Zugschlusbeobachtungen

Wer einen Server in einschlägig bekannten Netzwerksegmenten (sprich: Bei den großen Housing-Anbietern) betreibt und wenigstens von Zeit zu Zeit mal in dessen Logs guckt kennt es: Irgendwelche Rechner aus Fernost oder anderswo werfen dem ssh-Daemon wild zusammengewürfelte Kombinationen aus Username und Passwort zu und tun dies mit einer bemerkenswerten Persistenz. Und wenn man auf dem System "fremde" User hat, lebt man als Admin stets mit der Angst, dass einer der Versuche der Angreifer irgendwann mal Erfolg hat.

Gegen diesen Typ der Brute-Force-Angriffe sind einige Wässerchen gewachsen, und ich möchte eine kleine Auswahl davon in diesem Artikel vorstellen.

Continue reading "fail2ban fuer ssh fuer Arme"

Software die höchstens meta-nützlich ist, wenn überhaupt. Deren einziger Zweck es ist, die Leute, die sie eingeführt haben als unverzichtbar erscheinen zu lassen, um deren Stand zu festigen.

Henning Paul und Malte J. Welz in dcoul.misc über Remedy, <19826472.hIYnXF5Ohe@moskau.comm.uni-bremen.de>

Ich habe es jetzt endlich geschafft, meine MF-II-Tastatur von 1989 wieder zu aktivieren. Sie funktioniert immer noch an einem modernen Rechner. Erstaunlich.

Allerdings war es dann doch ein Kampf: Der erste für wenig Geld bei Ebay erstandene no-name-PS/2-an-USB-Adapter wollte zwar mit der (auch hübschen und besonders im Umzugschaos praktischen) kleinen Cherry G84-4100, nicht aber mit der alten MF-II. Der zweite PS/2-an-USB-Adapter (diesmal einer von Belkin) funktioniert mit beiden Tastaturen.

Bei der Gelegenheit musste ich auch feststellen, dass die gegen 2001 beim Hardwaretürken für zehn Mark geschossene MF-II von 1996 zwar immer noch handsigniert ist und denselben Höllenlärm macht, aber irgendwie entweder schwergängigere Tasten oder einen um den entscheidenden Millimeter höheren Tastenhub hat; das Schreibgefühl ist nicht in Ansätzen so wie mit der alten ausgelutschten...

So schreibe ich diese Zeilen mit dem bald zwanzig Jahre alten Relikt, das über einen DIN-zu-PS/2-Adapter am PS/2-zu-USB-Adapter hängt, und Sandra stand auch schon erstaunt im Zimmer und hat mich gefragt, warum sie mich plötzlich bis ins Wohnzimmer tippen hört. Dann ist es ja nur noch eine Frage der Zeit, bis die Nachbarn unter uns Sandra im Treppenhaus ansprechen: "Gell, Ihr Mann hat ei noie Daschdadur?"

Ich wollte das ja schon lange mal machen, aber jetzt habe ich mir endlich mal die Zeit dafür genommen:

Tracing the route to torres6.zugschlus.de (2A01:198:231::1)

  1 if-3-0.mcore4.mtt-montreal.ipv6.teleglobe.net (2001:5A0:300:200::1) 12 msec 0 msec 4 msec
  2 if-3-0.core2.nto-newyork.ipv6.teleglobe.net (2001:5A0:300:200::6) 40 msec 56 msec 32 msec
  3 if-5-0-0.6bb1.nto-newyork.ipv6.teleglobe.net (2001:5A0:A00:100::6) 48 msec 92 msec 36 msec
  4 if-7-0-0.core2.ad1-amsterdam.ipv6.teleglobe.net (2001:5A0:A00:200::6) 380 msec 204 msec 124 msec
  5 if-0-0.core1.ad1-amsterdam.ipv6.teleglobe.net (2001:5A0:200:100::1) 112 msec 168 msec 208 msec
  6 2001:5A0:200::5 220 msec 100 msec 96 msec
  7 bbcr05-fra4-5a6.six-de.net (2001:4B88:0:4:16:2::) 100 msec 100 msec 100 msec
  8 talde.six-de.net (2001:4B88:0:4:23:5:11:1) 100 msec 104 msec 100 msec
  9 tal.edge1.dus1.de.as34225.net (2A01:198:4:1::1) 104 msec 104 msec 104 msec
 10 dedus01.sixxs.net (2A01:198:200::2) 104 msec 104 msec 108 msec
 11 torres6.zugschlus.de (2A01:198:231::1) 116 msec 120 msec 120 msec

Einen AAAA-Record für torres selbst einzutragen habe ich mich noch nicht getraut. Das mach ich eventuell mal in ein paar Wochen.

Als nächster Schritt kommt dann ein Tunnel ins Wohnungs-LAN, und dann haben die internen Rechner endlich wieder feste IP-Adressen. Das brauche ich zwar nur für interne, unwichtige Dinge wie das Backup, aber da ist es dann schon extrem hilfreich für die Automatisierung.

Wie schon vor fast einem Jahr geschrieben, verwende ich normalerweise konsequent geplusste Mailadressen, um die Möglichkeit zu haben, der Wanderung meiner Mailadressen durch die verschiedenen Datenbanken nachvollziehen zu können. Dies birgt einige Fallstricke, die sich hauptsächlich daraus ergeben, dass sich manche Webentwickler ihre Arbeit verhältnismäßig einfach machen und diese weitgehend unbeeinflusst von den technischen Standards verrichten.

Heute ist mir aber ein Punkt über den Weg gelaufen, bei dem Pluszeichen im Localpart einer Mailadresse wirklich nicht erlaubt sind: Das zweite Feld im SOA-Record einer DNS-Zone soll laut RFC1035 einen Domainnamen enthalten, der die Mailbox der für die Zone verantwortlichen Person spezifiziert. Und im Wort "Domainnamen" steht der Schlüssel: Denn ein Domainname darf weder Klammeraffe noch Plus enthalten: Es sind nur Punkte, Buchstaben, Ziffern und Bindstriche erlaubt (und die nichtmal in beliebiger Reihenfolge). Das ist auch der Grund dafür, warum man den Klammeraffen im SOA-Record durch einen Punkt ersetzen und alle davor vorkommenden Punkte Backslash-Escapen muss.

Damit ich nicht jede SOA-Mailadresse einzeln manuell anlegen muss, nimmt mein Mailserver seit heute nicht nur mh+blog-zugschlus-de@zugschlus.de, sondern auch mh---blog-zugschlus-de@zugschlus.de an. Das sind zwei getrennte Suffixe, die in Filtern unterschiedlich behandelt werden können. In Exim ist das einfach zu konfigurieren: Man schreibt einfach local_part_suffix = "+* : ---*" in die Konfiguration, wo zuvor nur "+*" stand.

Damit dürfte ich mich in Zukunft auch etwas weniger über hirntote Webprogrammierer ärgern müssen, weil der Weg zur nicht mehr geplussten Mailadresse jetzt nicht mehr so weit ist.

Nachdem U es inzwischen endlich geschafft hat, den alten DSL-Anschluß zu deaktivieren und inzwischen unsere eingehenden Telefonate auch dann auf dem Alice-Anschluß herauskommen, wenn der Anrufer aus dem Netz von U anruft, ist die technische Migration endlich geschafft. Puh.

Ich nutze die Gelegenheit, im Kabäuschen etwas Klarschiff zu machen: Altes IAD raus, den im derzeitigen Zwischenzustand ungenutzten Linksys raus, Test-Eurit und Übergangs-Anrufbeantworter raus, die damit überflüssig gewordenen vier Steckernetzteile raus, das Alice-IAD an die Wand und die Patchung etwas sauberer konstruieren. Nachdem das alles vernünftig aussieht, stellen wir fest, dass die Fritzbox nur noch PPPoE-Timeouts sieht. Eine Runde Resets hilft nicht, das Notebook kriegt auf seine PADIs auch keine Antwort, Mist.

Systematisches Debuggen zeigt dann, dass das Ethernet 4 das Alice-IAD zwar einen Link anzeigt, aber keine Daten transportiert. Mit Ethernet 3 geht's dann. gnarf

Warum ein reines Modem an einem Produkt, das technisch auf einen PPPoE-Connect zur Zeit limitiert ist, vier Ethernet-Ports mitbringt, war mir bis heute unklar. Inzwischen weiß ich es und fühle mich gut damit, noch zwei Ethernets in Reserve zu haben, bevor ich ein neues IAD ordern muss.

Wir sind wieder da. Unsere Abwesenheit dürfte auch die vergleichsweise Ruhe in diesem Blog erklären.

Die Situation um Kater Paul hat sich schon am Dienstagnachmittag letzter Woche wieder entspannt, Paul war den Mittwoch über zwar noch etwas matschig, hat aber gefressen und gebettelt wie sonst auch, und wir sind deswegen am Donnerstag wie geplant in Richtung Oldenburg abgedampft. Obwohl ich mir stundenlang überlegt habe, was ich vergessen habe, bleibt ausgerechnet Sandras Geburtstagsgeschenk in Ilvesheim liegen.

In Oldenburg haben wir sehr liebe Freunde, die wir viel zu selten besuchen. Und so sollte Oldenburg diesmal die Basis für einen norddeutschen Kurzurlaub bieten.

Continue reading "Urlaub vorbei"

Die Janus-Eigenschaft meiner beiden Telefonanschlüsse besteht nach wie vor: Anrufe aus dem Alice-Netz und aus fast allen anderen Netzen kommen - ordentlich - auf dem Alice-Anschluß an. Anrufe von Kunden meines bisherigen Anbieters kommen nach wie vor auf dem alten Anschluß heraus.

Das wird auch bis mindestens zum 22. April so weiter gehen, denn zu diesem Termin hat mein alter Anbieter jetzt endlich die Kündigung bestätigt. Bis dahin hängt ein analoger Anrufbeantworter auf dem IAD des alten Anbieters, der im "Hinweisansage"-Modus darum bittet, den Anruf bitte aus einem anderen Netz zu wiederholen oder unsere 01805-Callcenterfalle anzurufen.

Wir warten nun auf das Kapitel "alter Anschluss ist abgeschaltet und Anrufe aus dem Netz des alten Anbieters landen im Nirvana". Telcos sind ja soooo berechenbar...

Sandra war gestern noch mit Paul beim Tierarzt und hat sich dort Päppelfutter und einen Haufen MCP-Spritzen abgeholt. Der Tierarzt ist - wie schon letztes Mal bei diesen Symptomen - der Meinung, dass wir es hier mit einer entzündeten Bauchspeicheldrüse zu tun haben, und hat ihm das übliche Langzeitantibiotikum verpasst.

Seitdem bewegt Paul sich vorsichtig von einer Höhle in die andere und frisst nicht, egal was man ihm vorsetzt. Dabei geht er bei Dosenfutter normalerweise vor Freude und Gier die Wände hoch. Aber immerhin hat er heute nacht nicht gekotzt.

Ich korrigiere die Urlaubswahrscheinlichkeit auf "deutlich unter 50 %".

Ich erinnere mich ganz genau, was ich vor zwei Jahren genau um diese Zeit getan habe: Ich habe telefoniert. Mit einer blonden Frau, die mich knapp zwei Stunden zuvor im ICQ angesprochen hatte. Wir hatten uns relativ schnell darauf geeinigt, aufs Telefon zu wechseln und haben knapp drei Stunden miteinander telefoniert.

Zwei Tage später haben wir uns persönlich kennengelernt, und noch einmal zwei Tage später hatten wir was miteinander. Dieses "was miteinander haben" hält nun schon zwei Jahre - das ist länger, als es jede andere Frau zuvor mit mir ausgehalten hat.

Und ich hoffe, dass das noch laaaaaaaaaaaaaaange so weitergeht. Sandra, mein Schatz, ich liebe Dich, Du bist mein größtes Glück. Danke für die letzten zwei Jahre, und danke für die Jahre, die noch kommen werden.

Continue reading "Zwei Jahre Sandra"

http://adminzen.org/. Danke Mika.

Paulchen arbeitet hart dran, uns den für Ende der Woche geplanten Kurzurlaub zu versauen. Heute morgen durfte ich jedenfalls erstmal drei Riesenseen Katzenkotze aus Flur und Wohnzimmer wegmachen, und fressen mag er auch nicht.

Gestern war mir nach lautem Geräusch und Bewegung, also bin ich um kurz vor Mitternacht nach Karlsruhe gefahren, wo mein alter Freund Amar einmal im Monat in der Mood Lounge Musik auflegt. Das ganze nennt sich James-Bond-Night und besteht aus Soul, Funk und Disco. Größtenteils handgemachte Musik also.

Leider waren werder Frau K. noch das Ehepaar A. zum Mitkommen zu motivieren, also musste ich alleine fahren.

Die Mood Lounge ist ein kleiner Club, in etwa halb so groß wie das Normal/Unterhaus, retro dekoriert. Durchaus gemütlich. Der DJ steht buchstäblich mitten auf der Tanzfläche, noch viel mehr als im Normal, und ist nicht so abgeschieden wie im ZAP. Das Publikum ist größtenteils Mitte 20, aber ich habe mich nicht deplaziert gefühlt, weil auch genug ältere Leute da waren. Kein Wunder, passt ja auch zur Musik.

Die Musik ist zwar nicht hundertprozentig mein Fall, aber Amar legt auch das ältere Zeugs prima auf, und wenn ich schon mit Durststrecken leben muss (was ich fast überall tun muss), hab ich die lieber bei James Brown und Konsorten als bei irgendwelchem Industrielärm von Posertechno (nichts gegen melodischen House, aber manchmal wird's auch mir zu heftig).

Der Nachteil: Die Anlage bringt die Lautstärken, die Amar von ihr gestern verlangt hat, einfach nicht, und da die Tanzfläche von sechs Seiten beschallt wird, ist es auch in der Mitte der Tanzfläche zu laut und egal wie man sich auf der Tanzfläche orientiert, irgend eine Box plärrt doch direkt ins Ohr. Da gehören Limiter rein, die den Sound im Erträglichen halten. Ich bin da jetzt seit gut sieben Stunden draußen und mir klingeln die Ohren immer noch.

Der Herr Z. aus K. empfiehlt hier diesen Gehörschutz zur Schonung der Ohren, ich muss echt mal gucken ob ich für sowas in die Tasche greife. Unterhalten kann man sich damit dann vermutlich nimmer, aber ich hab das, was Amar mir in den 30 Sekunden Gespräch die wir doch zustande gebracht haben erzählt hat eh nicht verstanden.

Früher konnte ich einfach vom Lichtpult rübergreifen, etwas die Höhen rausnehmen und den Summenregler runterziehen, aber in einem fremden Club in dem ich bisher viermal war käme das dann doch eher nicht gut. Hmpf.

Heute morgen auf dem Heimweg von Karlsruhe habe ich den Peugeot 207, den ich zur Zeit fahren, mal etwas stärker getreten und bin 150 gefahren. Morgens um drei geht das ja selbst auf der A5.

Dabei habe ich mich entschlossen, mich bei der Autovermietung dafür einzusetzen, dass ich ab dem nächsten Tausch ein anderes Fahrzeug bekomme.

Dass ein Auto der Polo-Klasse über neun Liter braucht, ist echt nicht mehr zeitgemäß. Elende Säuferkiste.

Ich bin vielleicht altmodisch genug, dass ich davon ausgehe, dass sich ein Kunde auch ein wenig im Ton vergreifen darf und man als Dienstleister/Lieferant trotzdem noch höflich bleiben soll - auch wenn eine Zurechtweisung dem Grunde nach angebracht wäre.

Sowas ist mir heute passiert, und auch wenn das schon eine Stunde her ist, ärgere ich mich immer noch.

Continue reading "Von unhöflichen Gästen und unverschämten Wirten"