Kategorien
Blog

MES00: Mein eigener Server — für Anfänger

Willkommen bei unserer kleinen Systemadministrationsschulung. Warum machen wir das?

In letzter Zeit erscheinen viele Artikel mit dem Fazit, dass man seine Daten doch besser auf eigener Infrastruktur behalten sollte. Der Anlass ist mal die Abschaltung eines Dienstes mal seltsame Auslegungen der Nutzungsbedingungen und mal die Ankündigung, dass Behörden hier oder anderswo problemlos in die Daten Einsicht nehmen können.

Für uns Softwareentwickler und Systemadministratoren ist das kein Problem, für andere Webbenutzer ungleich schwieriger. Ich hatte deshalb mal versprochen, eine Anleitung zu schreiben

Die im Web zu findenden Tutorials sind meist für Administratoren mit erheblichem Grundwissen geschrieben und erklären selten die Motivation hinter bestimmten Konfigurationsschritten — oder auch nur ihre Bedeutung.

Die folgende Serie zeigt Schritt für Schritt, wie Ihr einen eigenen Server unter Debian Linux mit Mail, Blog und ein paar anderen nützlichen Dingen aufsetzen könnt. Die Anleitungen sollen sich an Anfänger richten, Ihr dürft Euch nur nicht scheuen, Texte ins Terminalprogramm zu tippen und Konfigurationsdateien zu editieren. Unix-Grundwissen wird nicht vorausgesetzt.

Spätere Kapitel gehen davon aus, dass vorherige Kapitel abgearbeitet worden sind.

Morgen folgt Kapitel 01: „Wir klicken uns einen Server

Alle Kapitel werden auf dieser Seite verlinkt.

Kategorien
Linkdump

Tent – the decentralized social web

Tent – the decentralized social web

Das könnte genau das Protokoll (/der Server) sein, auf das/den ich gewartet habe. Oder auch nicht. Jedenfalls unbedingt mal ansehen.

Eselsohren im Web via Pinboard

Kategorien
Linkdump

How I Store My 1′s and 0′s: ZFS + Bargain HP Microserver = JOY

How I Store My 1′s and 0′s: ZFS + Bargain HP Microserver = JOY

»I’m not building one of my kickass web hosting platforms here.  It’s for storing those 1′s and 0′s, serving them back up at a reasonable speed and taking reasonable precautions not to lose the data.«

Auf den Merkzettel für den nächsten Heimserver. Wenn Notebooks in Zukunft keine rotierenden Platten mehr haben, dann werde ich nicht mehr alles spazieren tragen können/wollen.

on mocko.org.uk · the article page · mocko.org.uk on QUOTE.fm

Kategorien
Blog

Hasenbau (oder: ein neues Zuhause für den Nabaztag)

Habt Ihr auch traurige Hasen rumstehen? Seit Violet (bzw. deren Nachfolgefima Mindscape) den Server abgeschaltet hat gibt es nur noch orangenes Geblinke.

Das war in der Vergangenheit auch ab und zu schon so, denn besonders zuverlässig war der Dienst noch nie, und ich hatte darum auch schon einmal einen Proxy auf Basis von OpenNab eingerichtet — und später wieder abgeschaltet weil er nur das alte Protokoll (noch ohne Jabber-Unterstützung) sprach. Jetzt, wo es keinen dahinterliegenden Server mehr gibt, ist das aber egal, und ich habe meinen Hasen deshalb nur noch auf meinem eigenen Server laufen.

Bisher funktionieren nur die Mood-Nachrichten (aber ich bastel dran, nächstes Ziel: Uhrzeit), und er unterstützt auch wohl nur den Nabaztag/tag (das kann ich nicht überprüfen, weil ich kein anderes Modell habe). Außerdem habe ich 1-2 weitere andere Projekte heruntergeladen und ein wenig Sourcecode gelesen. So schwierig wird es nicht sein, sich die wichtigsten Dinge selbst wieder zu implementieren.

Wer mitspielen will, des setze seinen Hasen auf die Serveradresse nab.wazong.de/vl/

und schreibe mir.

Der Hase wird weiterleben 🙂

Kategorien
Blog

isrivvadown.de

YEP

Rivva ist gerade außer Betrieb. Schade, schließlich organisiert es mir doch mein Internet. Ich ergreife diesen Moment des Innehaltens um dem Macher Frank Westphal (ja, das ist wirklich nur einer!) mal für den außergewöhnlich tollen Job zu danken, den er da abliefert. Für kaputte Hardware kann er ja nichts … wird schon wieder 😉

Kategorien
Blog

Alles neu, alles schnell

5 Jahre, also mehrere Generationen oder eine halbe Ewigkeit war charon.wazong.de jetzt die Heimat dieser Webseite. Seit vorgestern nun läuft sie auf dem neuen Server; wieder bei Hetzner, wieder ein Rootserver, diesmal ein „EQ4“. Dass das neben mehr Platz (und der Möglichkeit, mehr Dinge auf einmal laufen zu lassen) auch der WordPress-Geschwindigkeit nutzt, das lässt sich sogar messen:

Testbeispiel: https://wazong.de/blog/2006/07/

  • charon: Laut Firebug: 98 (http-)Anfragen, 8.05s. — Laut WordPress: 76 (SQL-)queries. 1.463 seconds
  • nyx: Laut Firebug: 98 (http-)Anfragen, 4.1s — Laut WordPress: 76 (SQL-)queries. 0.342 seconds

Also: schneller surfen 🙂

Kategorien
Linkdump

OpenSCEP

OpenSCEP
OpenSCEP is an open source implementation of the SCEP protocol used by Cisco routers for certificate enrollment to build VPNs. It implements most of the draft specification, include as reference in the distribution.
aus Delicious/steinhobelgruen

Kategorien
Linkdump

[A] m p a c h e

[A] m p a c h e

(Ein möglicher Nachfolger für Jinzora? Da wird irgendwie nicht mehr richtig weiterentwickelt.)
Delicious/steinhobelgruen

Kategorien
Blog

Die Wiederauferstehung des Spartacus

Vor Jahren, da lebte ich noch bei meinen Eltern, hatte ich im Keller einen Linux-Server. Das war ein (gebraucht gekaufter) PC mit 486DX2/66-Prozessor und 24MB RAM und VESA-Localbus-Architektur. Da es ein Server war steckte die Grafikkarte trotzdem im ISA-Bus und der VL-Bus war dem SCSI-Hostadapter vorbehalten. Das kleine Ding hatte eine Menge Aufgaben: per ISDN stellte es den Internetzugang (über T-Online) zur Verfügung (das Haus war 10Base2-Verkabelt), diente als HTTP-Cacheproxy (mit Squid 1.1.17) und Fileserver, erledigte den Mail- und Newsverkehr (sendmail 8.8.5), war Anrufbeantworter (vbox) und empfing Faxe (mit einem V.34-Modem). Eine msql-Datenbank mit ein paar cgi-Skripten auf einem Apache (1.1, glaube ich) diente als Liste aller auf Video aufgenommener Filme, außerdem war noch der wegen seiner Lautstärke und des Ozongeruchs in den Keller verbannte Laserdrucker dran angeschlossen…

Einen erheblichen Teil dieser Aufgaben haben heutzutage dieser gemietete Rootserver hier und ein DSL/VoIP/WLAN-Router übernommen, die Fileserver-Aufgabe übernahm aber bisher immer mein Arbeitsplatzrechner so nebenbei. Der blieb deshalb meistens angeschaltet und brauchte viel Strom. Doch damit ist jetzt Schluß:

spartacus.wazong.lan

Dieses kleine Kästchen (ganz links) ist eigentlich eine NAS-„Appliance“ (also ein Einzweckcomputer mit Betriebssystem im Flashspeicher), die sich „Network Storage Link for USB2.0“ (kurz: NSLU2) nennt, und die genau das tut, was der Name sagt. Das Eingebettete Betriebssystem ist aber Linux-basiert und die Architektur offiziel unterstützt, und deshalb kann man stattdessen einfach eine normale Linux-Distribution aufspielen, dann hat man einen kleinen Server mit 266MHz IXP-422-Pozessor und 32MiB RAM (also besser als der alte spartacus). Man nehme also (z.B.) Debian für ARM-Prozessoren und ab da wird’s interessant:

spartacus:~# uname -a
Linux spartacus 2.6.18-6-ixp4xx #1 Tue Feb 12 00:57:53 UTC 2008 armv5tel GNU/Linux
spartacus:~#

Im Moment laufen schon DHCP- und DNS-Server sowie NFS-Fileserver (mit der großen USB-Platte, die danebensteht — der dritte Kasten ist ein Lautsprecher und hat nichts damit zu tun) drauf. Mal sehen, was der kleine noch alles kann.

Kategorien
Blog

Vorratsdatenspeicherung. Wie geht das eigentlich?

Über die juristischen Aspekte der Vorratsdatenspeicherung wurde ja schon regelmäßig an verschiedenen Stellen geschrieben. Wer da noch irgendwelche Informationen braucht, der soll mal da nachlesen.

Ich bin aber nun einmal kein Jurist sondern Techniker, und ich mache mir deshalb ganz andere Gedanken. Deshalb blende ich mal die Frage des Sinns und der Rechtmäßigkeit aus und beschäftige mich nur mit der technischen Machbarkeit.

Welche Daten sollen wir Sammeln:

Nachdem erst Horrormeldungen über die Protokollierung jeder TCP/IP-Verbindung (oder sogar jedes Pakets) kursierten, hat man sich inzwischen auf eine Interpretation geeinigt, in der die gesammelten Daten sehr den ohnehin vorhandenen Logfiles ähneln. Von den Protokollpflichtigen Diensten betreibe ich auf meinem Server nur eMail. Da entstehen bei Versand und Empfang etwa diese Daten (die Mail geht von diesem WordPress-Blog an mich selbst):

Nov  2 17:00:52 charon postfix/pickup[12229]: DEDF9FC443A: uid=33 from=<www-data>
Nov  2 17:00:52 charon postfix/cleanup[14398]: DEDF9FC443A:
   message-id=<1e8ccd8056aded93f095b735e2d1373f@wazong.de>
Nov  2 17:00:52 charon postfix/qmgr[30704]: DEDF9FC443A:
   from=<www-data@wazong.de>, size=1154, nrcpt=1 (queue active)
Nov  2 17:00:52 charon postfix/local[14502]: DEDF9FC443A:
   to=<dentaku@wazong.de>, relay=local, delay=0,
   status=sent (delivered to command: procmail -a "$EXTENSION")
Nov  2 17:00:52 charon postfix/qmgr[30704]: DEDF9FC443A: removed

Beim Abruf diese:

Nov  2 16:08:54 charon imaplogin: LOGIN, user=dentaku, 
   ip=[::ffff:90.186.88.15], protocol=IMAP
[...]
Nov  2 16:45:17 charon imaplogin: LOGOUT, user=dentaku, 
   ip=[::ffff:90.186.88.15], headers=20200, body=2439620

Vergleichen wir das mal mit dem Gesetzesentwurf, wie er auf vorratsdatenspeicherung.de steht:

Anbieter von Diensten der elektronischen Post (E-Mail) speichern

  1. bei Versendung einer Nachricht die Kennung des elektronischen Postfachs und die Internetprotokoll-Adresse des Absenders sowie die Kennung des elektronischen Postfachs jedes Empfängers der Nachricht,
  2. bei Eingang einer Nachricht in einem elektronischen Postfach die Kennung des elektronischen Postfachs des Absenders und des Empfängers der Nachricht sowie die Internetprotokoll-Adresse der absendenden Telekommunikationsanlage,
  3. bei Zugriff auf das elektronische Postfach dessen Kennung und die Internetprotokoll-Adresse des Abrufenden,
  4. die Zeitpunkte der in den Nummern 1 bis 3 genannten Nutzungen des Dienstes nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone.

Ja, alles da.

Die Schwierigkeit wäre also eher entweder ein einheitliches Logformat einzuführen (lustig in diesem Zusammenhang, daß ausgerechnet der Webtraffic, für den es mit CLF einen Quasistandard gäbe, nicht bevorratsspeichert werden soll) oder für jedes Logformat einen Parser zu schreiben, der die gewünschten Daten extrahiert.

Platz:

Diverse Artikel haben ja schon größere Bedenken über die Menge der gespeicherten Daten geäußert. Diese Bedenken teile ich nur bedingt: natürlich kostet das alles Geld, die Preise für Speichermedien fallen aber so schnell, daß das keinen Provider in die Pleite treiben wird (kommt schon Leute, wohin speichert denn flickr die ganzen Bilder, selbst für unbezahlte Accounts?). Außerdem speichern die meisten Dienste die Daten ohnehin schon durch die ganz normalen Logfiles (siehe oben). Problematisch wird die Datenmenge erst bei der Auswertung (immer wieder lesenswert dazu: dieses Interview).

Wie kommen die Daten jetzt zu den Strafverfolgern:

Jetzt sind die Daten also vorgehalten, wie kommen die berechtigten Behörden denn jetzt dran? Dafür muß eine neue Serversoftware erstellt werden, an die auf alle Fälle hohe Sicherheitsanforderungen bestehen:

Einerseits darf natürlich nicht irgendein unberechtigter die Daten abrufen, es wird also eine X509/TLS-artige Schlüsselinfrastruktur benötigt. Damit kann sich die Behörde gegenüber dem Logfilesammler (auf Wunsch auch umgekehrt) ausweisen, und die Möglichkeit zur verschlüsselten Übertragung gibt’s bei vielen Implementationen auch gleich noch dazu.

Andererseits soll der Serverbetreiber natürlich möglichst auch nicht merken, daß die Daten eingesehen werden (denn er steckt ja vielleicht mit den bösen Buben unter einer Decke). An dieser Stelle wird es kompliziert, denn wenn auf der Vorratsdatenspeicherungsschnittstelle sonst nie was passiert, dann sieht der Administrator den Zugriff allein schon an den Datenvolumenauswertungen (insbesondere dann, wenn diese auf IP-Port-Basis aufgebrochen sind):

MRTG

Da hilft es nur, die Daten ganz langsam herunterzuladen — aber was ist „langsam“ genau?

Besser ist es, ständig (oder unregelmäßig) auf allen (oder zufälligen) angebundenen Servern Datenverkehr erzeugen, so wie es z.B. TOR macht, das ist aber durch hohe Übertragungskosten recht teuer.

Software:

Was wäre sonst noch zu wünschen?

Da die Logfiles doch eine beträchtliche Datenmenge beinhalten, die in dieser Form nur aufwendig durchsucht werden kann sollten die gewonnenen Daten in einer relationalen Datenbank mit guter Indexmöglichkeit abgelegt werden (sonst sieht der Betreiber die Abfrage an der Prozessorlast statt am Datenverkehr). Das erleichtert auch die Löschunggenau der Daten, deren Aufbewahrungspflicht abgelaufen ist.

Damit die neue Schnittstelle zur Abfrage nicht mit anderen Diensten kollidiert, sollte ihr am besten von der IANA offiziell einen Port zugewiesen werden (vgl. OpenVPN, die früher einfach Port 5000 benutzt haben — jetzt gehört ihnen „hochoffiziell“ Port 1194).

Aus den Problemen mit ELSTER sollte unser Land gelernt haben, daß es nicht gut ist, (Pflicht-)Software nur für ein Betriebssystem bereitzustellen. Wo man einer (achtung, Klischee) Werbeagentur mit reiner Maclandschaft vielleicht noch zumuten kann, sich für die elektronische Umsatzsteuervoranmeldung halt doch einen Windows-PC anzuschaffen, da ist die gesetzliche Zwangsumstellung aller Mail-, RADIUS-, VoIP- und …-Server auf eine einheitliche Plattform (z.B. Windows Server 2008, nur 64bit?) schlicht nicht durchführbar (wobei ich keine Prognosen darüber wage, ob es nicht trotzdem versucht wird). Anderenfalls würden sich die Provider der bösen Buben vielleicht durch möglichst exotische Betriebssysteme aus der Vorratsdatenspeicherungspflicht herausstehlen (z.B. MPE/iX?).

Abhilfe schafft hier nur der Vertrieb im Sourcecode (die Unterstützung von POSIX- und win32-API sollte hier fas alles abdecken) oder ein offengelegtes Protokoll, so daß verschiedene Implementationen von dritten erstellt werden können. In diesen beiden Fällen läßt es sich aber kaum zu verhindern, daß der behördliche Zugriff in der einen oder anderen Version aufgezeichnet wird — ein Dilemma, für das es keinen Ausweg gibt…

Die technisch saubere Lösung:

Es sei denn man dreht die Zugriffsrichtung um und überträgt die Daten ständig sobald sie anfallen. Dieser Trick löst elegant sowohl die Probleme des Speicherplatzes als auch des Mitlesens bei Zugriffen durch die Strafverfolgungsbehörden. Diese Variante fordert allerding uneingeschränktes Vertrauen in die Behörde, die sich dann im Besitz der Daten befindet (wobei der Unterschied zwischen Daten, die sich schon dort befinden und Daten, die bei Bedarf jederzeit abgerufen werden können eigentlich in der Praxis kaum ins Gewicht fällt).

Wir verlassen an dieser Stelle allerdings auch wieder die technischen Aspekte, drum höre ich hier auf.

Kategorien
Blog

Pfingstspam-Wochenende

Was war denn gestern und vorgestern los? Ist das diese Aktion?

MRTG

Grüne Balken: erwünschte Mails auf wazong.de (pro Stunde).

Blaue Linie: Mails, die von Spamassassin als Spam gekennzeichet (oder gleich aussortiert) wurden (auch pro Stunde).

Kategorien
Blog

Sonderbürotag

Die #~@!?§”%?$”%-Server gehen immernoch nicht wieder richtig, drum sitze ich heute im Büro und ziehe Terabyteweise Daten wieder auf einen älteren, langsameren aber soliden Server um. Dabei habe ich heute morgen erstmal wieder festgestellt, daß es mich nach Schwaben verschlagen hat: irgendjemand ist offensichtlich durch das Großraumbüro gelaufen und hat alle Heizkörper (das sind etwa 20 Stück) auf „0“ gedreht. Ergebnis: bitterkaltes Büro.

Kategorien
Blog

Schlaf ist überbewertet

In dieser Woche bin ich jetzt einmal schon um 04:15 aufgestanden (Schulung, weit entfernt) und einmal erst um 04:15 ins Bett gegangen (Serverumzug, Hardwareprobleme, #~@!?§“%?$“%!!!!!!). Mein Wach-Schlaf-Rhythmus ist völlig durcheinander.

Wenn man um etwa 20 vor 8 von Stuttgart nach Böblingen fährt, dann ist man mit den ganz eiligen zusammen unterwegs: schon beim normalen Mitschwimmen im Verkehr ist man an manchen Stellen 40km/h zu schnell…

Heute Abend ist Weihnachtsfeier, das wird in meinem Geisteszustand sicher lustig.