Autopost Test is a post from: nodomain.cc

Bahnhof is a post from: nodomain.cc

Jetzt ist es definitiv arschkalt! is a post from: nodomain.cc

Seit dem letzten Update gab es folgende Änderungen:

• Die Höhenlinien wurden noch einmal etwas überarbeitet
• Die “Layer”-Variante wird wieder korrekt erzeugt. Die Adresssuche funktioniert aber deshalb aktuell wieder nicht.

Die Downloads sind auch bereits angepasst.

Auf Google Plus habe ich eine laufende Serie von Posts unter dem Titel "15 Minutes of Google Hate". Sie ergab sich aus der Feedback-Funktion, die am Fuß jeder Google-Plus Seite zu finden war und die nun ins Zahnrad-Menü gewandert ist. "Feedback" ist eine nützliche Funktion, aber da Feedback im Bauch von Google verschwindet und nicht öffentlich diskutierbar ist, habe ich irgendwann angefangen, meine Feedback-Einträge vor dem Absenden zu fotografieren und auch in meinen Stream zu pasten. Später kam dann der 1984er/Andy-Warhol-Titel dazu, weil er so schön reißerisch klingt.

Andere Teile von Google haben keine Feedback-Funktion, aber ich habe irgendwann angefangen, den Kram auszuweiten - insbesondere auch, weil Google auf Input mit Hilfe der Feedback-Funktion sehr gut reagiert und die meisten Dinge, zu denen ich was geschrieben habe, mehr oder weniger direkt umgesetzt hat.

Unter dem Titel '15 Minutes of Google Hate' habe ich die folgenden Posts:

1. November - Google Reader 'following.json' als Circle verfügbar machen. Bisher nicht umgesetzt. Google Plus Android App sollte die Config bei Google in der Cloud sichern. Bisher nicht umgesetzt.

6. Dezember - bessere Kontrolle über Notifications in dem roten Kästchen - gelöst via Who is allowed to send you notifications?.

23. Dezember - bessere Kontrolle über Notifications via Email - gelöst ebenso via Who is allowed to send you notifications?.

30. Dezember - Primärer Kalender ist das Standard-Target für Invitations in meiner GMail. Bisher nicht umgesetzt.

2. Januar - Instant Upload von Videos erlaubt kein Sharing nach Youtube. Bisher nicht umgesetzt.

8. Januar - Spontaner Reboot des Galaxy Nexus nach Aktivierung der Verschlüsselung. Problem tritt mit 4.0.2 nicht mehr auf, außerdem: Gerät ist nicht mehr verschlüsselt.

8 Januar - UI Irrsinn auf dem Galaxy Nexus. Teilweise in den Kommentaren erklärt (insbesondere die Menü-Taste, später in Android Developers aufgegriffen).

28. Januar - Google Nexus Factory Reset und Restore Fail.

Älteres Feedback, das noch nicht unter diesem Titel veröffentlicht worden ist, habe ich nicht mehr aus meinem Stream rausgesucht.

Edit: Das Lazyweb.

30. Oktober - Normale Google Accounts vs. Google App Accounts.

30. Oktober - Noch mehr Google App Accounts.

2. November - Google Reader Migration.

8. November - Google Reader, neues Layout.

Morgen ist der vom Europarat ausgerufene Data Protection Day. An diesem sollen Menschen über die Sammlung und Weiterverarbeitung „ihrer“ Daten und ihrer diesbezüglichen Rechte aufgeklärt werden. Unterdessen ist Viviane Reding dabei, am europäischen Datenschutz rumzubasteln (siehe auch hier).

Die Spackeria ruft für morgen stattdessen den Open in Public Day aus und ruft dazu auf, ein von Datenschützern viel bemühtes "Risikoszenario" einmal auszuprobieren:

Der „Open in Public Day“ findet ebenfalls am 28. Januar statt und soll den Menschen den Wert gemeinsamer, offener und freier Daten und Kommunikation illustrieren. Anstatt uns in unseren Häusern und Wohnungen zu verstecken in Angst, „unsere“ Daten könnten in die Öffentlichkeit gelangen, treten wir frei in die Öffentlichkeit.

Damit wir alle den Tag gemeinsam erfahren und erleben können, greifen wir ein bekanntes Datenschutzmem auf: Peinliche Fotos in sozialen Netzwerken.

Am „Open in Public Day“ veröffentlicht jeder Teilnehmer und jede Teilnehmerin ein „peinliches“ Foto von sich in seinem/ihrem Blog oder auf seinem/ihrem Profil in sozialen Netzwerken. Das können die gefürchteten „Partybilder“ sein, Dokumentationen der eigenen modischen Fehltritte oder von persönlichen Fails. Die Bilder werden öffentlich gepostet und wenn möglich auch mit dem eigenen Namen/Profil (durch Tagging) verbunden. Am besten verbreitet Ihr dann Euer Foto nochmal auf allen Kanälen (verwendet den Hashtag #oipd12). Setzt einen Trackback auf diesen Post oder postet Euren Link in den Kommentaren, damit wir ein Netz aus allen diesen Bildern herstellen können.

Hier also ein nicht autorisiertes Foto aus Studienzeiten, das eine Freundin einmal von mir gemacht hat:

Just FYI, my dear loyal readers – I’ve updated the Home Office site tonight! Enjoy!

So I played with the ESXi server last night and for some reason I wanted to put the onboard USB controllers to PCI passthrough (DirectPath I/O). Bad idea!

The result is, that the I couldn’t access the setup via IPMI2.0 and even worse: all USB passthrough devices are no longer working.

No problem, I thought – I went to the settings on my Win XP VM which is running vSphere client and removed the checks in the shown above window. Reboot.

For my surprise, the devices where still there. I tried this 4 or 5 times. No success. Damn!

I was looking for a solution on Google, but without success. What I found is a little workaround. I guess I need to reinstall the ESXi onto the USB stick, but at the moment, I’m not in the mood.

The workaround put’s the devices back from the passthrough mode to the vmkernel. This works – until I have to reboot (luckily this system runs for months w/o a reboot). What you need is SSH access to the ESXi server.

Here’s my script that I’ve put into the root folder and made it accessible:

# cat clean
#!/bin/sh
vmkchdev -v 000:000:26.0
vmkchdev -v 000:000:29.0

# chmod +x clean
# ./clean

That’s all! Now I am able to remove the devices and can go on and use the USB devices.

Until the next reboot – this will work.

This is a workaround! Not a solution! So if anybody of my readers knows a better way – please – let me know!

PS. I’ve spend 2 1/2h’s on this crap – I wanted to use the time to finish the cabling on “Home Office 8.2″ and take some photos

In the last couple of days, I saw Debian having issues with the ext2 filesystem on the Gateway/Weather Data Collector box sometimes. I want this system to run as smooth as possible, so I bought (2) of these IDE 2GB SSDs (one for each Futro system).

Last night, I installed the first one in the future pfSense router – a bit soldering was needed – but I had no issues with this process. So, today I removed the gateway… ah.. it’s called Mumble, ok? So I powered down Mumble and put it into the basement to install the other SSD. Here are some photos that I’ve taken.

The weather data is now available on http://wetter.klein2.net!

On my last post, I have shown some photos of the new weather station. In the last week, I mounted the instruments to the shelter in the garden and created a dynamic web application. It was my goal to enable this on my home network, the web server is a Debian Linux, running on my home ESXi server.

I’m still having some trouble with the rain detector, or better explained: with the perl script. There is a workaround, but I would love to have it perfect – so it will maybe take some weeks until this will work, too.

Today (Saturday, January 14th), I will reinstall the Debian System onto a 2GB IDE SSD that I will install into the Gateway/weather data capture system, which means it will be offline for some hours. I will post a link to the site later

Here are some recently captured & rendered weather data stats:

Ciao
Dennis

Seit der Umstellung meiner Workstation auf Ubuntu habe ich dort Unity als Desktop-Umgebung eingesetzt, während mein Notebook seit der Migration auf Fedora Linux mit Gnome 3 werkelt. In den vergangenen drei Monaten kam ich also in den „Genuss“, mit zwei verschiedenen Desktop-Umgebungen zu arbeiten – eine etwas unglückliche Konstellation, da Bedienkonzept, Tastenkombinationen und Mausgesten natürlich nicht identisch und somit gelegentliche „Fehlbedienungen“ vorprogrammiert sind. Höchste Zeit also, die beiden einmal einander gegenüber zu stellen.

An Gnome 3 hatte ich mich recht fix gewöhnt, die anderenorts so häufig geäußerte Kritik ist für mich weitgehend nicht nachvollziehbar. Gut, ich gehöre auch nicht zu den Leuten, die ihren Desktop erst mal drei Wochen lang frisieren, bevor sie damit arbeiten können, aber der Hauptgrund, aus dem Gnome 3 mir recht schnell ans Herz gewachsen ist, ist die angenehme Übersichtlichkeit, die der Desktop an fast allen Stellen mitbringt – sei es nun die in der Standardeinstellung leere Arbeitsfläche, die übersichtliche Arbeitsflächenauswahl oder die Darstellung aller offenen Fenster auf einen Blick; all dies kommt meiner Art zu arbeiten sehr entgegen.

Natürlich hat Gnome 3 auch noch einige Macken, die nicht verschwiegen werden sollen. Der Umständliche Weg, erst mit JavaScript-Dateien herumwurschteln zu müssen, um im Systemmenü die benötigten Einträge angezeigt zu bekommen, ist sicherlich schwer verbesserungsbedürftig. Auch einige der neuen Programme (wie etwa Empathy anstelle von Pidgin) sind für mich völlig unbrauchbar, was sich allerdings mittels Paketmanager in der Regel problemlos beheben lässt. Gerade im genannten Fall ist die Integration allerdings etwas fummelig, selbst mit der entsprechenden Extension funktioniert es nicht ganz reibungslos.

Unity hat seine Stärken vor allem in der guten Integration, die unter Ubuntu damit erreicht wird – damit hört es aber auch schon auf. Die größte Schwäche von Unity ist meiner Meinung und Erfahrung nach das Fehlen jeglicher Übersichtlichkeit, auch wenn die Unterschiede zu Gnome 3 auf den ersten Blick marginal erscheinen. Das Dock-Menü links ist der erste Stolperstein; möglicherweise sind es aber auch einfach Bugs, die verhindern, dass Programme zuverlässig hinzugefügt und entfernt werden können. Wirklich störend ist allerdings das unvorhersagbare Verhalten von Fenstern. Anwendungen starten ohne erkennbaren Grund mal maximiert, mal mit der zuletzt gewählten Fenstergröße und -position, und mal mit scheinbar zufällig gewähltem Fensterlayout.

Die Positionierungsfunktion ist auf einem Desktop-System mit großem Bildschirm ebenfalls eher störend, richtig ärgerlich ist aber die Tatsache, dass übereinander liegende Fenster nicht oder nur schlecht bzw. umständlich zugänglich sind. Eine Übersicht über geöffnete Applikationen fehlt völlig, und das Programm-Menü ist eine einzige Fehlkonstruktion, weil man sich immer erst mit drei Klicks zu den Applikationen durchhangeln muss (und die zuletzt gewählte Ansicht auch beim nächsten Öffnen nicht wieder hergestellt wird). Ein weiteres Ärgernis ist die Zentralisierung der Menüleiste aller Anwendungen am oberen Bildschrimrand – schön beim Mac geklaut, aber völlig sinnlos (und vor allem bremsend), wenn der Bildschirm (wie in meinem Fall) genügend Platz bietet.

Mein Fazit: Man kann mit Unity arbeiten, wenn man unbedingt muss. Ich selbst komme aber derzeit mit Gnome 3 am besten zurecht, weswegen Unity heute auch gegen selbiges ausgetauscht wurde. Übrigens: Unter Ubuntu ist Gnome 3 leider etwas verfrickelt, weil die Paket-Entwickler mal wieder nicht die Finger von den Defaults lassen konnten. So funktioniert etwa die lebenswichtige Alt + F2 Tastenkombination nicht, sondern muss erst in den Tastatureinstellungen aktiviert werden. Auch das Standard-Fensterlayout (Adwaita) wurde durch ein Unity-ähnliches Theme ersetzt, das mit Gnome 3 aber nicht so recht harmonieren mag (zumal dadurch die Buttons für Fenstermaximierung und -minimierung deaktiviert wurden, was sich nur mit dem Gnome Tweak Tool wieder reparieren lässt).

Nach mehreren Monaten Beta- und RC-Testing ist es jetzt soweit: FreeBSD 9 ist offiziell da. Eigene Erfahrungen auf Produktivsystemen kann ich derzeit nicht bieten, da ich auf diesen die erste Version eines neuen Major-Zweiges grundsätzlich überspringe, aber unter VirtualBox funktioniert es ganz brauchbar.

Ein Blick in die Release Notes offenbart die wichtigsten Neuerungen:

• Capsicum wurde (wie bereits angedeutet) Bestandteil des Basis-Systems
• Clang und LLVM ersetzen (weitgehend) gcc als System-Compiler
• ZFS wurde von Version 15 auf Version 28 angehoben (zpool), wodurch jetzt auch raidz3 Pools möglich sind
• Die bisherige ATA-Implementierung wurde durch das CAM-Framework ersetzt, was auch eine Änderung der Device-Namen für Festplatten, CD-Laufwerke etc. nach sich zieht
• bsdinstall ersetzt das in die Jahre gekommene sysinstall.

Das sind (zumindest aus meiner Sicht) erst mal die wichtigsten Neuerung, von denen einige leider nicht in den Release Notes dokumentiert sind – insbesondere die Anbindung von ATA-Devices via CAM kann zu bösen Überraschungen führen, wenn z. B. in der fstab noch auf alte Gerätenamen Bezug genommen wird.

Immer noch bin ich glücklich mit "serendiptiy". Ein treffender Name, wie ich finde. Mein Blog erfreut sich immer noch bester Gesundheit. Auf den Tag genau ist es nun sieben Jahre her, das ich mit Serendipity mein Blog betreibe.

Als Blickfänger habe ich hier mal die aktuelle Keyword Statistik des Blog eingeklebt.

Die meisten der Suchanfragen betrafen TrekStor eBook Reader 3.0 EBR30-a (Weltbild & Hugendubel Edition)

ich finde, da scheint wohl doch noch so einiges an Informationsbedarf zu sein

Das letzte Jahr habe ich mich nicht so intensiv um das Blog gekümmert, dieses Jahr wird es sicherlich in dieser Hinsicht wieder aufwärts gehen. Vielen Dank an meine Leser fürs "Treue halten".

o> I: noch ein bißchen warten lohnt sich:

http://www.heise.de/newsticker/meldung/Parrots-Quadrokopter-kann-jetzt-Saltos-und-HD-Videos-1405187.html

I> o: :-) Auch dieses Gerät hat ein Batterieproblem

I> Hm, gibt es Fuel Cells, die Drop in für übliche Akkupacks sind? :-)

o> I: Nein, derzeit nicht

I> Hach, vielleicht kleine Antimaterie-Reaktoren stattdessen?

o> Doch! http://www.horizonfuelcell.com/store.htm. Scheint aber kein drop-in replacement zu sein.

I> Immerhin. Ich wollte schon sagen: Da sieht man mal wie schnöde diese Welt ist, keine Jetpacks, kein FTL, keine Antimaterie-Reaktoren. Aber immerhin Fuel Cells.

o> Schreibt er auf seinem Smartphone während er im 240km'h schnellen Überlandzug unterwegs ist.

B> Das Hauptproblem von Brennstoffzellen ist derzeit noch die Abwärme, oder?

o> B: Das könnte man hier ja gleich durch die Propeller jagen.

Siehe auch den englischen Artikel auf Google Plus.

Ich habe ein Galaxy Nexus Telefon (GSM Version, unbranded) mit Android 4.0.1. Für eine kommende Reise habe ich Geräteverschlüsselung (Device Encryption, DE) aktiviert.

Das Telefon war vorher stabil. Seit Aktivierung der DE habe ich ca. 2 spontane Reboots pro Tag, manchmal auch Reboots während des Reboots. Außerdem fällt das Telefon während des Reboots in den Schlaf (Display geht aus, Energiesparmodus geht an). Das tut es nicht bei einem normalen Anschalten.

Freunde mit demselben Telefon und eingeschalteter DE haben dieses Problem nicht. Es kann also sein, daß das Verhalten eine andere Ursache hat, aber für mich begann es mit der Aktivierung von DE.

Außerdem: Vorsicht! DE kann man niemals abschalten. Ich habe es als Vorsichtsmaßnahme für die Reise eingeschaltet und würde es nach der Reise gerne wieder abschalten - aber das ist nicht möglich (Factory Reset oder Flashen der Firmware werden mir vorgeschlagen).

Alles in allem scheint das Feature unausgereift und wenig überlegt.

Wenn man vor der Aufgabe steht, aus einer Datei etliche Zeilen zu entfernen, die aber alle nicht gleich sind, könnte man ins Grübeln kommen. Ich stand vor dem Problem, die liste.txt immer in eine bestimmte Reihenfolgen bringen zu müssen und mit Zeilen, in denen  es von Sonderzeichen nur so wimmelte. Da sowohl die auswahl.txt als auch die liste.txt Extrakte aus einer Datenbank sind, musste ich diesen Weg gehen.

Hier führen wie so oft verschiedene Wege zum Ziel.

Mit fgrep zum Beispiel:

$cat auswahl.txt 
Kein Zweifel
Fettig
75 Rinder
& können

$ cat liste.txt 
Irgendeind Text mit allerlei sinnlosem Inhalt
Nochmal gesagt: Kein Zweifel, hier ist nur Schwachsinn drin
Fettig ist gar keine gute Eigenschaft für Haare
12 Schafe, 75 Rinder und 44 Ziegen
Sonderzeichen wie z.B. & können hier auch drin sein
Diese Zeile soll den Abschluß bilden.
 

$ fgrep -f auswahl.txt liste.txt
Nochmal gesagt: Kein Zweifel, hier ist nur Schwachsinn drin
Fettig ist gar keine gute Eigenschaft für Haare
12 Schafe, 75 Rinder und 44 Ziegen
Sonderzeichen wie z.B. & können hier auch drin sein

Oder mit -v nur die Zeilen, die nicht in auswahl.txt stehen:

fgrep -vf auswahl.txt liste.txt

$ fgrep -vf auswahl.txt liste.txt
Irgendeind Text mit allerlei sinnlosem Inhalt
Diese Zeile soll den Abschluß bilden.

Das ist eigentlich trivial und wäre keinen Blog Post wert, allerdings finde ich es erwähnenswert, das man in auswahl.txt Zeichen, die normalerweise in der shell escaped werden müssen, ohne irgendwelche Skrupel unverändert eintragen kann.

Seit dem letzten Update gab es folgende Änderungen:

• Es gibt wieder Höhenlinien. Für die Layer-Variante als separates Kartenlayer, für die Variante ohne Layer integriert. Für Hinweise wie man sinnvollerweise die dadurch entstandene Datenmenge reduziert wäre ich dankbar.
• Aktivierung der Addresssuche, ist aber bei mkgmap noch im Beta-Stadium und das merkt man auch noch.
• Update 07.01.2012: Addresssuche sollte nun auch mit den fertigen Images möglich sein, und das Höhenlinien-Layer wurde verlinkt.

Die Downloads sind auch bereits angepasst.

Ich habe ja schon des öfteren berichtet, das ich einen Toshiba Portegé M400 mein Eigen nenne.

Unter Linux wird ein Wacom Graphic Tablet erkannt. Das funktioniert "out-of-the-box", in Debian Testing und unstable.

In Unstable ist sogar in Gnome 3.2 ein einfaches Setup Programm enthalten. Unter Gnome 2.6 kann ich es auch rudimentär benutzen.

Doch wie kommt man dazu, die erweiterten Einstellungen, wie z.B. die Druckempfindlichkeit und den Eraser sinnvoll unter Gnome zu nutzen?

Mit den Einstellungen bin ich jetzt nicht so richtig weiter gekommen. Hat vielleicht einer meiner Leser hier bereits eine Lösung?

Yesterday, I’ve written about the 2 Fujitsu-Siemens Futros that I plan to use in my network environment. Today, I received the weather station which (as always – but this time in a very good way) changes the way it will work in future.

The station itself was put together quickly. There are 2 parts; one are the instruments that you can see above. It is equipped with a small solar panel which powers them. There is also a 2x AA battery slot (I guess for the night and darker days).

The second part is the station itself. It is a very handy touchscreen LCD panel with a USB port. A 2x USB A cable was in the package and so it was pretty easy to connect it to a PC.

Until I have time to mount the instruments at the shelter, I’ve put them into flower bed in the garden – for a test run.

Luckily, the weather station connects the instruments to the station wireless. This allows me to drop the idea to install one of the Futros into the shelter. I simply put my gateway into the living room which is in optical range to the instruments.

To grab the data, I use Steve’s perl script. It took some time to get it installed, but that was the “fault” of a wrong /etc/apt/sources.list file In the end, I was able to grab data from the station in a 10 seconds (or more often I really want) delay. This will allow me to write these data with a little cron job into a file on the fileserver and then grab this file from another VM and create a nice rrdtool graphic out of it – but this task will be done in (near) future

Here’s a screenshot of some data coming in.

I guess, now that I have one box unused, I will end up building a pfSense router with the Dual Port NIC + the onboard NIC for load balancing my two DSL lines

Mein All Time Lan Party Favourite World of Padman hat ein Brushup bekommen. Näheres entnehmt bitte den News

World of Padman %u2022 News %u2022 17.12.2011 %u2022 WoP 1.6 unleashed

Nicht die Fahne von Schottland.

Das heißt natürlich, daß die Verarbeitung personenbezogener Daten nicht wirklich komplett verboten ist. Sie ist erlaubt, "soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet". Das heißt, das BDSG kann sich selber durchlöchern und jedes andere Gesetz kann das auch. Sich selbst erlaubt der Staat also die Verarbeitung personenbezogener Daten, gerne und großzügig, und schön verteilt über alle möglichen Gesetze, sodaß das nicht direkt sichtbar ist, in welchem Ausmaß das BDSG da mit Ausnahmetatbeständen durchlöchert wird.

Die Verarbeitung personenbezogener Daten ist auch erlaubt, wenn "der Betroffene eingewilligt hat". Nun ist Datenverarbeitung aber böse und der "Betroffene" darf nicht einfach so einwilligen. Die Einwilligung muß stattdessen "informiert" erfolgen und sie muß zweckgebunden sein - eine Spielwiese zu deklarieren ist also rechtlich nicht machbar, so weit geht die informationelle Selbstbestimmung dann doch nicht.

Wenn ich also in diesem Blog personenbezogene Daten verarbeiten will, oder gar Dritte das tun lassen will, dann ist das gar nicht so einfach.

Einmal muß ich meine Nutzer darüber informieren, welche personenbezogenen Daten denn hier genau zu welchem Zweck so verarbeitet werden. Wenn ich das ändere, dann muß ich darüber natürlich auch informieren. Ich kann also immer (also bei jedem Beginn einer Session) informieren, oder ich kann so richtig personenbezogene Daten verarbeiten, mir also merken, welche User ich schon gesehen habe und worüber ich schon informiert habe und wozu welcher User schon zugestimmt hat, damit ich jedem User nur noch die Änderungen anzeige, über die ich ihn noch nicht informiert habe und denen er noch nicht zugestimmt hat. Wobei dann jeder User als Erstes der Verarbeitung seiner Daten zu Datenschutzzwecken zustimmen müßte (siehe die EU Cookie Richtlinie, die hat dasselbe Problem).

So weit so klar?

Fein. Wenn ich also Dritte die Verarbeitung personenbezogener Daten überlasse, dann wird die Sache noch ein wenig komplizierter, denn dann liegt Auftragsdatenverarbeitung vor. Ich kann also nicht einfach Google Analytics oder einen Facebook-Like-Button (technisch im Prinzip dasselbe) hier einbinden, sondern ich kann 11 Seiten Papier an Google oder Facebook senden, also einen Vertrag über Auftragsdatenverarbeitung schließen, und dann einfach die entsprechenden Buttons wie gehabt hier einbinden (hatten wir hier in ausführlicherer Form).

Wie man sieht geht es also beim Datenschutz nicht wirklich um den Schutz irgendwelcher Daten, sondern um Verwaltung derselben.

Wir können das ganze noch besser veranschaulichen, mit einem etwas physischeren Beispiel, das jeder aus dem täglichen Leben kennt:

Das hier ist der in etwa unterarmlange Bon, den ich bei dem Einkauf in meinem Supermarkt vorgelegt bekomme:

Informationen zum Datenschutz.

Es handelt sich um die Informationen, wer meine Daten warum wie durch wen verarbeiten läßt, wenn ich meine Scheckkarte da zur Kassiererin rüberschiebe, in epischer Breite. Da unten dann ein Unterschriftenfeld. Ich unterzeichne, schnell, denn hinter mir stehen noch 8 andere, die auch ihre Waren über den Scanner geschoben haben wollen, und drängeln.

Wohl informiert und mit dem guten Gefühl, Bescheid zu wissen - gibt es eigentlich irgendeinen Menschen auf der Welt, der das schon mal gelesen hat, die Person, die das getextet hat, ausgenommen? - wird meine Karte belastet und die Ware bezahlt. Nach demselben Verfahren wie letztes Mal, als ich das auch schon unterschrieben habe.

Dann nimmt mir die freundliche Kassiererin die Erklärung weg - WTF? - und archiviert den sorgfältig, denn der Supermarkt und seine Dienstleister müssen ja nachweisen können, wie oft wer dieses Jahr dort wozu zugestimmt hat. Und ich bekomme meinen eigenen Bon. Ohne Datenschutzinformationen.

Meine Bonkopie. Ohne Datenschutz.

Wie man sieht, geht es auch hier nicht wirklich um den Schutz von Daten oder meinen Interessen, sondern ein Verwaltungsritual, bei dem die Fiktion nachgewiesen werden muß, daß ich auch diesmal den Bon sorgfältig studiert habe, bevor ich meine Einwilligung zur Verarbeitung meiner Kreditkartendaten durch Kreditkrakenfirmen gegeben habe.

Was wäre, wenn ich aus irgendwelchen Gründen ein reales Problem mit der Verarbeitung meiner Kartendaten hätte? Etwa, weil dort jemand arbeitet, von dem ich glaube, daß er mich stalken könnte oder mir sonstwie gefährlich oder unangenehm werden könnte? Würde der Datenschutz mir dann helfen?

Sagen wir, ich bin Mitarbeiterin in einem Frauenhaus, und der Markt, in dem ich einkaufe und die Mengen und Art der gekauften Güter könnten den Standort einer sicheren Wohnung des Frauenhauses gefährden und Aufschluß darüber geben, ob und wie stark eine solche sichere Wohnung genutzt wird, ob Babynahrung gekauft wird und so weiter.

Würde so eine Form von Datenschutz mir dann die notwendige operative Sicherheit geben?

Nein. Sicherheit bekomme ich nicht durch Verwaltungsaufwand zur Aufrechterhaltung einer Fiktion von informierter Zustimmung. Belastbare Sicherheit bekomme ich durch Geheimhaltung, etwa durch Zahlung mit Bargeld oder andere Maßnahmen.

IVW Zählpixel bei Heise Newsticker

VG Wort Zählpixel bei Heise Newsticker

Helfen würde Geheimhaltung, also die Unterdrückung entsprechender Zugriffe durch passende Browser Plugins, wie zum Beispiel Disconnect, Ghostery oder Request Policy.

Aber mit der Buttonlösung hat man etwas, das sichtbar ist. Insbesondere auch für die Leute, die gar nichts getan haben und sich auch mit dem Problem nicht selber auseinander setzen wollen: Sie bekommen ein paar Alibi-Schieber mit Cookie-Steuerung (Zur Verwaltung der Verarbeitung personenbezogener Daten müssen wir auch hier noch mehr personenbezogene Daten verarbeiten!), die sie hin- und her schieben können wie sie möchten und alle führen sich hinterher ganz enorm informationell empowered und selbstbestimmt. Die eigentlich wichtigen Zählpixel tickern dabei im Hintergrund immer weiter mit und erzeugen ein Leseprotokoll für jede einzelne Nachrichtenseite.

Und das, liebe Leser, ist die Definition von Datenschutztheater: Die perfekte Symbiose zwischen der Faulheit der Konsumenten und Datenschützern mit Existenzrechtfertigungsnotstand.

While moving all the eMail from one server to the other (my old server will be shut down by January 22nd – but this site is already on the new one), I received a package via UPS. Inside: 2x PCI-X Dual Port Intel cards. Yeah – PCI-X. I don’t have any PCI-X ports in one of my systems, but I was told it will work fine in a standard 3.3V PCI port

So I opened up the gateway box and installed it. To be honest, I never thought it would fit – I had bought the cards for the fileserver (one + 1 spare), but was too curious if it would work in the small gateway. As you can see on the following photos, it fits – and Debian lists the card as 2x Intel 82546EB ethernet ports (lspic & ifconfig assigned it to eth1 & eth2 (eth0 is the onboard NIC).

I got a second Fujitsu-Siemens Futro! Yeah! For just 20€ This one received the new 4GB CF card I bought last week and it will run Debian, too. This box will be awesome! While the first one will run as gateway in the house, this cutie will be put into the shelter.

“Why?” I see you asking. From the family, I’ve got a bit Xmas money and instead of buy expensive stuff (like lovely Animé figures (oh it’s hard to resist – believe me)), I decided to get what I’ve written on every single wish list for the last (at least) 5 years. A weather station! But not a display that you put and your desk and you’re done. No! This one will have own instruments. I’ve chosen the WH 1080, because it has great Linux support. I will use it the same way I use the internal sensors (shown in a blog post some weeks ago), a little perl script will grab the data from the sensors and print it into file(s). rrdtool and a cronjob will create graphs from this source. I can’t await to get my hands on this

However – here are 2 more photos from the “dream team”.

All photos are available in HiRes at flickr.

Every computer here in my office is not really a static construction. Some things quickly change – and it’s pretty hard to keep up with forum signatures for example A server should not be changed often – in this case, it was a minor software-based change – but with a very nice effect.

I was running my first VMs on the NFS share from the half-virtualized Debian Fileserver. That was working well – but could be faster. So I decided to simply plug my 3x 640GB HD SFF-8087 from the HP SAS Expander to the RAIDable other Intel/LSI controller and create a RAID10e of it. RAID10e is a funny RAID that allows you to use also 3,5,7 etc. HDs as a Mirror. As result, I’ve got a ~900GB RAID10e storage that is luckily recognized by ESXi (the controller itself is supported). This is a very fast storage for my VMs. I still use my 2.5″ drives in the server to store the ISOs on. Of course, I could do this also on the NFS share, but to have a copy of them is a good idea.

As the big storage on the half-virtualized fileserver is about 10TB, I don’t really care to create a TimeMachine space there. There’s really enough free space and doing this is on my very long “ToDo” list. At the moment, I’m restoring my data from the backup server back to the fileserver using “curlftpfs” – that is a very nice FUSE add-on for Linux which allows you to rsync files from a FTP share (you mount it like a drive, a Samba share…). I now receive the files at ~120MB/s.

The backup server will receive a new network card – I found a Dual Port Intel PCI-X card (HP labeled) for just 9€. The board does not have a full PCI-X slot, but I was told that it will work, even if it’s a regular PCI slot. At this price, I bought 2 of these cards – one for the gateway – that would allow me to create a nice pfsense router from a Futro (I will get a second one tomorrow ) – so one for gateway + one for router. I just hope the card is not too long – otherwise I need to cut the case a bit…

One of my current projects (and believe me – there are way too much for the spare few days of holidays) was to move my blog to a new server. Instead spending 50€ every month to an ISP with very poor service and ugly slow response times, I decided to book a “JiffyBox“. I’ve installed it today and I’m very impressed with the speed of it. Well – my blog is the first site which moved over – so: Welcome

Da lag unter dem Weihnachtsbaum doch so ein Ebook von TrekStor rum...

Nach kurzem Ausprobieren habe ich es zur Seite gelegt, denn ohne MicroSD Card ist das befüllen nur über USB möglich. Gestern, also nach 4 Tagen Standby kam die 8GB SD Card von Reichelt, zu meiner Überrschung war der Akku praktisch auf 0% gesunken. Ok, dachte ich, erstmal ein Update machen, zu den Fixes gehört nämlich eine Verlängerung der Standby Zeit und allerlei Krimskrams.  Das Update -- wie solls auch anders sein -- geht nur über einen Windows PC mit spezieller Software, die natürlich installiert werden muß. Ich habe mich exakt an die Anleitung gehalten, um das Teil nicht gleich zu bricken, es kam auch der erlösende Popup mit "Complete". Doch danach reagierte der Reader auf gar nichts mehr.

Ein Anruf bei der Hotline von Trekstor war allerdings erfolgreich und ich wurde am Telefon bei meinem Reset versuch, den ich hier kurz aufschreibe, vielleicht brauche ich es nochmal.

Das ebook reagiert auf nichts mehr. Das ebook befindet sich im Recovery Modus. Lösung: HARD Reset.

Die Windows Software Live suite starten (ist im Update enthalten)  und Firmware auswählen. ebook an USB anschliessen. Menü Taste (rechts oben) drücken und halten. Nun den Ein-Taster (rechts unten) 10 mal drücken und beim 10ten Mal gemeinsam mit der Menutaste loslassen. Das löst Hard Reset aus und auf dem Rechner sollte nun die Aufforderung nach einem Formatieren des internen Speichers auftauchen. Diese Frage muß bejaht werden, nun kann das Update geflasht werden.

Vielleicht hat ja Uwe Hermann Erfolg und bekommt Linux auf das Device, das wäre ein deutlicher Fortschritt.

TrekStor eBook Reader 3.0 EBR30-a (Weltbild Hugendubel Edition) - Random Projects

Diese virtual CD ROM auf der Iomega EGO 500 ist einfach nur nervig!
Unter Linux funktioniert das einbinden der Harddisk einwandfrei, es taucht eben nur ein zusätzliches CD ROM auf, damit kann man leben, wenn es auch nicht sehr schön ist.

Meine WDTV Live z. B. hat allerdings seit dem letzten update damit so ihre Probleme.

Also habe ich versucht, die virtuelle CD ROM zu beseitigen. Dummer weise ist das in der Firmware der Platte implementiert, deshalb hilft nur unter W$ ein Tool von IoMega zu installieren und damit das virtual Drive zu removen. Der Download bedingt eine Registrierung, was ich äußerst nervig, unnötig und unverschämt finde. Schließlich habe ich ein Stück Hardware gekauft, das sich nicht so verhält, wie ich es von einer solchen Hardware erwarte.

IoMega, ich werde nichts mehr derartiges kaufen, höchstens, wenn es auch eine Möglichkeit gibt das virtual Drive unter Linux zu entfernen. Ansonsten bin ich mit dem Gehäuse und der Festplatte zufrieden. Rate auch niemanden vom Kauf ab.

Yesterday, I’ve got the request to show the current state of my basement – to be more precise – he wants to see the current hardware

What you see here is far from “finished”. The HP ProCurve for example is not yet installed and also the Gateway is still on my ToDo list, but you get the idea.

The big black case is the ESXi server, the smaller silver behind that is the backup server. The rack contains the UPS, the 1U SuperMicro server and the electric wiring – and needs to get the final finish! Also, there’s a Compaq 4 Port KVM switch the CRT & keyboard are connected to that I’ve got for free from Christian.

Speaking of mess – this is the inside of the ESXi server – so much cables running through the box. But I’m sure you guys are curious to see the inside.

From top to bottom:
- LSI Controller (IT Firmware) -> connects to the HP SAS Expander via SFF-8087 cable
- LSI Controller (IR Firmware/Intel brand) -> connects the 3x 640GB via “RAID10E/IME” and is the home for the VMs as by today as the NFS was a bit to slow for my taste – or: this option is a lot faster
- HP SAS Expander -> the beast which connects up to 32 drives
- Intel Pro 1000 CT PCIe x1 NIC

The red light on the bottom right is the USB stick which is shown here. The ESXi software itself is stored there.

Theory is great, but if it works as planned – that is great stuff Here are some screenshots and a video of a benchmark.

I’ve successfully installed my Debian Fileserver with the following steps:
- Created the first – RAID6: 6x 1.5TB /dev/md0
- Created the second – RAID6: 6x 1TB /dev/md1
- Created the third – RAID5: 3x 640GB /dev/md2 (Time Machines)
- Installed lvm2 and created a LVM volume from /dev/md0 & /dev/md1

/dev/mapper/LVM-LVM     10T    23G    10T   1% /storage
/dev/md2               1,3T   5,3M   1,3T   1% /timemachines

- Mounted the LVM into /storage
- Mounted /dev/md2 into /timemachines
- Put both into the /etc/fstab
- Installed NFS-kernel-server
- Created the directory /storage/esxi
- Gave the rights nobody:nogroup to this directory
- Shared it via exports -a
- Connected the NFS volume to ESXi

- Upload the Windows Server 2008 R2 EN ISO into the DataStore A (2.5″ 160GB)
- Installed Windows Server 2008 R2 EN on the NFS share
- Updated the Win Server
- Run benchmark (see video below)

Here is a benchmarks done with dd on the Fileserver with no running VMs:

root@risu:/storage# time dd if=/dev/zero of=/storage/bench bs=1024 count=10000000
10000000+0 Datensätze ein
10000000+0 Datensätze aus
10240000000 Bytes (10 GB) kopiert, 88,0244 s, 116 MB/s

real	1m28.090s
user	0m0.616s
sys	0m9.841s

What confuses me; why do I reach higher speed over the 10Gbps VMXNET 3 network to the VM than locally? Does that make sense to anyone?

Building that kind of ESXi server I did is a bit hard to explain. So, while waiting for my mdadm to finish the last RAID in the Debian VM, which will become the main storage, I started to create an overview of how the server works. Here’s the result:

I dropped ZFS (again), because in a bunch of tests, I had some issues with SMB for example and also with NFS shares. I need to get this “pig to fly” – so I stopped digging around and decided to use the technology that worked very well for me in the last few months: mdadm.

The fileserver is half-virtualized. It is known that you should NOT virtualize a fileserver. I fully agree! I just virtualize the underlaying Debian, the rest is on “PCI passthrough”. This great technology allows me to pop the HDs & the cards out of the box in case of an emergency (or boot from a Debian CD/Stick or HD) and access all the data. The mdadm works with the REAL hard drives. In this layer, nothing is virtualized anymore. That’s in my mind the only way to use a fileserver on ESXi. The idea is based on the ZFS/ESXi All-In-One box I mentioned in a previous post.

However, the hard disks are connected to the HP SAS Expander, which is connected to the Intel SASUC8i (a LSI 1068 chip controller with LSI “IT” firmware). I use a single SFF-8087 cable for that. This draws the connection speed to SATA150, but you don’t recognize that. Why? The RAID combines the speed I think I loose a max. of 5%.

The LSI controller is “passed through” to the Debian VM which lists the HDs as if they were connected to a regular OS.

Inside Debian:

I will install NFS server on the Debian VM. VMware tools are already installed, enabling the 10Gbps VMXNET 3 driver. ESXi will mount the NFS share where all the other will be placed on. And that is what I will do now

More on this – soon!

PS. The backup server is now also running Debian – because of the previously mentioned issues with OpenIndiana/SMB & NFS.

Read more on Benchmarks of the ESXi contruction

Ich habe gerade das aktuelle Update von Photoline angetestet. Da wurde seit der Version 15, die ich bis zuletzt genutzt habe, noch einige interessante neue Features hinzugefügt.

Wo ich allerdings noch eine kleine Schwäche sehe ist die Konvertierung von RAWs, zumindest die RAWs meiner Pentax K10D werden nicht besonders gelungen entwickelt.

Today I bought storage in form of a fast CF Card for the Gateway project.

The USB stick was bought for as storage for the ESXi software itself. I will use a 160GB 2,5″ HD for the OpenIndiana VM. The rest of the VMs will be stored on a NFS share, which is shared from the OpenIndiana VM.

A diagram of the complete network is on top of my todo list once the servers are in “production”

It’s a long time since I was using ZFS. I had some bad luck with ZFS in the past. No – that’s not 100% true, it was not the ZFS itself, but a damaged controller. Meanwhile I managed to get a replacement for the controller (Intel SASUC8i) which works fine in my main server (Risu) since September.

Yesterday, I called the Intel hotline and after 1h of very very good support (seriously, I was surprised!), I got a ticket ID and some instructions. The broken Intel SASUC8i will be picked up on Friday via DHL Express. I will receive a replacement Intel SASUC8i in a few days. Oh! The controller in the main server is a new one I bought back in September – so we’re talking about 2 different.

As long-term readers, you know about my little external cases – these Onnto DataTales. 4 bays per box with USB2, FW400/800 and eSATA. They became unreliable in the last months – kicking out some of the hard disks randomly, so I decided it’s enough. Additionally, I hate to split things – some stuff was on the box, the other stuff on the other one. D’oh. No. I wanted a better, more reliable and bigger solution.

I checked my hardware stock in the basement and found all stuff I need to create a backup server. Surfing a bit too much Data Storage Systems of the [H]ard|Forum, I read so much about ZFS, the new Illumos Kernel and napp-it, that I decided to get back to ZFS for the backup server.

After plumbing the PC parts to a server for a few hours, I had a running system with these specs:

I installed OpenIndiana (151a with Illumos Kernel) and created a RAIDz(1) pool of the 8x 1TB HDs which was online and usable after a few seconds – the joy of ZFS Of course, I wanted to have a nice GUI, even if I like to work on terminals. My choice is the awesome & free napp-it.

The server is currently getting loaded via rsync from the main server – because rsync via SSH was very slow (~20-30MB/s on the Gbit LAN), I now use an NFS share that is directly mounted on the main filer. It will take some time to backup all our stuff to the server – there are meanwhile ~5TB of important (well – more or less ) stored. With the new server, ~6TB usable backup storage, ECC RAM & ZFS, I’ve a very good and secure feeling.

The main server currently runs a pure Debian system, which I like, but maybe I will put ESXi back on again once I received the replacement controller from Intel, create a hardware RAID1 of my 2x 640GB HDs, install ESXi and an OpenIndiana VM onto this array. This setup is called the “All-In-One-Box” and my SuperMicro board is ready for this, supporting PCI(e)-PassThrough very well. But more on this later

PS. The gateway is nearly done, unfortunately, I couldn’t use the HD inside this box, because of heat – but it works fine externally – USB2 is USB2. More on this, also later – so please stay tuned!

Ich kann es selbst kaum glauben das es schon so lange her ist, aber es ist tatsächlich so. debianforum.de in der jetzigen Form ist mit dem heutigen Tag zehn Jahre alt. Nie im Leben hätte ich im Dezember 2001 damit gerechnet das sich das Projekt so lange und so erfolgreich entwickelt und auch heute noch immer wieder neue User zu uns kommen. Es ist eine wirklich nette Community aus der sich auch einige persönliche Freundschaften entwickelt haben.

Ich möchte die Gelegenheit heute nutzen, mich bei allen aktiven und ehemaligen Nutzern und Nutzerinnen aber auch Moderatoren und Moderatorinnen sowie den zahlreichen Spendern bedanken. Auch danke für die stetige konstruktive Kritik, die hilft, die Seite immer weiter zu entwickeln und besser zu machen. Ohne euch wäre die Seite nie das geworden, was sie heute ist. Vielen vielen Dank euch allen und lasst uns gemeinsam an den nächsten zehn Jahren arbeiten.

Es ist schon traurig, da werden die Bandbreiten immer größer, man kann von zu Hause mit 100MBit ins Netz, nur wer hat davon am meisten?

Richtig, die Bot Netze mit ihrer unerschöpfliche Gier nach Bandbreite! Ich habe den heutigen Tag eigentlich nur damit zugebracht, mich mit Bilderklau, - auch so eine Seuche - und mit Referrer Spam auseinanderzusetzen.

Die allseits empfohlenen Rewrite Rules für Referrer Spam sind nicht so einfach automatisch umzusetzen und weil der Großteil der Spammer eh von dynamischen IPs kommen ist's auch eher sinnlos und kontraproduktiv. Was also tun?

2006 war mal im Linuxmagazin ein Bericht über ein neues Modul für den Apache. libapache2-mod-evasive. Das dient dazu DOS (denial of Service) Attacken automatisch zu blocken. Damals war es nicht ganz trivial das Modul auf einem Stable Debian Server zu installieren, heute genügt dazu ein schlankes apt-get install libapache2-mod-evasive und ein wenig fine tuning.

Das fine tuning beschreibe ich hier.

Man kann als fauler Admin auch einfach alles in Ruhe lassen, es funktioniert sofort. Denn das Modul wird durch die Installation automatisch enabled und hat funktionierende default Parameter.

Ob das Modul seine Arbeit tut, erfährt man durch einen Blick in /var/log/daemon.log und auch durch die Einträge in /tmp/dos-* .

Wo wir auch schon beim Thema Faul wären. Der Apache sollte temporäre Dateien nicht einfach in /tmp schreiben. Da lauern diverse Falle, die Angreifer leicht ausnutzen könnten. Beispielsweise ist hier ein Bericht dazu. Der engagierte Admin wird das also ändern wollen. Das ist ganz einfach. Zuerst eine neue Heimat suchen:

mkdir  /var/log/apache2/evasive
chown -R www-data:adm /var/log/apache2/evasive

Nun muß das dem Modul mitgeteilt werden: in /etc/apache2/mods-available/mod-evasive.load habe ich folgende Einträge drin:

Die Beispiel default Einträge habe ich zur Referenz auskommentiert darunter aufgeführt.

LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so

  DOSHashTableSize 3097
  DOSPageCount 2
  DOSSiteCount 50
  DOSPageInterval 1.5
  DOSSiteInterval 1.5
  DOSBlockingPeriod 10
  DOSLogDir "/var/log/apache2/evasive"


#
# DOSHashTableSize    3097
# DOSPageCount        2
# DOSSiteCount        50
# DOSPageInterval     1
# DOSSiteInterval     1
# DOSBlockingPeriod   10
#

Kurze Erklärung der Parameter:

DOSHashTableSize: Die Größe der Hashtable, die für die einzelnen nodes benutzt wird. Könnte für einen ApacheServer mit starkem Verkehr erhöht werden. Es werden Primzahlen benutzt. Es wird immer auf die nächst höhere gerundet.

DOSPageCount: Schwellwert für die einzelnen Seiten pro DOSPageInterval , ab wann die Ip auf die Blacklist kommt.

DOSSiteCount: Schwellwert für alle von einem Client angeforderten Resourcen pro DOSPageInterval, ab wann die Ip auf die Blacklist kommt.

DOSPageInterval: Zeitraum, für die einzelnen Seiten, default 1 Sekunde

DOSSiteInterval: Zeitraum, für alle Aufrufe der Site, default 1 Sekunde

DOSBlockingPeriod: Zeitraum für die der Eintrag in der Blacklist steht, default 10 Sekunden, größer ist normalerweise nicht notwendig

DOSLogDir: Absoluter Pfad zum (existierenden) Directory für die Ablage der Blacklisteinträge.

Daneben gibt es noch die Möglichkeit einige IP-Adressen auf eine Whitelist zu setzen und weitere Einstellungen wie DOSEmailNotify, DOSSystemCommand
Dazu steht mehr in der Original Readme.

Der Autor des Modules hat im README (zless /usr/share/doc/libapache2-mod-evasive/README.gz) ausdrücklich darauf hingewiesen, das in der /etc/apache2/apache2.conf noch ein paar Einstellungen überprüft werden sollten. So muß KeepAlive auf On stehen und MaxRequestsPerChild darf nicht auf 0 sein,weil sonst die gespeicherten Blocks nicht gelöscht werden würden. Ich habe mal 20000 eingestellt, der Debian default für MaxRequestsPerChild ist 0. Der KeepAliveTimeout steht schon bei Debian auf 15, icch habe ihn so gelassen.

Zusammenfassung:

In  /etc/apache2/apache2.conf sollten folgende Einstellungen sein:

KeepAlive On

KeepAliveTimeout 15

MaxRequestsPerChild 20000

Nach den gemachten Änderungen kann man den Apache mit apache2ctl restart restarten.

Noch ein kleiner Hinweis zur DOSSiteCount. Das ist ein Wert, der empirisch auf seiner eigenen Seite ermittelt werden sollte, denn wer zum Beispiel in seinem Blog eine Ajax Live Search Funktion implementiert hat, dem könnte es bei menschlichen Besuchern durchaus passieren, das die Benutzer einen 403 Fehler kommen, obwohl sie ja keine Referrer Spam Automaten sind. Vor allem wenn die Besucher eine schnelle und vor allem kurze Anbindung haben. Wer also auf meiner Seite davon betroffen ist, sei es auch nur sproradisch, bitte melden, ich werde den Wert dann erhöhen. Meine Tests haben allerdings ergeben, das ich mit 50 auf der sicheren Seite bin. Mehr als 25 habe ich nicht in einer Sekunde festellen können

Erfolgskontrolle:  (alias ltr=ls -ltr)

~var/log/apache2/evasive]# ltr 
insgesamt 56K
-rw-r--r-- 1 www-data www-data 4 16. Dez 18:35 dos-84.132.23.200
-rw-r--r-- 1 www-data www-data 6 16. Dez 18:37 dos-91.40.41.216
-rw-r--r-- 1 www-data www-data 5 16. Dez 18:42 dos-77.21.23.66
-rw-r--r-- 1 www-data www-data 5 16. Dez 18:52 dos-77.185.40.188
-rw-r--r-- 1 www-data www-data 6 16. Dez 19:17 dos-77.10.150.190
-rw-r--r-- 1 www-data www-data 6 16. Dez 19:28 dos-95.89.50.13
-rw-r--r-- 1 www-data www-data 6 16. Dez 19:42 dos-194.246.122.11
-rw-r--r-- 1 www-data www-data 6 16. Dez 20:14 dos-91.186.46.168
-rw-r--r-- 1 www-data www-data 6 16. Dez 20:20 dos-31.17.63.12
-rw-r--r-- 1 www-data www-data 6 16. Dez 20:39 dos-79.235.241.62
-rw-r--r-- 1 www-data www-data 5 16. Dez 20:39 dos-188.100.5.129
-rw-r--r-- 1 www-data www-data 5 16. Dez 20:51 dos-87.158.41.156
-rw-r--r-- 1 www-data www-data 6 16. Dez 21:28 dos-93.223.51.108
-rw-r--r-- 1 www-data www-data 6 16. Dez 21:47 dos-77.10.0.219

Ich habe mir noch eine andere Art der Erfolgskontrolle überlegt.  Eigentlich müßte die Anzahl der 403 Fehler seit enablen von mod evasive dratisch angestiegen sein. Mal sehen.

 
# grep '12/Dec/' other_vhosts_access.log|cut -d' ' -f10|grep 403|wc -l
18

# grep '13/Dec/' other_vhosts_access.log|cut -d' ' -f10|grep 403|wc -l
30

# grep '14/Dec/' other_vhosts_access.log|cut -d' ' -f10|grep 403|wc -l
12

# grep '15/Dec/' other_vhosts_access.log|cut -d' ' -f10|grep 403|wc -l
24

#grep '17/Dec/' other_vhosts_access.log|cut -d' ' -f10|grep 403|wc -l
1152

 

Das wurde ja schon mehr oder weniger wissenschaftlich bewiesen.
Gut, dass sich ein Cisco-Mitarbeiter der Sache angenommen hat und mich auf die Seite Cats in Sinks aufmerksam gemacht hat.

Nebenbei geht es auf der Cisco-Seite übrigens auch um das neue ASA 8.4(2)-Feature, das man FQDNs in Access-Listen verwenden kann. Auch nicht schlecht …

Related Posts

1. Keine GD-Releases fürs IOS mehr
2. Cisco IOS: Content-Filtering

The Gateway Project is about a little box from Fujitsu, called “Futro” (S220). It just uses 15W and with that low power usage it is a great device for creating a gateway to the home network. This post is about the theory of SSH tunnels and why I use them instead of VPN.

Above you can see an overview how the gateway works. On the bottom, you see the foreign office/workstation/café – whatever. Let’s say they only allow you to connect to the ports 80 (http) & 443 (https), which is very common. This hinders you from connecting to a particular port – for example 5901 if you run a VNC server at home and want to surf on that machine instead of surfing on the proxy-servers of your employee. Sure, you can now go on and assign port 443 to the vnc server (5901) and you’re done. But I want to access more than 1 machine at home. For example: check the webcam from time to time and don’t want to put it on the internet. Makes sense, no?

This is the moment where the gateway joins the game. This little low-power device runs Linux or UNIX (in my case, until today it was running Debian, but I consider using OpenBSD in the future – but more on this in the post about the practice). The gateway listens on port 22 (SSH). Now, on the router, you have to assign port 80 or 443 to the gateway – port-forwarding as it’s called. I would recommend to use a static IP or a dynamic IP from DynDNS or so and use a CNAME in the dynamic case or an A host if you have a static address. Of course, you can simply use the static IP, but who can remind of public IP’s?

All you need to do is to connect to the gateway via SSH. I used putty on the workstation (Windows machine at the Academy) for tests. Putty is very good in tunneling – I will show you how to configure it in the next post.

Once the tunnel is set up, you can start using it. Let’s say you want to access your vnc server. Create a tunnel and point it to the IP:5901, locally assign port 5901 or 81 or whatever you like. Open your vnc client and access the vnc server on the address 127.0.0.1:5901 (or 127.0.0.1:81). This will work! No worries, you don’t need to look for ports, because you JUST use the local network (that is why you use the localhost address of 127.0.0.1).

I use the feature to access my main server at home via ssh tunnel without the need to run it 24/7. In this case, your motherboard has to have an dedicated IPMI port which allows you to access the local website and turn it on/reset the system etc pp.. This is luxurious, but of course you can also use WOL from your gateway to wake up your clients.

Some may think “why not use VPN?”
VPN does not allow you to share the local network (in your office or wherever you are) with the home network. Instead, it will tunnel EVERYTHING over the internet to your home. Bad for Intranet access

Stay tuned for the next post of “The Gateway Project” when I will write about the details of the hard- & software I use.

Ich suche einen Anwalt, der eine schußsichere Datenschutzerklärung für mein Blog entwerfen kann.

Drin stehen soll in etwa sinngemäß: Dieses Blog bindet externe Inhalte jedweder Art ein, darunter auch, aber nicht ausschließlich, Buttons von diversen sozialen Netzwerken, Flattr, aber auch Youtube- und Vimeo-Videos.

Deine Aktivitäten werden erfaßt, so weit das technisch möglich ist, und eventuell an Dritte weitergegeben, wenn mir das opportun erscheint.

Wenn Du damit nicht einverstanden bist, geh woanders hin. Wenn Du damit einverstanden bist, nimm halt den Cookie an.

Mit anderen Worten: Datenschutz in Deutschland ist in erster Linie ein Verwaltungsakt. Also brauche ich etwas, das alle Leute statt meines Blogs angezeigt bekommen, die den Cookie "Ich_verkaufe_meine_Seele_an_Kris: Yes" nicht gesetzt haben. Wenn sie der Datenschutzerklärung zustimmen, will ich halt so weitermachen können wie bisher.

a) geht das

b) wie sieht das in schußsicher formuliert aus

c) hat schon jemand ein S9Y Plugin dafür?

Heise hat den alljährlichen Überwachungsstatistikreigen eröffnet.

So sind 2010 also mehr als 440.000 'stille SMS' aka 'Ortungsimpulse' versendet worden. Dabei handelt es sich um SMS, die vom Gerät nicht angezeigt werden, wenn sie empfangen werden, aber Geräteaktivität triggern. Da das Mobilnetz die SMS tatsächlich zustellen muß, bevor das Gerät sie heimlich verwirft, kann man die Position des Gerätes in Relation zu den aktiven Masten kreuzpeilen und das Handy so orten.

Eine Sache, die mich bei diesen Statistiken extrem nervt: Sie sind total aussagelos, solange nicht die wirklich interessante Zahl in Relation mit angegeben wird: Gegen wie viele natürliche Personen haben sich solche Maßnahmen gerichtet.

Es ist ziemlich leicht, auf 440k Nachrichten zu kommen: Peilt man 100 Verdächtige für 100 Tage 8 Stunden am Tag alle Viertelstunde an, weil man ein Bewegungsprofil haben will, sind das alleine schon 320k an stillen SMS - 440k Nachrichten entsprechen also ca. 140 Personen für 100 Tage, 8 Stunden am Tag im 15-Minuten-Takt. Und das geht davon aus, daß man pro natürliche Person nur ein Gerät anpeilen will, mit dem Risiko, daß dieses dann zurückgelassen wird, oder die SIM gewechselt wird.

Zum Vergleich: 107 Millionen Handyverträge in Deutschland in 2009, davon 20% Prepaid.

Nun habe ich keine Ahnung davon, wie lange eine Überwachungsmaßnahme läuft oder wie oft eine solche stille SMS gesendet wird, wenn so eine Maßnahme läuft - ich nehme an, daß ich die Länge der Maßnahme und die Dichte der Impulse zu hoch angesetzt habe. Das würde bedeuten, ich muß die Anzahl der Personen erhöhen, um auf die Anzahl von 440k SMS zu kommen.

Nehme ich einen Fehler von Faktor 4 an, brauche ich also 560 Verdächtige. Das ist Einer unter ca. 150.000 Deutschen (80 Mio durch 560 sind 142857). Es klingt plausibel, daß unter 150k Personen eine ist, die so schwerer Vergehen verdächtigt ist, daß man eine solche Überwachung gegen sie rechtfertigen kann. Das würde aber auch bedeuten, daß so etwas inzwischen mehr oder weniger eine Standardmaßahme ist.

Wie gesagt, ohne tatsächliche Personenzahlen bleibt "440.000 Stille SMS pro Jahr" eine Zahl ohne Relation und Kontext. Sie kann kraß sein, sie kann auch total sinnvoll und vernünftig sein.

I’m going to get my reward.

- Doctor Who.

Das Cern macht in weniger als 2 Stunden einen Webcast. Der Titel ist "Update on the Standard Model Higgs searches in ATLAS"/"Update on the Standard Model Higgs searches in CMS" und anschließend Fragen zum Thema. Die Schau wird 2 Stunden dauern.

Man erwartet, daß das CERN das Higgs Boson gefunden hat. Es gerüchtet, daß Atlas das Higgs Boson bei 124.5 GeV mit 2 Sigma gefunden hat, während CMS es bei 126 GeV mit 3.5 Sigma sieht. Demnach wäre es gewichtet mit 125.5 GeV anzusetzen und die Konfidenz ist noch nicht ganz hoch genug, um die Akte ganz zu schließen.

Andererseits hat man schon mal eine Pro-Forma Konstante, damit die Theoretiker ihre Mathematik kalibrieren können - wenn ich die String-Theoretiker korrekt verstanden habe, wollen die eine GeV-Zahl für das Higgs haben, damit sie die Anzahl und die Krümmung ihrer Zusatzdimensionen richtig einstellen können, oder so was in der Art.

Disclaimer: Ich bin Informatiker und habe Physik im 2. Semester des Vorstudiums aufgegeben.

Higgs? Cern? WTF? Wieso ist das wichtig?

Irc-Protokoll einer Erklärung für 16-jährige Schüler.

TL;DR: Physiker haben die Antwort auf die Frage nach dem Universum und dem ganzen Rest gefunden. Sie lautet nicht 42, sondern vermutlich 125.5 Gigaelektronenvolt. Die Suche hat über 100 Jahre gedauert, und dabei haben sie nebenbei aus Versehen das Web erfunden.

Gerrit van Aaken beklagt sich:

Aus Pflichtbewusstsein wieder mal bei Google+ angemeldet. Immer noch tot hier, oder? Ja. Dann tschüss, bis nächste Woche!

Man rät ihm:

Ach ja... Wenn man niemanden einkreist, dann passiert hier auch nix... Man kann ja mal Facebook ohne Freunde austesten.

und

Dann hast du die falschen Leute eingekreist. Bei mir ist hier etwa gleich viel los wie bei twitter. Und manche wie z.B. +Kristian Köhntopp sehe ich auf twitter überhaupt nicht mehr.

Die Beobachtung ist korrekt, aber nicht konstruktiv. Ich schrieb, wieso ich nicht mehr auf Twitter bin, und wie man auf G+ zu einem sinnvollen Stream kommt:

Ich habe meinen Facebook-Account auf inaktiv geschaltet als G+ herauskam und gelöscht, als Facebook mit diesem frictionless-Kram anfing. Twitter habe ich noch, sende da aber nur noch Blog-Artikel-Ankündigungen. Ehrlich gesagt, geht mir Twitter mit ihrem 140-Zeichen-Nerv auf den Keks und sinnvoll strukturierte Unterhaltungen lassen sich da gar nicht führen, so wie das aus unverbundenen Nachrichtenatomen aufgebaut ist.

Daher ist mein Haupt-Aktivitätszentrum erst mal auf Google Plus (und hoffentlich auch wieder mehr im Blog).

Wie bekommt man G+ aktiv? Das geht anders als bei Facebook. In Facebook ist das 'friending' ja bidirektional, d.h. wenn jemand Dich friendest und Du das annimmst, dann hast Du auch schon Deine Timeline voll.

Das funktioniert in G+ mit dem unidirektionalen Einkreisen so nicht - man muß also selber aktiv werden.

Schritt 1: Du schaust einmal, wer Dich eingekreist hat und was diese Leute so machen (Du guckst also in Deinen Incoming-Stream) und kreist die Leute zurück, die was spannendes schreiben. Dabei ist es egal, ob Du die kennst oder nicht.

Wenn Du genug Leute eingekreist hast, damit Dein Stream sich füllt, machst Du 1-3 weitere Kreise zum Lesen: Leute, die Du wieder und wieder liest, packst Du in einen Kreis "Wichtig". Leute aus "Wichtig", die Du im richtigen Leben schon mal getroffen hast (oder mit denen Du sonstwie befreundet bist, daß sie Dir vorkommen als hättest Du sie schon mal getroffen) tust Du in "Freunde".

Wenn Dein Stream zu voll wird, schaltest Du von "Normal" auf "Wichtig" auf "Freunde", um die Anzahl der Nachrichten zu reduzieren.

Beim Schreiben achte ich darauf, daß ich so viel als möglich "Public" poste. Diese Postings sind auch von Leuten ohne Google Plus Account von außen referenzierbar und mit einer Suchmaschine zu finden. Sie können auch uneingeschränkt innerhalb von Google Plus reshared werden.

Limitierte Posts sende ich in der Regel nicht an Kreise, sondern an einzelne Personen. Ich verwende Google Plus also dann als Mail-Ersatz.