Skip to content

Defektes USV

^ v M ><
Meine Pechsträhne mit Servern reisst nicht ab. Gestern ist eines der beiden USVs (unterbrechungsfreie Stromversorgung... quasi eine Batterie für Server) im Serverraum meines Arbeitgebers abgeraucht.

Was ich daraus lerne? Wenn der apcupsd meldet,
UPS needs battery replacement NOW

, dann ist damit nicht etwa in "sobald die Ersatzbatterie bestellt und geliefert wurde und danach keiner mehr den Server braucht[1]" gemeint, sondern GENAU JETZT SOFORT!

Rund eine Woche nach der ersten Meldung durfte ich nämlich feststellen, dass die Server nicht mehr ansprechbar waren. Da ich sowieso an diesem Tag (es war der gestrige Samstag) die Batterie ersetzen wollte, konnte ich mich grad drum kümmern. Die Feststellung im Serverraum: Das USV war aus, die Server waren aus, das USV liess sich nicht mehr einschalten und die Batterie kann nicht mehr entfernt werden, da sie aufgebläht ist! So viel zum Thema "unterbrechungsfrei". Na ist ja super... Das Gerät ist übrigens erst gut 2 Jahre alt und ein Profi-Teil eines renommierten, professionellen Herstellers. Wenigstens war das Timing des Ausfalls gut: Samstag, wenige Stunden bevor ich mich eh rangesetzt hätte. Nun ja, dann wird halt ein Fachmann bestellt, der sich darum kümmern soll. Garantie ist immerhin noch drauf.

ad [1]: Vor dem Ersetzen der Batterie fahr ich die Server runter, schalte das USV aus und trenne es vom Strom. Zwar müsste sich die Batterie auch im laufenden Betrieb ersetzen lasse. Aber bei Dingen, die so viel Strom führen, dass sie nicht nur töten können, sondern auch noch Schmerzen bereiten bis man tot ist, bin ich lieber doppelt und dreifach vorsichtig.

Anonym im Netz

^ v M ><
Neulich führte ich über ICQ (ja, Jabber wär mir lieber gewesen - grad auch im Kontext dieses Artikels :-) ) eine Diskussion über die Möglichkeiten der Anonymisierung seiner Datenspuren im Netz. Ich habe mir folglich ein paar Gedanken dazu gemacht, welche ich hier vorstellen möchte.

Natürlich ist im Zeitalter von staatlicher Terrorparanoia, Vorratsdatenspeicherung und verhaltensbasiertem Marketing kaum noch Anonymität möglich. Allerdings lassen sich die einige Massnahmen anwenden, um sich weniger bekannt zu machen. Dabei gelten quasi die gleichen Grundsätze wie beim Verstecken im Wald. Spuren vermeiden, Spuren verschleiern, falsche Fährten legen und Ruhe bewahren. Einige der dafür möglichen Massnahmen sind technischer Natur, andere psychologischer. Nicht alle meiner Ideen sind wirklich sinnvoll oder überhaupt realisierbar, ich versuche einfach eine möglichst umfassende Sammlung zu erstellen.

Technische Massnahmen


Spuren verschleiern


Passende Software auswählen:Hier gibt es zwei Strategien. Entweder man nutzt die häufigst benutzte Software (also Windows XP mit Internet Explorer, was praktisch alle anderen Massnahmen wohl grad zunichte macht) und versucht in der Masse unterzugehen, oder man nutzt Software, die standardmässig gute Privatsphären-Einstellungen bietet.

Software passend konfigurieren: Grad für den Firefox gibt es viele gute Addons, welche die Privatsphäre verbessern. Da wären u.a. Adblock Plus, Flashblock, Customize Google und Stealther zu zählen. Ausserdem sollten Cookies deaktiviert (oder besser: Nur für die aktuelle Session gespeichert) werden. Den Festplattencache sollte man bei einer DSL-Leitung auch abschalten oder in eine RAM-Disk verschieben.

TOR nutzen? TOR leitet IP-Pakete über zahlreiche Rechner um, wodurch die Herkunft verschleiert werden kann. Mit dem Firefox-Paket DeerPark bekommt man eine simpel zu nutzende TOR-Installation mitsamt Browser. Das Problem ist nur, dass praktisch alle TOR-Exit-Nodes von Geheimdiensten und Hackern betrieben werden. Ergo sollten keinesfalls Passwörter oder finanzielle Daten darüber gesendet werden. Meine Empfehlung ist also ganz klar besser die Finger von TOR zu lassen.

Anonymisierenden Proxy verwenden: Die etwas sicherere Variante zu TOR, jedoch muss man auch hier dem Betreiber des Proxys vertrauen, dass er weder protokolliert noch mitsnifft.

Fallstrick DNS: DNS-Anfragen geben natürlich Aufschluss darüber, welche Seiten man ansurft. Man sollte daher einen DNS-Server verwenden, der nichts protokolliert. Dieses Problem ist kaum auf triviale Weise zu lösen. Ideal ist's wohl, wenn man einen eigenen DNS-Cache nutzt, um wenigstens die Anfragen zu reduzieren, viel bringt das aber auch nicht.

IP-Adresse häufig ändern: Dies schlägt zwei Fliegen mit einer Klappe. Einerseits wird die Vorratsdatenspeicherung damit etwas strapaziert (obwohl... viel Platz braucht das im Logfile auch nicht...), andererseits wird man schwieriger verfolgbar. Allerdings ist das mit zwei Einschränkungen versehen. Erstens hat ein Provider nur eine bestimmten IP-Bereich zur Verfügung. Zweitens werden viele Sessions durch den Wechsel der IP gekappt. Hier gilt es also, einen guten Zwischenweg zu finden. Mein DSL-Router sollte trotzdem die IP so selten wie möglich wechseln, da ich zuhause einen Server betreibe, auf den ich gelegentlich auch aus dem Internet zugreifen möchte.

Spuren vermeiden


Werbeblocker nutzen: Durch die Nutzung von Werbeblockern wird es für die Werbetreiber ziemlich schwierig ein Profil aufzubauen. Man existiert für sie nämlich schlicht nicht. Des weiteren spart man ordentlich Bandbreite, da nicht mehr tausende Werbebanner geladen werden müssen. Und die Augen werden geschont, da die Webseiten nicht mehr blinken wie Las Vegas in der Nacht. Ganz wichtig ist es insbesondere, dass Flash-Filme blockiert werden, da diese Flash-Cookies ablegen können, die nicht durch bisherige Browser-Automatismen gelöscht werden.

Hosts-Datei anpassen: Zusätzlich zum Werbeblocker kann man die hosts-Datei modifiziert werden, einen guten hosts-Datei-Generator gibt's hier. Damit kann man auch ganz prima Google Analytics blocken lassen.

Google nicht nutzen! Auf jeden Fall Hände Weg von Chrome, Gmail, Picasa Webalbum, Google Docs etc pp. Neben der Google-Suche auch mal Yahoo oder Ask nutzen (nein, MSN empfehle ich aus Prinzip nicht!)

Kein Microsoft Office und keine .doc-Dateien verwenden: Microsoft Office hat die schlechte Angewohnheit, bei der Erstellung einer Datei sämtliche Daten in Word-Dateien mitzuspeichern. Nimmt man eine Änderung an einer Word-Datei vor, kann diese später nachvollzogen werden, indem man diese Datei einfach in einem Texteditor öffnet. Ich weiss nicht, ob das bei Office 2007 und .docx-Dateien noch der Fall ist, aber OpenOffice ist hier definitiv die bessere Variante. Office-Dateien sollten allerdings sowieso nie verschickt oder ins Internet gestellt werden, dafür gibt es PDF!

Verschlüsselung nutzen: Wenn möglich sollten Daten nur verschlüsselt genutzt werden.

Lügen wie gedruckt: Nicht nur Papier ist geduldig, nein, das Internet ist es auch. Mit der Wahrheit sollte man es folglich nicht so genau nehmen.

Do It Yourself! Statt einem Freemailer, der protokollieren muss, sollte man einen eigenen Mailserver aufsetzen, womit man der Vorratsdatenspeicherung entgeht. Ebenso sollte man anstelle von Skype, ICQ oder MSN auf Jabber umsteigen, natürlich ebenfalls mit eigenem Server. Idealerweise steht dieser Server dann im weit entfernten Ausland. Einziges Problem dabei: Man sollte ein Minimum an Ahnung von der Materie haben. Einen Server im Internet sollte man nur betreiben, wenn man wirklich weiss, was man tut.

Falsche Spuren generieren


Offenes WLAN anbieten: Die Idee ist simpel. Man lässt den Access Point unverschlüsselt, schon können Fremde etwas das eigene Internetprofil verfälschen. Grosses Problem dabei ist natürlich, wenn diese unbekannten Dritten illegale Dinge über den Anschluss laufen lassen. Dann riskiert man Ärger mit dem Gesetz.

TOR Exitnode anbieten: Dies ist genau dasselbe Prinzip wie das offene WLAN. Auch hier riskiert man, dass die Polizei den eigenen Rechner abholt.

TOR Durchgangsknoten anbieten: Das ist nett und nützt dem TOR-Netzwerk mehr als gar nichts zu tun, bringt aber leider keinen Gewinn für die eigene Anonymität. Wenigstens muss man auch keine Repressalien des Staates befürchten.

YaCy installieren: YaCy ist eine verteilte Internet-Suchmaschine. Das ist vermutlich die beste Lösung. YaCy verursacht permanent etwas Traffic, indem es Webseiten crawlt. Allerdings sind auch hier ein paar Einschränkungen zu beachten. Werden Remote-Crawls anderer YaCy-Betreiber akzeptiert, riskiert man ebenfalls wieder illegale Inhalte abzurufen und sich somit Ärger mit der Polizei einzuhandeln. Andererseits verfälscht man sein Profil nur mässig, wenn man nur eigene Crawls startet. Und drittens meldet sich YaCy bei anderen Webseiten immer als YaCy an, ergo kann diese leicht unterscheiden, ob nun die Anfrage von Mensch (Firefox/Opera/Safari/IE) oder Maschine kam.


Verhalten


Spuren verschleiern



Spuren vermeiden


Datensparsamkeit.

Sich nicht selbst googeln.

Nicht zu paranoid sein! Wer zu paranoid ist, schläft schlecht. Dadurch lässt die Aufmerksamkeit nach und man begeht datenschützerische Fehler. Also besser Ruhe bewahren und wachsam bleiben!

Namen ändern


Eine gute Methode und in der Masse unterzugehen ist ein Allerweltsname wie Hans Meier aus Zürich, den es dutzendmal gibt. Folglich sollte man in der Grossstadt wohnen und so einen Namen haben.

Falsche Spuren generieren


Dies ist wohl der zweitschwierigste Teil, da es einfacher als eine Änderung des Realnamens geht, aber mit viel Bedacht gemacht sein will. Durch gezieltes Streuen von Fehlinformationen könnte man eigene Identitäten erfinden und sich so schlechter Auffindbar machen. Beim Streuen der Daten sollte man jedoch seine Location (wie IP-Adresse) möglichst verschleiern.


Ultima Ratio für Hyperparanoiker


Meine ultimative Idee ist die Verwendung einer Prepaid-SIM-Karte für den Internetzugang über das Mobilfunknetz. Zwar müssen alle Prepaid-SIM-Karten registriert werden, allerdings gibt es Mittel und Wege, an bereits registrierte Karten heranzukommen. Allerdings warten noch viele weitere Stolperfallen. So muss man beim Nachladen des Guthabens immer mit Bargeld an anonymen Ladestationen bezahlen. SBB-Automaten könnten dafür eine Lösung sein, jedoch sind diese von Kameras überwacht. Des weiteren sind neben der SIM-Karte auch Handies mit einer Seriennummer versehen, welche bei Verwendung an die Basisstation gesendet wird. Man braucht folglich auch ein anonymisiertes Gerät. Des weiteren sind Handies prima Peilsender, welche die Position auf wenige Meter genau verraten, und dies wird natürlich vorratsgespeichert. Kommt noch dazu, dass dies eine extrem kostenintensive Methode ist. *plopp* Seifenblase geplatzt :-)

Fazit


Anonymität ist nicht möglich. Übermässige Paranoia nutzt aber auch nichts. Und je mehr Ahnung von IT man hat, desto mehr Anonymität kann man sich verschaffen. Also eigentlich gibt es überhaupt keine neuen Erkenntnisse :-)

Servergebastel, nächste Runde.

^ v M ><
Neben Ubuntu habe ich mich auch wieder mit Gentoo befasst, wenn auch eher zwangsweise. Mein Server hat kürzlich angefangen, beim Booten lustige Fehlermeldungen auszuspucken und sich geweigert, die verschlüsselten Partition zu entschlüsseln. Manuell liess es sich hingegen problemlos bewerkstelligen.

Die Gentoo-Installation war aber sowieso schon ein Bisschen in die Jahre gekommen und entsprechend mit vielen unnötigen Paketen zugekleistert. Gleichzeitig haben die Festplatten keinen freien Platz mehr geboten. Folglich war es also an der Zeit, wieder von vorne anzufangen. Und wenn man das schon macht, können ja grad noch ein paar Verbesserungen reingebracht werden.

Als erstes wurde die untertaktete Radeon9000 gegen eine uralte Mach64 ersetzt, was wohl den Stromverbrauch weiter senken dürfte.

Als zweites habe ich von drei auf zwei Platten reduziert und von leisen Platten mit 5400rpm auf 7200rpm-Scheiben umgestellt. Die sind wesentlich schneller und dennoch kaum lauter. Statt RAID-5 läuft jetzt alles als RAID-1, was auch die CPU freut. Der neue Array packt 80MB/s Übertragungsrate auch über längere Zeit. Sehr schön. Die Partitionierung wurde beibehalten, je eine LVM-Partition für /, /var und /home, auf RAID-1 sowie eigene Partitionen für den portage-Tree und /tmp bzw /var/tmp auf RAID-0.

Als drittes habe ich von "normalem" Gentoo auf Hardened Gentoo umgestellt. Da ich auch noch SELinux implementieren möchte, sind jetzt alle Partitionen bis auf die Portage-Partition mit ext3 statt reiserfs formatiert. Reiserfs unterstützt nicht alle Sicherheitslabel, die SELinux benötigt. Zuvor hatte ich übrigens noch Debian Lenny evaluiert, allerdings hatte ich da massive Probleme mit SELinux, so dass ich doch bei Gentoo geblieben bin.

Als viertes habe ich längst nicht mehr benötigte Dienste gar nicht mehr installiert. Samba braucht mein Microsoft-freies Netz ja nun mal gar nicht.

Gerne hätte ich als fünfte Verbesserung noch Virtualisierung genutzt, da jedoch die CPU noch keine Hardware-Virtualisierung bietet, wird das etwas knifflig: Für XEN-Dom0 gibt es nur alte Kernel. Selbiges gilt für UserModeLinux, welches wohl eh tot ist. In beiden Fällen müsste ich auf viele gute Verbesserungen der neueren Kernel verzichten. VMWare ist proprietär. Und Qemu lässt sich nicht mit einem gehärteten GCC kompilieren (ausser mit manuellem Gefrickel). Nun muss also vorerst alles nativ laufen und ich warte vorerst auf neuere Implementierungen von XEN, welches mir für meine Zwecke der beste Ansatz zu sein scheint.

Standbykiller

^ v M ><
Der Tagesanzeiger berichtet über eine "Weltneuheit", den Standbykiller.

Lustig, eine einfache Variante davon habe ich schon seit Jahren im Einsatz:

Auch hier sind mit einem Klick (na gut... zwei Klicks) sämtliche Geräte vollständig ausgeschaltet. Es beinhaltet keine Funkübertragungsmechanismen, ist also auch gut für Strahlenparanoiker geeignet. Ebenso ist keine Stromversorgung z.B. über teure und nur bedingt umweltfreundlich produzierbare Solarzellen für eine autoarke Funktionsweise vonnöten. Dafür zeigt es die Betriebsbereitschaft der angeschlossenen Geräte über eine im Schalter integrierte Status-LED an. Natürlich könnte ich noch mein Verbrauchsmessgerät vorschalten (wer sich noch erinnert: Ja, ich hab mir unterdessen eins gekauft!), um mir den Verbrauch anzeigen zu lassen. Aber das würde ja wiederum auch Strom verbrauchen.

Kann ich mein Konzept trotzdem als Patent anmelden?

Zur Konfiguration: An der hinteren Schiene hängen PC, Monitore, Verstärker und Gigabit-Switch. Der PC geht automatisch an, sobald er mit Strom versorgt wird. Das spart das Bücken zum Einschaltknopf unter dem Schreibtisch. Dieses Verhalten lässt sich bei jedem hinreichend neuen Rechner im BIOS-Setup konfigurieren. An der vorderen Schiene hängen die Ladegeräte von Handy und Ogg-Player (da mehr Dateien im Ogg/Vorbis- als mp3-Format drauf sind, nenne ich das Ding lieber beim treffenderen Namen), Laptop und WLAN-Access Point.

Flugreisen

^ v M ><
Ich hab grad ein paar lustige Pilotenfunksprüche zugeschickt bekommen. Hier ein paar Perlen davon:


Tower: Say fuelstate.
Pilot: fuelstate.
Tower: Say again.
Pilot: again.
Tower: Arghl, give me your fuel!
Pilot: Sorry, need it by myself...

Pilot: Bratislava Tower, this is Oscar Oscar Kilo established ILS 16.
Tower: Oscar Oscar Kilo, Guten Tag, cleared to land 16, wind calm and by the way: this is Wien Tower.
Pilot: (Nach einer Denkpause) Bratislava Tower, Oscar Oscar Kilo passed the outer marker.
Tower: Oscar Oscar Kilo roger, and once more: you are approaching Vienna!
Pilot: (Nach einer Denkpause) Confirm, this is NOT Bratislava?
Tower: You can believe me, this is Vienna
Pilot: (Nach einer erneuten Pause) But why? We want to go to Bratislava, not to Vienna!
Tower: Oscar Oscar Kilo, roger. Discontinue approach, turn left 030 and climb to 5000 feet, vectors to Bratislava.

Tower: Have you got enough fuel or not?
Pilot: Yes.
Tower: Yes what??
Pilot: Yes, SIR!

Tower: RFG 312, fliegen Sie direkt nach Olno VOR. Brauchen Sie einen Radar-Vektor ?
Pilot: Nein, es geht auch so, wir koennen das VOR schon empfangen. Es liegt genau in der Richtung, wo der Mond steht.
Tower: Ja, aber den haben wir nicht auf dem Radarschirm.

Controller: Y-Line 90, turn right heading 090 to avoid a military area !
Pilot: What are they doing there ?
Controller: Ground to air gunnery !
Pilot: Roger, we are turning.

Controller: Do you declare an emergency ?
Pilot: Oh ... a little bit.

Pilot einer 737: Tower, wir wurden beim Start von einem Rad überholt, und haben den nicht ganz unbegründeten Verdacht, es könnte von uns sein ...

Controller: Kindly report your heading.
Pilot: Of course 080.
Controller: Confirm, you are off course ?
Pilot: Negative, we are on course, of course.

Eine hin und wieder angewandte Methode, den Anflug eines Fliegers im Endanflug zu verzögern, ist das sogenannte Fishtailing, also so etwas wie ein Schlangenlinienfliegen. Einem Controller war dieser Fachbegriff leider entfallen, doch er wußte sich zu helfen.
Controller: Sabena, can you do a little bit zick zack on the final ?
Eine Bitte, der der Pilot gern nachkam.
Controller (nach einer Weile): Sabena, where is your present position ?
Pilot: Sir, we are just passing from zick to zack !

Controller: D-E..., ich kann sie kaum verstehen. Es ist sehr laut bei Ihnen.
Pilot eines anderen Fliegers: Entweder hat er's Fenster auf oder er fliegt einen Diesel.
Pilot der D-E...: Noi, noi, des isch Vollgas, des mache mer immer so beim Abhäbe.

Pilot: Ah, Tower, we just had a birdstrike (=Vogelschlag).
Tower: Roger, do you have any troubles ?
Pilot: Negative, the bird has the problems.

Controller: Aircraft calling, you are unreadable, say again.
Pilot (nach einer Pause): I've turned off the engine, is it better now ?
Controller: .....uh !


Sowie die vermutlich schon bekannten Sprüche der Quantas-Mechaniker:


P: Testflug OK, Landung mit Autopilot sehr hart.
S: Landung mit Autopilot bei diesem Flugzeugtyp nicht installiert.

P: Der Autopilot leitet trotz Einstellung auf "Höhe halten" einen Sinkflug von 200 fpm ein.
S: Wir können dieses Problem auf dem Boden leider nicht nachvollziehen.

P: Hinweis auf undichte Stelle an der rechten Seite.
S: Hinweis entfernt.

P: IFF funktioniert nicht.
S: IFF funktioniert nie, wenn es ausgeschaltet ist.

P: Vermute Sprung in der Scheibe.
S: Vermute Sie haben recht.

P: Antrieb 3 fehlt.
S: Antrieb 3 nach kurzer Suche an der rechten Tragflache gefunden.


Aber eine Flasche Wasser darf ich aus Sicherheitsgründen nicht in den Flieger nehmen. Ja ne, is klar, ey!

Mein neuer Pass

^ v M ><
Vor kurzem ist meine Identitätskarte abgelaufen. Na gut, wenn schon eine neue her muss, dann vielleicht grad zusammen mit einem Pass, schliesslich kann es gut sein, dass ich bald mal etwas weiter weg in die Ferien möchte.

Hmmm, ich hab die Wahl ob günstiger Pass 03 (der gute bewährte) oder überteuerter Pass 06 (der fernabfragbare, biometrische Schnüffelpass für USA-Fans und Stasi-Sympathisanten). Da fällt die Wahl ja unglaublich schwer. Da demnächst der Schnüffelpass zur Pflicht wird und der normale Pass nicht mehr angeboten wird, habe ich noch kurz vor Torschluss den Pass 03 genommen. Tja, liebe Geheimdienste und wer sonst noch an meinen Fingerabdrücken interessiert ist: Die gibt's erst dann ganz offiziell, wenn ihr mir ein Strafverfahren anhängen könnt. Und damit das so bleibt, habe ich auch meine Unterschrift unter die Freiheitskampagne gegen den Abgabezwang von Fingerabdrücken gesetzt.

Aaaaber, liebe Geheimdienste, ich kann euch dennoch etwas entgegenkommen. Hier gibt's mal einen Fingerabdruck. Ist ja letztendlich egal, von wem der stammt. Ihr könnt ihn aber mit meinem Namen assoziieren. Vielleicht hilft's euch ja, sinnlose Datensammlungen sind doch quasi euer Nervenberuhigungsteelein, nicht wahr?

Etwas schade finde ich aber die Änderungen an der neuen ID. Wo früher mal noch "Schweizer Staatsbürger" (auf die Brust klopf) draufstand, steht jetzt nur noch ganz trocken "Nationalität Schweiz". Ah ja. Ich sehe, worauf es hinausläuft. Bürger, das war mal. Denn der Bürger hat schliesslich Rechte.

Ein letzes Wort zu UMTS

^ v M ><
Na ja, vielleicht auch mehr als nur eines :-)

Mit Kernel 2.6.26 ist der usbserial Patch nicht mehr nötig, da ist der usbserial-Bug endlich behoben. Damit funktioniert UMTS nun out-of-the-Box. Zu 2.6.25 kann ich keine Angaben machen, den habe ich Aufgrund von Ferien und Zwangsferien übersprungen.

Des weiteren hatte ich nun keine Geduld mehr, auf Kabel zu warten und hab mir ADSL legen lassen. Wenigstens übernimmt mein Provider die Swisscom-Zwangsabgabe. Blöd nur, dass die mir kein Modem geschickt haben. Mein Dialog mit der Hotline:
H: "Da giits ja nööööd! Wir haben Ihnen tatsächlich kein Modem zugeschickt. Haben Sie nicht zufällig ein anderes Modem rumliegen? Es kann bis 10 Tage dauern, bis Sie Ihr Modem haben."
Ich: "Ja, ich hab eins, so ein Zyxel 630."
H: "Oh je... na gut, ich werd das nun mit Ihnen zusammen einrichten."
Ich: "OK, aber Sie werden wohl grad noch mehr stöhnen, wenn ich Ihnen nun sage, dass ich nur Linux benutze."
H: "Ah, das ist super, ich benutz auch nur Linux. Aber ich glaube, für das Modem gibt's keinen Treiber..."
Ich: *frickel* *frickel*

Nach drei Stunden lief es unter Ubuntu, nach weiteren drei Stunden auch unter Gentoo. Faszinierend daran finde ich, dass es unter Ubuntu nur in einer PPP-over-ATM Konfiguration und Einwahl direkt durch pppd läuft, während es unter Gentoo nur mit PPPoE und rp-pppoe funktioniert, trotz ansonsten identischer Einstellungen.

Mars Attacks

^ v M ><
Wenn man zwei Server mit Samba betreibt, welche beide in zwei Netzen gleichzeitig sind (eth0: Hauptnetz, öffentliche IPs; eth1: Wartungsnetz, private IPs), so führt das gerne zu massig Einträgen im Syslog, wo "martian source" Pakete angeprangert werden:

Apr 24 05:26:32 xyz kernel: martian source xxx.xxx.xxx.255 from 10.0.0.xxx, on dev eth0


Ein tcpdump -i eth0 host 10.0.0.xxx hat mir gezeigt, dass der Auslöser netbios-Anfragen, also Namensauflösungen von Samba, waren. Vermutlich bekommt er da etwas Verwirrung, wenn ein Name auf zwei unterschiedliche IPs aufgelöst werden kann.

Meine Lösung: Da Samba bei uns im Wartungsnetz nicht gebraucht wird (dort läuft alles über NFS), hab ich halt Samba bei beiden Rechnern von eth1 gelöst. Seitdem tritt das Problem nun nicht mehr auf. Vielleicht würde sich das aber auch über eine fixe WINS-Konfiguration der Server lösen lassen.

Legivalidierung: Schikane hoch drei!

^ v M ><
Uni und ETH haben es ja endlich mal fertiggebracht: Legi im Einheitslook. Doch während die ETH ihren Studenten vollen Service mit allem bietet und die Legi schon vorbedruckt ausliefert, ist das für die Uni zu simpel. Da werden teure Validierungsstationen aufgestellt, an denen man die Karte selbst bedrucken muss. Das ist ja an sich schon blöd genug. Noch blöder wirds, wenn die Automaten die Karte nicht annehmen, in den Trotzmodus umstellen und behaupten, dass sie jetzt "Ausser Betrieb" seien. Weitere Versuche somit vorerst ausgeschlossen.

Da ich die Legi aber bis heute Abend validiert brauche (der Opernbesuch wird sonst sieben mal teurer), musste also eine Lösung her. Und siehe da, beim 5. Versuch hat der Automat meine Karte geschluckt und sogar richtig validiert. Ich bin jetzt als Student und Mitarbeiter aufgeführt, hab alle Ermässigungen und ASVZ-Mitgliedschaft. Faszinierend. Immerhin das.

Aber warum geht's nicht auf Anhieb? Haben die tollen Maschinen etwa die gleichen Öffnungszeiten wie die Kanzlei? 9-9:30 und 14:00-14:30 am Dienstag und Donnerstag???

Linux-on-a-stick

^ v M ><
Um eine laute Festplatte zu eliminieren, habe ich mal den Versuch gewagt, Linux auf einem USB-Stick zu installieren. An sich erwies sich das als einfacher als befürchtet.

Die Hardware ist mein uralter VIA-C3 1Ghz mit 512MB RAM (abzüglich 16MB für die Grafikkarte), IDE-CD-Brenner und Laptop-Netzteil. Ehemals war da eine superlaute 60GB Platte drin, die vorherige Installation belegte etwas über 2GB also habe ich einen 4GB Stick gekauft. Dabei habe ich auf Performance geachtet, der Stick schafft gemäss Verpackung 25MB/s lesend und 18MB/s schreibend und ist Enhanced-Ready-Boost zertifiziert. Letzteres weist darauf hin, dass er zumindest minimale Performance-Anforderungen erfüllt.

Als Distribution habe ich Xubuntu gewählt, aus zwei Gründen: Erstens braucht es wenig Ressourcen, zweitens ist es blitzschnell installiert. Für eine blanke Xubuntu-Installation ohne weitere Extras würde auch ein 2GB-Stick reichen.

Das Vorgehen war recht einfach: Xubuntu starten, Stick partitionieren (wurde als /dev/sda erkannt und konnte wie eine SATA-Platte genutzt werden) und mit ext3 formatieren (der Installer bietet leider noch keine spezielle USB-Stick-Dateiformate), installieren, gut ist. Nicht vergessen, den Bootloader Grub in den Master-Boot-Record des Sticks zu schreiben
Na ja, nicht ganz. Beim Booten wird sich Grub vermutlich mit "Error 18" verabschieden. Dieser Fehler bedeutet, dass das Kernel-Image auf einem Plattenbereich liegt, der vom BIOS nicht angesprochen werden kann. Also habe ich die Installation nochmals durchgeführt und dabei zum ersten Mal bei einer Linux-Installation eine eigene Partition für /boot von 64MB Grösse eingerichtet. Und siehe, damit bootet der Rechner tatsächlich.

Da Sticks nur eine begrenzte Lebensdauer haben, da sie nur eine begrenzte Anzahl Schreibzyklen unterstützen, sollten Schreibzugriffe möglichst reduziert werden. Als erste Massnahme sollte deshalb bei der Installation auf eine Swap-Partition verzichtet werden. Der Ubuntu-Installer wird zwar meckern, aber ich weiss ja, was ich da tue. Als nächstes sollte /tmp und /var/run in eine RAMDisk gelegt werden. Dazu muss die /etc/fstab um zwei Zeilen erweitert werden:
none /tmp tmpfs auto,mode=1777 0 0
none /var/run tmpfs auto,mode=0755 0 0


Update: Ganz vergessen zu erwähnen habe ich noch eine wichtige Einstellung! Die restlichen Partitionen sollten alle mit der Option "noatime" gemountet werden. Dies verhindert, dass bei jedem Lesezugriff der Lesezeitstempel der Dateien aktualisiert und auf den Stick geschrieben wird. (Ende vom Update)

Das wär's dann schon. Jetzt muss man nur hoffen, dass der Stick bei jedem Einschalten erkannt wird (kommt sporadisch vor, dass es nicht klappt).

Die Performance ist hingegen zweischneidig: Wenn das System erstmals gebootet hat, dann rennt es ganz ordentlich (zumindest soweit es bei dieser lahmen CPU geht). Allerdings bis Grub und das Kernel-Image geladen sind, kann es sehr lange dauern. Vermutlich wird der Stick da über irgend ein langsames Low-Level-Protokoll angesprochen.

MS Bugreport

^ v M ><
Heute habe ich wieder einen nervigen, unerklärlichen und unlogischen Bug in Kleinstweich Fenster XP entdeckt. Klar, wenn MS eine OpenSource Firma wäre, dann würde ich jetzt einen Bugreport machen. Da ich jedoch davon ausgehen kann, dass MS einen Bugreport für einen minor Bug eines veralteten Betriebssystems (XP) eh nicht ernst nimmt, veröentliche ich das zur allgemeinen Belustigung:

Aufgabe: Anmelden an der Domäne.

Vorgehen:

  • PC einschalten

  • Als Administrator anmelden

  • Feststellen, dass man das LAN-Kabel nicht angeschlossen hat. Also Kabel anschliessen, warten, bis Windows eine IP-Adresse bezogen hat.

  • Unter Systemsteuerung -> System -> Computername -> Ändern den Domänennamen eintragen, auf OK klicken.
    Im Abfragefeld den Namen des Domänenadministrators und dessen Passwort eingeben.

  • Warten.

  • Bemerken, wie Windows die Netzwerkverbindung trennt und neu aufbaut.

  • Uuuups Fehler: Der RPC-Server konnte nicht gefunden werden.

  • Nochmals Adminname und Passwort eintippen.

  • Willkommen in der Domäne.



Wird das LAN-Kabel vor dem Login eingesteckt, tritt das Problem nicht auf.
Gibt man ein falsches Passwort für den Domänenadministrator ein, so kommt die korrekte Fehlermeldung, nämlich dass mit den gegebenen Kredenzien der Computer nicht an der Domäne angemeldet werden kann. Bei der ersten Eingabe mit korrektem Passwort schlägt es wiederum fehl, beim zweiten Mal klappt es.
Der Fehler ist anscheinend reproduzierbar, jedenfalls hatte ich 10 Geräte zum Anmelden, es hat bei jedem Versuch geklappt.

Tja, so ist das mit Windows. Da wird es nie langweilig!

Ubuntu 7.10

^ v M ><
Nachdem ich ja schon über Ubuntu 7.04 geschrieben habe, sollte ich die 7.10 nicht vernachlässigen. Nun ja, Gutsy Gibbon ist soweit ganz OK. Während ich anderweitig beschäftig war, liess ich mal den update-manager (mit Parameter -c) seine Arbeit tun und das Ding aktualisieren. Verlief soweit auch ganz gut, dauerte etwas länger als von 6.10 auf 7.04, aber das spielt nun echt keine Rolle. Nervig waren einzig die häufigen Nachfragen nach dem Vorgehen bei manuell editierten Konfigurationsdateien. Nach dem ersten Start war auch alles noch genau so wie zuvor, abgesehen davon, dass ich vom Schnellstart-Icon im Gnome-Panel das Icon für Thunderbird (den Email-Clienten habe ich unterdessen von 1337 auf Mainstream gewechselt) neu setzen musste und gkrellm für den Localhost neu verlinkt werden wollte.
OK, gmpc hat eine neue Oberfläche bekommen, die derart viel Platz braucht, dass ich grad so gut auf Listen oder AmaroK (KDE-basierende Distro vorausgesetzt... kommt wohl mit KDE 4 :-) ) umsteigen kann. Aber sonst gibt es sich nichts. Peripheriegeräte habe ich noch nicht gross ausprobiert (kommt noch... mitsamt Begründung für den bislang ausgefallenen Test). Xinerama funktioniert weiterhin wie zuvor. Nur Pidgin macht mal wieder Probleme. Ich bin ja schon vor längerer Zeit auf einen handkompilierten Pidgin statt Gaim umgestiegen, auch mit OTR-Unterstützung. Aber unter Gutsy will das einfach nicht. Ohne OTR kein Problem, mit OTR zeigt Pidgin einfach keinen Inhalt sondern nur leere Fenster an (was heissen soll: leere Kontaktliste, beim Hinzufügen neuer Accounts eine leere Liste unterstützer Protokolle und beim Auswählen von Plugins alles grau unterlegt abgesehen von OTR). Na gut, mal ein paar Updates abwarten, ansonsten gibt's halt Pidgin für ein halbes Jahr ohne Privatsphäre.

Als nächstes kommt das Update auf meinem Bürorechner. Und als gaaaanz langfristiges Ziel ist die Migration aller Mitarbeiter auf irgendwas ABM (Anything But Microsoft) weiterhin gesetzt, wobei Ubuntu, manchmal zurecht auch Klickibuntu genannt) ganz gute Dienste leisten könnte. Und Freunde und (Sauf-)Kollegen die Migriert werden wollen habe ich auch noch genug. Schon openSuSE oder OSX wär mir ja recht... Ihr müsst nicht mal ins kalte Wasser springen. Von flüssigem Helium (-273°C -> Windows) zu gefrorenem Kohlendioxid (-56°C -> OSX) wär mir ja schon recht. Kaltes Wasser geht nach meiner Definition übrigens unter 25°C los (in den See spring ich schon ab 20°C...). Also los. Linux-Distributionen haben etwa 26°C erreicht :-D

Wunschkonzert: High Speed GPS

^ v M ><
Schön wenn man Ferien hat. Ich hab leider keine, aber Patrick ist so ein glücklicher. Und wie üblich kann er sich unmöglich von seinem Handy trennen, es abschalten ist schon gar nicht. Drum gibt's hier einen Test des GPS-Empfängers des N95 in luftiger Höhe und bei hoher Geschwindigkeit. Und anscheinend funktioniert es nach wie vor.



Preisfrage an die Leserschaft: Wo befindet er sich zum Zeitpunkt des Fotos (die Antwort: "in einem Flugzeug, welches in 10'000m Höhe unterwegs ist" gilt übrigens nicht ;-) ).

Und Frage an Patrick: Muss man das Handy nicht mehr abschalten, wenn man im Flieger sitzt?

Suchmaschinen-Dilemma

^ v M ><
Datenkrake Google oder doch lieber was anderes?

Google
Irgendwie ist's echt ein Problem. Google vertrau ich nicht mehr so wirklich. Ein Datenkrake, der überall seine Tentakel drin hat. Suchen, Werbung, Mails, Kalender, Instant-Messaging, Office-Dokumente. Klar, einerseits super, dass endlich mal eine Firma ihre Dienste soweit etablieren konnte, dass sie zu einer echten Konkurrenz von Microsoft wurde. Und es ist auch ganz cool, dass ich all meine wichtigen Daten grad an einem Ort zugängig habe. Aber hier kommt wieder das Problem des gläsernen Surfers auf. Ich vertraue meine Daten niemandem an - ausser mir selbst. Ich weiss dann nämlich schlichtwegs nicht, was wirklich damit passiert. Und als letzter Aspekt gegen Google spricht, dass ich dank meiner volkswirtschaftlichen Grundkenntnisse weiss, dass Monopole böse sind und ich sie somit nicht gerne unterstütze. Google hat zwar noch kein richtiges Monopol, ist aber doch schon ziemlich Marktbeherrschend. Aber wenigstens haben sie diese Stellung wirklich durch Qualität erreicht.
Aber die Google-Suche ist nicht mehr das gelbe vom Ei. Klar, der Google-Index ist von der Grösse und der Aktualität her unübertreffbar. Spezialsuchen wie Google Scholar und Google Linux sind super Ideen und hilfreich. Ebenfalls gut gefällt mir, wie sehr sich Google an meine Eingaben hält. Grad um Programmierprobleme zu lösen, ist es wichtig, dass alle Stichwörter und - noch wichtiger - alle Sonderzeichen berücksichtigt werden. Aber oft sind die Suchergebnisse verwässert durch kommerzielle Seiten, Online-Auktions-Artikel oder irrelevante, informationslose Seiten. Dann aus 200'000 Suchergebnissen das richtige rauszusuchen ist doch Umständlich.

Die Alternativen
Yahoo Ist die Nummer zwei am Markt. Aber mir scheint der Index doch etwas USA-lastig zu sein. Microsoft ist Nummer drei und per se nicht vertrauenswürdig und somit keine Option. Ausserdem habe ich neulich schon Produkte von ihnen gekauft, das muss jetzt wieder für die nächsten paar Jahre an Transaktionen meinerseits an Microsoft genügen.
Nummer vier am Markt ist ask.com. Nachdem einer meiner Professoren letztes Semester derart davon schwärmte, habe ich diese Suchmaschine nun selbst etwas intensiver getestet. Nun ja, ich kann leider die Begeisterung nicht teilen. Zu USA-lastiger Index, schlechte Berückichtigung meiner Eingaben, komische Resultate. In Mitteleuropa will ich Ergebnisse aus Europa, nicht den USA. Wenn ich $_SERVER['HTTPS'] eingebe, dann will ich nicht Informationen über freie, anonyme Proxy-Server sondern PHP-Code. Aber dazu müssten halt die Sonderzeichen mit berücksichtig werden.
Der ganze Rest sind lokale Suchen oder haben einen zu kleinen Index. Lokale Suchmaschinen sind gut für Spezialfälle, aber nicht als Allzweck-Suchinstrument. Search.ch gefällt mir, wenn ich etwas in der Schweiz suche, jedoch ist das Killerfeature dieser Seite ja eh nicht die Suche sondern die Karte.

YaCy
Nun, eine weiter Option gibt es noch. YaCy. So, und hiermit kommt wieder das obligatorische "nutz OpenSource Software, nimm mal deine Verantwortung gegenüber dir selbst und der Internet-Gemeinschaft wahr, insbesonderen, wenn es dich genau nichts kostet"-Statement. YaCy ist eine OpenSource Software (lizenziert unter GPL, somit frei, offen und kostenlos), welche als basierende Peer2Peer-Technologie (genau, das böse Zeugs für Urheberrechtsverletzungen :-P ) eine Verteilte Hashtabelle mit Suchergenissen speichert. Indiziert wird von jedem Peer. Soweit ja alles schön und gut, aber taugt das was? Nein, natürlich nicht. Denn der Suchindex ist viel zu klein. Kein Wunder, mein Peer läuft jetzt seit mehreren Wochen, aber maximal konnte ich etwas unter 300 weiteren Peers sehen. Wenn man bedenkt, dass Google etwa 100'000 Server hat - es ist ein weiter Weg dahin.

Fazit
Ich bleib somit vorerst doch bei Google. Allerdings werde ich auch weiterhin nur die Websuche nutzen und mich nicht auf Google Mail oder den Kalender einlassen. Dafür habe ich schliesslich meinen eigenen Server. Google-Cookies habe ich aber sämtliche blockiert und die Google-Werbeseiten (inklusive deren Neuerwerb DoubleClick) werden bei mir per hosts-Datei auf 127.0.0.1 umgelenkt. Die Flashcookies von YouTube putze ich auch regelmässig von der Platte.
Google Talk ist sehr nett, da XMPP-basierend. Hier hab ich auch ein paar Jabber-Kontakte und nehme auch gerne neue auf. Allerdings ist dann OTR-Verschlüsselung noch eine gute Ergänzung, wir wollen ja nicht, dass Google unsere Gespräche indizieren kann, nicht?
Daneben lass ich aber auf meinem Server weiterhin YaCy weiterlaufen und indizieren. Vielleicht wird irgendwann mal was draus. Und falls nicht, so macht das Ding wenigstens viele zufällige Verbindungsdaten, womit die schleichend verschärfte Internetüberwachung sabotiert wird.

Viele Namen und keine Links in diesem Artikel. Nutzt die Suchmaschine eures geringsten Misstrauens, wenn ihr die erwähnten Seiten finden wollt!

Und noch was: Vorgestern hatte ich die Idee zu diesem Artikel. Gestern wird bekanntgegeben, dass MS und Yahoo Fusionsgespräche führen. Heute geben sie bekannt, dass die Gespräche abgebrochen wurden. Aber immerhin, die Yahoo-Aktie ist um 18% gestiegen. Ergo: Nächstes Mal kaufe ich Aktien, bevor ich längere Artikel plane!