Zugschlusbeobachtungen

In Alturo-Server aus Sicht des Linuxers habe ich letzte Woche dem United-Internet-Rootserverprodukt auf den Zahn gefühlt. Deswegen lag es natürlich nahe, den Test kurz danach mit einem Produkt von Strato zu wiederholen.

Als Testsystem stand mir ein Gerät zur Verfügung, das man heute nicht mehr neu bestellen kann: Der Anbieter hat sein Produktportfolio auf AMD64-basierende Systeme modernisiert. Man muss deswegen meine Aussagen etwas relativieren.

Continue reading "Nochmal Rootserver, diesmal Strato"

Bei http://www.bressner.de/ gibt es in der Rubrik "eSecurity-Systeme" hübsche kleine Appliances mit vielen Ethernets, die man sich eventuell mal als Linux-Systeme im Netzbereich angucken sollte.

Ich hab die Dinger noch nicht in real life gesehen, aber die Daten sehen ganz nett aus.

Gefunden hab ich das ganze in der UUGRN-Mailingliste

Seit ich mit Linux arbeite, stehe ich mit dem lartc-HOWTO erheblich auf Kriegsfuß: Ich verstehe den Inhalt einfach nicht. Zu viel Theorie, zu wenig Beispiele. Ich weiß ehrlich gesagt nicht, ob sich das in den letzten zwei Jahren geändert hat, aber spätestens wenn ich ernsthaft VoIP betreibe, werde ich das brauchen.

Gefunden auf der linux-net-Mailingliste habe ich die folgende weitergehende Literatur, die ich mir bei Gelegenheit mal angucken muss:

• die LARTC-Mailingliste

• die LARTC-Webseite

• Dokumentation von Martin A. Brown

• Dokumentation von Jason Boxman

• Dokumentation von Stef Coene (Stand 2005/03, nicht mehr aktualisiert)

• Dokumentation von Leonardo Balliache

Auf der Nesus-Mailingliste fand ich heute eine Mail, deren Autor sich darüber wundert, dass
Nessus bei einem Self-Signed Certificate keine Warnung wirft.

Schließlich ist das eine schlechte Security-Maßnahme weil auf diese Weise Man-in-the-Middle-Attacken möglich werden. Das sei insbesondere im kommerziellen Umfeld ein Problem.

Nun, meine Meinung dazu ist, dass es sicherer sein kann, ein selbstsigniertes Zertifikat selbst zu verifizieren als sich blind auf die durchaus durchwachsenen Prozesse einer kommerziellen CA zu verlassen.

Ach ja, die oben zitierte Mail kam von einem Verisign-Mitarbeiter.

Für die Nichttechies: Auf diesem Bild sieht man einen professionellen 19-Zoll-Einbaurahmen für Einschub-NTBAs. Ein NTBA ist das Teil des ISDN-Anschlusses, das in den Räumen des Kunden benötigt wird, damit dieser seine ISDN-Endgeräte anschließen kann. In diesem Einbaurahmen sind vier dieser Einschub-NTBAs montiert, ungefähr 16 passen rein.

Und dann kam ein Profi eines hier ungenannt bleiben sollenden Carriers, und hat zwei "normale" NTBAs für Aufputzwandmontage mit Kabelbindern in den Schrank dazugestümpert.

Das ist zwar immer noch professioneller als die übliche Vorgehensweise, die NTBAs einfach unten in den Schrank zu werfen, aber in Anbetracht eines vorhandenen Einschubrahmens dann nun doch, äh, suboptimal.

Ich habe Anfang Januar 2005 bei Freenet einen DSL-Schnuppertarif bestellt, um einen Fallbackzugang mit dynamischer IP bei einem der großen zu haben. Erst im Schreiben mit den Zugangsdaten stand drin, dass der kostenlose Schnuppertarif nicht nur auf ein Gigabyte im Monat beschränkt ist, sondern auch noch obendrein eine 20-Stunden-Grenze beinhaltet. Ich habe daraufhin den Tarif am 16. Januar wieder gekündigt.

Heute erhalte ich von Freenet einen Weihnachts-Newsletter. Der Newsletter enthält keinen Unsubscribe-Link, was mich verwundert - ich hatte Freenet bisher immer für einen halbwegs seriösen unter den großen gehalten. Auf ein bestehendes Vertragsverhältnis kann man sich jedenfalls seit gut elf Monaten nicht mehr berufen. Ich habe per Mail aufgefordert, mir keine Mail mehr zu schicken. Diese Mail ging an die im Reply-To des Newsletters genannte Adresse, worauf sofort ein Autoreply zurückkam, dass auf diese Mail nicht geantwortet werden würde und dass man bitte das Webkontaktformular verwenden soll, das natürlich eine Rubrizierung der Anfrage verlangt und keine passende Rubrik für Beschwerden über den Newsletter ausweist.. Nun, man will den Empfängern wohl das Unsubscribe extra schwer machen. Ich hab' dann ein Spamcomplaint bei abuse@freenet.de abgekippt.

Das nächste Mal gibt's dann halt einen T5F.

$VENDOR hat $DISTRIBUTOR, der $HOTLINE unterhält, an die ich mich mit Fragen bezüglich $PRODUKT wenden kann. Ich berichte in diesem Blogartikel über meine Erfahrungen mit $HOTLINE.

Continue reading "Von guten Supportern und Handbuchvorlesern"

Dank der lieben Kooperation eines Ex-Kollegen konnte ich in den letzten Tagen einen Alturo Webserver Plus testen. Die üblichen Dinge (Anbindung, Hardware, Service, Qualität der vorinstallierten Systeme) haben die Zeitschriften alle schon auf Herz und Nieren auseinander genommen, also habe ich mich darauf konzentriert, wie die Wartungs- und Rettungsmöglichkeiten aussehen, und wie schwer es ist, ein eigenes System auf dem System zu installieren.

Continue reading "Alturo-Server aus Sicht des Linuxers"

Looks like this was a successful day. Good timing.

There is a HOWTO on the Internet which has the intention to help new users with creating their allround web-administrated exim mail server on Debian basis, using our pre-compiled packages. Unfortunately, this HOWTO starts with disabling all Debian magic in the exim4 configuration, which I personally think is WRONG to suggest to a newbie, and does not quite mention this in the documentation. The result is a big number of support requests in the Debian-specific and generic exim support mailing lists and IRC channels.

The makers of debianhowto.de do not seem to be quite interested in a peaceful co-existence.

Continue reading "Personally dropping support for users of debianhowto.de exim configuration"

In Fortsetzung von suexec my php, baby^wapache habe ich gestern suexec auf dem ersten Produktivsystem verfügbar gemacht, und einige Unzulänglichkeiten im Debian-Setup gefunden.

Continue reading "suexec, die nächste"

Der Switch mit dem nicht löschbaren VLAN zieht Kreise. Nachdem ich mich selbst daran probiert hatte, hab ich schließlich am 2005-11-02 den Support von $VENDOR über das Webkontaktformular eingeschaltet.

Das klingt zuerst sehr positiv.

Meine Anfrage (“Switch will $VLAN nicht löschen, $VLAN ist leer, und zwar egal ob GBICs stecken oder nicht, Firmware ist aktuell, Konfiguration anbei”) nimmt ein Webformular entgegen. Sogar die geplusste Mailadresse wird anstandslos akzeptiert. In der Quittungsmeldung steht sinngemäß “wir werden uns innerhalb der nächsten 24 Stunden bei Ihnen melden.”

Am 2004-11-03 kommt erstmal ein Cc: eines Forwards: “The support email attached was received in the wrong department / inbox.” Super, liefert das Webformular als Supportrequests bei den falschen Leuten ab. Dann wird es still.

Am 2004-11-13 hake ich nach, bei dem Absender des oben erwähnten Cc.

Am 2004-11-14 bekomme ich dann eine Antwort.

$VENDOR wirft mit Textbausteinen, unter welchen Bedingungen ein VLAN zu löschen ist. Ich schreibe zurück, dass mir diese Regeln bekannt sind, sie im vorliegenden System alle eingehalten sind und ich auch der Meinung bin, in meiner ersten Mail das bereits deutlich gemacht zu haben. Bounce. Resend an die Adresse, die ich am 2004-11-13 schon angeschrieben habe.

Zwischendrin leiere ich über $IRC_CHANNEL “hintenrum” Recherche an, hänge den Switch seriell über ein festplattenloses, mit grml laufendes Linux ans Internet und gebe meinem Kontakt die Zugangsdaten. Relativ prompt kommt die Antwort: “Wie hast Du das denn hinbekommen, das hab ich ja noch nie gesehen!” Leider ist das Interesse relativ gering, der Sache auf den Grund zu gehen, und ich bekomme die Empfehlung des Factory Reset.

Am 2005-11-21 wieder eine Antwort:

$VENDOR

http://www.$VENDOR.com/country/uk/en/support.html

Dear

Kind Regards,

$NAME

$VENDOR Technical Support

Ich schreibe zurück: “Dear $NAME, it looks like you have forgotten to actually write an answer before sending off the e-mail message. May I remind?”

Die abschließende Antwort kam dann nochmal drei Tage später. Lapidar wird nun auch auf offiziellem Wege der Factory Reset empfohlen, und ein beherztes “# erase startup-config” später ist der Switch jungfräulich und das böse VLAN weg.

Fazit: Bei einem Switch der 500-Euro-Klasse können de facto beliebige Fehler auftreten, ohne dass sich der Hersteller dafür interessiert, den Bug zu isolieren oder vielleicht gar zu beheben. Es ist egal, wieviel Konfiguration im Gerät steckt und wie aufwendig es ist, das Gerät zum Factory Reset ausser Dienst zu nehmen, retry, reboot, reinstall hilft immer. Windows im Netz. Wär das Ding nur völlig verreckt, dann hätte wenigstens die lebenslange Garantie gegriffen. Gute Nacht.

Gefunden in den Folien zu einem Sicherheitsvortrag:

\nZahlen von 1-100: ^([1-9][1-9]\\d|100)$

aber immerhin würde die genannte regexp zur Prüfung von Mailadressen geplusste Adressen durchlassen.

Philip Hands says it all

Ein HP ProCurve 2626 soll bei $KUNDE neue Aufgaben bekommen. Dazu müssen natürlich erstmal alle VLANs runter. Das klappt.

Bis auf eins. Da sagt das Menüinterface lapidar “cannot delete record”. Die Kommandozeile ist etwas ausführlicher. Da wird noch dazu gesagt, dass orphaned ports entstehen könnten.

Nun, aber, in dem VLAN sind keine Ports mehr. Es ist auch keine lokale IP des Switches in dem VLAN konfiguriert. Spanning Tree auch nicht. “show run” zeigt einfach “vlan 101 / name ‘some-name’ / exit”. Und ich werd dieses blöde VLAN nicht los.

Die Firmware auf dem Switch ist die aktuelle, H8_72, glaub ich.

Nun, schaunmermal, was der HP-Support dazu sagt. Die ganz harte Methode, den Reset auf Factory Defaults, möchte ich mir gerne als Manöver des letzten Augenblicks aufheben. Das wäre wirklich unschön.