kero – Seite 7

N54L als NAS

Juni 5, 2014Juli 3, 2014 kero 4 Kommentare

Die Überlegung war Qnap, Synology oder selbst was bauen. Das Ergebnis der Überlegung war ein HP ProLiant N54L. Für die Entscheidung habe ich relativ lange gebraucht. Qnap (219 und 469) setze ich schon seit Jahren beruflich als zweit Backupsystem ein und war eigentlich immer sehr zufrieden. Ich wollte auch aus diversen Gründen kein System in das ich viel Zeit investieren muss, um es zum Laufen zu bringen. Eigentlich suchte ich nur ein flexibles, wartungsarmes und unabhängiges System auf Linuxbasis und mehr nicht. Der N54L als NAS ist genau das was ich wollte, flexibel unabhängig und günstig. Günstig bedeutet dabei 177 €. Dafür bekommt man einiges: 2,2 GHz dual Core, 4 GB Speicher, DVD Brenner (wozu auch immer), 4 Bay Gehäuse usw.

Ein wichtiger Entscheidungspunkt war auch der Stromverbrauch. Dabei liege ich zur Zeit mit 5 HDs (4 normale + 1 SSD für OS) bei ca. 20 Watt im Idle, 40-50 bei Last und 1 Watt im WOL Zustand. WOL funktioniert außerdem wunderbar, dabei lässt sich das NAS mit jedem Device problemlos aufwecken. Bei XBMC 13 ist WOL direkt integriert und man braucht „eigentlich“ kein Extra Addon. „Eigentlich“ deshalb weil es bisher nur beim ersten mal wecken funktioniert innerhalb einer „Session“. Als Kernel hab ich den 3.14er (http://alexanderduss.de/Share/Kernel/HP_Mircoserver/ danke nochmal) installiert. Als OS nutze ich bisher Openmediavault oder einfacher OMV. OMV ist gut, es bietet eine überschaubare Weboberfläche und tut was es tun soll. Installation ist ein Kinderspiel und es gibt ein Pluginsystem wie bei anderen NAS Systemen auch. Dabei stehen Plugins für Autoshutdown, Plex, DLNA, rsnapshot, virtualbox, virtualhosts usw. zur Verfügung. Durch Einbinden zusätzlicher Repositories, kann man auf noch mehr Plugins zugreifen. Ein Vergleich zu FreeNas und Nas4free fehlt mir, aber ich wollte auch ein Debian basiertes System haben. Darin liegt auch der große Vorteil von OMV. Ein normales Debian (noch squeeze in der 0.5er Version) was man eigentlich nach belieben anpassen kann, aber nicht muss. Sollte das Anpassen überhand nehmen, kommt da einfach ein Debian Wheezy drauf und gut ist, die paar NFS, Samba, DLNA Dienste bekommt man auch via Konsole hin. Bisher bin ich sehr zufrieden und denke ich werde eine Weile bei OMV bleiben. Ansonsten kann man sogar XPEnology (Synology DSM 5.0) auf dem Teil laufen lassen. Auch die Hardare lässt sich problemlos erweitern: Remote Access Karte, zusätzliche Grafikkarte mehr Speicher (max 16GB).

Nachteile gibt es natürlich auch. Das Teil ist ein bisschen lauter als ein Qnap oder Synology. Es fehlt, jedenfalls bei OMV, eine zeitgesteuerte Startfunktion und z.B.

rtcwake -m no -t $(date -d 'tomorrow 8:15' +%s)

funktioniert ~~nicht wie erwartet beim N54L (geht zwar an aber nicht wann er soll)~~ nun auch. Hat mich anfangs etwas gestört, aber eigentlich soll das Teil angehen wenn man es braucht und nicht zu einer bestimmten Uhrzeit und das funktioniert einwandfrei. Die Bootzeit beträgt bei mir ca. 45 Sekunden.
Es gibt keinen Audioausgang, aber das ist zu verkraften.
Der Stromverbauch bei z.B. Qnap (412) ist noch um ein paar Watt niedriger.

Das war es auch schon an Nachteilen aus meiner Sicht. Wer sich auch nur etwas mit Linux auskennt wird mit dem N54L als NAS keine Probleme haben. Der Durchsatz ist mir relativ egal, aber schaffen tut er mit NFS locker 100mb/s bei mir.

Ich werde mal versuchen im Laufe der nächsten Monate ein paar Erfahrungen mit dem N54L aufzuschreiben.

Die neue Wohnung mit Open Source planen

Mai 5, 2014Mai 5, 2014 kero 2 Kommentare

Da ich bald mit Frau K. in eine gemeinsame Wohnung ziehe, habe ich eine Open Source Lösung zur Planung gesucht. Genauer gesagt zur Innenraum Planung. Relativ schnell bin ich bei Sweet Home 3D gelandet und bin nun seit ein paar Tagen ein Fan dieser Anwendung. Bisher hatte ich nur vor einigen Jahren mal was mit SketchUp gemacht, fand ich ok mehr aber auch nicht.

Das Bild ist von der Homepage und zeigt eine Übersicht über die Möglichkeiten des Programms. Sweet Home 3D ist bei Ubuntu 12.04 / 14.04 in den Repositories dabei.

apt-get install sweethome3d

In der 14.04 sind noch weitere Texturen und Modelle dabei. Es macht wirklich Spaß damit die neue Wohnung zu planen und eine Vorstellung über den verfügbaren Platz und Größenverhältnisse zu bekommen. Optimalerweise hat man einen eingescannten Grundriss der Wohnung, den man als Hintergrundbild verwenden kann. Einfach mal anschauen und versuchen die eigene Wohnung nach zubauen. Das Programm ist wirklich eins der Programme wo man ruhig mal donaten sollte.

neulich in Rom

April 25, 2014April 25, 2014 kero Schreib einen Kommentar

„Da sollten Sie auf keinen Fall durchgehen….“

Kurztipp: Greylisting unter Postfix aktivieren

April 16, 2014April 16, 2014 kero Ein Kommentar

Unter Debian/wheezy ist postgrey in einer Minute eingerichtet.

apt-get install postgrey

Die /etc/postfix/main.cf um „check_policy_service inet:127.0.0.1:10023“ ergänzen, sieht bei mir dann so aus:

smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_destination
check_policy_service unix:private/policy-spf
check_policy_service inet:127.0.0.1:10023

Bei Debian Wheezy läuft postgrey default auf 10023.
Postfix neu starten

/etc/init.d/postfix restart

Prüfen ob postgrey läuft mit

$ps aux|grep postgr
postgrey 32421  0.0  0.1  67932 14804 ?        Ss   21:51   0:00 /usr/sbin/postgrey --pidfile=/var/run/postgrey.pid --daemonize --inet=10023

Will man die Verzögerungszeit von default 300 Sekunden anpassen, kann man dies in der /etc/default/postgrey tun z.B.

POSTGREY_OPTS="--inet=10023 --delay=120"

Schaut man in /var/log/mail.info nach postgrey, sollte man bald Einträge in der Art

...postgrey[32421]: action=greylist, reason=new...

finden.

Will man wissen, wer alles so erfolgreich abgelehnt wurde, kann man z.B. einfach mal

cat /var/log/mail.info|postgreyreport

oder etwas übersichtlicher

cat /var/log/mail.log | postgreyreport --nosingle_line --check_sender=mx,a --show_tries --separate_by_subnet=":===============================================================================================\n"

ausführen.

Es gibt noch die Möglichkeit Ausnahmeregeln zu definieren (whitelist_clients, whitelist_recipients).

Links:
http://de.wikipedia.org/wiki/Greylisting

http://www.debuntu.org/postfix-and-postgrey-a-proactive-approach-to-spam-filtering-page-2/

Kurztipp: nmap range scan heartbleed

April 15, 2014April 15, 2014 kero Schreib einen Kommentar

Mit nmap lässt sich relativ unkompliziert ein range scan auf den heartbleedbug durchführen, dazu ist aber eine aktuelle nmap Version nötig:

wget http://nmap.org/dist/nmap-6.45.tar.bz2
bzip2 -cd nmap-6.45.tar.bz2 | tar xvf -
cd nmap-6.45/
./configure
make

wer es dann noch installieren will kann ein

make install

ausführen, womit nmap nach usr/local/bin/ installiert wird, ansonsten liegt die nmap binary direkt im Ordner und kann z.B. mit

./nmap -sV -p 443,10000 --script=ssl-heartbleed.nse 123.123.123.1/24

aufgerufen werden. Ein Scan durch ein ganzes Subnetz kann schon ein paar Minuten dauern und treibt die Last der Maschine recht hoch. Also am besten auf parallele Prozessese verzichten. Die Portliste kann man natürlich noch um diverse Ports erweitern (443, 993, 25, 465 usw.).
Bei Erfolg sieht das Ergebnis in etwa so aus:

...
Host is up (0.0014s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-heartbleed:
|   VULNERABLE:
|   The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. It allows for stealing information intended to be protected by SSL/TLS encryption.
|     State: VULNERABLE
|     Risk factor: High
|     Description:
|       OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2-beta1) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading memory of systems protected by the vulnerable OpenSSL versions and could allow for disclosure of otherwise encrypted confidential information as well as the encryption keys themselves.
|
|     References:
|       http://cvedetails.com/cve/2014-0160/
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
|_      http://www.openssl.org/news/secadv_20140407.txt
...

Noch ein Hinweis…liebe Webmin Benutzer denkt daran Webmin neu zu starten, denn das ist natürlich auch vom Bug betroffen.

Links:

http://nmap.org/download.html

http://www.cirgan.net/scanning-openssl-heartbleed-bug-with-nmap/

Kurztipp: Heartbleed und kein Ende

April 10, 2014April 16, 2014 kero 4 Kommentare

Denen, die NAS Systeme zu hause betreiben und das Webinterface aus Bequemlichkeit von 0/0 erreichbar gemacht haben, sei gesagt: Euer NAS ist höchstwahrscheinlich auch vom Heartbleed Bug betroffen.

Getestet habe ich bisher nur ein altes QNAP 219 mit Version 4.05 und ein QNAP 469L mit 4.06. Ich denke aber, dass so ziemlich jedes QNAP NAS (Synology & co sicherlich auch) mit der 4er Firmware betroffen ist. Updates habe ich bisher noch keine dafür gesehen. Am besten also den Zugriff beschränken oder komplett von außen sperren. Problematisch wird es bei billig NAS Systemen, wo Softwareupdates eher die Ausnahme sind. Das gleiche gilt natürlich auch für eure Raspberry Pis & co. Bei Raspbmc ist ein komplettes upgrade/ dist-upgrade eher nicht zu empfehlen. Da sollte ein

apt-get update && sudo apt-get --only-upgrade install openssl

reichen. Da kommt sicherlich noch viel mehr und das Netz wird zur Zeit voll von Scans sein. Mich würde interessieren ob ein massiver Scan auf verwundbare Systeme irgendwelche Auswirkungen zeigt, also Anstieg der Load zum Beispiel.
Ist man neugierig wer so alles den Heartbleed Bug bei seinen Systemen versucht kann folgendes versuchen:

# Log rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

# Block rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

Die erste Regel logt Versuche nach syslog (oder /varog/warn bei Suse), die zweite sperrt 443 für Exploit Versuche (via https://plus.google.com/+MatthewSummers/posts/jiZdHvuHq69 und zu finden unter http://seclists.org/fulldisclosure/2014/Apr/109)

….ach da kommt bestimmt noch viel mehr in naher Zukunft.

update: Mittlerweile gibt es die FW4.07 für das QNAP 469L, damit ist die Lücke geschlossen. Für das QNAP 219 gibt es leider nichts.

Kurztipp: PHP Variablen pro Vhost anpassen

April 7, 2014April 7, 2014 kero Schreib einen Kommentar

Viele Apache Admins neigen dazu, alle PHP Einstellungen in der globalen php.ini (/etc/php5/apache2/php.ini default bei Debian) zu machen. Das ist einfach und überschaubar. Die einzelnen Vhosts haben dann in der Regel nur noch ein php_admin_value open_basedir in der jeweiligen Konfiguration und mehr nicht. Das führt dazu, dass bei einer größeren Anzahl von Vhosts, die Limits eventuell unnötig hoch sind, z.B. will man vielleicht für einen eigenen Phpmyadmin Vhost eine höhere upload_max_filesize als für einen einfachen Webauftritt. Trägt man die Werte direkt in die globale php.ini ein, gelten die Werte natürlich für alle Vhosts. Will man die Werte aber nur für einen bestimmten Vhost anpassen, kann man das auch z.B. direkt in die jeweilige conf eintragen:

<VirtualHost *:80>
...
php_value max_execution_time 120
php_value upload_max_filesize 128M
php_value post_max_size 129M
...
</VirtualHost>

Das kann auch für bestimmte „Locations“ und „Directories“ einzeln eingetragen werden. Je nach Möglichkeit (AllowOverride Options) geht das auch mit .htaccess, aber das führt zu unnötiger Last (vielleicht übertreibe ich) und ist meiner Meinung nach auch ein Sicherheitsrisiko. So das wars, sonst ist es kein Kurztipp mehr ;-).

HP Touchpad von 4.2.2 auf 4.4.2

April 6, 2014April 8, 2014 kero Schreib einen Kommentar

Ich habe mich mal ans Update gewagt und kann es eigentlich nur jedem empfehlen.

Resizing mit Tailor.
Flintman’s TWRP v2.6.3.0 SeLinux Alpha Touch via „normalen“ TWRP installiert
Factory Reset & co
neu gestartet und Milaqs 11er mit 3.0er Kernel & gapps installiert

Die nötigen Updatedateien sollten natürlich irgendwo „griffbereit“ für TWRP liegen. Lief alles sehr unkompliziert, besonders Tailor ist ziemlich klasse und besser als diese ganzen vorgefertigten Patche zum Resizen. Bei mir lief das alles sehr einfach und ohne Probleme.

Links:

http://rootzwiki.com/topic/116097-info-my-hp-tp-datamedia-recovery-rom-notes-install-guide-4-06-14/

Update: auf cwm (JcSullin’s Philz cwm6.0.4.7 DM touch 20140317) umgestiegen flintman’s twrp hat sich ab und an aufgehangen

Rom

April 4, 2014April 4, 2014 kero Schreib einen Kommentar

Da wir letzte Woche noch in Rom waren folgt ein Bild von Rom und zwar von hier, von der Dachterrasse aus gemacht.

Rom hat mir unglaublich gut gefallen. Mein letzter Besuch war 12-13 Jahre her, Rom ist aber immer noch toll. Leider wird der gemeine Kirchentourist immer unausstehlicher, was mit dem Einzug der Digitalfotografie zu tun hat.

Kurztipp: Übersicht über Postfix Aktivitäten

April 4, 2014April 4, 2014 kero 2 Kommentare

Wer eine einfache Übersicht über seinen Postfix bekommen will, sollte sich mal pflogsumm anschauen. Für viele sicherlich ein alter Hut trotzdem für Mailerneulinge vielleicht interessant.

$ apt-get install pflogsumm
$ pflogsumm -d yesterday /var/log/mail.info

und schon erhält man viele schöne Informationen zu den gestrigen Aktivitäten des Mailers.

Grand Totals
------------
messages

128   received
109   delivered
0   forwarded
12   deferred  (199  deferrals)
45   bounced
9   rejected (7%)
0   reject warnings
0   held
0   discarded (0%)

Recipients by message size
--------------------------
1885k  thomas@exdc.net
508236   kero@exdc.net
...

message deferral detail
-----------------------
smtp (total: 199)
64   mail.oo.co[50.23.198.74]:25: Connection refused
25   qny.co[82.98.86.173]:25: Connection timed out
21   mail.fn.co[50.23.198.74]:25: Connection refused
....

und und und.

Am besten einfach als Cronjob einrichten und sich täglich mailen lassen, falls man Interesse an den Informationen hat.

0   1   *   *   *    /usr/sbin/pflogsumm -d yesterday /var/log/mail.info | mail -s "Mailstatistiken" alteristfacebookdoof@localhost

Ansonsten auf jeden Fall mal ein interessanter Einblick was der kleine Postfix so alles ertragen muss ;-). Wer Graphen dufte findet kann sich mailgraph anschauen.

Kurztipp: Raspberry Pi erste Sekunden eines Tracks werden übersprungen

April 3, 2014April 3, 2014 kero Ein Kommentar

Wer ein Raspberry Pi auch zum Hörbuch / Hörspiel hören nutzt und beim Wechseln zum nächsten Track, die ersten paar Sekunden des neuen Tracks nicht hört, sollte einfach mal folgende Einstellung testen:

force_hdmi_open=1
config_hdmi_boost=4

In die /flash/config.txt bei openelec („mount /flash -o remount,rw“ nicht vergessen) oder bei raspbmc in die /boot/config.txt eintragen. Bei mir hat es auf jeden Fall geholfen.

Hinweis: Debian 7 multipath.conf

März 4, 2014März 4, 2014 kero Schreib einen Kommentar

Anscheinend haben sich einige Dinge nach dem Upgrade auf Debian 7 bei der multipath.conf geändert.

Die Variable selector wird zu path_selector und das polling_interval darf nur in der defaults Sektion gesetzt werden.

Das sind jedenfalls die Änderungen, die mir aufgefallen sind.

Kurztipp: force reboot

Februar 28, 2014März 1, 2014 kero Schreib einen Kommentar

Da ich das vor ca. 5 Minuten erfolgreich benutzt habe, bzw. benutzen musste. Wenn ein „reboot“ (selbst mit -f) seine Wirkung nicht tut, kann man folgendes machen:

echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

Funktioniert wunderbar und ist vergleichbar mit drücken der Reset Taste am Rechner. Dabei wird kein Prozess beendet, kein sync durchgeführt oder umount. Kann also unter Umständen zu größeren Problemen führen.

Mehr Informationen dazu gibt es unter http://major.io/2009/01/29/linux-emergency-reboot-or-shutdown-with-magic-commands/.

Kurztipp: NFS debian Squeeze/Wheezy

Februar 24, 2014Februar 26, 2014 kero Schreib einen Kommentar

Will man die IDs sehen anstatt nobody und nogroup, kann man beim mounten als NFS Option einfach

vers=3

angeben.

Latitude E7240 unter Ubuntu 13.10 und die FB 7270

Februar 15, 2014Februar 15, 2014 kero Schreib einen Kommentar

…mochten sich nicht. Es gab ständig Verbindungsabbrüche. Geholfen hat dann schließlich ein Abschalten der automatischen Wlankonfiguration der Fritzbox und das Deaktivieren der „Für 300 Mbit/s optimierte Funkkanäle nutzen“ Funktion. Der Weg dahin hat etwas mehr Zeit in Anspruch genommen und wurde nur über diverse Umwege erreicht. Nun scheint aber alles ohne Probleme zu laufen, jedenfalls sind bisher keine neuen Verbindungsabbrüche aufgetaucht.