Blocked

Es muss ein Witz sein. Ein Teil der britischen Telcos blockiert meine Webseite BDJL.

https://www.blocked.org.uk/results?url=http://www.bdjl.de

Was gibt es hier? Einmal ein Blog über Linux, Höhlen auf der Schwäbischen Alb und hin und wieder mal Politik – und ein anderes Blog mit Bildern von Essen und Rezepten dazu auf bdjl.de/lebensart.

Dann hat es hier noch einen Bereich für Foodies, ein verschlossenes DokuWiki und eine weitgehend gesperrte Moodleseite.

Das ist für die Angelsachsen „adult content“? Armes Land.

Linuxmint Qiana XFCE

Ich hab’s gestern erst gesehen, dass die XFCE Version von Linuxmint 17 inzwischen erschienen ist, die ich auf einem älteren FSC Scenic W mit Hyperthreading fähiger Single Core Intel CPU und 2GB RAM einsetze. Als LTS Version bringt Qiana Updates bis 2019 mit sich.

Ein Upgrade eines bestehenden Systems „Petra“ auf „Qiana“ sollte mit den folgenden Befehlen funktionieren:

sudo apt-get update ; sudo apt-get dist-upgrade

sudo apt-get clean ; sudo apt-get autoremove

Nachdem das System nun auf einem aktuellen Stand ist, tauscht man die Versionen in den Repolisten aus:

sudo sed -i ’s/saucy/trusty/‘ /etc/apt/sources.list

sudo sed -i ’s/petra/qiana/‘ /etc/apt/sources.list

sudo sed -i ’s/saucy/trusty/‘ /etc/apt/sources.list.d/official-package-repositories.list

sudo sed -i ’s/petra/qiana/‘ /etc/apt/sources.list.d/official-package-repositories.list

Man sollte noch nachsehen, ob man sich nicht in der Vergangenheit noch weitere Pakete aus PPAs installiert hat. Ich hatte z.B. noch ownCloud aus dem openSuSE Repo an Bord, das ebenfalls umgestellt werden muss. In diesem Fall muss in der Datei

/etc/apt/sources.list.d/owncloud-client.list

das xUbuntu_13.10 in der URL durch xUbuntu_14.04 ersetzt werden.

Sind alle Einträge angepasst, schiebt man das Update an

sudo apt-get update ; sudo apt-get dist-upgrade

das den Download von fast einem GB an Daten mit sich bringt.

im Zuge der Installation werden Rückfragen gestellt, die man bei Servern häufig mit Enter beantworten kann, ohne all zu viel kaputt zu machen. Beim Update auf Qiana und der Nutzung des Systems als „normaler Desktoprechner“ empfiehlt sich das Gegenteil: So sollte man z.B. die Fragen nach dem root Zugang für den SSH Server entgegen der Voreinstellung auf No schalten. Jeweils mit Yes als Antwort verfährt man auch bei der Rückfrage nach /etc/issue, /etc/issue.net und /etc/lsb-release. Und auch ein Yes auf die Frage „Restart services during package upgrades without asking?“ erleichtert einem die Arbeit.

Technische Vorteile gegenüber Xubuntu konnte ich auf den ersten Blick nicht entdecken. Das Einzige, was mir auffiel, war, dass man bei Drag and Drop auf dem Desktop bei LinuxMint-XFCE automatisch verschiebt, wohingegen man bei Xubuntu die Shift-Taste (oder war’s die Strg-Taste?) drücken muss. Das ist das von den meisten Anwendern bei der Nutzung eines Desktops wohl erwartete Verhalten und nervte mich bisher bei XFCE-Desktops. Aber sonst? Qiana trägt deutlich dicker auf (bei meinem System waren es 1,5 GB Platzbedarf mehr als unter Petra) als ~~sein~~ ihr Vorgänger oder gar Xubuntu.

Nach einem Reboot und etwas Aufräumen (siehe oben clean und autoremove) läuft auch ein älterer Rechner weiterhin nur angemessen langsam 😉

Duplicity auf Ubuntu 12.04 LTS

Um es kurz zu machen: Ein Backup mit duplicity über SCP von einem 12.04 LTS Server auf einen 14.04 LTS Backupserver funktioniert nicht mit der Version, die in den Ubuntu-Repos für 12.04 LTS steckt. Das als default verwendete Backend python-paramiko will nicht kooperieren und ein Update desselben über PPAs wollte mir nicht gelingen, weil ich in eine infernalische Abhängigkeitshölle geriet. Was dann half war ein Update von duplicity selbst auf Version 0.6.23 was über das folgende PPA möglich ist:

https://launchpad.net/~duplicity-team/+archive/ppa

In der dort angebotenen duplicity Version ließ sich paramiko als Backend ersetzen durch pexpect. Der Aufruf von duplicity kann dann in einem Skript so aussehen:

export PASSPHRASE=geheim

/usr/bin/duplicity remove-older-than 7D –ssh-options „-oIdentityFile=/pfad/zum/.ssh/identity-file“ –ssh-backend pexpect scp://benutzer@server.tld/backup >> /var/log/duplicity/backup.log

/usr/bin/duplicity –ssh-options „-oIdentityFile=/pfad/zum/.ssh/identity-file“ –ssh-backend pexpect /home scp://benutzer@server.tld/backup >> /var/log/duplicity/backup.log

unset PASSPHRASE

Diese Unpässlichkeit scheint neueren Datums zu sein.

Hanneshöhle I

: Doline

: Kleinstloch 1

: Kleinstloch 2

: Weg zum Wackerstein

Metzgergang. Heute war nix. Wir untersuchten die obere Hanghälfte beim Won auf Höhlen – die Jungs von unterhalb der Felsen und ich von oben, verbunden per Funk.

Die 1km ONO Ruoffseck gelegene Hanneshöhle fanden wir nicht. Die muss weiter unten am Berg sein (nach Binder auf 770m).

ownCloud Passwort

An der Zickigkeit von ownCloud auf Debian hat sich auch mit dem Upgrade auf die Version 6 wenig geändert. Während auf meinen Ubuntuservern das Upgrade schon immer einfach durchlief, maulte ownCloud mit der gleichen Berechenbarkeit am Ende eines jeden Upgrades auf einem Debian rum, dass das Passwort mindestens eines Benutzers nicht mehr funktioniere etc. pp. Meist lag es am Inhalt der .htaccess Dateien im ownCloud Ordner gepaart mit Firefox und seiner für mich schwer durchschaubaren Cache Verwaltung, die mir hier dazwischen kamen. Da half dann oft die Nutzung von Rekonq – oder eben Anpassungen der .htaccess Files. Heute wollte alles nicht helfen – der Bug saß wo anders (und ich weiß noch nicht wo). Also sah ich mich gezwungen, den Versuch eines Passwort Resets für den Benutzer admin auszuprobieren – was mit phpMyAdmin einfach umgesetzt werden kann.

Die Tabelle oc_users auswählen und dort beim gewünschten Benutzer – hier: admin – auf „Edit“ klicken.

SHA1 auswählen und das neue Passwort im Klartext eingeben. Durch Klick auf GO speichern. Das Passwort für den Benutzer liegt nun ungesalzen in der Datenbank! Deswegen folgt der nächste Schritt.

An ownCloud anmelden (was funktionieren wird) und nach Klick auf den Benutzernamen (rechts oben) zum Passwort-ändern Dialog von ownCloud navigieren. Dort das so eben gesetzte und ein neues Passwort eingeben.

Nur dieser letzte Schritt stellt sicher, dass das Passwort für diesen Benutzer auch gesalzen in der Datenbank landet, was eine kurze Kontrolle in phpMyAdmin auch bestätigt.

Vollblutpolitiker

Bei der Zeit ist heute ein Artikel „Finger weg von Microsoft?“ erschienen [1] in dem der EP-Abgeordnete Jan Philipp Albrecht [2] [3] mit Sätzen zitiert wird, die aufhorchen lassen. Man kann vernehmen, dass es ein Skandal sei, dass öffentliche Stellen immer noch mit proprietärer Software arbeiten würden. Respekt!

Also hab ich gleich mal nachgesehen, was sich über ihn so finden lässt.

Er verzichtet auf seiner Homepage nicht auf US-Dickschiff-Software: http://www.janalbrecht.eu verwendet Google Apis.

Einen GnuPG Key für die verschlüsselte Kommunikation stellt seine Webseite nicht zur Verfügung. Die NSA darf mitlesen – und wird mitlesen. Schließlich geht die E-Mail an die EU.

Selbstverständlich ist er auch bei Twitter und Facebook etc. pp und wirbt auf seiner Homepage zumindest nicht für seine evtl. bestehenden Accounts bei Friendica oder Diaspora. Man muss ja in so nem Job in Kontakt bleiben. Da fällt das mit der Vorbildfunktion nun einmal leider hinten runter.

Dann hat es dort seinen Lebenslauf auf Englisch unter http://www.janalbrecht.eu/fileadmin/material/Dokumente/JPA_CV_Webversion.pdf Das Dokument ist verpackt in ein PDF, das mit der proprietären Software Nitro Pro 8 erstellt wurde. OpenSource? Pustekuchen.

Außerdem befinden sich in dem PDF Schriften von Microsoft – nämlich Calibri. Da wurde das Dokument halt mal schnell mit Microsoft Word (oder zumindest auf einem Windows-Rechner) erstellt?

Aber man muss ihm das wohl nachsehen. Er ist ja nur gegen „Rundum-Überwachung“. So ein bischen Überwachung – tja- das muss wohl sein.

Es handelt sich offensichtlich um einen ein Vollblutpolitiker. Ein Grüner halt.

IPCop is back

Es war nicht mehr auszuhalten mit IPFire. Das Ding frisst sich bei mir innerhalb weniger Tage fest und dann ist man nur noch am Proxy-Cache leeren, URL-Filter neu starten und rebooten, in der Hoffnung, dass danach das Netz wieder performant läuft. Außerdem bekomme ich die Logik der Firewall nicht in meinen Kopf. Egal welches Netzsegment ich für welche Uhrzeit oder welchen Dienst sperre … entweder läuft gar nix mehr im ganzen Haus oder alles flutscht durch.

Jetzt hab ich mir wieder einen IPCop installiert und muss sagen: Die Installation von IPCop 2.x hat sich gegenüber 1.x nicht geändert – man fühlt sich sofort zu Hause. URL Filter und BOT sind mit an Bord und tun auch, was man einstellt. Und das Netz im Haus? Fühlt sich nicht nur schneller an, ist auch messbar flotter. Außerdem sind die Sperrmeldungen von IPCop einfach schön 😉

Passwortänderung, PuTTY und Kollegen

Damit meine Kollegen ihre Passwörter auf dem schulischen Mailserver selbst ändern können will ich diesen keine Möglichkeit direkt über Horde5 zur Verfügung stellen. Im Kontext von Heartbleed wurde mir klar, dass Aufrufe zur Passwortänderung nämlich von Lehrer/innen schlicht ignoriert werden oder Passwörter gewählt werden, die diesen Namen nicht verdienen.

Ich habe nun vor, die Passwortverwaltung einerseits selbst in der Hand zu halten, so weit es eben geht, und andererseits aber auch nicht zu sehr zu gängeln.

Es wird deswegen die Möglichkeit geben, sich über SSH mit einem Passwort-geschützten Schlüssel am Mailserver anzumelden und dort passwd zu nutzen, das wiederum ein paar Prüfroutinen auf die Eingaben loslässt. Restricted Shell sollte genug Sicherheit bieten. So richtig böse ist keiner und wenn doch, dann ist der Mailserver eben weg.

Will also ein Lehrer sein Passwort selbst verwalten, dann erhält er von mir in einer verschlüsselten Mail einen TrueCrypt Container und das zugehörige Passwort. im Container befinden sich PuTTYPortable.exe, puttygen.exe und seine private Schlüsseldatei im SSH Format. Weiter kommt noch eine Anleitung mit dazu – denn: Die Ersteinrichtung von PuTTY überlasse ich ebenfalls dem Benutzer.

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Mit puttygen muss man zuerst den SSH Key über /Conversions /Import key importieren und dann den privaten Schlüssel im PPK Format wieder abspeichern. Beim Import fragt puttygen nach dem Passwort für den Schlüssel.

http://portableapps.com/apps/internet/putty_portable

In PuTTYPortable sind dann die folgenden Einstellungen vorzunehmen:

unter /Session sind der Server und der Port einzustellen
unter /Connection /Data /Auto-login-username ist der Benutzername einzutragen
unter /Connection /SSH /Auth wird über den Schalter /Browse die vorher erstellte PPK Datei mit dem privaten Schlüssel ausgewählt

Ist PuTTY erst einmal zufrieden gestellt, dann speichert man die ganze Geschichte unter /Session ab, so dass man sich dieses Gefrickel in Zukunft sparen kann.

Pam_unix prüft bei entsprechender Konfiguration und in Zusammenarbeit mit pam_cracklib einiges ab, was zu simple Einfälle unmöglich macht. Da muss ich aufpassen, dass ich nicht übertreibe.

Da an keiner Stelle im Prozess der Passwortänderung auch nur Sternchen angezeigt werden, sind die Fehlerquellen sicherlich Legion. Dazu kommt, dass ein solches Verfahren die meisten schlicht abschrecken wird. Schwarze Felder mit blinkenden grünem Strichlein sind die wenigsten gewohnt.

Das ist dann eben so. Ein Kollateralschaden.

Am Rad

War mir total entgangen, dass WordPress im Back- wie auch Frontend Fonts von Google verwendet und diese selbstverständlich von deren Servern lädt. Da stolperte ich erst drüber, als ich diesen Blogpost durch Zufall fand. Keiner meiner vielen RSS Feeds brachte mir dieses Thema auf die Agenda … Mist.

Google hatte demnach auch hier die Möglichkeit genau zu sehen, welche Seite in meinem Blog von welcher IP Adresse aus aufgerufen wird. Es ist zum Kotzen.

Seit gerade eben steckt hier das Plugin Disable Google Fonts von Milan Dinic im System, das ich nun großzügig über alle meine WP Installationen hinweg verteile.

WP mit Google Font

WP ohne Google Font

Nur auf Lebensart wird dies nicht glücken – da brauche ich andere Lösung, weil ich dort selbst einen Font von Google nutze, diesen aber bisher nicht lokal eingebunden habe. Der von meinem Kubuntu vorgeschlagene Ersatz … der hat einen WAF von 0.

Australis

Der neueste Designkram von Mozilla wäre mir eigentlich egal, wenn ich meine Statusbar noch hätte. Die wurde aber entsorgt, so dass ich keinen Nagios Checker mehr sah und NoScript sowie ABE nach oben rutschten. Außerdem gab es CookieKiller nur noch per Kontextmenü und die Anzeige von Links, über die ich meine Maus hielt, tauchte mal rechts und mal links im Browserfenster auf, was aus einem kurzen Kontrollblick ein Suchspiel machte.

Jetzt habe ich zwei weitere Addons – und Firefox sieht wieder aus wie er soll:

https://addons.mozilla.org/de/firefox/addon/classicthemerestorer/

https://addons.mozilla.org/de/firefox/addon/status-4-evar

/localhost

127.0.0.1