Am Sonntag morgen kann man von Alp Grüm aus zwar ein bisschen gucken, strömender Regen lässt allerdings keine Lust auf Outdoor-Aktivitäten aufkommen. Nach dem Frühstück räume ich mein Zimmer und verbringe Vormittag und Mittag arbeitend in der Gaststube. Ab elf füllt es sich zunehmend mit Tagesgästen, ich blockiere einen Vierertisch mit Blick und es traut sich niemand, sich zu mir zu setzen, so dass ich mich schließlich dezent in den Nebenraum an einen Tisch mit ohne Blick verkrümele und noch ein bisschen mit dem Nitrokey spiele.
Um kurz nach zwei geht es dann auf die insgesamt siebzehnstündige Heimfahrt, die allerdings nicht heim, sondern zum Kunden nach Frankfurt führt.
Continue reading "Heim."
Samstag ist jetzt nicht ganz so bahnsch, aber ich erzähle ihn Euch trotzdem. Fachlich habe ich an diesem Tag ein wenig mit dem Nitrokey und GnuPG-Subkeys gespielt und sehr viel mehr Plan darüber gewonnen, wie ich Key, Revocation Certificate etc auf Papier speichern und danach wieder in den Rechner zurückholen kann. Darüber muss ich noch ein wenig pondern, bevor ich bloggen kann.
Continue reading "Das Wandern ist des Zugschlus' Lust. Oder, naja."
Bevor ich in Friedrichshafen im Hotel ins Bett falle, suche ich mir die für den Folgetag geplante Verbindung von Friedrichshafen nach Alp Grüm heraus und hinterlege sie im DB Navigator unter "meine Reise". Nach knapp sechs Stunden Schlaf klingelt der Wecker, der erste Griff geht zum Handy, und danach bin ich wirklich wach.
Denn dort leuchtet mir in Rot ein "Fahrt fällt aus" entgegen.
Continue reading "(fast) unkontrolliert durch Schweiz und Österreich"
Wie neulich befürchtet, ist die Rheintalbahn auch zur Zeit meiner heiß ersehnten Retreats nach Alp Grüm noch unterbrochen. Ich wollte ursprünglich Freitag morgens mit der ersten Verbindung in Richtung Schweiz aufbrechen (damit steht "früher losfahren" nicht zur Debatte), habe mich aber nach Bekanntwerden der Streckensperrung dazu entschlossen, mr den ersten Tag auf der Alp nicht um den SEV-Zeitverlust zu verkürzen und habe nach Alternativrouten zur Umfahrung, zähneknirschend mit einer zusätzlichen Übernachtung auf halber Strecke gesucht.
Es fiel schließlich die Wahl auf Friedrichshafen am Bodensee als Übernachtungsort: Von daheim angemessen flott erreichbar, bietet es geschickten Zugang zu zwei Eisenbahn-Grenzübergängen und der Linienschiff-Verbindung über den See in die Schweiz. Und so machte ich mich vorhin auf den Weg an den Bodensee.
Continue reading "Sturget, Ulm und Biberach. Meckebeure. Durlesbach. Und Friedrichshafen. Ein Reisebericht."
So, nachdem ich die letzte Woche mit "Voraussetzungen aufbauen" verbracht habe, und wegen Zeitmangel am Wochenende sogar einen vorbereiteten Füller-Artikel posten musste, kommen wir heute (endlich) zu dem, was ich eigentlich mit Euch diskutieren wollte. Zu diesem Artikel sind mir Eure Kommentare besonders wichtig; ich weiß aber, dass es nach dem Absenden eines Kommentars im Browser einen Timeout hagelt. Das ändert aber nichts dran, dass der Kommentar ordentlich gepostet wurde.
Heute soll es nun endlich darum gehen, wie man Konfigurationsarbeiten ermöglicht und unterstützt, bei denen sich derjenige, der die Arbeiten ausführt, aktiv auf den zu bearbeitenden Systemen einlogged. Dabei schließe ich ausdrücklich das manuelle Arbeiten mit ssh oder mehrfach-ssh wie mssh und cssh ein, meine aber auch semiautomatisierte Arbeiten wie xargs --max-procs oder parallel(1) bis hin zum vollautomatischen Prozess, z.B. mit Ansible.
Continue reading "Privilege Escalation für Konfigurationsmanagement, Teil II"
Kapitel 10: Das Nexus V
Für die Aufgabe "Phone" entscheide ich mich für ein Nexus V: Unter Nerds weit verbreitet, guter Support von LineageOS, guter Ruf, preisgünstig zu haben. Unter den Nachteilen: Wenig RAM, nur ein SIM-Slot, kein SD-Slot, und die Variante mit 32 GByte schent aus Unobtanium gefertigt zu sein.
Ebenfalls hinter dem Klick versteckt ist Kapitel 11: Das Asus Zenfone Laser 2
Continue reading "Meine Android-Geschichte Kapitel 10-11"
Auf meinen Systemen bin ich im wesentlichen der einzige Shell-Benutzer. Die hier vorgeschlagenen Methoden können natürlich auch auf eine größere Menge von Accounts angewendet werden, wobei ab einer gewissen Grenze manche Verfahren nicht mehr skalieren.
lokaler Login
Lokaler Login auf der Konsole ist bei meiner Arbeitsweise die Ausnahme. Das passiert im Wesentlichen nur bei Störungen, wenn Netz und/oder ssh nicht mehr funktionieren. Die bei weitem häufigste Methode des Zugriffs auf die Shell erfolgt via ssh über das Netz. Da ich auf meinen Systemen natürlich sudo-berechtigt bin, benötige ich das zum Account gehörende Passwort (außer zum Konsolen-Login im Störungsfall) nur, um mich bei sudo zu authentifizieren um root werden zu können.
Continue reading "Meine Best Practice für Shell-Accounts und ihre Absicherung (mit ssh)"
Es war vor einigen Jahren, auf einem Treffen der SAGE Karlsruhe, wo im Rahmen eines Lightning Talks ssh proxycommand vorgestellt wurde. Ich hatte mich bisher immer mit einzelnen ssh-Aufrufen von Host zu Host weitergehangelt, und ssh proxycommand war für mich damals der erste Weg, direkt mit einem "natürlich" erscheindenen ssh-Aufruf trotz Sprunghost-Zwang auf dem Zielsystemen zu landen.
Das Verfahren wurde in neueren OpenSSH-Versionen noch zweimal vereinfacht, und in diesem Artikel möchte ich die Unterschiede herausstellen.
Continue reading "ssh proxycommand, ssh -W, ssh proxyjump"
Wenn man sich die Konfiguration seiner Systeme (managed systems) von einem Automaten (Konfigurationsmanagement-System, KMS) abnehmen lassen möchte, muss man ihm dazu die notwendigen Rechte geben. Da beißt die Maus keinen Faden ab.
Aber was sind die notwendigen Rechte, wie gibt man sie dem Automaten, und welche Implikationen für die Systemsicherheit (im Sinne von security) haben sie?
In diesem Artikel und seinen weiteren Teilen stelle ich ein paar Methoden vor, versuche ihre Vor- und Nachteile herauszuarbeiten und bitte euch um Kommentare und eure Meinung dazu. Dieser Teil 1 beschäftigt sich mit dem, dem ich eigentlich nur einen Absatz widmen wollte, und aus dem dann ein eigener Artikel geworden ist: Dem Pull-Prinzip mit einem Agenten.
Continue reading "Privilege Escalation für Konfigurationsmanagement, Teil I"
Zwischen Deutschland und unserem Nachbarland Schweiz gibt es drei direkte Bahnverbindungen (von Ost nach West):
- Lindau-Bregenz-St. Margarethen (gut, auch nicht direkt, ist ein Stück Österreich dabei): Deutsche Zulaufstrecke nur mit Diesel befahrbar (aber das ist eine gaaaaaz andere Geschichte),
- Singen-Schaffhausen: Deutsche Zulaufstrecke über weite Strecken nur eingleisig (Gäubahn) oder steil (Schwarzwaldbahn, die aber für die Betrachtung dieses Artikels zur Seite fällt), Fahrtrichtungswechsel in Singen notwendig (wir arbeiten dran), und schließlich
- die Rheintalbahn, um die es in diesem Artikel gehen soll.
Durch eine Störung bei einer Baustelle bei Rastatt ist die Rheintalbahn seit Samstag Mittag vollständig unterbrochen. Und es sieht so aus, als ob das wochenlang so bleiben wird.
Continue reading "Rheintalbahn voraussichtlich wochenlang unterbrochen"
Das Update von Debian jessie auf Debian stretch hat im Umfeld meines Blogs die Migration von MariaDB 10.0 auf MariaDB 10.1 und von PHP 5.6 auf PHP 7.0 gebracht. Dazu musste ich natürlich in der Apache-Konfiguration das php5-Modul durch das php7-Modul ersetzen und noch einige andere kleine Änderungen durchführen.
Danach waren im Blog durchgängig die Umlaute kaputt; das sah so ähnlich aus, als würde man ein UTF-8 codiertes Dokument auf einem ASCII-Terminal betrachten. Insider nennen das auch Double-WTF8.
Continue reading "Spaß mit serendipity beim Debian-Update"
Dieses Mal war ich schnell. Gerade zwei Monate nach dem Release von Debian stretch habe ich letzte Woche den letzten noch auf Debian jessie laufenden Host aktualisiert. Es bleiben die bekannten Altlasten, die schon vor zwei Jahren nicht auf jessie aktualisiert wurden.
Wir arbeiten dran.
Ein paar interessante Dinge sind bei der Migration dieses Blogs aufgefallen. Nach der schieren Anzahl des Trackback-Spams, der hier aufschlägt, könnte sogar das Kommentieren wieder funktionieren. Wollt Ihr mal probieren?
Kapitel 9: Das Wileyfox Storm
Der friesische Ex-Kollege macht mich auf den britischen Hersteller Wileyfox aufmerksam. Die kaufen ihre Komponenten von den namhaften Premium-Herstellern, bauen daraus Telefone, installieren Cyanogen OS (die kommerzielle Variante von Cyanogen) und verkaufen das Ergebnis zu einem durchaus attraktiven Preis. Ich entscheide mich für das 5,5-Zoll-Modell "Storm", das mit Achtkern-CPU, SD-Slot, Dualsim, Full-HD-Display, 3 GB RAM und 32 GB Speicher durchaus respektabel ausgestattet ist. Für knapp 300 Euro schenke ich mir das Gerät 2016 zum Geburtstag.
Continue reading "Mein Android-Geschichte Kapitel 9"
Hier die Fortsetzung von letzter Woche mit den Kapiteln 5-8
Kapital 5: Das Galaxy Tab 2
Ersatzgerät wird ein Galaxy Tab 2, das nun bereits vor dem Punkt, wo wichtige Daten drauf sind, gerootet und mit Cyanogen Mod versehen wird. Das Restore gelingt aufgrund abweichender Softwareversionen nicht auf Anhieb. da Titanium Backup natürlich nur die rohen Dateien sichert, und man sich in der Android-Welt wohl nicht besonders um Kompatibilität der On-Disk-Formate schert. Ich erinnere mich nicht mehr exakt, wie ich diese Herausforderung löse, in irgend einer Form musste ich jedoch nochmal auf das kaputte Altgerät zurückgreifen.
Das Galaxy Tab 2 kann man sogar ohne Headset als Telefon benutzen, wenn es auch eher affig aussieht, sich das 7-Zoll-Gerät ans Ohr zu halten. Heute würde vermutlich niemand mehr ob des Anblickes zucken.
Continue reading "Meine Android-Geschichte Kapitel 5-8"
Ich war gestern einkaufen. Und musste EUR 51.13 bezahlen.
Ich bin ja sonst nicht derjenige, der alles "mal zwei" in D-Mark umrechnet. Aber EUR 51,13 sind genau DEM 100,00. Oder waren genau DEM 100,00.
Ich erinnere mich noch genau, wie ich meine ersten Euros bekommen habe. Wir wollten abends in die Disco, und das (inzwischen, leider geschlossene) ZAP hatte angeboten, in DEM zu kassieren und das Wechselgeld in EUR auszugeben. So gab ich einen Hundertmarkschein hin und bekam EUR 51,13 zurück. Aus irgendwelchen Gründen hat sich dieser Betrag in mein Gehirn gebrannt.
Die Kassierern im Supermarkt wird sich nicht mehr an den Tag der Einführung des Euro-Bargelds erinnern - zu jung. Und sie hat ziemlch dämlich geschaut, als mir ein "den Betrag kenn ich, das waren früher genau hundert Mark" herausgerutscht ist. Und ich fühle mich seltsam alt.
