Patch nicht in den Kernel eingeflossen sei. Nun, dazu schrieb ich schon vor Urzeiten dem Autor des Patches. Seine Antwort war, dass der Patch zwar auf der LKML eingereicht wurde, aber nicht akzeptiert wurde, da es sich nur um einen schnellen Hack handeln würde und die Kernel-Entwickler das Problem lieber sauber lösen würden. Tja, das ist nun schon einige Kernel-Releases her, aber getan hat sich diesbezüglich leider noch überhaupt nichts. Es ist zwar schön, dass gemäss Kernel-Guru Greg Kroah-Hartman unterdessen extrem viele Geräte unterstützt werden. Aber auch schlampige Unterstützung ist Unterstützung. Nur ist der User deswegen aber noch nicht zufrieden.

Zur Vervollständigung hier noch zwei Files von mir:

Urheberrechtsgesetze

^ v M ><
Grad mal wieder nen Datenträger mit Microsoftware drauf erhalten. Dabei sticht folgender Satz ins Auge:

All software and files on this CD are protected by copyright laws of their manufacturers


Interessant. Dass Microsoft Gesetze biegt, konnte ich mir bislang mehr als nur vorstellen, nein, das kann man sogar jede Woche ein paar mal im Heise-Newsticker lesen. Dass Microsoft aber unterdessen zur gesetzgebenden Instanz wurde, das war mir neu.