Zugschlusbeobachtungen

Eine gängige Herausforderung, Fall 1: Ein mobiles Clientsystem soll mit HIlfe eines VPN-Clients mit einem geschützten Netzwerk verbunden werden. Dabei ist gewünscht, dass während der Tunnel aufgebaut ist der gesamte Netzwerktraffic des Clients über das VPN geht. Nach Abbau des Tunnels soll wieder alles so sein wie vorher.

Fall 2: Ein Dual-Homed Host in einem RZ (z.B. ein Proxy) soll im Wartungsbetrieb seine Defaultroute "nach innen" gesetzt haben, so wie sie auch aus dem Deployment-System herausfällt. Im Wirkbetrieb jedoch soll die Defaultroute "nach außen" gesetzt sein, damit die Kommunikation mit dem Internet möglich wird.

Beide Aufgaben erfordern ein temporäres Umsetzen der Defaultroute. Macht man das auf dem naiven Weg, muss man sich irgendwie merken, wohin die Defaultroute vor dem Umsetzen zeigte, um sie danach wieder herzustellen.

In diesem Artikel stelle ich einen einfachen und eleganten Weg vor, um sich die Zwischenspeicherung der "alten" Defaultroute zu sparen. Ich kenne ihn schon seit ein paar Jahren aus der OpenVPN-Welt und bin immer wieder über die Situation gestolpert, dass er an einer Stelle hilfreich ist und ich ihn den Leutern erklären muss, die ihn noch nicht kennen. Mit diesem Artikel möchte ich mir diese Erklärungen in der Zukunft etwas einfacher machen.

Continue reading "Eine Defaultroute überschreiben, ohne sie zu überschreiben"

Die "Großmutteruhr", die vom Beginn meiner bewussten Wahrnehmung bis zum Tod meines Vaters und unserem Auszug aus dem Haus am Falkenstein im Arbeitszimmer meines Vaters hing, ist am 09. Januar nach 28 Jahren Abstellraum, Keller oder Speicher an ihren Platz zurückgekehrt. Allerdings ist dieser Platz jetzt nicht mehr im Arbeitszimmer meines Vaters, sondern in meinem Seminarraum. Damit ist ein bisschen der "alten" Ordnung wieder hergestellt.

Die Uhr muss einmal in der Woche aufgezogen werden und hat ein Schlagwerk mit einem sehr schönen Schlag, den man bis ins Wohnzimmer nach oben hören kann. Wer sich mehr für die Geschichte dieses Erbstücks interessiert, darf weiterlesen.

Continue reading "Nach 28 Jahren Speicher und Keller: Haber-Großmutteruhr in Betrieb"

Als Systemadministrator hat man im Idealfall mit IP-Routing nur dann zu tun, wenn man seinen Systemen eine Defaultroute setzt und dann nie wieder. Mit Wissen auf diesem Niveau kann man jahrelang in unserem Handwerk arbeiten.

Bis es mal nicht tut, oder besondere Anforderungen auch besondere Maßnahmen erfordern. Dann sieht man sofort, wo das Grundwissen fehlt. In diesem Artikel möchte ich eine - hoffentlich minimale - Menge dieses Grundwissens vermitteln. Aufgrund meines fachlichen Fokus beschränke ich mich hier auf Linux; die Theorie dahinter ist aber für alle internettauglichen Betriebssysteme identisch, so dass man sich nur an die verwendeten Tools, ihre Parameter und ihre Ausgabeformate anpassen muss.

Continue reading "IP-Routing für Anfänger"

Nur ein kurzes Lebenszeichen, ist zu lang für Twitter:

Wenn man eine Reise plant, möchte man kein schmutziges Geschirr in der Wohnung haben. Aber kurz vor dem Zug noch die Spülmaschine einräumen ist auch lästig und unterbleibt gerne mal.

Abhilfe dieser ebenso offensichtliche wie einfache Trick: Man befüllt die Spülmaschine mit Spülmittel etc und stelle den Timer auf eine Startzeit ein paar Stunden nach der geplanten Abreise. Dann räume man alles Geschirr das vor Abreise noch anfällt (z.B. das Zeug von der Vorbereitung der Wegzehrung) einfach in die Maschine. Der Rest geht von selbst, und wenn man zurückkommt, ist alles schön sauber.

Eben gerade lief im Radio "1999" von Prince. Und ich werde nachdenklich.

1999 ist der Titelsong des gleichnamigen Albums aus dem Jahr 1982. Das war tatsächlich vor meiner Zeit, denn ich habe erst 1984 angefangen, aktuelle Musik zu hören. Das ist bizarr, denn ich sehe mich inzwischen sowohl als Musik-Junkie als auch als Kind der 80er. Das Ding war also quasi schon ein Oldie, als ich es das erste Mal bewusst gehört habe.

Das ist unglaubliche 35 Jahre her, und Prince, der mit seinem unglaublichen musikalischen Talent die Popmusik geprägt hat wie kaum ein anderer, ist auch schon mehr als ein Jahr tot. In 1999 besingt er seine Angst vor einem Atomkrieg. Das ist heute aktuell wie seit den 80ern nicht mehr. Aber diesen Aspekt des Textes habe ich nie wahrgenommen.

Musikalisch geht die Nummer unglaublich ins Ohr. Phil Collins, der eine Ähnlichkeit seines drei jahre jüngeren "Sussudio" zu Princens Millieniumstück laut Wikipedia nie abstritt, wird das vermutlich genau so gesehen haben.

Aus dem Wikipedia-Eintrag habe ich gelernt, dass Prince tatsächlich im Jahr 1999 1999 neu aufgenommen und veröffentlicht hat. Das ist leider nicht nur nicht der erwartete Welthit geworden, sondern erstaunlicherweise habe auch ich den Re-Release, der auch schon wieder 18 Jahre her ist, nie bewusst wahrgenommen.

Aber diesen kurzen Blogeintrag schreibe ich heute auch deswegen, weil sich die Textzeile "tonight we're gonna party like it's 1999" in den letzten 35 Jahren doch ziemlich verändert hat, ohne sich zu verändern. Damals beschrieb sie eine weit in der Zukunft liegende Party, von der niemand wusste was sie bringen wird.

Heute denke ich daran, wenn ich "tonight we're gonna party like it's 1999" höre, daran, wie wir damals gefeiert haben. Diese Zeit kommt nie wieder. Und das macht mich dann schon etwas traurig.

Am Sonntag morgen kann man von Alp Grüm aus zwar ein bisschen gucken, strömender Regen lässt allerdings keine Lust auf Outdoor-Aktivitäten aufkommen. Nach dem Frühstück räume ich mein Zimmer und verbringe Vormittag und Mittag arbeitend in der Gaststube. Ab elf füllt es sich zunehmend mit Tagesgästen, ich blockiere einen Vierertisch mit Blick und es traut sich niemand, sich zu mir zu setzen, so dass ich mich schließlich dezent in den Nebenraum an einen Tisch mit ohne Blick verkrümele und noch ein bisschen mit dem Nitrokey spiele.

Um kurz nach zwei geht es dann auf die insgesamt siebzehnstündige Heimfahrt, die allerdings nicht heim, sondern zum Kunden nach Frankfurt führt.

Continue reading "Heim."

Samstag ist jetzt nicht ganz so bahnsch, aber ich erzähle ihn Euch trotzdem. Fachlich habe ich an diesem Tag ein wenig mit dem Nitrokey und GnuPG-Subkeys gespielt und sehr viel mehr Plan darüber gewonnen, wie ich Key, Revocation Certificate etc auf Papier speichern und danach wieder in den Rechner zurückholen kann. Darüber muss ich noch ein wenig pondern, bevor ich bloggen kann.

Continue reading "Das Wandern ist des Zugschlus' Lust. Oder, naja."

Bevor ich in Friedrichshafen im Hotel ins Bett falle, suche ich mir die für den Folgetag geplante Verbindung von Friedrichshafen nach Alp Grüm heraus und hinterlege sie im DB Navigator unter "meine Reise". Nach knapp sechs Stunden Schlaf klingelt der Wecker, der erste Griff geht zum Handy, und danach bin ich wirklich wach.

Denn dort leuchtet mir in Rot ein "Fahrt fällt aus" entgegen.

Continue reading "(fast) unkontrolliert durch Schweiz und Österreich"

Wie neulich befürchtet, ist die Rheintalbahn auch zur Zeit meiner heiß ersehnten Retreats nach Alp Grüm noch unterbrochen. Ich wollte ursprünglich Freitag morgens mit der ersten Verbindung in Richtung Schweiz aufbrechen (damit steht "früher losfahren" nicht zur Debatte), habe mich aber nach Bekanntwerden der Streckensperrung dazu entschlossen, mr den ersten Tag auf der Alp nicht um den SEV-Zeitverlust zu verkürzen und habe nach Alternativrouten zur Umfahrung, zähneknirschend mit einer zusätzlichen Übernachtung auf halber Strecke gesucht.

Es fiel schließlich die Wahl auf Friedrichshafen am Bodensee als Übernachtungsort: Von daheim angemessen flott erreichbar, bietet es geschickten Zugang zu zwei Eisenbahn-Grenzübergängen und der Linienschiff-Verbindung über den See in die Schweiz. Und so machte ich mich vorhin auf den Weg an den Bodensee.

Continue reading "Sturget, Ulm und Biberach. Meckebeure. Durlesbach. Und Friedrichshafen. Ein Reisebericht."

So, nachdem ich die letzte Woche mit "Voraussetzungen aufbauen" verbracht habe, und wegen Zeitmangel am Wochenende sogar einen vorbereiteten Füller-Artikel posten musste, kommen wir heute (endlich) zu dem, was ich eigentlich mit Euch diskutieren wollte. Zu diesem Artikel sind mir Eure Kommentare besonders wichtig; ich weiß aber, dass es nach dem Absenden eines Kommentars im Browser einen Timeout hagelt. Das ändert aber nichts dran, dass der Kommentar ordentlich gepostet wurde.

Heute soll es nun endlich darum gehen, wie man Konfigurationsarbeiten ermöglicht und unterstützt, bei denen sich derjenige, der die Arbeiten ausführt, aktiv auf den zu bearbeitenden Systemen einlogged. Dabei schließe ich ausdrücklich das manuelle Arbeiten mit ssh oder mehrfach-ssh wie mssh und cssh ein, meine aber auch semiautomatisierte Arbeiten wie xargs --max-procs oder parallel(1) bis hin zum vollautomatischen Prozess, z.B. mit Ansible.

Continue reading "Privilege Escalation für Konfigurationsmanagement, Teil II"

Kapitel 10: Das Nexus V

Für die Aufgabe "Phone" entscheide ich mich für ein Nexus V: Unter Nerds weit verbreitet, guter Support von LineageOS, guter Ruf, preisgünstig zu haben. Unter den Nachteilen: Wenig RAM, nur ein SIM-Slot, kein SD-Slot, und die Variante mit 32 GByte schent aus Unobtanium gefertigt zu sein.

Ebenfalls hinter dem Klick versteckt ist Kapitel 11: Das Asus Zenfone Laser 2

Continue reading "Meine Android-Geschichte Kapitel 10-11"

Auf meinen Systemen bin ich im wesentlichen der einzige Shell-Benutzer. Die hier vorgeschlagenen Methoden können natürlich auch auf eine größere Menge von Accounts angewendet werden, wobei ab einer gewissen Grenze manche Verfahren nicht mehr skalieren.

lokaler Login

Lokaler Login auf der Konsole ist bei meiner Arbeitsweise die Ausnahme. Das passiert im Wesentlichen nur bei Störungen, wenn Netz und/oder ssh nicht mehr funktionieren. Die bei weitem häufigste Methode des Zugriffs auf die Shell erfolgt via ssh über das Netz. Da ich auf meinen Systemen natürlich sudo-berechtigt bin, benötige ich das zum Account gehörende Passwort (außer zum Konsolen-Login im Störungsfall) nur, um mich bei sudo zu authentifizieren um root werden zu können.

Continue reading "Meine Best Practice für Shell-Accounts und ihre Absicherung (mit ssh)"

Es war vor einigen Jahren, auf einem Treffen der SAGE Karlsruhe, wo im Rahmen eines Lightning Talks ssh proxycommand vorgestellt wurde. Ich hatte mich bisher immer mit einzelnen ssh-Aufrufen von Host zu Host weitergehangelt, und ssh proxycommand war für mich damals der erste Weg, direkt mit einem "natürlich" erscheindenen ssh-Aufruf trotz Sprunghost-Zwang auf dem Zielsystemen zu landen.

Das Verfahren wurde in neueren OpenSSH-Versionen noch zweimal vereinfacht, und in diesem Artikel möchte ich die Unterschiede herausstellen.

Continue reading "ssh proxycommand, ssh -W, ssh proxyjump"

Wenn man sich die Konfiguration seiner Systeme (managed systems) von einem Automaten (Konfigurationsmanagement-System, KMS) abnehmen lassen möchte, muss man ihm dazu die notwendigen Rechte geben. Da beißt die Maus keinen Faden ab.

Aber was sind die notwendigen Rechte, wie gibt man sie dem Automaten, und welche Implikationen für die Systemsicherheit (im Sinne von security) haben sie?

In diesem Artikel und seinen weiteren Teilen stelle ich ein paar Methoden vor, versuche ihre Vor- und Nachteile herauszuarbeiten und bitte euch um Kommentare und eure Meinung dazu. Dieser Teil 1 beschäftigt sich mit dem, dem ich eigentlich nur einen Absatz widmen wollte, und aus dem dann ein eigener Artikel geworden ist: Dem Pull-Prinzip mit einem Agenten.

Continue reading "Privilege Escalation für Konfigurationsmanagement, Teil I"

Zwischen Deutschland und unserem Nachbarland Schweiz gibt es drei direkte Bahnverbindungen (von Ost nach West):

• Lindau-Bregenz-St. Margarethen (gut, auch nicht direkt, ist ein Stück Österreich dabei): Deutsche Zulaufstrecke nur mit Diesel befahrbar (aber das ist eine gaaaaaz andere Geschichte),
• Singen-Schaffhausen: Deutsche Zulaufstrecke über weite Strecken nur eingleisig (Gäubahn) oder steil (Schwarzwaldbahn, die aber für die Betrachtung dieses Artikels zur Seite fällt), Fahrtrichtungswechsel in Singen notwendig (wir arbeiten dran), und schließlich
• die Rheintalbahn, um die es in diesem Artikel gehen soll.

Durch eine Störung bei einer Baustelle bei Rastatt ist die Rheintalbahn seit Samstag Mittag vollständig unterbrochen. Und es sieht so aus, als ob das wochenlang so bleiben wird.

Continue reading "Rheintalbahn voraussichtlich wochenlang unterbrochen"