Captain's blog

Nach langer, langer Zeit geht's auch hier im Blog wieder weiter. Neben den obligatorischen Linux- und Security-Themen wird's in Zukunft unter Umständen recht Cisco-lastig, immerhin schlage ich mich jetzt seit knapp über einem Jahr beruflich mit den Kisten herum. Falls Fragen auch gerade dazu auftauchen, bitte einfach kurz ansprechen.

Im Zuge des (hoffentlich) bald fertigen Artikels über Crypto-Filesysteme unter Linux habe ich kürzlich endlich einmal ein Projekt in Angriff genommen, das ich schon längst einmal angegangen sein wollte: die Verschlüsselung des gesamten Systems auf der Festplatte.
Im Gegensatz zu einem meiner älteren Artikel, der die Verschlüsselung von /home und Swap mit Hilfe des (mittlerweile obsoleten) Cryptoloop-Systems beschreibt, kommt in diesem Fall DM-Crypt inklusive der LUKS-Erweiterung(en) zum Einsatz. Glücklicherweise sind die meisten Werkzeuge für das Vorhaben bereits unter Dapper bereit, ein paar Hürden galt es jedoch zu überwinden.

Inspiriert ist dieses kurze Howto durch einen Blogeintrag von Sternensucher, sowie einem (eigentlich veralteten) Thread im Ubuntu-Forum.
Obwohl das Vorhaben sicherlich auch aus einem laufenden System heraus machbar wäre, wird das System im folgenden komplett neu installiert.

Bevor es losgeht, noch der obligatorische Disclaimer:
1. Dieses Howto richtet sich an Personen, die (wenigstens ungefähr) wissen, was sie damit anstellen. Die hier vorgestellte Vorgehensweise hat sich für mich als stabil und gangbar erwiesen. Sollte das bei dir nicht der Fall sein, kann ich dich (zur Zeit) nur schlecht bis gar nicht supporten.
2. Eine Datensicherung bereits im Vorfeld ist unabdingbar.
3. Solltest du deine Daten (durch dieses Howto, eine vergessene Passphrase, whatever) verlieren, übernehme ich keine Verantwortung dafür.

Da auch das geklärt ist, kann's ja nun losgehen:

...jedenfalls in absehbarer Zeit. Daher auch dieses kleine Lebenszeichen hier, da ich (neben dem Studium) seit ein paar Wochen massiv mit dem Aufbau meiner eigenen kleinen Firma beschäftigt bin.

Soeben habe ich dann auch das "i-Tüpfelchen" in Gang gebracht: in Kürze werde ich wohl der erste Zimbra-Hostingpartner Deutschlands sein. Die Open Source-Version nutze ich zwar bereits seit ein paar Monaten produktiv selbst und für einen (mittlerweile) Kunden, die Möglichkeit eines supporteten Backups (rein persönlich) und vor allem die Outlook-Integration (kundenseitig) waren bereits Verlockung genug.

Sollte jemand bereits vorab Interesse haben, so möge er / sie sich doch bitte einfach bei mir melden.

Was das Blog angeht, werde ich wohl innerhalb der nächsten paar Tage wieder etwas mehr Zeit und Muße haben, die kleine Serie zum Bonding weiterzuführen.

Ab und an kann ich echt nachvollziehen, warum beim Support vieler Firmen einfach nur noch mit Textbausteinen gearbeitet wird. Anfragen a la "Ich hab da eine komische Mail bekommen, die gar nciht an mich gerichtet ist. Hilfe!" werden von mir ab sofort nur noch mit dieser FAQ beantwortet.

Besser könnte ich es auch nicht erklären.

Auch wenn es die letzten paar Tage viel zu ruhig im Blog war: ich lebe noch.

Aktuell bin ich aber mehr als eingespannt in die Arbeitswelt, wo ich neben meinen eigentlichen Aufgaben mal wieder den Cheffe raushängen lassen darf. Erschwerend hinzu kommt eine "kurzfristige" Oracle-Installation auf einem Linux HA-Cluster. Als kleines "Trostpflaster" gibt's dann aber demnächst das dazugehörige Howto (Installation der RedHat ClusterSuite mit Oracle on top, wobei die DB nicht meine Baustelle ist). Interesse, anyone?

Immerhin ist die Hardware dafür mal wieder recht nett ausgefallen:
- 2x Compaq ProLiant DL380 G4 mit 2x 3,4 GHz Xeons, 8 GB RAM und redundant ausgelegten FC-Controllern, sowie
- 1x HP MSA1000 Storage Array für den geshareten Plattenbereich der Datenbanken.

Letztgenannte ist dabei nur eine "Überbrückung", bis das lang erwartete SAN endlich kommt. Wenigstens hab ich dann später keine Probleme mehr damit, die bldöe DB dann noch einmal dort rüber zu schaufeln.

Seitdem mir mein Boss gestern eine UMTS-Karte von T-Mobile für Bereitschaftseinsätze in die Hand gedrückt hat, schlage ich mich nun zum ersten Mal mit diesem Thema unter Linux herum. Nach der Lektüre einiger Seiten, die aber eher auf Vodafone als Provider und kppp für die Konfiguration / Einwahl ausgerichtet sind, war noch ein wenig Sucherei im Internet nötig, um die Karte vollständig zur Mitarbeit zu bewegen.

Daher nun dieses kleine "Mini-Howto" in der Hoffnung, anderen diese Sucherei abnehmen zu können. Die hier genannte Vorgehensweise ist (von mir) ausschließlich unter der aktuellen Ubuntu-Entwicklerversion (Dapper Drake) getestet, sollte aber eigentlich relativ distributionsneutral sein:

Aus den letzten für heute geplanten Dingen privater IT-technischer Natur wurde leider (wieder mal) durchkreuzt: Ich und mein Boss wurden heute etwas "unsanft" für ein paar Stunden aus unserem wohlverdienten Urlaub gerissen.
Ein vermeintliches Mailproblem entpuppte sich dann zu guter Letzt aber dann doch (wieder) als ein Problem mit einem der CheckPoint-Cluster. Trotz allem war's das mit der schönen Uptime von fast 300 Tagen für "meine" Loadbalancer.

Somit fiel ein näheres Auseinandersetzen mit Nematocyst, einem "aktiven Gegenmittel gegen den spamforo-Trojaner" und MultiAdmin (was sogar für die Arbeit gewesen wäre ) leider flach.
Aufgeschoben heißt aber nicht aufgebhoben, immerhin habe ich wenigstens noch dieses kleine Posting zustande gebracht. Irgendwie habe ich ja doch schon ein etwas schlechtes Gewissen, das Blog so zu vernachlässigen.

Seit kurzem befasse ich mich endlich einmal wieder mit RBAC-Systemen zu befassen. Obwohl ich mir nach meinen damaligen Versuchen mit RSBAC (noch zu Adamantix-Zeiten) eigentlich geschworen hatte, solche Sachen nie wieder anzufassen (und daher auf "meinen" RedHat-Kisten das noch unsäglichere SELinux grundsätzlich deaktivere), zog mich OpenBSDs Systrace dann doch wieder in seinen Bann.

Endlich ist es so weit: ich habe heute Abend endlich die erste Rohfassung des (nächsten Monat erscheinenden) nmap-Artikels fertig gestellt und eingesandt. Zu meinem Erstaunen kam sogar schon die erste Reaktion, die durchaus positiv ausfiel.

Ich bin jedenfalls schon sehr gespannt, was letztendlich daraus wird, da ich alleine jetzt (ohne Grafiken) bereits ca. drei Seiten über den bislang geplanten fünf liege, und dabei noch etliche Optionen und Möglichkeiten außen vor bleiben mussten. Ich bin selbst mächtig erstaunt, dass die Sache doch so umfangreich wurde...aber schließlich ist nmap ein recht komplexes, aber extrem interessantes Thema.

So, wie es sich bsiher anhört, wird sich die kommende Ausgabe des Linux-Magazins für einige Leute lohnen, da der Schwerpunkt einmal mehr auf Security gelegt wird, und sich einige recht bekannte Gesichter finden werden...und ich mittendrin...

So, genug der Schleichwerbung... Ich freue mich jedenfalls, nun endlich wieder dem Blog mehr Zeit widmen zu können, und habe schon wieder einige interessante Themen, die ich ab morgen wieder posten kann. Immerhin muss ich dann auch kein schlechts Gewissen mehr haben, so viele Lücken im Kalender rechts zu sehen.

Nachdem die letzte Woche fast ausschließlich meinem "ersten" Job, und die letzten beiden Tage (endlich mal wieder) meiner Freundin vorbehalten waren, habe ich die Zeit heute dazu genutzt, am nmap-Artikel weiter zu schreiben.

Da dieser in der im November erscheinenden Ausgabe des Linux-Magazins veröffentlicht wird, bleibt mir dafür immerhin noch Zeit bis zum Ende dieser Woche (Danke, Achim!).
Ganz so viel ist es zwar nicht mehr, eine weitere Chaoswoche würde mir in dieser Hinsicht allerdings wohl einen mächtigen Strich durch die Rechnung machen.

Ich bin jedenfalls schon mächtig gespannt, wie die Reaktionen auf diesen Artikel so werden, da das Thema Portscanning schließlich immer noch z.T. recht heftige Diskussionen auslöst. Im Artikel versuche ich das Tool allerdings so weit wie irgend möglich als Hilfsmittel für den Admin herauszustellen, und ein paar Tips für den alltäglichen Gebrauch geben, die man vielleicht noch nicht an jeder Ecke des Netzes gesehen hat.
Um nicht zu viel vorweg zu nehmen höre ich jetzt aber besser erstmal mit der Schleichwerbung auf.

Seit vorgestern Nacht läuft die am Mittwoch angekündigte Gigabit-Internetanbindung in der Firma. Möchte mir jetzt jemand blöd von der Seite kommen?

Mein Plan, hier regelmäßig (am besten täglich) zu posten wurde Montag leider temporär durch meinen Boss zunichte gemacht.
Zur Zeit komme ich zu fast nichts anderem, als die "grandiose" Idee, für eine besondere Aktion temporär (!) und innerhalb von nicht einmal fünf Tagen (!!) eine stabil laufende, und eigentlich gut performende Internetanbindung mit 2x100 MBit durch eine Gigabit-Anbindung zu ersetzen. Zu Ausfällen darf es dabei natürlich nicht, bzw. nur für ein paar Minuten kommen...

Ich hoffe daher, mich spätestens Sonntag wieder mit einem Posting hier zurückmelden zu können...

Im Zuge meines (hoffentlich irgendwann erscheinenden) nmap-Artikels im Linux Magazin habe ich mich heute mal wieder eingehend mit diesem grandiosen Portscanner befasst. Heute ging es mir ganz speziell um die (noch ziemlich) frisch herausgegebene neue Version (3.90), die im Vergleich zum Vorgänger (3.81) um die dreifache (!) Menge an Dienst- und OS-Signaturen besitzt.

Ein Problem weniger (und noch dazu das ärgerlichste):

Seit dem Ubuntu-Upgrade gestern (s.u.) war mein Mailprogramm (Evolution) nicht mehr in der Lage, auf den firmeninternen Exchange-Server zuzugreifen. Um nicht das unsägliche WebAccess nutzen zu müssen, musste bis eben meine alte Workstation herhalten, auf der zum Glück noch Crossover Office installiert war, mit dessen Hilfe ich dann Outlook via SSH-getunneltem X auf dem Laptop nutzen konnte. Langsam, ätzend, grottenschlecht...aber wenigstens kam ich an meine Mails.

Die gestern gefundenen Bugreports trugen leider auch nicht wirklich zur Lösung des Problems bei, erst heute fand sich ein entsprechender Eintrag. Nachdem ich auch gestern Abend noch stundenlang nach Konfigurationsdateien für Evolution gesucht habe, weiß ich nun endlich, dass diese anscheinend (fast) vollständig über GConf gehandhabt wird. Die Ähnlichkeit zu Winzigweichs Registry ist zwar nicht zu verleugnen, aber immerhin musste ich mich mit solchen Geschichten bisher noch nie rumschlagen.

Nachdem ich innerhalb der zigtausend Einträge dort endlich den richtigen gefunden hatte (was die Suchfunktion leider nicht geschafft hat), konnte ich den möglichen Lösungsweg nun endlich ausprobieren: im "accounts-Feld, ganz genau gesagt unter

/apps/evolution/mail

war der (gestern noch mal frisch angelegte) Exchange-Acount zu finden.
Dort war dann zwischen "url" und "/url" noch der Eintrag ;owa_url=https://server/exchange hinzuzufügen. Nach einem erneuten Start und bangen Sekunden war es dann endlich so weit: meine Mails waren wieder da..dabei hätte ich eigentlich nie gedacht, dass ich mich mal so darüber freuen würde, Zugriff auf meine Firmenmails zu haben.

Das (vorläufig) einzige ToDo besteht nun also darin, den 2.6.12er-Kernel endlich zum booten zu bewegen. Die Zeit werde ich mir aber gerne nehmen, denn alleine jetzt schon ist Breezy der Knaller.

Ich hab's getan: das auf meinem Laptop laufende Ubuntu in Version 5.01 (Hoary) wurde soeben durch ein beherztes

apt-get dist-upgrade

auf die aktuelle Enwticklerversion 5.1 (Breezy) hochgepusht, die im Oktober offiziell freigegeben werden soll.

Größere Problem dabei gab es zum Glück nicht, auch wenn der neue 2.6.12er-Kernel sich standhaft weigert, ordnungsgemäß zu starten, und ich die Xorg-Konfiguration noch mal von Hand anstoßen musste, um wieder etwas grafisches zu Gesicht zu bekommen.
Was die Geschichte mit dem Kernel angeht, bin ich bisher noch nicht dazu gekommen, da einmal genauer hinzuschauen.

Bislang bin ich schon schwer begeistert, alleine Gnome 2.12 macht schon einiges her, und bietet erheblich mehr Eye-Candy als frühere Versionen. Der einzige (aber leider allergrößte) Wermutstropfen besteht darin, dass ich nicht mehr auf den internen Eekschange-Server zugreifen kann, und somit auf das selten dämliche WebAccess angewiesen bin.
Da die aktuelle Version von Evolution aber der Hauptgrund für das Upgrade war, da die alte Version doch recht instabil war, ist dieses Problem aktuell das, was mich am allermeisten nervt. Immerhin scheine ich nicht der einzige mit diesem Problem zu sein, wie Bug 13897 zeigt. Ich hoffe mal, dass die Jungs und Mädels das schnell in den Griff bekommen. Ob ich mal den Maintainer anschreibe?

Immerhin habe ich eine neue "Killerapplikation" für mich gefunden, die ich nun endlich ohne große Verrenkungen nutzen kann: Beagle, eine recht tief ins System integrierte "Desktop-Suche", die nicht nur Dateien, sondern auch Mails, RSS-Feeds, und Daten anderer Applikationen (wie z.B. Gaim) indiziert und durchsucht.