Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

Linux


Uptimerobot Statusseite mit eigener Subdomain und HTTPS nutzen

Seit ein paar Jahren lasse ich meine Server von Uptimerobot.com überwachen. Kürzlich habe ich entdeckt, dass der Monitoring-Service mittlerweile auch öffentliche schaltbare Statusseiten anbietet. Daher habe ich meine selbst gebastelte Statusseite abgeschaltet und wollte stattdessen das schönere Angebot von Uptimerobot nutzen. Die Statusseiten sind über Adressen nach dem Schema stats.uptimerobot.com/<ID> erreichbar, also z.B. https://stats.uptimerobot.com/rk3R0IDJq. Die Adressen sind schlecht zu merken. Viel lieber hätte ich etwas einfacheres, wie z.B. status.trashserver.net. Deshalb kann man die Statusseite auch mit einer eigenen Domain betreiben, indem man im DNS-Record für die jeweilige Domain auf den Uptimerobot-Server verweist. Allerdings schließt das HTTPS aus, denn Uptimerobot müsste dann die Zertifikate für meine Domain besitzen. Aber auch dafür habe ich eine Lösung gefunden:

Weiterlesen ›


Linux sucks: Das Thema Bluetooth

Bluetooth unter Linux…

Während sich die Situation bei Wifi stetig verbessert und man mittlerweile eine stabile WLAN-Verbindung unter Linux erreichen kann, ist Bluetooth unter Linux meinen Erfahrungen nach absolut unbrauchbar (und das meine ich wirklich so). Noch nicht einmal eine einfache Bluetooth-Maus habe ich während meiner Zeit als Linux-Nutzer jemals stabil zum Laufen bekommen. Auf keinem einzigen Rechner, der mir zur Verfügung gestanden hat. Es ist überall dasselbe:

Die Kopplung funktioniert nicht sofort. Nach vielen hin und her und zusätzlicher Treiberkonfiguration klappt dann mal eine Verbindung. Von Stabilität kann aber nicht die Rede sein: Sobald dann mal eine Verbindung steht, wird diese ständig unterbrochen oder liefert eine so geringe Bandbreite, dass z.B. Audio für ein Headset nicht vernünftig übertragen werden kann.

Unter Android: Alles kein Problem. Verbinden – funktioniert. Unter allen von mir jemals verwendeten Linux-Distrubutionen für den Desktop: Nur Frustration und am Ende funktioniert nichts.

Eigentlich echt armselig. Das ist so ein Punkt, den ich an Linux-Betriebssystemen wirklich hasse. Bei Thema Bluetooth bekomme ich jedes mal Aggressionen – und wenn man sich mal im Netz umsieht, scheint es den meisten Leuten so zu gehen. Oder hat von euch schon mal jemand ein Gerät erfolgreich via Bluetooth verbunden? Da muss sich echt dringend was tun.

Nachtrag vom 23.10.: Jetzt habe ich einen steinalten Bluetooth-Adapter (Sitecom CN 516 BT 2.1) rausgekramt: Der funktioniert mit meinem neuen Headset wunderbar. Probleme gibt es anscheinend vor allem mit neueren Adaptern oder Bluetooth-Hardware, die bei Notebooks mit Wifi kombiniert ist.


Plesk, cPanel und Co

Habe ich schon einmal erwähnt, dass ich Server-Verwaltungsoberflächen wie cPanel oder Plesk ziemlich nervig finde? Damit habe ich immer wieder mal zu tun, wenn ich Fremde bei verschiedenen Server-Angelegenheiten unterstütze. Das soll jetzt kein Vorwurf sein. Ich kann durchaus nachvollziehen, dass das für nicht-Admins eine reizvolle Sache sein kann, weil man sich seine Umgebung einfach zusammenklickt…

… und trotzdem macht das das ganze System für mich irgendwie undurchsichtig, unvorhersehbar, inkonsistent und frickelig. Und nicht zuletzt waren derartig präparierte Systeme in 100% der Fälle, die ich bisher hatte, veraltet bis extrem steinzeitlich. Ob das zusammenhängt?

Jedenfalls gefallen mir sauber von Hand und mit Liebe konfigurierte Server besser, als Maschinen, die mysteriöse Dinge auf komische Art und Weise „irgendwie“ machen. Wie seht ihr das?


Server-Notfallprogramm für unterwegs

… oder: Krisenmanagement für arme Admins. Für ganz, ganz Arme.

Am Mittwoch geht es für mich auf zum diesjährigen Summer Breeze Metal Open Air in Dinkelsbühl. Das bedeutet leider nicht nur Genuss für meine Ohren, sondern auch Stress: Der Admin in mir macht sich Gedanken, ob denn auch alle Server ohne Störungen über die Festivalzeit kommen werden. Unterwegs habe ich nur mein Smartphone mit einer wackeligen Mobilfunkverbindung. Darauf ist ein SSH-Client installiert, der mir Zugriff auf meine Server erlaubt. Und weil mir alleine der Gedanke daran schon weh tut, root-Login darauf zu ermöglichen, kann sich das Smartphone nur als normaler Benutzer zum Server verbinden. Via Publickey-Auth, versteht sich.

Nun stehe ich allerdings vor dem Problem, dass ja ein normaler Benutzer keine Dienste neu starten kann, weil ihm die Rechte dazu fehlen. Möglicherweise werde ich beispielsweise meinen XMPP-Server einmal neu starten müssen, weil die zuletzt getroffenen Maßnahmen nicht gewirkt haben und er wieder einmal keine Logins mehr zulässt. Ein „systemctl restart prosody“ ist mit diesem Account nicht möglich. Nun könnte man mit sudo arbeiten und die Ausführung des Kommandos speziell für diesen User erlauben. Meine Debian-Server kommen allerdings ohne sudo und das soll auch so bleiben. Also kein sudo für mich.

Weiterlesen ›


Linux-Distribution Solus

Durch die Webserie „Lunduke & Whatnot“ von Bryan Lunduke bin ich auf Solus aufmerksam geworden – eine Linux-Distribution, die mal wieder alles besser machen will … ;-) Was man aber tatsächlich hervorheben sollte, ist die Tatsache, dass Solus nicht auf einer bereits vorhandenen Distribution wie z.B. Ubuntu aufbaut, sondern „from Scratch“ komplett eigenständig aufgebaut wurde. Das bringt zwar mehr Aufwand mit sich, aber gleichzeitig holt man sich weniger Abhängigkeitsprobleme und Altlasten mit ins Haus. Was die anderen Eigenschaften und Alleinstellungsmerkmale (?) von Solus angeht, informiert ihr euch am besten auf dieser Seite: https://solus-project.com/home/

Bemerkenswert finde ich außerdem die beeindruckende Boot- und Shutdown-Zeit. Da wurde offenbar viel Zeit in die Optimierung gesteckt. Solus habe ich noch nicht aufgiebig getestet, aber was ich bisher durch eine Installation in einer VM erfahren habe, gefällt mir ziemlich gut. Das System wirkt wie aus einem Guss und funktioniert, wie man sich das vorstellt. Nur mit einer Sache konnte ich mich bisher noch nicht so sehr anfreunden: Mit dem Desktopmanager „Budgie“. Sieht zwar ganz schick aus, aber ich vermisse eine übersichtlichere Fensteranzeige. In der Fensterleiste oben werden nur kleine Programmsymbole eingeblendet, aber keine Fenstertitel. Das macht das Arbeiten mit vielen Fenster nicht gerade einfach. Bisher konnte ich keine Einstellung finden, die die Fenstertitel einblendet oder eine Vorschau anzeigt. Wenn jemand diesbezüglich einen Tipp für mich hat, schreibt mir gerne. ;-) Update: Habe es selbst herausgefunden. In den Budgie-Einstellungen wird die „Icon Task List“ einfach durch eine „Task List“ ersetzt.

Ansonsten bleibt mir nur zu sagen: Sieht interessant aus und hat Potenzial. Ich werde das mal weiter beobachten.


VirtualBox unter Fedora 24: Kernelmodule für SecureBoot signieren

VirtualBox nutze ich wegen der relativ guten Grafikperformance gerne für meine Windows-VM unter Fedora 24. Bei ersten Start schlug mir eine Fehlermeldung entgegen: Das notwendige „vboxdrv“-Kernelmodul sei noch nicht geladen, daher könne die VM nicht gestartet werden. Gut – das lässt sich ja lösen:

sudo modprobe vbxdrv

… doch damit war es nicht getan: Das Modul ließ sich nicht in den Kernel einbinden, weil es für das aktive SecureBoot nicht mit einem passenden MOK (Machine Owner Key) signiert worden war. Andere geladene Kernelmodule sind bereits von Fedora signiert – bei den VirtualBox Modulen war das nicht der Fall. Warum das so ist, konnte ich noch nicht herausfinden. (=>siehe Notiz unten)

modprobe: ERROR: could not insert 'vboxdrv': Required key not available

Es gibt drei Möglichkeiten, das Problem zu beheben:

Weiterlesen ›


Spamabwehr nur mit Postscreen?

In den Kommentaren zu meinen Mailserver-Beiträgen wurde ich schon mehrmals darauf hingewiesen, dass man sich den Aufwand mit Spamassassin, Amavis und Co eigentlich sparen könne, weil Postscreen alleine schon mehr als ausreichend wäre. Spammails würden das System gar nicht mehr oder nur in seltenen Fällen erreichen. Kürzlich habe ich mein privates Mailsystem neu aufgesetzt und es einfach mal ausprobiert: Spamabwehr nur durch Postscreen alleine.

… das hat leider nicht wie erhofft funktioniert. Schon in der ersten Nacht sind auf einem einzigen Account 2 Spammails durch den Filter gegangen. Das war für mich schon Grund genug, wieder meinen Spamassassin zu aktivieren. Seitdem ist auch wieder Ruhe. Offenbar reicht ein Postscreen leider nicht in allen Fällen aus. Schade. Ich hätte gerne auf den Amavis-Apparat verzichtet und nur die schlanke Postscreen-Lösung genutzt.

Wie wehr ihr Spammails ab? Nutzt ihr Postscreen zusammen mit Spamassassin, oder reicht ersteres bei euch alleine aus? Welche Postscreen-Einstellungen funktionieren bei euch zuverlässig?


Authentifizierungsmechanismen des Yubikeys erklärt

Je nach Modell beherrschen die Yubikeys der Firma Yubico verschiedene Authentifizierungsverfahren. Nach dem ich mir einen Yubikey Neo zugelegt hatte, fiel es mir schwer, zwischen den Betriebsmodi zu unterscheiden. Mit diesem Beitrag will ich neuen Usern einen Überblick über die möglichen Authentifizierungsverfahren geben, sie erklären und die Vor- und Nachteile nennen.

Vorgestellt werden hier die folgenden Yubikey-Modi:

  • HOTP
  • TOTP
  • Challenge-Response via HID
  • Yubico OTP
  • U2F

Weiterlesen ›