Erweiterter IP-Tables Einsatz

Viele setzen IP-Tables im Linux-Kernel ja nur als einfache Filterinfrastruktur ein. Dabei besitzt IP-Tables durchaus recht mächtige Funktionen. Ich gebe hier mal ein paar Beispiele:

Als erstes ein kleiner Filter, der loggt, wenn ssh ausschließlich mit niedriger Verschlüsselung verwendet wird. Blockieren auf der Ebene wäre zwar möglich, da die Verbindung jedoch schon steht, würde das nur ein DOS auf den eigenen ssh-Server begünstigen.

iptables -A INPUT -p tcp -m tcp --dport 22 \
   -m string --string "hmac-sha1,hmac-sha1-96,hmac-md5,hmac-md5-96,hmac-ripemd160,hmac-ripemd160@openssh.com" --algo bm --from 64 --to 1024 \
   -j ULOG --ulog-prefix "[LOW_SSH]"

Nun ein etwas komplexeres Beispiel. Diesen Filter verwende ich am Ende meiner INPUT-Chain (zumindest der Check selber) um zu detektieren, wenn jemand ständig unbediente Ports ausprobiert. Die Idee dahinter ist, daß erst am Ende der Chain die eigentliche Entscheidung fällt. Technologisch setzte ich hier vor allem auf hashlimit um false positives zu vermeiden. Zum eigentlichen Blockieren setze ich auf recent, das dazu recht praktisch ist.

iptables -A INPUT -m recent \
      --update \
      --seconds 3600 \
      --name attacks \
      --rsource \
   -j DROP_AUDIT
iptables -A INPUT -p tcp -j DETECT_INVALID
iptables -A INPUT -p udp -j DETECT_INVALID
iptables -A DETECT_INVALID ! -i eth0 -j RETURN
iptables -A DETECT_INVALID -p tcp -m tcp --tcp-flags SYN,RST RST -j RETURN
iptables -A DETECT_INVALID -p tcp -m tcp --tcp-flags ALL ACK,FIN -j RETURN
iptables -A DETECT_INVALID -m hashlimit \
      --hashlimit-upto 10/hour \
      --hashlimit-burst 10 \
      --hashlimit-mode srcip \
      --hashlimit-name attack_invalid \
   -j RETURN
iptables -A DETECT_INVALID -m limit --limit 3/minute -j ULOG --ulog-prefix "[invalid_attack]"
iptables -A DETECT_INVALID -m recent --set --name attacks --rsource -j DROP_AUDIT

Nun ein Beispiel mit ineinandergeschachtelten hashlimits. Dieser Teil ist in der Lage (wie der Chain-Name schon vermuten läßt), Portscans zu erkennen und entsprechende Maßnahmen zu ergreifen.

iptables -A INPUT -m recent \
      --update \
      --seconds 3600 \
      --name attacks \
      --rsource \
   -j DROP_AUDIT
iptables -A INPUT -p tcp -j DETECT_PORTSCAN
iptables -A INPUT -p udp -j DETECT_PORTSCAN
iptables -A DETECT_PORTSCAN -p tcp -m tcp --tcp-flags SYN,RST RST -j RETURN
iptables -A DETECT_PORTSCAN -m hashlimit \
      --hashlimit-above 3/minute \
      --hashlimit-burst 5 \
      --hashlimit-mode srcip,dstport \
      --hashlimit-name portscan_port \
   -m hashlimit \
      --hashlimit-upto 3/sec \
      --hashlimit-burst 5 \
      --hashlimit-mode srcip,dstport \
      --hashlimit-name portscan_port_p \
   -j RETURN
iptables -A DETECT_PORTSCAN -m hashlimit \
      --hashlimit-upto 5/minute \
      --hashlimit-burst 10 \
      --hashlimit-mode srcip \
      --hashlimit-name portscan \
      --hashlimit-srcmask 24 \
   -j RETURN
iptables -A DETECT_PORTSCAN -m limit --limit 3/minute -j ULOG --ulog-prefix "[portscan]"
iptables -A DETECT_PORTSCAN -m recent --set --name portscan --rsource -j DROP_AUDIT

Update: Reihenfolge in Portscans-Detection geändert, daß sie macht was sie soll

Klaus Ethgen — Do 11. Juni 2015

Serverangriffe vermehrt aus Cloudflare range

Seit einigen Tagen beobachte ich vermehrte Angriffsversuche oder Scans. Wenn ich ein Muster darin suche, stoße ich fast ausschließlich auf Cloudflare. Cloudflare scheint China vollständig als Malware verseuchtes Netzwerk abgelöst zu haben.

Macht gerne so weiter, Cloudflare, in meiner IPTables-Blockliste ist noch ne Menge Platz für eure IP-Ranges. 6 recht große Ranges von euch sind schon drin.

Klaus Ethgen — Sa 6. Juni 2015

Wie Google SSL mit größtmöglicher Dummheit implementiert

Nun ist Google vielleicht nicht gerade die Firma, die man mit SSL in Verbindung bringt, als Technologiefirma erwartet man jedoch ein gewisses Grundverständnis.

Leider hat es Google in den letzten Monaten geschafft, SSL mit der größtmöglichen Dummheit zu implementieren. Seit einigen Monaten tauscht Google im Monatsrhythmus ihre gesamten Zertifikate aus.

Damit aber zerstört Google nicht nur das Vertrauen in die Zertifikate, es macht es auch quasi unmöglich, zu erkennen, wenn und ob ein Fremdzertifikat zum Angriff verwendet wird.

Nicht nur, daß ein solches Vorgehen Addons wie Certificate Patrol ad absurdum führt, es bombardiert auch Software, die SSL auf die einzigst sinnvolle Art implementiert wie zum Beispiel imapfilter, wo keinem ominösen Root-Zertifikat vertraut wird, sondern der User (nach vorheriger Prüfung) das aktuelle Zertifikat bestätigt.

Das Root-Zertifikat-Ausgebern nicht vertraut werden kann ist ja schon lange bekannt. Bestes Beispiel ist ja, daß solche Anbieter wie Türktrust immer noch in allen Browsern enthalten sind. Dabei ist CAcert, was zumindest Communitybasiert ist, nirgends mehr enthalten. Irgendwie eine komplett verkehrte Welt also.

Klaus Ethgen — Mo 9. März 2015

Krieg

Und wieder mal geht ein Krieg von deutschem Boden aus. Wie aus den heutigen Medien zu entnehmen ist, setzt die NATO und allen voran die deutsche Regierung in der Ukraine-Krise voll auf Eskalation.

Noch stößt die Kriegstreiberei der Bundesregierung auf größtenteils Ablehnung in der Bevölkerung aber es ist nur eine Frage der Zeit, bis diese Warnrufe verstummen.

Dieser Eintrag paßt zwar thematisch nicht ganz hierher, ich denke nur, man kann nicht deutlich genug darauf aufmerksam machen, wie die Bundesregierung alle Mittel einsetzt, daß Deutschland wieder einen Krieg führen kann.

Ich meine, es funktioniert ja auch in Amerika recht gut; wenn man droht in eine Rezession zu rutschen, zettelt man einen Krieg im Irak oder in Afghanistan an und schon geht es der Wirtschaft wieder besser. Warum soll daß in Deutschland nicht auch funktionieren.

[0] Fokus Artikel über die neuen Eskalationsversuche der NATO und Deutschlands
[1] RP-Online-Artikel
[2] FAZ

Klaus Ethgen — So 1. Februar 2015

TLS oder SSL, doch ein Unterschied

Ich bin ja nie ein Fan von unsichtbarer Verschlüsselung ala TLS gewesen und war und bin ein erbitterter Feind der Begriffsverwässerung, mit TLS sowohl das eigentliche TLS als auch SSL zu bezeichnen.

Das Chaos der Versionierung von TLS und SSL und das TLS1.0 eine höhere Version ist als SSLv3, macht die Problematik nur noch komplett.

Zur Erinnerung, im Browser verwendet man einen anderen Port der nur und ausschließlich SSL spricht, während Mail über Port 25, wenn sie verschlüsselt wird, per TLS gesichert wird (um nur mal zwei Beispiele zu nennen). Der Vorteil an SSL ist ja gerade, daß man sieht, daß die Verbindung verschlüsselt wird (mal von Implementierungsfehlern abgesehen).

Bei TLS ist das leider nicht direkt sichtbar und kann zwischendrin problemlos abgeschaltet werden wie jetzt bei einem Provider in den USA nachgewiesen wurde. (Artikel bei Golem)

Daß das jedoch der einzigste Fall sein soll, wage ich zu bezweifeln. Es ist nur ein Provider, der dumm genug war, sich erwischen zu lassen.

Insofern kann man nach wie vor jedem nur raten, von unsichtbarer Verschlüsselung die Finger zu lassen und Verschlüsselung klar sichtbar auf Protokollebene zu implementieren und zu nutzen.

Klaus Ethgen — Mi 15. Oktober 2014

Schlüssellängen

Zur Zeit scheint es ja einen großen Trend zu geben, daß Leute ihren 1024(!)-Bit-Key durch eine größere Variante ersetzen. Auf der einen Seite muß man sagen, daß das begrüßenswert ist, aber auf der anderen ist das doch reichlich spät. Wenn dann noch der 1024er-Key nur durch eine 2048-Bit-Variante ersetzt wird, ist das recht kurzfristig gedacht. Leute, schaut euch doch mal in der Welt um. Schon auf dem 20c3 gab es einen Vortrag, daß 1024 Bit nicht mehr ausreichend sind. Auch andere Quellen wie zum Beispiel ein Paper von Arjen K. Lenstra und Eric R. Verheul sowie eine Empfehlung zur Schlüssellänge (bei archive.org, da im Original nicht mehr verfügbar) lassen schon seit Jahren den Schluß zu, keine kurzen Schlüssel mehr zu verwenden.

Leider bedeutet ein solch später Austausch des Keys, daß man sich unmöglich auf die Sicherheit des alten Schlüssels verlassen kann, wenn man den Neuen signieren möchte. Eine Revalidierung bei einem persönlichen Treffen ist unumgänglich.

Meine eigenen Schlüssel habe ich schon frühzeitig zu einer längeren Variante migriert. (1024er Key 2001 widerrufen und Migration von 2048 auf 4096 im Gange.) Leider taten das der ein oder andere als paranoide Spinnerei ab. Nun scheinen es ja einige einzusehen; aber leider zu spät.

Klaus Ethgen — Mo 14. Oktober 2013

Truecrypt or not Truecrypt

Vielleicht ist die Überschrift etwas fehlweisend. Wer seit langem Truecrypt einsetzt, aber eigentlich schon länger davon loskommen möchte, daß er irgendwelche schräge Software auf seinem Rechner hat, die von unbekannten gepflegt wird, für den ist seit Version 1.6.0 in Cryptsetup eine Neuerung reingewandert. Set dieser Version kann nämlich Cryptsetup direkt Truecryptcontainer öffnen; und zwar nicht nur einfache, sondern auch explizit die versteckten Container. Damit gibt es somit keine Notwendigkeit mehr, ein Truecryptbinary zu behalten, sofern man nicht neue Container erstellen möchte.

Klaus Ethgen — Mo 26. August 2013

Flugplanungsquellen

Essentiell für die Fliegerei ist eine vollständige Flugplanung. Wie diejenigen, die selber fliegen, sicher wissen, nimmt diese doch einiges an Zeit in Anspruch. Die meiste Zeit geht darauf verloren, daß die unterschiedlichen Informationen nicht an einer Stelle zu finden sind, sondern sich von vielen verschiedenen Quellen und teilweise auch kostenpflichtigen Quellen zusammengesucht werden müssen.

Dabei sollte man meinen, daß zumindest die wichtigsten Dinge zentral und einfach erreichbar sein sollten; handelt es sich doch hierbei um sicherheitsrelevante Informationen. Zusätzlich mühsam wird es dann, wenn, wie zum Beispiel beim DFS, ein langjährig erprobter und recht sinnvoller Service (NOTAM-Briefing als PDF) durch eine mühsam zu bedienende Portal-Lösung abgelöst wird, die es auch nicht mehr erlaubt, einfach Bookmarks zu den relevantesten Strecken abzulegen.

Wie auch immer, ich habe hier mal ein paar solche Dinge zusammengefaßt. Sollte wer Ergänzungen haben, so würde ich mich über eine kurze Mail freuen.

Als erstes wäre hier ein Wetterbriefing für den aktuellen bzw. die nächsten Tage zu nennen. Es gibt zwar einige Wetterseiten, die jedoch alle nicht die Anforderungen für die Aviatik erfüllen. Zur Zeit kenne ich für die Schweiz und Deutschland leider nur kostenpflichtige Versionen.

Ein erfreulich offener Service sind METAR und TAF. Beide kann man für Flugplätze weltweit unter METAR und TAF abrufen. Teilweise sind diese sogar schneller verfügbar als die nationalen Quellen wie zum Beispiel Metoschweiz.

Als nächstes hätten wir eine allgemeine Wetterübersicht anhand einer Isobarenkarte wie zum Beispiel beim DWD oder bei Meteoschweiz zu bekommen.

Gerade für Alpenflüge interessant und wichtig, sind auch die Angaben aus dem GAMET. Leider kenne ich keine öffentliche Quelle, woher diese Informationen zu bekommen sind. Aufgrund der Wichtigkeit kann ich über solch eine Politik nur den Kopf schütteln.

Genau das Selbe gilt leider für AIRMET und SIGMET. Auch diese, essentiellen, Informationen sind nur gegen bare Münze zu bekommen und schlecht zu automatisieren.

Weiter geht es mit dem GAFOR. Auch hier sitzen die lokalen Meteokonsortien auf den Daten und rücken sie nur gegen Geld raus. Im Gegensatz zu den beiden obigen Informationen sind dies jedoch abgeleitete Daten, die man durchaus auch selbst erstellen kann, wenn man die notwendige Erfahrung hat. Somit kann ich es sogar noch etwas verstehen, daß eine Firma für eine solche Dienstleistung Geld möchte.

Kommen wir wieder zu erfreulicherweise offenen Informationen. Auch wenn diese teilweise recht tief verlinkt und definitiv nicht schnell zu finden sind.

Hier wäre zuerst einmal ein DABS zu nennen. Hier kenne ich nur die Quelle für die Schweiz. Auf den Seiten der Skyguide kann man tief drin selbiges finden. (http://www.skyguide.ch/fileadmin/dabs-today/DABS_%Y%m%d.pdf) Wie man sieht, jedoch recht mühsam als Link zu speichern. Zudem scheint das PDF seit kurzem verschlüsselt zu sein und erlaubt es nicht mehr, es automatisch in eine eigene Planung zu integrieren.

Eher für Segler, aber auch für Motorflugpiloten interessant ist das Emagramm. Für die Schweiz erhält man dies auf den Seiten von Meteoschweit (O UTC und 12 UTC).

Für eine Gefahrenabwägung ist noch ein LWC wichtig, das unter http://weather.noaa.gov/pub/fax/PGDE14.PNG zu bekommen ist.

Schlußendlich wäre noch das NOTAM zu erwähnen. Dieses bekommt man für Deutschland, Österreich und die Schweiz beim DFS zwar kostenfrei, leider aber nicht mehr so schön aufbereitet, wie es früher unter http://www.dfs-vfrebulletin.de/ zu finden.

Andere Länder sind bei diesen Informationen durchaus freigiebiger. Dort bekommt man dann auch ganze AIPs. Leider gilt das aber nicht für unsere fortschrittlichen Ländern Deutschland und Schweiz.

Klaus Ethgen — Sa 3. August 2013

Fliegen

Seit meiner Flugprüfung liegt nun fast ein Jahr und über 40 Flugstunden. Endlich erschloß sich mir auch die dritte Dimension. Als ich anfing, konnte ich nicht ahnen, wie süchtig ich mal darauf sein werde.

Heute war ich wieder fliegen. Das Wetter war exakt nach meinem Geschmack. Eine herrliche Sicht auf die Berge und die Turbulenzen sorgten dafür, daß bei mir keine Langeweile aufkam.

Klaus Ethgen — Sa 3. November 2012

UTF-8-Ärgernis

UTF-8 wird mehr und mehr zum Ärgernis. Während es früher mühsam war, UTF-8 zu benutzen, kann es mittlerweile genau umgekehrt sein und bei Verwendung eines anderen Encodings als UTF-8 zu Problemen führen.

Dabei ist der unreflektierte Einsatz von UTF-8 nicht nur lästig, sondern kann unter Umständen auch gefährlich sein, zum Beispiel, wenn die URL ähnliche, aber nicht gleiche Zeichen enthält wie zum Beispiel die der eigenen Bank.

An anderen Stellen, wie zum Beispiel im IRC, macht UTF-8 die Kommunikation durch die ganzen Mehrzeichenzeichen (blödes Wort, aber mir fällt zu dem Müll kein brauchbarerer Ausdruck ein) recht mühsam mit den ganzen ö, ü und schlimmeren Konstrukten. Deswegen habe ich schon eine automatische Lösung implementiert, um sowas einfach zu ignorieren; in dem Sinn führt also UTF-8 nicht zu mehr Verständigung sondern zu wendiger!

Schlußendlich verursacht UTF-8 auch einen, teilweise nicht unerheblichen, Overhead bei der Datenübertragung. Auch die Verarbeitung gestaltet sich mühsam und ein Datenstrom ist nicht mehr beliebig seekbar.

Klaus Ethgen — Sa 19. November 2011

Fsynceritis und andere Unarten

Ich bin seit einiger Zeit schon am rumrätseln, warum meine Systeme zwar immer schnellere Hardware haben, aber trotzdem ein apt-get upgrade immer langsamer wird und wie ich das damals auf meinem langsamen Pentium 100 ausgehalten habe.

Nun bin ich vor kurzem auf ein kleines Tool gestoßen, eatmydata, daß schlicht und einfach fsync und Konsorten über eine kleine Preload-Library abschaltet. Ich war begeistert, was das an Geschwindigkeit brachte. Nun dauerte ein apt-get upgrade nicht mehr wie üblich in den Größenordnungen ½ bis eine Stunde, sondern war nach wenigen Sekunden (bei der sonst selben Menge Upgrades) fertig. Das Risiko des Datenverlustes ist in den wenigen Sekunden ohne fsync jedenfalls um Klassen geringer als in der Stunde mit fsync!

Scheinbar wird in apt-get mittlerweile so viel mit fsync gearbeitet, das alle Zugriffsoptimierungen, die der Kernel in Filesystem, LVM, Softwareraid und Hardwarezugriff macht, komplett negiert werden.

Ich frage mich auch ein Wenig, warum, wenn ein fsync so wichtig sein soll, die Kernelentwickler dieses nicht automatisch machen. Das hat sicher seinen Grund. Das jetzt von anderen gefordert wird, auch in cp und tar fleißig zu fsyncen[0] zeugt nur von übermäßiger Unkenntnis dessen, was sie behaupten.

Ein weiterer Punkt, der unter ständigem fsync leidet ist das Bereinigen meine Bacula-sqlite-Datenbank. Wärend ich den dbcheck-Lauf bisher immer über Nacht durchgeführt habe, weil er doch mehrere Stunden in Anspruch nahm, in denen das System eine enorm hohe IO-Last hatte, dauert das ganze mit eatmydata nur noch unter einer Minute bei wesentlich geringerer IO-Last. Datenverlust wäre mir in dem Fall sogar egal, da ich ein dump von der Datenbank davor habe.

Es bleibt nur zu hoffen, daß nicht noch mehr Tools auf die fsync-Unart aufspringen, sondern sich davor mal Gedanken machen, warum das so ist wie es ist. Ich meine damit nicht, daß fsync völlig sinnlos ist. Es hat sicher seine Anwendungsgebiete. Aber die extensive Nutzung dieses Werkzeuges führt seinen Sinn ad-absurdum.

Klaus Ethgen — Fr 16. September 2011

Immer mehr unnötige Daemons mit KDE-Tools

Mittlerweile wird es recht lästig, da startet man ein Tool, das für KDE geschrieben wurde – zum Beispiel tellico – und hat danach tausende an Daemonen laufen darunter unter Anderem sogar einen mysql. Anstelle diese Damonen, so sie denn verwendet werden, nach Beendigung des Programms mit zu beenden, laufen diese ewig weiter, verschwenden Resourcen und stellen im schlimmsten Fall eine Sicherheitslücke dar.

Schlimm genug, daß diese ganzen ungewollten Daemonen nicht wirklich dokumentiert sind (die meisten kommen ohne Man-Page daher), werden diese auch noch durch Abhängigkeiten mittlerweile automatisch installiert. Dabei reichen die folgenden paar Befehle aus, zumindest die eine Hälfte in Griff zu bekommen:

for i in \
   /usr/bin/{akonadiserver,nepomukserver,akonadi_control} \
   /usr/lib/gamin/gam_server; do \
   dpkg-divert --local --rename $i; \
   ln -s /bin/true $i; \
done

Die andere Hälfte bekommt man leider nur durch ein Killen der entsprechenden Daemonen nach Anwendungsbeendigung in Griff:

pkill -9 kded4
pkill -9 knotify
pkill -9 kdeinit4
pkill -9 kio_http_cache_

oder kürzer:

pkill -9 'kded4|knotify|kdeinit4|kio_http_cache_'

Achtung, der Prozessname ist nicht kio_http_cache_cleaner, da wird sogar Verstecken gespielt. Der korrekte Name ist kio_http_cache_ (Aus /proc/<pid>/comm).

Irgendwie ist es tragisch, das mittlerweile nur noch diese drastischen Optionen helfen.

Klaus Ethgen — Mi 5. Mai 2010

Zsh — Oder wie sich das Shellverständnis wandelt

Meine ersten Unix-Erfahrungen machte ich auf der tcsh, einfach, weil diese die Voreinstellung für neue User im Rechenzentrum der FH, in der ich studierte, Voreinstellung war.

Nach einiger Zeit merkte ich jedoch, daß diese ihre Unzulänglichkeiten hat und wechselte (als die Bashcompletions salonfähig wurden) zur Bash, der ich nun Jahre lang die Treue gehalten habe. Allerdings gab es immer wieder ein paar Dinge, die mich an der Bash im allgemeinen bzw. wie diese unter Debian übersetzt ist, störten. Da war die Eigenheit von Debian, die Socketunterstützung der Shell (/dev/tcp/host/port bzw. /dev/udp/host/port) rauszukompilieren oder diverse Unzulänglichkeiten und Ungereimtheiten.

Nun stieß ich vor einiger Zeit auf die Zsh, wie sie in Grml verwendet wird. Erstmal schreckten mich ein paar Sachen ab wie zum Beispiel die Besserwisserei der Shell, meine Eingaben immer berichtigen zu müssen. Nachdem ich mich aber mal etwas tiefer mit dieser Shell beschäftigt habe, wandelte sich meine Ablehnung schnell in Begeisterung.

Mittlerweile sind wieder ein paar Wochen ins Lande gegangen und die Zsh hat sich bei mir etabliert. Aber auch bei der Zsh gibt es noch das ein oder andere zu verbesseren. Da wäre zuerst mal eine komplette Dokumentation – meinetwegen auch als Buch. Gerade das System mit den zstyles ist doch sehr unübersichtlich. Ach ja, dann könnte diese Shell auch ein paar brauchbare Defaultprompts für helle Hintergründe haben, aber das kann man ja zum Glück selbst konfigurieren.

Alles in allem werde ich wohl noch einige Zeit mit der Zsh arbeiten.

Klaus Ethgen — So 11. April 2010

Die neue NULL pointer vulnerability und ihre Gründe

Gestern ist mal wieder ein lokaler Root-Exploid für den Linux-Kernel bekannt geworden. (Siehe auch Mailing auf Fulldisclosure) Eigentlich gar nicht so tragisch, da es sich ja um selten verwendete Protokolle (Heise-Zitat) handelt. Allerdings haben die gängigen Linux-Distributoren ja genau diese selten verwendete Protokolle ja in ihren Kerneln drin. Wenn man einen eigenen Kernel hat, der nur die verwendeten Protokolle kann, ist man (meistens) gut dran und nicht betroffen.

Nun, was hilft es, wenn man beim Brötchengeber solche Distributionskernel einsetzt. Aber zum Glück gibt es ja einen Weg, wie man das auch anderweitig abschalten kann (siehe unten).

Ich hoffe mal, der Bug führt endlich dazu, daß die Admins nicht immer jeden Scheiß installieren und starten und das bei den Distributoren ein Umdenken zu sparsamer Nutzung von Features stattfindet.

Da das unter Umständen auch für nicht-deutschsprachige User von Relevanz ist, hier noch eine kleine Zusammenfassung auf Englisch sowie ein möglicher Workaround.

Well, lets put together the facts in English too. The recent Linux vulnerability has the relevance mainly caused of that the main distributors like to enable all features by default.

Now, in this case there is a workaround. Just add the following lines to your /etc/modprobe.conf (kernel 2.6) or /etc/modules.conf (kernel 2.4) and boot the system:

alias net-pf-3 off
alias net-pf-4 off
alias net-pf-5 off
alias net-pf-9 off
alias net-pf-10 off
alias net-pf-23 off
alias net-pf-24 off
alias net-pf-31 off

This will disable the protocols ipv6, appletalk, ax25, ipx, x25, irda, pppoe and bluetooth. This will disable the protocols completely, so if you use one of that you have to search for other ways to fix the bug.

Also, please note that I cannot prove that the list of vulnerable protocols is complete. It is only a workaround, the kernel has to be fixed anyway.

Klaus Ethgen — Fr 14. August 2009

Subversion die Zweite

Mal wieder ein Grund, sich über SVN aufzuregen. Normalerweise vermeide ich ja, diesen Müll überhaupt zu verwenden und verwende git-svn als einzig brauchbare Schnittstelle. Manchmal jedoch kann auch git-svn nicht mehr alle Bugs von SVN ausgleichen und man muß sich doch mit dem unbrauchbaren Backend befassen.

Dieses Mal bin ich Opfer geworden des Handlings von Logmeldungen unter SVN. Angefangen hat alles mit einer Fehlermeldung beim git-svn dcommit:

ZM-Schicht Anforderung gescheitert: wende Logmeldung auf /svn/xxx/!svn/wbl/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/xxx an: 400 Bad Request (https://xxxxxxx.xxx.xxxx.xx) at /usr/bin/git-svn line 3270

Im https-Log fand sich folgendes:

XML Parser Error: XML parser error code: not well-formed (invalid token) (4)

Wie sich nach einigen Versuchen herausstellte, bedeutete das schlichtweg, daß SVN nicht mit einem deutschen Umlaut im Log klar kam, das natürlich in latin1 kodiert war. Nun ja, während in vergangenen Versionen noch das komplette Repository unbrauchbar wurde, wenn man einen Logeintrag machte, der nicht in UTF-8 kodiert war, wird mittlerweile ein solcher Versuch wenigstens abgewiesen. Es ist jedoch ein Armutszeugnis, daß eine Versionsverwaltung schon an der Kodierung der Logeinträge scheitert!

Wie auch immer, sollte euch Google von der obigen Fehlermeldung geleitet auf diese Seite führen, die Lösung ist einfach, git-svn commit -e und dann im Editor das Vorkommen jeglichen Zeichens, welches kein ASCII darstellt, zu entfernen bzw. durch das entsprechende UTF-8-Zeichen zu ersetzen.

Klaus Ethgen — Di 11. November 2008

Subversion

Nachdem nun auch mein Brötchengeber auf den Hype SVN aufspringt, muß ich mich hier doch mal ein bißchen über diesen Müll auslassen und mir etwas Luft machen.

Also habe ich mal einen Nachruf für Subversion geschrieben.

Klaus Ethgen — So 27. April 2008

Softwarebugs sind lästig

Aus irgendeinem Grund stolpere ich immer wieder über kleine Softwarebugs, die jedoch meistens große Auswirkung haben. Was mich daran wundert ist nicht die Tatsache, daß es solche Bugs gibt, sondern, daß ich anscheinend der einzige bin, dem der Bug auffällt obwohl die Software sich entweder garnicht erst compilieren läßt oder in ihrer Funktion stark eingeschränkt ist.

So bin ich heute zum Beispiel über einen Bug in autoconf gestolpert, daß bei der Suche nach X-Libraries einfach an den meisten Stellen NO (großgeschrieben) verwendet wird, an einer einzigen Stelle jedoch auf ein kleines no getestet wird. Daß dieser Test nie funktionieren kann (wird in /bin/sh ausgeführt) scheint noch niemandem aufgefallen zu sein. Daß solch eine Software dann in mehreren Distributionen Verwendung findet, verwundert dann doch. Ich kann es mir nur erklären, daß jeder Distributor das für sich flickt, aber Upstream nichts meldet oder der Upstreamauthor dies einfach ignoriert.

Dies ist nur eine Situation. Manchmal nervt es mich dann, wenn ich täglich mehrere Bugreports machen müßte/muß. Vor allem, wenn ich dazu immer erst den Browser bemühen muß, mir einen neuen Account besorgen muß und dann den Bug in jeweils einer anderen Maske reporten muß. Da lobe ich mir reportbug von Debian, das einem diese Arbeit auf das notwendigste reduziert.

Klaus Ethgen — Mo 25. Juni 2007

Alsa die n-te

Nach langer Zeit habe ich mal wieder ALSA ausprobiert; schließlich muß man den den Systemen immer mehrere Chancen einräumen.

Also einen neuen Kernel kompiliert, gebootet und – keine fünf Minuten später stand mein System. (Nach Benutzung von audacity.) Dieses Ergebnis läßt sich beliebig oft reproduzieren. Sinnvoller Sound ist mit ALSA anscheinend nicht möglich.

OK, war ein kurzes Gastspiel. Nun musiziert bei mir wieder ein OSS (allerdings die kommerzielle Version, da nur die USB-Sound kann). Damit hatte ich bisher nie Probleme; weder was Stabilität noch was Performance anbelangt.

Es ist zwar nicht alles, was aus der SuSI-Ecke kommt schlecht, aber anscheinend kann man das in den meisten Fällen annehmen. Krank finde ich es nur, daß Torwalds und Co. ALSA als Default in den Kernel übernommen hat, das alles andere als brauchbar ist und so über Technologien, die ausnahmsweise mal brauchbar sind aus der SuSI-Ecke, daherwettert.

Klaus Ethgen — Do 5. April 2007

Schlafphasenwecker

Um endlich morgens wach zu werden, habe ich mir einen Schlafphasenwecker bestellt, der gestern auch angekommen ist.

Heute Nacht konnte ich ihn ausprobieren und war angenehm überrascht, als mich der Wecker 23 Minuten vor der spätesten Weckzeit auch tatsächlich weckte und wach bekam.

Damit das Ganze funktioniert, muß ich ein Frottee-Armband mit einem Sensor tragen, der in der Nacht drahtlos meine Bewegungen an den Wecker überträgt. Morgens wird man dann ganz sanft geweckt.

Bleibt nur zu hoffen, daß das so bleibt.

Klaus Ethgen — So 15. Oktober 2006

Ein Debianer auf RedHat-Schulung

Nachtrag

Nach fast drei Wochen ist nun doch das Ergebnis gekommen. Wie erwartet natürlich volle Punktzahl. ;-)

Wie auch immer, es bleibt ein leichter Nachgeschmack, ob der Kursinhalt verwendbar ist, wenn sich mit RH Version 5 alles ändern soll. Zumindest jedoch konnte ich einiges an Grundlagen zu SELinux erfahren.

Warten wir halt auf den nächsten Kurs.

Klaus Ethgen — Do 12. Oktober 2006

Ausblicke und Einblicke

Nach ein paar Übungen war kam dann auch der Ausblick auf das neue Handling unter RHEL5 zur Sprache. Allerdings scheint diesbezüglich noch nichts wirklich fest zu stehen und in der endgültigen Version noch zu ändern. Sicher scheint jedoch zu sein, daß von dem Knowhow des Kurses nur ein Teil mit RHEL5 verwendbar ist. Der Überblick über die Funktionsweise allgemein jedoch ist sicherlich hilfreich.

Nun bleibt nur noch die morgige Prüfung abzuwarten.

Klaus Ethgen — Do 21. September 2006

Fröhliches SE-Regeln-Schreiben

Heute ging es zur Sache und es waren einige Policies zu schreiben. Aber auch das brachte uns nicht besonders stark davon ab, oftmals zu Offtopic-Themen abzuschweifen. Alles in allem scheinen wir jedoch locker im Zeitplan zu bleiben bzw. sogar noch schneller zu sein als nötig. Einzigst unser Schweizer zeigt seine stoische Ruhe. (Ja, wir haben auch einen richtigen Schweizer dabei. ;-)

Klaus Ethgen — Mi 20. September 2006

Auslastung

Auch heute war wieder interessant. Dabei haben wir so manche Diskussion nebenbei gehabt. Irgendwie sind wir vier Kursteilnehmer nicht ganz ausgelastet.

So, jetzt noch nen kleinen Abstecher ins Bistro und auf dem Rückweg nochmals 30 Minuten WLAN-Access lösen; ist zwar mit 4€ recht teuer, aber was will man von der T-Com anderes erwarten. :-(

Klaus Ethgen — Di 19. September 2006

Ein Debianer auf RedHat-SE-Linux-Schulung

Keine zwei Stunden nach Beginn ist der Kursleiter schon verwirrt. ;-) Naja, er hat auch ein schweres Los, gleich zwei Teilnehmer, die, ehem, nicht gerade mit den einfachen Problemen daherkommen. ;-)

Ansonsten gestaltet es sich recht interessant. SELinux ist sehr komplex (und somit interessant).

Irgendwie habe ich aber bei der Anmeldung den Klick für die Prüfung übersehen. Ließ sich jedoch unkompliziert mündlich nochmal nachholen.

Nebenschauplatz: Die Jugendherberge hier in Stuttgart ist echt ne Wucht! Ziemlich neu und in jedem Fall gemütlicher als jedes Hotel. Zudem trifft man im Bistro bei einem gemütlichen Bier und Pizza angenehme Gesprächspartner.

Klaus Ethgen — Mo 18. September 2006

Rollenspiel

Dieses Wochenende habe ich das erste Mal in einer größeren Runde ein Rollenspiel gemeistert. Zum einen DASDas Schwarze Auge – sowie ein Kleine Helden DSA-Abenteuer. Beide habe ich selbst ausgearbeitet, was mich einiges an Zeit kostete. Die Zeit hat sich allerdings gelohnt, denn die beiden Abenteuer kamen dann doch sehr gut an.

Somit werde ich wohl noch ein paar Abenteuer dieser Art anbieten. Vor allem Kleine Helden DSA mit Kindern als Helden ist eher ein Abenteuer für Spieler, die gutes Rollenspiel Powercharaktern vorziehen. Spaß macht es sowohl den Spielern als auch dem Meister.

Klaus Ethgen — So 17. September 2006

Gästebuch

So, nun habe ich mir denn auch ein eigenes Gästebuch programmiert. Leider gab es bisher keines, daß meine Anforderungen erfüllte. Bei Interesse gebe ich es auch gerne unter der GPL frei. Bitte bei Interesse eine kurze Mail an mich schicken.

Bei der Gelegenheit habe ich auch angefangen, meine Website in einer dritten Sprache – Norwegisch – anzubieten. Allerdings wird noch einiges an Zeit vergehen, bis die meisten Seiten übersetzt habe. ;-)

Na denn, hoffe ich mal auf viele Einträge in meinem Gästebuch.

Ach ja, die Einträge hier im Gästebuch können auch verlinkt werden. Der Titel ist gleichzeitig ein Link auf sich selbst.

Klaus Ethgen — Fr 4. August 2006

Linux Kernel

Mit Einführung der 2.6.* Kernelserie hat Linus Torwalds zwei weitere Fehlentscheidungen, neben der damaligen Umstellung auf Bitkeeper, gemacht.

Einmal ist hier der Umstieg von OSS auf ALSA zu sehen. Während die OSS-Treiber ziemlich stabil und performant laufen, hat die ALSA-Plattform doch einige Tücken. Eine ist eine Lokalisierung der Libraries. So muß man mit deutschen Localizes zwar das Komma als Dezimaltrenner in Konfigurationsdateien benutzen, kann diese aber nicht verwenden, da sie vom Parser abgelehnt werden. Ein anderes Problem mit dieser Soundplatform ist, daß ALSA sehr Resourcenfressend ist und schon Ausgabestocker hat, wenn man nur ein Fenster auf dem Desktop verschiebt.

Zum anderen und zudem noch viel entscheidender ist hier die neue Numerierungspolitik. Leider läßt sich der 2.6'er Kernel nicht mehr in produktiven Umgebungen einsetzen, da er an vielen Enden viel zu instabil ist. Solange diese Kernelreihe als Entwicklungszweig verwendet wird, wird sich vermutlich daran auch nichts ändern. In meinen Augen gibt es in dieser Hinsicht nur zwei Möglichkeiten: Entweder Linus führt endlich wieder einen 2.7'er Entwicklungszweig ein und friert den 2.6'er Featuremäßig ein, oder es findet ein Split beim Kernel wie bei Xorg statt.

Klaus Ethgen — So 23. April 2006

Sommerzeit

Nun ist zwar die Umstellung auf die Sommerzeit schon eine Weile her, trotzdem ärgere ich mich, wie jedes Jahr, immernoch über diese absolut unsinnige und problematische Umstellung der Zeit.

Auf der einen Seite gibt es Menschen, denen macht die Umstellung nichts aus. Auf der anderen Seite, und dazu zähle ich mich, verursacht die Zeitumstellung jedes Jahr mächtige Probleme. Von einem Tag auf den anderen muß man eine Stunde früher aufstehen und ins Bett gehen, die Zeit, wie sie die Sonne jedoch vorgibt, bleibt gleich. Nun habe ich eh' schon mächtig Probleme, jeden Morgen aus dem Bett zu kommen. Mit der Zeitumstellung wird das nur noch schlimmer und ich höre nun den Wecker überhaupt nicht mehr. Mein Körper benötigt jedesmal etwa ein halbes Jahr, bis er sich an die Umstellung gewöhnt hat.

Nun ja, alles Schimpfen nützt nichts, da ich keinerlei Einfluß auf solch unsinnige (und in der Schweiz auch am Rande der Legalität, da sie gegen den Willen des Volkes eingeführt wurde) Entscheidungen. Werde ich halt nach wie vor die Mitteleuropäische Normalzeit leben und halt im Sommer alle Termine eine Stunde früher eintragen. Das ist zwar keine umfassende Lösung, aber zumindest kann ich in meinem persönlichen Umfeld mit weniger Problemen den Sommer überstehen.

Klaus Ethgen — So 23. April 2006

Kilt

Vor einigen Wochen habe ich mir einen Kilt gekauft. Anfänglich ist es erstmal etwas ungewohnt, als Mann einen Kilt zu tragen; aber nachdem man sich daran gewöhnt hat, ist es ganz angenehm.

Bleibt nur noch die Akzeptanz, daß Männer auch mal einen Rock tragen können. Hier in Zürich ist das kein Problem. Fast niemand dreht sich um oder stiert einen an. Was anderes mag es da in anderen Teilen der Schweiz und Deutschlands sein. Nunja, aber eigentlich trage ich das Teil, weil es mir Spaß macht und angenehm ist. Da interessieren mich anderer Meinung nur am Rande.

Klaus Ethgen — So 23. April 2006

Larp

Nachdem ich nun (hoffe ich) wieder komplett zur Realität gefunden habe, muß ich doch noch etwas zu meinem ersten Larp am vergangenen Wochenende loswerden.

Nachdem ich mich nun schon Jahre mit dem Gedanken rumtrug, mal an einem Larp teilzunehmen, war es vergangenes Wochenende soweit. Ich bin als Geschichtenerzähler Alvis Finnulf bei Apfelwein & Hagelstein, einem Spiel vom Herzogtum Riedburg gegangen. Es machte unheimlich Spaß, in eine komplett andere Rolle zu schlüpfen.

Es viel mir zwar erstmal leicht, mich in meine Rolle zu finden, aber ich könnte mich zumindest etwas besser mit Geschichten vorbereiten. Es ist nicht unbedingt leicht, einen Geschichtenerzähler im Mittelalter darzustellen. Mit etwas weiterentwickelter Rolle wird es mich in Zukunft noch an dem ein oder anderen Spiel geben.

Der anschließenden Realitätsverlußt viel nicht weiter auf, da mein Beruf schon den ein oder anderen skurrilen Charakter hervorbrachte – ich meine jetzt meinen richtigen Beruf. ;-)

Klaus Ethgen — Fr 24. März 2006

Dies & Das

So, nun sollte auch die Vordergrundfarbe auf meinen Seiten etwas besser harmonieren. Rückmeldungen (an Klaus' Mailadresse) sind durchaus erwünscht. ;-)

Weiterhin habe ich mich nun endlich drangesetzt, ein Tool zu schreiben, daß das Problem der offenen gelöschten Files lösen kann. (Restarter als .gz) Ist zwar noch längst nicht fertig, aber tut schonmal ziemlich gut seinen Dienst.

Klaus Ethgen — Sa 25. Februar 2006

CSS

So, nach langer Zeit gibt es mal wieder ein Redesign meiner Sites. Dank CSS ist dies enorm praktisch und erfordert nur geringe Anpassungen an den einzelnen Seiten selbst.

Dank CSS ist es auch möglich, die Sites möglichst barrierefrei und suchmaschinenfreundlich zu lassen. Leider stehe ich da mit einigen wenigen ziemlich alleine im Netz. Die meisten verschachteln ihre Seiten in möglichst vielen Tabellen und verwenden viel Javascript oder ähnliche Inhalte, obwohl das selbe viel eleganter per CSS lösbar ist. Eine weitere Problematik sehe ich darin, daß viele Sites den User in ungerechtfertigtem Maße einschränken und die Seiten nur auf einem Bruchteil der Browserbreite dargestellt wird. Letzteres ist jedoch nicht per CSS behebbar, sondern erfordert ein Umdenken der Webdesigner, daß die Anwender auch unter Umständen eine höhere Auflösung als 640x480 verwenden.

Klaus Ethgen — So 12. Februar 2006

Hölloch

Es ist schon beeindruckend, direkt vor der Nase gibt es das drittgrößte Höhlensystem, das Hölloch, und man kennt es nicht.

Am Wochenende konnte ich diese Bildungslücke schließen und war zwei Tage im Hölloch auf Tour.

Obwohl ich nur einen kleinen Teil des Höhlensystem sehen konnte, war es doch mächtig interessant. Da war zum einen die absolute Dunkelheit, wenn man die Lampen löschte. Auf der anderen Seite die Schönheit, die die Natur in Jahrzehntausenden dort unten geschaffen hat. Sogar das Leben hat sich angepasst.

Der Trip war jedoch auch eine Erfahrung der eigenen Grenzen. Das Auf und Ab und ständige Kriechen ging mir mächtig an die Substanz. Deswegen war ich auch gestern Abend nicht mehr in der Lage, diesen Eintrag hier zu schreiben. ;-)

Es war auf jeden Fall ein gelungener Event und ich werde sicher nicht das letzte mal im Hölloch gewesen sein.

Klaus Ethgen — Mo 16. Januar 2006

Feuerzange

Man bekommt ja in Zürich und Umgebung wirklich fast alles. Möchte man jedoch sowas einfaches wie eine Feuerzangenbowle machen, ist man aufgeschmissen. Den benötigten Strohrum bekommt man ja noch im Drink-Laden in den Katakomben des Hauptbahnhofs. Aber nach etwa 2½ Stunden Herumirrens in Zürich mußte ich zum Schluß kommen, daß es nicht möglich ist, eine Feuerzange zu bekommen.

Dafür kenne ich nun wahrscheinlich alle Haushaltswarengeschäfte in Zürich.

Klaus Ethgen — Fr 6. Januar 2006

Sauna

Ahh, die erste Sauna im neuen Jahr. Es tut doch jedesmal gut, am Mittwoch Abend die Sauna zum Tagesabspann zu genießen. Dazu noch ein Aufguß mit Salz bzw. Eis, wie man es eigentlich hier in der Schweiz garnicht kennt. Und zur Abrundung noch die Abkühlung bei -1°C im Freien.

Dazu noch bei einer Massage entspannen; ein richtig gelungener Abend.

Klaus Ethgen — Mi 4. Januar 2006

Ein Debianer auf RedHat-Schulung

Prüfungstag

Die Prüfung teilte sich in zwei Teile. Der erste Teil ging sich ruhig an. Bereits nach einer Stunde (2½h waren möglich) waren alle Aufgaben gelöst. Alleine eines der Testscripte des Prüfers war buggy. ;-) Dann mußte man warten, bis alle fertig waren. Nach dem Mittagessen ging es an den zweiten Teil. Auch dieser war problemlos zu erledigen.

Abschließend muß ich sagen, daß ich angenehm überrascht über die Art der Prüfung war. Die Art von Prüfung prüft nicht bloßes auswendig gelerntes Wissen ab, sondern die wirklichen Kenntnisse. Demnach ist das bisher das einzigste Zertifikat, das brauchbar ist.

Am Abend kam dann die nächste Überraschung. Eigentlich hieß es, die Auswertung benötige 3-4 Tage, aber sie war schon nach etwas über zwei Stunden nach Prüfungsende in meiner Mailbox. (Natürlich mit voller Punktzahl bestanden; anscheinend sind wir Debianer einfach besser. ;-)

Klaus Ethgen — Fr 23. Dezember 2005

Vierter Tag

Anscheinend ist zwar Debian und RedHat nicht ganz kompatibel zueinander, jedoch pflegen auch RedHat-Trainer Rollenspiele zu spielen. Auf technischer Basis liegen die beiden Distributionen gar nicht so weit auseinander; man ist jedoch als Debianer schon etwas verwöhnt ...

So, morgen ist die eigentliche Prüfung. Lasse ich sie mal auf mich zukommen. Irgendwie sehe ich sie gelassen; mal sehen, ob das morgen Abend auch noch der Fall ist.

Klaus Ethgen — Do 22. Dezember 2005

Dritter Tag

Ich liebe es, wenn sich jemand die Argumente immer so hinlegt, wie er sie brauchen kann. Grundsätzlich scheint der RedHat-Weg immer der richtige zu sein, auch wenn es der größte Müll ist. :-(

Prinzipiell bin ich zwar ein Kernel-2.6.x-Verweigerer und setzte immer noch auf Kernel 2.4, die neuen Features in 2.6, die heute zur Sprache kamen, machen jedoch eine erneute Überprüfung meiner Einstellung doch nochmals interessant. ;-) Namentlich sind dies LVM2, ein paar enhancements mit ext3, GFS, wofür es nur Patches für 2.6 gibt ... Auch mit udev liebäugele ich ja nun schon einige Zeit.

Ach ja, essen, hätte ich fast vergessen, dazu gings heute zum Chinesen. Die Portionen dort sind angenehm. Schade nur, daß ein Kursteilnehmer nicht mitwollte.

Klaus Ethgen — Mi 21. Dezember 2005

Zweiter Tag

Heute ging es noch früher raus. Um 9 Uhr mußte ich bei Luzern sein. Unterwegs hat es mich doch ziemlich verwundert, wie viele Menschen mitten in der Nacht doch schon auf den Straßen unterwegs sind.

Lustig ging es dann auch gleich weiter. Ein anderer Kursteilnehmer saß verwirrt vor seinem System, daß hilflos versuchte, eine Partition zu checken und meinte zum Kursleiter nur: Ich habe nix gemacht! Naja, der Kursleiter war dann doch etwas ratlos, was das System so durcheinander brachte und hat nach etwa einer halben Stunde das arme System neu installiert. Tja, der Kurs hat halt auch seine lustigen Seiten. ;-)

Zurück zum Thema. Mit SELinux kam wahrscheinlich der winzigste Punkt an die Reihe, der mich WIRKLICH interessierte. Diesbezüglich ist wahrscheinlich ein anderer Kurs von RedHat für mich dann auch interessant – Securityspecialist.

Ach ja, dann waren da noch die Scripte, die Fehler in das System einbauen sollten, damit man diese findet und beseitigt. Ich mußte doch herzlich lachen, als ich den Fehler im Script fand, das eigentlich einen Fehler einbauen sollte, warum dieses nicht lief; manchmal ist es echt interessant, wenn man deutsche Localize einstellt.

Klaus Ethgen — Di 20. Dezember 2005

Erster Tag

Heute war es nun soweit. Mit etwas gemischten Gefühlen bin ich auf die Schulung gefahren. Erstmal galt es jedoch, den allmorgentlichen Horror quer durch Zürich durchzustehen. Da hilft es auch nicht, wenn man 30 Minuten Reserve eingerechnet hat.

Die Schulung tat sich langsam an. Unsere ISG ist mit drei Personen klar überwiegend. Erstmal gab es die ein oder andere Exception gleich beim installieren, was wohl auf leichte Probleme des Netzwerkes zurückzuführen war, aber doch lustig anfing.

Das Mittagessen war zwar gut, aber schlicht viel zu wenig. Wer mich kennt, kann das jedoch relativieren.

Nach dem Mittagessen ging es dann erstmal an ein paar Einführungen zum Bootprozess. Nun ja... Erst ganz zum Schluß wurde es etwas interessanter; kleines Troubleshooting beim Bootloader.

Rundum ist der Kurs nicht mehr, als ich erwartete. Das heißt nun jedoch nicht, daß ich nicht auch noch was lernen kann. Zwischen den Zeilen gibt es interessante Dinge über SELinux, RHN und ext3-Internas zu hören. Naja, es gibt dann auch mal Tools, die ich noch nicht kannte.

Klaus Ethgen — Mo 19. Dezember 2005

Ein Debianer auf RedHat-Schulung

Morgen ist es soweit, ich als Debianer lasse mich auf eine RH300-Zertifizierung bei RedHat ein.

Angefangen hat alles Mitte diesen Jahres. Nachdem wir bei meinem Arbeitgeber auf allen Linux-Systemen RedHat Enterprise Linux einsetzen, ist es naheliegend, mich zu einer Schulung bei RedHat anzumelden.

In den nächsten Tagen werde ich nun erfahren können, was ich von der Zertifizierung halten kann. ;-)

Einen kleinen Haken hat die Sachen. Ich muß jeden Tag um 9 Uhr in Luzern sein. Das wird eine mächtig anstrengende Zeit. ;-)

Klaus Ethgen — So 18. Dezember 2005

Rootkit

Erstmal läuten alle Alarmglocken, da plötzlich kein Sound mehr geht, weil das Soundmodul einfach nicht geladen wird und sucht verzweifelt nach eventuellen Rootkits.

Die Lösung des Problems war einfach. Debian hat ein neues Paket – linux-sound-base – daß mit irgendwelchen Abhängigkeiten aufs System gekommen ist und daß Alsa als Voreinstellung hat und OSS disabled.

Dumm nur, wenn man lieber ein funktionierendes Soundsystem verwenden möchtet, als ein experimentelles.

Klaus Ethgen — So 18. Dezember 2005

Verkehr und Schweiz

Irgendwie erinnert mich der Schweizer an einen Mathematiker. Wenn einmal ein Problem gelöst ist, wird ein Ähnliches auf letzteres reduziert.

So hat der Schweizer wohl in der Frühzeit irgendwann mal rausgefunden, daß, wenn bei einem Zebrastreifen viele Autos vorbeifahren, man so lange stehen bleibt, bis ein Auto stehen bleibt und dann erst losgeht. Dazu muß man noch wissen, daß an Zebrastreifen in selbiger Zeit keine Haltepflicht für Autos bestand. Was aber nun, wenn kein Auto kommt und die Straße frei ist? Nun, für den Schweizer ist das ein schwieriges Problem. Er löst es, indem er so lange am Zebrastreifen stehen bleibt, bis nun endlich ein Auto kommt und stehen bleibt. Somit ist das Problem auf ein bekanntes reduziert und er kann rübergehen.

Nervend ist dieses Verhalten vor allem, da man, auch wenn die Straße vor einem frei ist, quasi an jedem Zebrastreifen anhalten muß. Daß man schon rübergehen kann, wenn erst weit entfernt ein Auto naht, scheint der Schweizer nicht zu begreifen.

Klaus Ethgen — Fr 11. März 2005


Klaus@Ethgen.de