Skip to content

fail2ban fuer ssh fuer Arme

Wer einen Server in einschlägig bekannten Netzwerksegmenten (sprich: Bei den großen Housing-Anbietern) betreibt und wenigstens von Zeit zu Zeit mal in dessen Logs guckt kennt es: Irgendwelche Rechner aus Fernost oder anderswo werfen dem ssh-Daemon wild zusammengewürfelte Kombinationen aus Username und Passwort zu und tun dies mit einer bemerkenswerten Persistenz. Und wenn man auf dem System "fremde" User hat, lebt man als Admin stets mit der Angst, dass einer der Versuche der Angreifer irgendwann mal Erfolg hat.

Gegen diesen Typ der Brute-Force-Angriffe sind einige Wässerchen gewachsen, und ich möchte eine kleine Auswahl davon in diesem Artikel vorstellen.

Continue reading "fail2ban fuer ssh fuer Arme"

Wiederbelebung der MF-II-Tastatur

Ich habe es jetzt endlich geschafft, meine MF-II-Tastatur von 1989 wieder zu aktivieren. Sie funktioniert immer noch an einem modernen Rechner. Erstaunlich.

Allerdings war es dann doch ein Kampf: Der erste für wenig Geld bei Ebay erstandene no-name-PS/2-an-USB-Adapter wollte zwar mit der (auch hübschen und besonders im Umzugschaos praktischen) kleinen Cherry G84-4100, nicht aber mit der alten MF-II. Der zweite PS/2-an-USB-Adapter (diesmal einer von Belkin) funktioniert mit beiden Tastaturen.

Bei der Gelegenheit musste ich auch feststellen, dass die gegen 2001 beim Hardwaretürken für zehn Mark geschossene MF-II von 1996 zwar immer noch handsigniert ist und denselben Höllenlärm macht, aber irgendwie entweder schwergängigere Tasten oder einen um den entscheidenden Millimeter höheren Tastenhub hat; das Schreibgefühl ist nicht in Ansätzen so wie mit der alten ausgelutschten...

So schreibe ich diese Zeilen mit dem bald zwanzig Jahre alten Relikt, das über einen DIN-zu-PS/2-Adapter am PS/2-zu-USB-Adapter hängt, und Sandra stand auch schon erstaunt im Zimmer und hat mich gefragt, warum sie mich plötzlich bis ins Wohnzimmer tippen hört. Dann ist es ja nur noch eine Frage der Zeit, bis die Nachbarn unter uns Sandra im Treppenhaus ansprechen: "Gell, Ihr Mann hat ei noie Daschdadur?"

Endlich IPv6

Ich wollte das ja schon lange mal machen, aber jetzt habe ich mir endlich mal die Zeit dafür genommen:

Tracing the route to torres6.zugschlus.de (2A01:198:231::1)

  1 if-3-0.mcore4.mtt-montreal.ipv6.teleglobe.net (2001:5A0:300:200::1) 12 msec 0 msec 4 msec
  2 if-3-0.core2.nto-newyork.ipv6.teleglobe.net (2001:5A0:300:200::6) 40 msec 56 msec 32 msec
  3 if-5-0-0.6bb1.nto-newyork.ipv6.teleglobe.net (2001:5A0:A00:100::6) 48 msec 92 msec 36 msec
  4 if-7-0-0.core2.ad1-amsterdam.ipv6.teleglobe.net (2001:5A0:A00:200::6) 380 msec 204 msec 124 msec
  5 if-0-0.core1.ad1-amsterdam.ipv6.teleglobe.net (2001:5A0:200:100::1) 112 msec 168 msec 208 msec
  6 2001:5A0:200::5 220 msec 100 msec 96 msec
  7 bbcr05-fra4-5a6.six-de.net (2001:4B88:0:4:16:2::) 100 msec 100 msec 100 msec
  8 talde.six-de.net (2001:4B88:0:4:23:5:11:1) 100 msec 104 msec 100 msec
  9 tal.edge1.dus1.de.as34225.net (2A01:198:4:1::1) 104 msec 104 msec 104 msec
 10 dedus01.sixxs.net (2A01:198:200::2) 104 msec 104 msec 108 msec
 11 torres6.zugschlus.de (2A01:198:231::1) 116 msec 120 msec 120 msec
Einen AAAA-Record für torres selbst einzutragen habe ich mich noch nicht getraut. Das mach ich eventuell mal in ein paar Wochen.

Als nächster Schritt kommt dann ein Tunnel ins Wohnungs-LAN, und dann haben die internen Rechner endlich wieder feste IP-Adressen. Das brauche ich zwar nur für interne, unwichtige Dinge wie das Backup, aber da ist es dann schon extrem hilfreich für die Automatisierung.

Geplusste und gedreifachtminuste Mailadressen

Wie schon vor fast einem Jahr geschrieben, verwende ich normalerweise konsequent geplusste Mailadressen, um die Möglichkeit zu haben, der Wanderung meiner Mailadressen durch die verschiedenen Datenbanken nachvollziehen zu können. Dies birgt einige Fallstricke, die sich hauptsächlich daraus ergeben, dass sich manche Webentwickler ihre Arbeit verhältnismäßig einfach machen und diese weitgehend unbeeinflusst von den technischen Standards verrichten.

Heute ist mir aber ein Punkt über den Weg gelaufen, bei dem Pluszeichen im Localpart einer Mailadresse wirklich nicht erlaubt sind: Das zweite Feld im SOA-Record einer DNS-Zone soll laut RFC1035 einen Domainnamen enthalten, der die Mailbox der für die Zone verantwortlichen Person spezifiziert. Und im Wort "Domainnamen" steht der Schlüssel: Denn ein Domainname darf weder Klammeraffe noch Plus enthalten: Es sind nur Punkte, Buchstaben, Ziffern und Bindstriche erlaubt (und die nichtmal in beliebiger Reihenfolge). Das ist auch der Grund dafür, warum man den Klammeraffen im SOA-Record durch einen Punkt ersetzen und alle davor vorkommenden Punkte Backslash-Escapen muss.

Damit ich nicht jede SOA-Mailadresse einzeln manuell anlegen muss, nimmt mein Mailserver seit heute nicht nur mh+blog-zugschlus-de@zugschlus.de, sondern auch mh---blog-zugschlus-de@zugschlus.de an. Das sind zwei getrennte Suffixe, die in Filtern unterschiedlich behandelt werden können. In Exim ist das einfach zu konfigurieren: Man schreibt einfach local_part_suffix = "+* : ---*" in die Konfiguration, wo zuvor nur "+*" stand.

Damit dürfte ich mich in Zukunft auch etwas weniger über hirntote Webprogrammierer ärgern müssen, weil der Weg zur nicht mehr geplussten Mailadresse jetzt nicht mehr so weit ist.

In die falsche Richtung gedebugged

Stell Dir vor, Du hast einen für Dich verhältnismäßig neuen Rechner, auf dem die als "unstable" markierte Entwicklerversion Deines präferierten Betriebssystems installiert ist. Die Grafikkarte funktioniere nur mit einem closed-source-Treiber. Das System ist für Dich noch so neu, dass Du seine Macken noch nicht wirklich gut kennst.

Und in dieses System baust Du nun eine für $SMALLNUM bei Ebay gekaufte, gebrauchte DVB-S-Karte eines No-Name-Billigherstellers ein.

Und sie funktioniert nicht. Findet keine Sender.

Continue reading "In die falsche Richtung gedebugged"

Notwork Technology: Power over Ethernet

Auf dem Papier liest sich Power over Ethernet ja ganz prima: Dezentrale Netzwerkgeräte mit geringem Strombedarf wie Wireless-LAN-Accesspoints, Netzwerkkameras, Desktop- oder Kabelkanalswitche und IP-Telefone können über das Ethernetkabel mit Strom versorgt werden. Das reduziert den Verkabelungsaufwand auf die Hälfte, weil man das Gerät nur noch mit einem Kabel anfahren muss, erlaubt die unterbrechungsfreie Stromversorgung verteilter Geräte mit einer einzigen, zentralen USV in der Nähe des Netzwerkverteilers, und als Nebeneffekt kann man die Geräte auch dann einfach powercyceln, wenn sie physikalisch schlecht zugänglich in einer abgehängten Decke montiert sind.

Die Praxis sieht leider anders aus: Das ganze ist nicht ganz billig und es gibt Inkompatibilitäten an jeder Ecke.

Continue reading "Notwork Technology: Power over Ethernet"