Captain's blog

Mit der (partiellen) Umstellung von Linux- auf Apple-Clients im Heimnetz war es an der Zeit, über Anpassungen am vorhandenen Ubuntu-Fileserver nachzudenken. Möglichkeiten für den Zugriff per Netzwerk gibt es immerhin zuhauf:

- NFS, als Netzwerk-Filesystem unter Unix gestartet, und seit langem erprobt. Recht zügig bei der Arbeit, leider nicht allzu bekannt für Sicherheit
- SMB, der Versuch aus Redmont, eine Alternative zu NFS zu finden
- SSH- / FTPFS, als FUSE-Erweiterungen, leider nicht allzu performant
- AFP, Apples natives Netzwerk-Dateisystem. Recht fix, und durch SSL-Verschlüsselung auch entsprechend sicher.

Wo die Wahl im Linux-Umfeld naturgemäß auf NFS fällt, habe ich mich aus Performance- und Sicherheitsgründen entschlossen, parallel dazu Netatalk als Fileserver für meine Apple-Hardware aufzusetzen. Als zusätzliches Schmankerl soll das MacBook seine Backups per Time Machine nicht per USB, sondern zentral auf den Server sichern.

Ein paar minimale Hürden gibt es hierzu jedoch zu meistern:

Wer ein öffentlich erreichbares (Unix-) System betreibt, kennt die Problematik der diversen gescheiterten Anmeldeversuche per SSH. Hervorgerufen durch Bots, die triviale Kombinationen und Passworten durchprobieren, müllen sie Logfiles zu, und finden schlimmstenfalls sogar wirklich einen Luser, der ein leicht zu erratendes Passwort nutzt.
Lösungen für dieses Problem sind (nicht nur hier) bereits mehrfach angesprochen worden; angefangen bei einfachen Maßnahmen wie der Verlegung des Port von 22 auf einen anderen, nicht standardgemäßen. Nutzung von SSH-Public Keys. Weiter über Paketfilter und eigens hierfür entwickelte Tools wie z.B. denyhosts oder fail2ban.

Eine gänzlich andere Möglichkeit, die darüber hinaus noch weitere Vorteile bietet ist die Authentisierung über Einmalpassworte. In Verbindung mit einer Zwei-Faktorauthentisierung (wie sie z.B. RSA mit den SecureID-Tokens) vormacht kommt zusätzlich zum Passwort noch eine Besitzkomponente hinzu. Ohne Token, das das OTP anzeigt, ist kein Zugang möglich.

Leider lohnen sich der Kauf dieser Token für den "Privatgebrauch" nicht wirklich, immerhin existieren mittlerweile (freie) Projekte, die diese Technik sehr kostengünstig ermöglicht. Das wohl vielversprechendste ist hier wohl FreeAuth.
Statt eines Hardwaretokens kommt hier das (in den allermeisten Fällen eh vorhandene) Handy zum Einsatz, das mit Hilfe eines kleinen Stückchen Java-Software die Funktion schnell und einfach nachbildet.

Auch wenn die LinuxWorld Expo (dieses Jahr in Köln) wieder ein Stückchen "übersichtlicher" geworden ist, hat sich der Besuch doch auf gewisse Art und Weise wieder gelohnt:

Als hervorstechendstes Erlebnis gab es ein extrem interessantes Gespräch mit den Jungs von Zimbra, in dem ich endlich mehr über die Vorzüge der frisch herausgegebenen Beta erfahren konnte.
Sehr zur Freude diverser potentieller Kunden wird es nun endlich nicht nur möglich, verschiedene Identitäten via Webfrontend zu nutzen, sondern auch selbständig einen "POP3-Sammeldienst" einrichten zu können. Gerade das waren die Sachen, die bislang viele davon abgehalten haben, Zimbra auch "just for fun" zu nutzen.
Auch "persönliche Verteilerlisten" stehen nun endlich auf dem Programm, und sind erstaunlich einfach zu handhaben.
Das Update auf die Beta habe ich daher direkt heute (auf meiner "persönlichen" Umgebung) durchgezogen, und bin begeistert. Auch wenn sich auf den ersten Blick nicht viel getan hat, wirkt die Oberfläche noch einmal ein wenig schneller, hat mich persönlich am allermeisten gefreut, dass den Kontakten nun auch der Geburtstag zuzuordnen ist.

Viel Zeit habe ich mit Sven (Grussfrequenzen ) bei den Jungs am Gentoo-Stand verbracht, an dem ich dann auch mein erstes "Club Mate"-Erlebnis hatte.

Kurz vor Beginn der Linux NewMedia Awards konnte ich noch den zuständigen Redakteur des Linux-Magazins persönlich kennenlernen, der für die Aktualisierung meines alten Nmap-Artikels für ein bald erscheinendes Sonderheft zuständig ist.
Die Awards selbst waren dieses Jahr recht unspektakulär. Sowohl Ubuntus "Community Manager" als auch Mark Shuttleworth konnten nicht anwesend sein, einzig und allein die Verleihung des Preises an den sichtlich ergriffenen Klaus Knopper war den Applaus wert.

Es ist (vorläufig) vollbracht:

Nachdem die letzten paar Wochen wieder sehr hektisch waren, kam ich innerhalb der letzten paar Tage endlich dazu, den kürzlich fertig gewordenen neuen Server in Betrieb zu nehmen. Da die Kiste für meine Zwecke mehr als ausreichend mit Athlon 64 3700+, 2 GB RAM, 2x 300 GB-Platten und einem /28er-Subnetz dimensioniert ist, komme ich also endlich in den Genuß, wieder vermehrt mit Virtualisierung herumzuspielen.

Kürzlich war es einmal wieder so weit, und der Notebook-Kaufrausch packte mich einmal mehr. Zur Auswahl standen diesmal (zur Überraschung aller, die mich näher kennen) das nette schwarze MacBook, natürlich aber auch wieder ein ThinkPad. Da ich mich mittlerweile absolut in die T-Serie verguckt habe, sollte es sich dabei genau genommen um ein T40p handeln.

Lange Rede, kurzer Sinn: es ist einmal mehr das ThinkPad geworden, und ich bereue diese Entscheidung nicht im geringsten. Immerhin ist das MacBook meines Arbeitskollegen innerhalb von knapp einem Monat zum zweiten Mal zur Reparatur weg.
Verglichen mit den anderen ThinkPads, die ich bisher in den Fingern hatte, bin ich mit diesem Modell nun endlich "zuhause", und rundum glücklich. Auch wenn ich auf die Geräte schwöre: es gab bislang immer irgendeinen kleinen Kritikpunkt, das X21 zum Beispiel war halt schon etwas älter, bei der R-Reihe ist mir mittlerweile zu viel Plastik verbaut und zum rumschleppen zu schwer. Das T30 hingegen hat durch den Pentium 4-Mobile eine vergleichsweise recht kurze Akkulaufzeit, und war schon irgendwie etwas "pummelig" (im Vergleich zum Nachfolger).

Im Zuge des (hoffentlich) bald fertigen Artikels über Crypto-Filesysteme unter Linux habe ich kürzlich endlich einmal ein Projekt in Angriff genommen, das ich schon längst einmal angegangen sein wollte: die Verschlüsselung des gesamten Systems auf der Festplatte.
Im Gegensatz zu einem meiner älteren Artikel, der die Verschlüsselung von /home und Swap mit Hilfe des (mittlerweile obsoleten) Cryptoloop-Systems beschreibt, kommt in diesem Fall DM-Crypt inklusive der LUKS-Erweiterung(en) zum Einsatz. Glücklicherweise sind die meisten Werkzeuge für das Vorhaben bereits unter Dapper bereit, ein paar Hürden galt es jedoch zu überwinden.

Inspiriert ist dieses kurze Howto durch einen Blogeintrag von Sternensucher, sowie einem (eigentlich veralteten) Thread im Ubuntu-Forum.
Obwohl das Vorhaben sicherlich auch aus einem laufenden System heraus machbar wäre, wird das System im folgenden komplett neu installiert.

Bevor es losgeht, noch der obligatorische Disclaimer:
1. Dieses Howto richtet sich an Personen, die (wenigstens ungefähr) wissen, was sie damit anstellen. Die hier vorgestellte Vorgehensweise hat sich für mich als stabil und gangbar erwiesen. Sollte das bei dir nicht der Fall sein, kann ich dich (zur Zeit) nur schlecht bis gar nicht supporten.
2. Eine Datensicherung bereits im Vorfeld ist unabdingbar.
3. Solltest du deine Daten (durch dieses Howto, eine vergessene Passphrase, whatever) verlieren, übernehme ich keine Verantwortung dafür.

Da auch das geklärt ist, kann's ja nun losgehen:

Seit dem gestrigen Update meiner Dapper-Installation auf dem T30 war es mir nicht mehr möglich, eine automatisierte WPA-Verbindung zum Access-Point aufzubauen.

Bei der Analyse des Problems fiel mir dann auch sehr schnell ins Auge, dass drei wichtige, zum Paket gehörende Dateien (/etc/default/wpasupplicant, /etc/init.d/wpasupplicant und /etc/wpa_supplicant.conf) umbenannt waren, und nunmehr die Endung ".dpkg-bak" trugen.
Da ich es zu dem Zeitpunkt gestern relativ eilig hatte, brachte ein beherzter manueller Aufruf (wpa_supplicant -B -D wext -c /etc/wpa_supplicant) erst einmal das gewünschte Ergebnis: die Verbindung war wiederhergestellt.

Heute war es endlich so weit: das neueste Stück meiner immer größer werdenen Sammlung an IBM ThinkPads, in diesem Fall ein T30 kam heute mit folgender Ausstattung an:

Seitdem mir mein Boss gestern eine UMTS-Karte von T-Mobile für Bereitschaftseinsätze in die Hand gedrückt hat, schlage ich mich nun zum ersten Mal mit diesem Thema unter Linux herum. Nach der Lektüre einiger Seiten, die aber eher auf Vodafone als Provider und kppp für die Konfiguration / Einwahl ausgerichtet sind, war noch ein wenig Sucherei im Internet nötig, um die Karte vollständig zur Mitarbeit zu bewegen.

Daher nun dieses kleine "Mini-Howto" in der Hoffnung, anderen diese Sucherei abnehmen zu können. Die hier genannte Vorgehensweise ist (von mir) ausschließlich unter der aktuellen Ubuntu-Entwicklerversion (Dapper Drake) getestet, sollte aber eigentlich relativ distributionsneutral sein:

Gestern war es dann nun doch endlich so weit: mein langersehntes ThinkPad X21 kam an. Zum Glück kam ich noch früh genug nach Hause, um mich direkt einmal "ans Werk" zu begeben.
Direkt nach dem Auspacken wurde ich extrem positiv durch den sehr guten Zustand des Geräts überrascht. Der Verkäufer hatte zwar im Vorfeld auf mögliche "leichte Gebrauchsspuren" hingewiesen, die ich in diesem Fall selbst jetzt noch nicht sehen kann.
Die nächste Überaschung erwartete mich dann direkt nach dem ersten vollen Aufladen des Akkus. Immerhin hält dieser trotz seines Alters immer noch circa 3 Stunden.

Ganz allgemein kann ich festhalten, dass sich selbst die vermeintlich "alte" X2x-Serie im Gegensatz zu den mir bislang bekannten R-Varianten erheblich edler anfühlt. Im Gegensatz zum schwarzen Plastik der letztgenannten wurde der Kunststoff hier mit Titanium versetzt, was darüber hinaus noch eine erhöhte Stabilität verleiht.
Überrascht hat auch das gerade einmal 12,1 Zoll große Display, das immerhin eine Auflösung von 1024x768 Pixeln darstellen kann. Bis gestern konnte ich mir aber nicht vorstellen, dass das dadurch entstehende Bild auch wirklich zum arbeiten geeignet ist. In Verbindung mit dem sehr konstrastreichen TFT ist aber selbst das kein Problem.

Doch zunächst einmal eins nach dem anderen:

Nach diversen Recherchen innerhalb der letzten paar Tage bin ich nun doch zum Schluss gekommen, dass ich das (hoffentlich ganz bald ankommende) ThinkPad X21 nun doch nicht mit OpenBSD bestücken werde.

Hatte ich mal erwähnt, dass ich IBM ThinkPads so richtig ins Herz geschlossen habe? Seit Jahren schon wollte ich einen dieser stylischen schwarzen Kisten haben, und spätestens als ich meinen ersten R51 (1,6 GHz Pentium M, 1 GB RAM, 15 Zoll mit 1400x1024er Auflösung) als "Workstationersatz" für die Arbeit bekommen habe, bin ich diesen Laptops vollkommen verfallen. Aktuelle läuft darauf Ubuntus Entwicklerversion "Dapper Drake", und bis auf ein paar kleine Bugs konnte ich mich bislang noch nicht die Bohne über Probleme beklagen.

Nachdem ich jetzt mittlerweile ein paar Tage mit EncFS herumgespielt habe, frage ich mich zunehmend, wieso die Verschlüsselung von mehreren Dateien und / oder Verzeichnissen bislang so aufwändig war. Wenn ich daran denke, welchen Aufwand ich für meinen damaligen Artikel über verschlüsselte Filesysteme betrieben habe, kommt mir die Arbeit mit EncFS vor wie ein Kinderteller.

Kein großartiges Posting heute. Grund hierfür ist die komplette Neuinstallation meines Laptops mit der aktuellen Ubuntu-Entwicklerversion "Dapper Drake" (6.04).

Die "alte" Version (5.10, alias Breezy Badger) fand ich ja schon extrem gelungen, allein schon wegen der ganzen netten Goodies, die bereits Gnome mitbringt (da kann Linus sagen was er will ). Bis dato hatte ich jedenfalls kein Linux-Desktopsystem, das so mühelos einfach funktioniert hat wie unter Ubuntu. Anscheinend komme ich langsam in ein Alter, in dem Dinge nicht erst dann interessant werden, wenn man dran rumbasteln muss.

Mittlerweile bin ich jedenfalls so weit durch, dass fast alles genau so läuft und aussieht wie vorher...zu meiner Begeisterung aber dafür sogar noch schneller. Was die versprochenen 10-20 Sekunden Vorteil beim booten angeht, kann ich das subjektiv nicht bestätigen. Gnome hingegen startet wirklich beträchtlich schneller. Selbst die Surferei, sowohl mit als auch ohne Tor und/oder Privoxy kommt mir schneller als bisher vor.
Am gespanntesten bin ich jedenfalls auf die für Dapper angekündigigte "Netzwerkmagie" mit Hilfe von NetworkManager. Somit entfiele endlich die etwas nervige Hin- und Herschalterei zwischen Arbeits- (verkabelt) und Heimnetz (Wireless).

Auch sonst haben die Entwickler einige Verbesserungen eingebracht, wobei Immerhin habe auch schon zwei kleinere Bugs gefunden. Das für mich ärgerlichste war bedingt dadurch, dass encfs nicht installierbar war, weil das Paket mit der dafür benötigten Library umbenannt wurde. Den Fix dafür werde ich wohl im Laufe des morgigen Tages mal versuchen einzubringen.

Nachdem ich jetzt ein paar Stunden darüber schlafen, und meine Eindrücke mal ein wenig ordnen konnte, gibt's nun also ein paar ausführlichere Eindrücke meines gestrigen Besuchs auf der LinuxWorld Expo.

Mit Abstand am deutlichsten im Gedächtnis geblieben ist mir die Verleihung der Linux NewMedia Awards, da ich so die Möglichkeit hatte, mal ein wenig Open Source-"Prominenz" mal direkt zu erleben. Wann bekommt man sonst mal die Möglichkeit, z.B. Mark Shuttleworth "live und in Farbe" zu erleben?