Kategorien
unbezahlte IT-Spielereien

Grummel.

Ich habe mir verhältnismäßig viel Mühe gegeben, mein Gekritzel im Internet so zu gestalten, dass keine Daten abfließen. Der Webserver protokolliert nicht die vollständige Client-IP-Adresse, es werden standardmäßig keine Kekse verteilt, externe Dienste wie Akismet habe ich rausgeworfen.

Und dann macht mir WordPress immer mal wieder einen Strich durch die Rechnung, ohne dies für mich auch nur ansatzweise transparent zu machen. Vor längerer Zeit hat das Theme urplötzlich Schriftarten von Google eingebunden – ohne Hinweis und ohne vorhandene Funktion dies abzuschalten. Nun denn, das habe ich dann getötet. Heute ist mir dann aufgefallen, dass Kram von s.w.org nachgeladen wird. Kam mit irgendeinem Update mit. Nun dann, habe ich dann auch getötet.

Das Ziehen von jquery.com-Ressourcen passiert glücklicherweise nur im Backend, damit werde dann nur ich in irgendwelchen Datentöpfen verewigt. Muss das sein? Kann denn heutzutage kein Softwareanbieter mehr seine Anwendung kapseln? WordPress hat doch jetzt bereits einen sehr gut funktionierenden Updatemechanismus, warum können dann die ganzen externen Verknüpfungen nicht direkt mitgeliefert werden?

Kategorien
unbezahlte IT-Spielereien

Hardware durchtauschen

Ich habe mir kürzlich einen neuen Rechner besorgt – so ein Tuxedo Laptop. Macht durchaus Spaß, das dürfte so der schnellste* Rechner sein, den ich nutzte. Tuxedo ist zwar nur eine Marke von Schenker, die dann wiederum Barebones von Clevo verkaufen – aber ich mag den Linux-freundlichen Ansatz und das Entfallen der Microsoft-Steuer. Also alles in allem eine feine Angelegenheit.

Kam dann auch gerade rechtzeitig, mein 15+ Jahre alter FSC-Laptop mit dem Tor-Relay drauf starb letzte Woche eine gar schröcklichen Tod – jetzt übernimmt dein mein voriger Tuxedo-Laptop die Funktion vom Server (also DHCP-, DNS-, Media- und Tor-; eine BackupPC o.ä. soll auch noch drauf). Dabei ging dann leider auch mein Tor-Zertifikat flöten, damit wird der Relay seinen vierten Geburtstag doch nicht sehen sondern ich startete mit einer neuen Identität. Aber irgendwas ist ja immer.

*) also, mit GUI. Die von mir betreuten Server haben dann doch noch etwas mehr Rumms.

Kategorien
unbezahlte IT-Spielereien

OpenSSL 1.0.2 vs OpenSSL 1.1.0

Sollte auch irgendwer (wie ich) OpenSSL 1.0.2 verwendet haben, um einfach und schnell Kleinigkeiten zu verschlüsseln (so was wie openssl aes-256-cbc -e -in geheimedatei -out geheimedateiauchwirklichgeheim) und dann, nach dem Update auf OpenSSL 1.1.0, schockiert merken, dass es sich plötzlich nicht mehr entschlüsseln lässt (etwa openssl aes-256-cbc -d -in geheimedateiauchwirklichgeheim mit dem Ergebnis „bad decrypt“ rund um „digital envelope routines“):

Der Default-Digest-Algorithmus wurde gedreht – statt MD5 jetzt SHA-256. Um mit 1.1 die alten Dateien entschlüsseln zu können ist noch „-md md5“ zu ergänzen.

Glück gehabt. Ich habe nicht alle meine Kennwörter verloren :)

Kategorien
unbezahlte IT-Spielereien

Die Vergangenheit holt mich ein

Vor ein paar Jahren hat Dropbox Daten „verloren“, runde 68 Millionen Mailadressen und gehashte Passwörter.

Meine Daten waren mit drin.

Weiter nicht wild, ich nutze grundsätzlich Kennwörter nicht doppelt und konnte mich nach der Kennwortänderung weitestgehend beruhigt zurücklehnen.

Bis vor zwei Wochen oder so.

Da fing es an mit Spams auf die Dropbox-Konto-Adresse – sonst nirgendwo genutzt und von mir auch niemals weitergegeben.

Das nervte mich dann so, dass ich die Mailadresse zur Seite legte, Mails mit diesem Empfänger gehen jetzt direkt in den Spamordner. Glücklicherweise ist Dropbox einer der Anbieter, die es zulassen die Adresse zu ändern – sonst hätte ich das ganze Konto dort still legen müssen…

Kategorien
unbezahlte IT-Spielereien

komisch

Über das Webhosting-Portal PHP aktualisiert und es ist nicht alles kaputt?

Ich bin verwirrt.

Kategorien
unbezahlte IT-Spielereien

Twenty Two

Gestern habe ich dann mal meinen Server auf das aktuelle Fedora-Release hochgezogen – ich scheute etwas zurück, weil der doch etwas kaputt gespielt ist mir all den doch recht individuellen Einstellungen.

Klappte aber eigentlich super: Trotz BackupPC-Pool auf einem anderen Mount-Punkt haben alle SELinux-Policies sauber gegriffen und den Backupservice nicht zerstört und ich musste nur an zwei Stellen nachpfrickeln. Aus irgendwelchen Gründen war der DHCP-Daemon nach dem Upgrade deaktiviert und beim Tor-Paket wurden wieder die Verzeichnisrechte in /var/lib/ und /var/log/ falsch gesetzt.

Fedora 23 kann kommen, ich bin mal wieder auf dem Laufenden :)

Kategorien
unbezahlte IT-Spielereien

Twenty Two

Die Fedora-Codenamen sind seit neuerem eher langweilig (Twenty One war der Vorgänger), warum es so eine Kursänderung nach dem (mir nicht begreiflichen) Stunk über die vorigen Community-gewählten Namen gab verstehe ich nicht. Ansonsten gefällt es – der Upgradeprozess mit fedup läuft sehr stabil und im LXDE-Spin funktioniert die Suche im Dateimanager wieder sowie das Abmelden (zweiteres verursacht durch systemd, ersteres habe ich im Red-Hat-Bugtracker nie gefunden).

Jetzt noch die restlichen beiden Rechner aktualisieren und ich bin wieder auf dem Laufenden.

Kategorien
unbezahlte IT-Spielereien

Irgendwer leidet :)

Tor ist durch das Zwiebelschalen-Modell sowieso nicht performant. Und jetzt hat sich noch ein(?) Client darauf eingeschossen, meinen Knoten in den Circuit aufzunehmen – nun, viel Performance kriegt er da nicht, knapp 40 kByte pro Sekunde Upload dürften quälend sein :)

Traffic

Kategorien
unbezahlte IT-Spielereien

in eigener Sache

Irgendwie ist Akismet gerade kaputt – auf jeden Fall rutschen gerade ständig Spamkommentare durch, üblich ist einer alle paar Wochen. Daher ist gerade die Kommentarfunktion aus, wer was beitragen möchte kann mir ja eine eMail schreiben.

Der blöde Server ist auch noch langsamer als sonst, ob ich geDOSt werde habe ich weiter noch nicht nachgeschaut – so wirklich wichtig ist mir das Blog nicht. Mal schauen, vielleicht lese ich heute Abend ja zur Abwechslung mal eigene Apache-Logs :)

Kategorien
unbezahlte IT-Spielereien

Fedora 19->20

Gestern habe ich meine Rechner aktualisiert, und weil ich mir Downtime sparen wollte* nutze ich nicht FedUp, welches im großen und ganzen ein Offline-Upgrade ist: Es werden alle notwendigen Pakete geladen und anschließend aus einem Minimalsystem heraus installiert.

Stattdessen verwendete ich yum, dabei wird der ganz normale Paketmanager verwendet und zieht das System im laufenden Betrieb hoch – anschließend ein schneller Reboot und alles ist gut. Im Debian-Umfeld ist dies mit „apt-get dist-upgrade“ auch der reguläre Weg, bei RedHat und Abkömmlingen gilt dies aber als nicht empfohlen.

Eigentlich lief alles super: Keine kaputten Dependencies, der neue Kernel wurde sauber gezogen, so weit sah alles gut aus. Wäre da nicht SELinux gewesen – das Filesystem wird wohl beim Upgradepfad über yum nicht sauber neu gelabelt (z.B. #1052317 oder #1004786), wodurch ssh spackelte und auch die Backup-Software** nicht wollte – und viel weiter habe ich dann nicht gesucht; auf wochenlang AVCs nachziehen hatte ich wirklich keine Lust.

Es lief dann auf touch /.autorelabel ; reboot hinaus, was bei meinem Server (im weitesten Sinne…) über 4 Stunden brauchte, dann war es halb eins und ich bin ins Bett gegangen.

Kurz: Ich bin fed up von Upgrades mit yum, beim nächsten Mal nutze ich wieder FedUp ;)

Schneller wäre es natürlich mit dem Abschalten von SELinux gegangen – aber ausgerechnet jetzt die Sicherheit meiner Systeme runterschrauben***?

*) Ich mag den Flag „stable“ meines Tor-Knotens :)
**) BackupPC, das ist so ein dermaßen großartiges Produkt
***) SELinux ist zwar ursprünglich von der NSA entwickelt worden – aber ich traue der Software implizit, da der Aufnahmeprozess in den Linux-Kernel von sehr vielen sehr guten Programmierern unterschiedlichster Nationalität begleitet wird