Planet Göttingen

Da ich nach langer Zeit auf eine größere VM bei netcup migriert bin, habe ich auch gleich einen Wechsel von Debian 10 zu Debian 11 und von mailbox zu maildir gemacht. Der Umstieg lief eigentlich bisher ohne große Probleme. Nur bei Procmail zum sortieren der Mails muss man ein bisschen aufpassen. Lauteten die Regeln für […]

Weil wir sonst nichts zu tun haben verschieben wir den Freifunk Webserver woanders hin. Falls was nicht geht bitten wir um Kommentare. Falls die Kommentarfunktion nicht geht bitten wir um Rauchzeichen.

Danke für die Beachtung aller Sicherheitsmassnahmen.

Uns erreichte folgender Hilferuf vom Freifunk Rheinland über den wir unseren Traffic routen.

Liebe Backbone-User,

der Vorstand musste leider mit Bedauern feststellen, daß das Spenden- und
in diesem Beitragsjahr (bis 1.3.2022) voraussichtlich zu gering ausfallen und nach aktueller Sachlage wohl ein Fehlbetrag von ca. 5.000€ im laufenden Jahr entstehen wird, wenn keine Einsparungen (spätestens. ab Oktober) erfolgen werden.

Das Backbone-Projekt erzeugt aktuell über Ripe-Mitgliedschaft, Colocation (Höheneinheiten, Strom) und Crossconnects monatliche Kosten um 1.000€ im Monat.  Auf ca. 750 TB Traffic summiert aus Ingress+Egress ergibt das eine Quote von ca. 1,30€ brutto an harten Kosten pro TB Traffic, die aus Vereinsmitteln bestritten werden müssen. Dazu kämen, wenn diese Kosten nicht bereits über unsere Sponsoren abgefangen würden, weitere Kosten für den Transit im 5-stelligen Bereich.

https://www.betterplace.org/de/donate/platform/projects/16049?need_id=344190

Da ich diverse Nodes in letzter Zeit geupdatet habe, teile ich meine Erkenntnis für die eine Person. 14.04 mit 16.04 ist nicht kompatibel. Die Nodes sehen sich nicht. 16.04 mit 18.04 ist kompatibel. Ressourcen können hin und her migriert werden. Bei 18.04 muss man noch die crm shell „crmsh“ nachinstallieren. Ansonsten ist das Pacemaker Update […]

This blog is moving over to www.soundbarrier.io. That is all.

Da habe ich nun ein bisschen für gebraucht, bis TLS 1.3 endlich auf einer bestimmten Maschine lief. Ich nutze nginx als Reverse Proxy und terminiere dabei ssl dort. Es werden die Repositories von nginx genutzt. Aktuell ist dort zur Zeit Version 1.19.10 von nginx. Das System ist ein Ubuntu 18.04. Wollte ich nun für eine […]

Querdenker-Kundgebung in Stuttgart Alle sind empört, niemand ist verantwortlich

Das Problem ist doch nicht, dass Kommunen weiterhin dem Recht auf Versammlungsfreiheit einen hohen Wert einräumen. Das ist absolut richtig und mit Auflagen kann man ja durchaus steuern, was möglich ist ("Masken tragen", "Abstand halten"). Das Problem ist eine Polizei, die nicht gewillt ist geltendes Recht gegen sog. "Querdenker" und andere Rechte durchzusetzen.

Da lese ich dann immer, das wäre ja nicht machbar, weil man dann ja Gewalt hätte anwenden müssen (gegen Linke wird das sonst immer euphemistischer "unmittelbarer Zwang" genannt, damit das nicht so fies klingt).

Bei der Welcome to Hell Demo zum G20 Gipfel in Hamburg hat die Polizei äußerst gewalttätig ca. 12000 friedlichen Demonstrierenden das Grundrecht auf Versammlungsfreiheit verwehrt, weil ca. 1000 Menschen in dem Aufzug vermummt waren. Ganz zu schweigen davon, dass am Tag zuvor ein Protestcamp von der Polizei geräumt wurde, in Kenntniss eines Gerichtsbeschlusses, der das Camp zu dem Zeitpunkt für rechtmäßig erklärt hat ¹. Aber da waren natürlich auch keine Reichskriegsflaggen zu sehen.

Ich könnte kotzen wenn ich lese in welchem Maß die deutsche Polizei den Rechtsstaat mit Füßen tritt und dabei noch so tut, als wäre sie hier das Opfer und dann auch bei Kritik aus der Zivilgesellschaft von Politikern und insbesondere Innenministern regelmäßig den Hintern geküsst bekommt.

Die oben genannte Fritzbox erfreut sich offenbar ziemlicher Beliebtheit. Und das Land Niedersachsen hat in der letzten Freifunk Förderrunde eben diese roten Boxen im Angebot gehabt. Jedenfalls wurden wir in den letzten Wochen immer wieder gefragt, wie man die Installiert und warum das Mesh nicht geht.

Die wird nämlich ganz anders installiert als wir es von den gewohnten TP-Links kennen. Die Anleitung dazu steht hier: https://fritz-tools.readthedocs.io/en/latest/

Wichtige Ergänzung für die Anleitung: Nimm für das Flashen der Fritzbox die Firmware aus dem Ordner “other” (nicht sysupgrade). Zum Zeitpunkt dieses Blogeintrags liegt sie hier: https://cccgoe.de/freifunk/experimental/other/

Und Mesh kann die im Göttinger Freifunk Netz noch nicht. Das liegt daran, dass sie anders als die gewohnten Geräte nicht Access-Point sein kann und gleichzeitig Ad-Hoc Verbindungen aufbauen kann. Was sie braucht um Mesh zu unterstützen nennt sich 802.11s und Freifunk Netze, die in den letzten Jahren auch grössere Techniksprünge mitgemacht haben, können das. Wir waren aber im Winterschlaf. Wir sprechen hier vom mehrjährigen Winterschlaf, und ohne Unterbrechungen durch überbewertete andere Möchte-Gern-Jahreszeiten.

Ich glaube, dass wir diese Dinge früher oder später noch einführen werden, im Moment kommt ja wieder ein bisschen Schwung in die Sache. Vor allem ist das grade sichtbar geworden, als n0emis die seit Monaten kaputte Karte nicht nur repariert, sondern auf aktuelle Software und in eine neue VM gebracht hat. Danke!!

Susanne Hennig-Wellsow und die Auslandseinsätze

Das Interview ist ja gerade scheinbar der große Aufreger. Sie hätte sich "total blamiert", weil sie nicht detailiert genug alle aktuellen Einsätze der Bundeswehr aufzählen konnte. Und ich finde das etwas unfair. Ja, ich finde sie ist keine besonders spritzige Interviewpartnerin. Aber zu erwarten, dass sie als Mit-Vorsitzende über jedes Thema, das im Parteiprogramm aufgeführt wird mit detailiertem Hintergrundwissen vortragen kann ist ja nun unrealistisch. Bei manchen Fragen finde ich es auch albern was da herausgekitzelt werden soll. Wie z. B. 50 neue Feiertage und so was. IMO ist eines der großen Probleme politischer Berichterstattung so zu tun, als ob Politiker alles sofort wissen und sofort sprechfähig und in der Lage sein müssen ein unangreifbares, widerspruchsfreies Soundbite liefern zu können.

Robert Habeck

Nach Susanne Hennig-Wellsow hab ich mir noch Robert Habeck gegeben. Ich hätte auch nicht gedacht, dass mein Freitagabend aus vier Stunden Politiker-Interviews bestehen wird. Bei Susanne Hennig-Wellsow hab ich ja geschrieben, sie sei keine "spritzige Interviewpartnerin". Das bestätigt sich deutlich im Vergleich zu Habeck, der deutlich souveräner und offensiver mit Situationen umgeht, in denen er ins Schwimmen kommt und auch wirklich interessanter antwortet. Zuhören kann man dem besser.

Hallo da der letzte Post schon wieder ein Jahr her ist, wird es Zeit sich mal wieder zu melden.

Wie einige schon mitbekommen haben ist die Karte kaputt. Diese wird repariert wenn die neue Firmware draußen ist. Und genau hier muss einiges gemacht werden. Es stehen ein Wechsel des Mesh-Protokolls an und das Routing-Protokoll ist auch in die Jahre gekommen. Die neue Firmware unterstützt nicht mehr die alten Protokolle. Daher wird nicht nur neue Firmware gebaut, es müssen auch neue Supernodes aufgesetzt werden.

Es wird im Hintergrund fleißig gewerkelt.

Vor 31 Jahren...

...am 17.11.1989 blieb Cornelia "Conny" Wessmann, die sich mit anderen in die Göttinger Innenstadt begeben hatte, um gegen Neonazis Präsenz zu zeigen nach einem Polizeieinsatz tot auf der Straße liegen.

Der Rote Faden – 17.11.2020 – 31 Todestag von Conny Wessmann

Berichte, Flugblätter zum 17.11.1989

Mehr Materialien zur Demo am 25.11.1989

Damit ich bei wekan mails verschicken kann musste ich im admin Panel folgendes eintragen SMTP Server:meinmailer.xyz:587/?ignoreTLS=false&tls={rejectUnauthorized:true}&secure=true Einfach nur den Hostname eintragen führte zu einer Fehlermeldung. Die Einträge in der docker-compose.yml Datei zu mail habe ich default belassen. Darauf gekommen bin ich via https://github.com/wekan/wekan/wiki/Troubleshooting-Mail

In der Regel ist es nicht gewollt auf Docker Containern manuell Veränderung vorzunehmen. Will/muss man das doch und hat das Debian 10 Image von dockerhub laufen, fehlt eventuell die bash-completion. Will man nun auch noch die „packet completion“ bei apt install tm[tab][tab] haben, muss man noch in der Datei /etc/apt/apt.conf.d/docker-clean auskommentenieren. Danach geht auch das…jedenfalls […]

Will man bei der Nextcloud App ocDownloader (1.7.8) youtube-dl nutzen und bekommt ständig ein „Die echte YouTube-Video-URL konnte nicht empfangen werden„obwohl /usr/local/bin/youtube-dl vorhanden ist, hilft ein einfacher symlink: ln -s /usr/local/bin/youtube-dl /usr/bin/ Erstaunlich, dass bestimmte Features wie „download from url“, nicht bei nextcloud integriert sind.

Ging erst nicht, dann habe ich in die /etc/sane.d/xerox_mfp.conf die IP eingetragen. Samsung M267x 287x Seriesusb 0x04e8 0x3461tcp 192.168.178.123 Dann ging es.

Das ist eigentlich nicht besonders kompliziert, ich notier das trotzdem nochmal kurz. https://forum.xda-developers.com/moto-x-play/development/rom-lineageos-17-1-t4080411 Dort findet man Lineage 17.1 unofficial. Als Google Apps hab ich die micro genommen. Das lief alles recht problemlos beim Update von Android 7 (Lineage 14.1) auf die Version lineage-17.1-20200527-UNOFFICIAL-lux. Leider musste man zwangsweise beim Einrichten google voice match einrichten, da man […]

Nach 6 Jahren mit OMV auf meinem kleinen NAS, trenne ich mich nun von OMV. Gründe gibt es eigentlich nicht sehr viele, aber mir reichen sie um auf ein Debian 10 zu wechseln. Der Austausch einer alten gegen eine neue größere HD ist recht umständlich. Das Update von OMV 3 auf 4 brauchte einiges an […]

Beschränkt man den Zugriff auf eine Webressource auf bestimmte IPs und will einfach nur eine individuelle Fehlerseite anzeigen lassen, kann man eine einfache Rewrite Regel dafür nutzen: RewriteCond %{REMOTE_ADDR} 1.2.3.4RewriteRule .* CustomError.html bzw. !1.2.3.4 falls man negieren will.

Wer viele Hörspiele/Hörbücher mit Kindern via google home/music hört wird ab und an das Problem haben, dass er das Gerät/Gruppe wechseln will, z.B. weil ein Raum anders genutzt werden soll oder die Kinder statt im Kinderzimmer lieber im Wohnzimmer weiter hören wollen. Bisher war das immer nervig, aber man kann auch einfach in der google […]

Mein Pihole läuft auf einem PI3 mit Debian Buster. Beim Booten startet der lighttpd nicht. Da ich keine Lust, Zeit und nach 5 Minuten keine Lösung gefunden habe, musste einfach ein „lightrestart“ her: Einfach über die rc.local ausführen lassen. Das ist natürlich nicht toll und irgendwo gibt es eine Lösung, aber bis dahin funktioniert es.

Das sah irgendwie nach einem DISPLAY localhost blabla Problem aus. Alle EXPORTs usw. haben nichts geholfen, chrome wollte einfach nicht starten. Die Lösung war schliesslich: Kommt man auch nicht so einfach drauf.

In unserem Experimentalverzeichnis liegt die neueste und finale Version von Gluon 2018. Danach geht’s mit 2019 weiter und das Update wird dann etwas abenteuerlicher. Aber erstmal müssen wir die 2018.2.4 alias 0.10.6 ausprobieren und evtl. sogar bis zu stable hochziehen.

Bitte ausprobieren. Danke :-)

Hier die Neuerungen

https://gluon.readthedocs.io/en/v2019.1.x/releases/v2018.2.3.html
https://gluon.readthedocs.io/en/v2019.1.x/releases/v2018.2.4.html

Hier der Download

https://cccgoe.de/freifunk/experimental/factory/

Um für bestimmte Benutzer die Möglichkeit zu deaktivieren cronjobs einzurichten, reicht es die userid in die Datei /etc/cron.deny einzutragen. $ cat /etc/cron.deny thomas Wenn der jeweilige Benutzer nun einen cronjob anlegen will, sieht er ungefähr folgendes: $ crontab -e You (thomas) are not allowed to use this program (crontab) Sinn macht das besonders für z.B. […]

Um das Anwachsen der ibtmp1 Datei in MySQL 5.7 zu beschränken reicht der Eintrag in der mysqld.cnf. Hintergrund warum es diese Änderung ab 5.7 gibt findet man unter https://dev.mysql.com/doc/refman/5.7/en/innodb-temporary-tablespace.html

Hat man bei KVM in der Konfigurationsdatei der VM etwas geändert, kann man entweder den libvirtd Service neu starten, rebooten oder einfach ausführen.

Eine neue experimentelle Firmware 0.10.3 (gluon 2018.2) ist fertig und bereit zum testen.

Sie ist zu finden unter https://cccgoe.de/freifunk/experimental

Neben der Unterstüzung von mehr Hardware:

ar71xx-generic

• AVM
• • Fritz!WLAN Repeater 450E
• OCEDO
• • Koala
• TP-Link
• • Archer C7 v5
• • TL-WR810N v1
• Ubiquiti
• • UniFi AC Mesh Pro
• ZyXEL
• • NBG6616

ipq40xx

• AVM
• • FRITZ!Box 4040
• GL.iNet
• • GL-B1300
• NETGEAR
• • EX6100v2
• • EX6150v2
• OpenMesh
• • A42
• • A62
• ZyXEL
• • NBG6617
• • WRE6606

ramips-mt7621

• D-Link
• • DIR-860L B1
• ZBT
• • WG3526-16M
• • WG3526-32M

Gibt es auch neue Features:

Die Knotenposition kann man jetzt direkt bei der Installation in einer Map auswählen

 

Wenn ein Knoten mal keine Verbindung zum Internet hat wechselt er die SSID in FFGOffline_$nodename

Hat man noch ein device welches mit MBR partitioniert ist, bemerkt aber nun, dass es auf dem Device noch 6 TB freien Speicher gibt, man diesen aber nicht einfach partitionieren kann, da MBR an seine Grenzen kommt, sollte man zu GPT wechseln. z. B. so: und w drücken. Dabei ist sdb ein reines Data Device […]

Nutzt man Domains mit underscores im Domainnamen z. B. donnerstag_gelb.de kann man mit neueren Apache Versionen (z. B. 2.4.29) Probleme bekommen. Dieser akzeptiert aus Gründen der Sicherheit solche nicht mehr. Hat man aber keine Möglichkeit den DNS und Servernamen zu ändern kann man die Option in die apache.conf oder im virtualhost setzen. Danach werden underscores […]

In der ersten Runde haben wir das Netz von 0.8.7 auf 0.9.3 und 0.10.1 (die experimental Nodes) angehoben:

Das ist nebenbei auch immer ein schöner Test, wieviele Nodes tatsächlich aktiv sind.die 72 verbliebenen sind zumindest in den letzten Wochen nicht online gewesen.

Wir starten heute das Update auf 0.10.1 auf den Beta-Nodes und wenn dabei keine Probleme auftreten bekommen das alle anderen auch.

Unser Göttinger Freifunk-Netz verwendet (Stand Oktober 2018, mit sehr wenigen Ausnahmen) zwei Firmware-Versionen:

• Stable: 0.8.7 (Gluon 2016.2.3)
• Beta: 0.9.2 (Gluon-v2017.1.4)

Die Betaversion sollte eigentlich auch mal zur stable werden, aber das Projekt haben wir einschlafen lassen. Wir sehen sie daher nur auf Nodes, die von der stable Version nicht unterstützt werden.

Durch unsere Faulheit haben wir zwar ein sehr stabiles Netz, das wenig durch mit Technik spielende Administratoren belästigt wird, aber die Bitten um neuere Firmware zwecks Einsatz neuerer Hardware werden häufiger.

Das Netz produziert (leider) immer noch immer mehr Traffic, obwohl die Anzahl der Nodes ziemlich stabil um die 800 schwankt. Damit sind wir gerade noch in der Lage weiterzumachen, ohne den großen Aufwand einer Aufteilung des Netzes durchführen zu müssen.

Das Wachstum des Netzes über die problematische Grenze hinaus haben wir halbwegs erfolgreich gebremst, in dem wir z.B. Werbemaßnahmen eingestellt haben und befreundete Freifunk-Projekte im Landkreis ermuntert haben, anstatt das Göttinger Netz immer größer zu machen, eigenständige Netze aufzubauen. Die besten Beispiele sind die großen Projekte in Hann-Münden und Einbeck. Von der Anzahl der Nodes her wäre das ganz offensichtlich auch in Osterode und Duderstadt denkbar.

Und seit Abschaffung der Störerhaftung beraten wir Interessenten, die dafür in Frage kommen, immer in die Richtung, doch einfach ein offenes WLAN bereitzustellen, und das gerne auch “Freifunk” zu nennen.

Dennoch ist unser letztes Firmware-Update lange her und die Router-Hersteller nehmen bewährte Hardware vom Markt um immer neue hinterherzuschieben. Die Schornsteine müssen rauchen. Also dann…

Das Gluon-Team hat Updates herausgebracht, mit 29 (!) neuen Hardware Plattformen. Das Update erfolgt in zwei Schritten, weil die TP-Link CPE 210/510 für den Sprung auf die aktuellste Version eine Zwischenversion benötigen.

In den nächsten Wochen werdet Ihr daher zwei Upgrades erleben:

1. Auf 0.9.3 (Gluon 2017.1.8) (wegen TP-Link CPE 210/510)
2. Auf 0.10.0 (Gluon 2018.1.1)

Wer einen VPN-Beschleuniger einsetzt, lese bitte baldmöglichst:
https://gluon.readthedocs.io/en/v2018.1.x/releases/v2017.1.htm

Die allermeisten von Euch haben ihre Freifunk-Router auf “stable” und “autoupdate” stehen und müssen daher nichts machen. Alle anderen sollten die neuen Firmwareversionen von Hand einspielen (oder die Router umstellen).

Wir haben Euch die neuen Plattformen aus den Release-Notes zusammengeschrieben. Neben sehr vielen, teilweise sicherheitsrelevanten Bugfixes wird wie gesagt, ganz viel neue Hardware unterstützt.

Drückt uns allen die Daumen

Eure Göttinger Freifunker

(Gluon 2016.2.6)
ar71xx-generic

• TP-Link TL-WR841N/ND v12

(Gluon 2017.1)
ar71xx-generic

• TP-Link
  • RE450
  • WBS210 v1.20
  • WBS510 v1.20
• Ubiquiti
  • AirGateway LR
  • AirGateway PRO
  • Rocket M2/M5 Ti
  • UniFi AP LR

ar71xx-tiny

• TP-Link
  • TL-WA730RE v1
  • TL-WA7210N v2

x86-generic

The x86-kvm and x86-xen_domu targets have been removed; the x86-generic images now support these usecases as well, so no separate targets are needed anymore.

x86-geode

The new x86-geode target for hardware based on Geode CPUs has been added.

(Gluon 2017.1.4)

ar71xx-generic

• GL Innovations GL-AR300M

(Gluon 2017.1.5)

ar71xx-generic

• TP-Link TL-WR1043N v5

ramips-mt7621

• Ubiquiti EdgeRouter-X
• Ubiquiti EdgeRouter-X SFP

(Gluon 2017.1.8)

ar71xx-generic

• GL.iNet GL-AR750
• TP-Link Archer C7 v4
• Ubiquiti UniFi AC Mesh

ar71xx-tiny

• TP-Link TL-WR940N v6

(Gluon 2018.1)

ar71xx-generic

• ALFA NETWORK
  • AP121F
• AVM
  • FRITZ!Box 4020
• OpenMesh
  • A40
  • A60
  • OM2P v4
  • OM2P-HS v4
• TP-Link
  • Archer C59 v1 [2]
  • CPE210 v2

ar71xx-nand

• ZyXEL
  • NBG6716

ar71xx-tiny

• TP-Link
  • TL-WA901ND v5

ipq806x

• TP-Link
  • Archer C2600

ramips-mt7620

• GL Innovations
  • GL-MT300A
  • GL-MT300N
  • GL-MT750

ramips-mt7628

• VoCore
  • VoCore 2

ramips-rt305x 

• A5
  • V11
• D-Link
  • DIR615 (D1, D2, D3, D4, H1)
• VoCore
  • VoCore (8MB, 16MB)

sunxi

• LeMaker/SinoVoip
  • Banana Pi (M1)

Eine der häufigsten Fragen des Lebens. Ich nutze seit Ewigkeiten https://heise.de/ip Damit geht es aber auch via shell: $ curl http://ifconfig.co $ http -b http://ifconfig.co $ wget -qO http://ifconfig.co $ fetch -qo https://ifconfig.co Da gibt es sicherlich noch 1-2 andere Möglichkeiten. via  Herrn Grube Link: https://ifconfig.co/ p.s. das lässt such auch relativ leicht selbst hosten.

Da sich bei Ubuntu 16.04 auch die Namen der NICs ändern (z.B. von eth0 zu ens192) muss man auch die Konfiguration der Ressourcen anpassen. Das kann man sicherlich innerhalb der Konfiguration via crm anpassen, aber löschen der Ressource und neu anlegen geht natürlich auch. Was dann in etwa so ausieht:

Calibre-web ist eine Software um seine Ebooks via Webinterface zu verwalten. Als Grundlage dient dabei die bereits vorhandene Calibre Datenbank. Vor einiger Zeit hatte ich kurz etwas zu bicbucstriim und cops geschrieben. Wobei beide Projekte gut sind aber noch viel Luft nach oben lassen. Ein fehlendes Feature ist z. B. das Erstellen von eigenen Buchsammlungen, […]

Nur ein kleiner Hinweis für mich /etc/munin/plugin-conf.d/mysql_innodb [mysql_innodb] env.warning 0 env.critical 0

Steht im error.log von MySQL 5.7 etwas in der Art wie: auch diverse Einträge mit „Too many open files“ sind ein Hinweis, hilft (vielleicht) folgendes eintragen: [Service] LimitNOFILE=8000 Dadurch wurde nun die Datei /etc/systemd/system/mysql.service.d/override.conf angelegt Nun sollten die Werte aus der mysqld.conf übernommen werden. Eventuell nochmal mit usw. prüfen. Warum weshalb wieso findet man unter: […]

Der Reverse Proxy (Nginx) cached eine ganze Menge. Ein bestimmter Vhost (Apache) soll aber kein Caching machen. Einfach in die jeweilige .htaccess folgendes eintragen: Nun wird für den Auftritt kein Caching mehr genutzt. Einfach mal mit einer Bilddatei testen. Das wurde nur mal kurz getestet, eventuell ist das noch ausbaufähig.

Wer wie ich Hardware (VMs  sind je nach Konfiguration auch betroffen, siehe Link) mit mehreren Sockets benutzt wird eventuell in diesen Bug gelaufen sein: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=883938 Im Bugreport stehen ein paar Workarounds (Kernelparam: maxcpus=1, nosmp oder numa=off), damit die Maschine wenigstens wieder bootet. Falls noch nicht geupdatet wurde am besten den momentanen Kernel pinnen oder einfach […]

Bei Debian Derivaten läuft der Apache in der Regel mit www-data Benutzerrechten. Will man aber, dass der Apache unter verschiedenen Benutzern läuft wird es schon schwieriger. Da gibt es Lösungen wie zum Beispiel  mod_fcgid, PHP-FPM oder mpm-itk. Besonders das itk Modul fand ich im Vergleich zu PHP-FPM, sehr einfach zu konfigurieren. Getestet mit Debian 8 […]

Dies betrifft alle Betreiber eines x86 Gluon Systems. Das sind die Futros und Verwandte.

Ich nutze aus diversen Gründen ab und an XFCE in einer VNC Session unter Debian 8. Dabei fehlte mir aber die Tab Completion, was extrem nervig sein kann. Die Lösung für mein Problem war: in der folgendes editieren wird zu danach die VNC Session killen und neu starten. Kein häufiges Problem nehme ich mal an […]

Ein tolles Plugin für Thunderbird um größere Dateien nicht via email verschicken zu müssen, sondern direkt über Nextcloud bereitzustellen zu können. Funktioniert auf den ersten Blick relativ problemlos. Man kann leider nicht pro mail ein neues Passwort definieren, ansonsten aber eine feine Sache.

https://addons.mozilla.org/de/thunderbird/addon/nextcloud-filelink/

Gibt es auch für Outlook. Kann ich aber  mangels Outlook nicht testen.

 

Chrome versteckt mittlerweile die Zertifikatsinformationen etwas.
Finden tut man sie durch aktivieren der Developer tools (F12) und dort unter Security.

Warum man die „versteckt“ ist mir aber schleierhaft. Damit wird der trust level eines Zertifikats auch immer unwichtiger, Hauptsache der Browser beschwert sich nicht. Mag man darüber denken was man will.

During the emergence of electronic communication, the two scientists/engineers Carl Friedrich Gauss and Wilhelm Eduard Weber built the first electrical communications line in Goettingen, Germany. They set up a two kilometer two wire copper line between Gauss’ workplace – the Astronomical Observatory – and Weber’s laboratory in the physics department of the Goettingen University.

It is unknown what the content of the first telegram sent was but one story goes like this: Gauss sent the message: “Michelmann kömmt” or “Michelmann is on his way” to Weber. While the message was transmitted, Michelmann, an assistant of both Gauss and Weber traveled the distance between the two sites, allowing the scientists to confirm the accuracy of the message ⁰.

Michelmann is a messenger or courier in this story. He helps Gauss and Weber demonstrate that their system works and that messengers can be replaced by electronic communication. I find it amusing and somewhat ironic that Michelmann played the role of verifying a technology that would take over some of his own responsibilities – relaying messages between Gauss and Weber.

Today technology is again taking over responsibilities previously held by humans: it trades stocks, drives cars and diagnoses and treats diseases. Sometimes I like to put myself in the shoes of those modern-day Michelmanns: humans that participate in handing over parts of their responsibilities to machines. Stock-brokers and data scientists that feed their knowledge into automated trading systems, ride sharing drivers that seed the offline maps for autonomous cars, medical doctors that train expert systems and image recognition algorithms to automate diagnosis and treatment.

Are these people aware of what they are doing? And how long until my job (software architect) can be replaced by a machine? Am I already doing what Michelmann did in 1832 by writing and fixing code and committing it to public repositories? I want to say: I hope so. But then again I’m only 97% convinced it is a good thing.

^{1. Another version of the story has Gauss send the message “Wissen vor meinen, Sein vor scheinen” which roughly translates to “Knowing is more important than believing, being is more important than appearance”. It is possible that they sent both messages, one test message and one message for posterity.}

Der V13 hat leider komplett andere Hardware als seine Vorgänger und wird auf absehbare Zeit vermutlich nicht von unserer Software unterstützt werden, da das Gerät einen völlig anderen WLAN-Chipsatz hat. Wir empfehlen derzeit lieber auf ein anderes Modell wie den WR842, WR940 und WR1043ND umzuschwenken. Sobald der V13 unterstützt wird, werden wir auch eine Firmware für das Gerät bauen.

(Text schamlos in Münster ctrl-c ctrl-v’t. Danke)

Lsyncd hatte ich mir schon mal vor Jahren angeschaut. Damals wurde aber ssh als Transport noch nicht unterstützt.  Nun habe ich mir das nochmal kurz (wirklich kurz) unter Debian 8 angeschaut (Version 2.1.5). Lsyncd überwacht Verzeichnisse via inotify und überträgt alle geänderten Dateien automatisch auf die angegebenen Zielhosts.  Lsyncd bietet eine große Anzahl an Optionen, daher schadet ein Blick auf die Homepage nicht. Zum schnellen testen kann man einfach folgendes ausprobieren:

apt install lsyncd

Auf der Konsole:

lsyncd -rsyncssh /home/thomas/hallo zielhost /home/thomas/test

Dabei wird der Inhalt des Ordners hallo in den Zielordner test Übertragen. Default werden Änderungen alle 15 Sekunden übertragen. Der Zielordner wird dabei automatisch angelegt.

Konfigurationsdateien lassen sich auch „problemlos“ nutzen, z.B.:

$ cat /etc/lsyncd/lsyncd.conf.lua                                                                       
settings  {
        logfile = "/var/log/lsyncd/lsyncd.log",
                statusFile = "/var/log/lsyncd/lsyncd.status"
                }

sync {
        default.rsyncssh,
        source = "/home/thomas/hallo",
        host = "thomas@zielhost",
        targetdir = "/home/thomas/test",
      }

und mit

service lsyncd start

den daemon starten. Danach eventuell noch ein

update-rc.d lsyncd defaults

für den Autostart des daemons.

Dabei muss auf dem Zielhost ssh login ohne Passwort erlaubt sein. Man kann aber auch rsyncd zur Übertragung nutzen. Zu beachten ist das lsyncd default „delete“ als Option hat. Das merkst Du daran, dass plötzlich vielleicht Dein gesamtes home directory gelöscht wurde…nicht das es mir passiert wäre. Die Syntax im Bezug auf „/“ bei Verzeichnissen ist anders als bei rsync.

Lsyncd ist eventuell  interessant wenn man einfach nur ein paar Konfigurationen, ohne Puppet & Co zu nutzen, syncen will oder  man eine überschaubare Menge an Dateien auf verschiedenen hosts verteilen will. Ab einer gewissen Anzahl von Dateien stößt man an auf diverse Probleme (inotify&co). Am besten man testet lsyncd auf Testmaschinen bevor man es produktiv einsetzt.

Klingt eigentlich ganz leicht, ist aber aber tatsächlich umständlich einzurichten. Ich nutze Fluxbox bei einigen Maschinen als Windowmanager. Dort die Proxy Einstellungen für den Chrome Browser zu ändern ist etwas nervig, da man dies nicht einfach über die Einstellungen des Browsers machen kann. Der geringste Aufwand ist einfach ein Proxy Addon zu installieren. Also einfach Proxy SwitchyOmega installieren, die Proxydaten eintragen und den Proxy auswählen.
Sollte man mit ssh Forward arbeiten, nicht vergessen socks5 statt http als Protokoll zu wählen.

Um beim Login via ssh sofort in einer tmux Session zu landen habe ich folgendes in meine .bashrc auf dem Zielhost eingefügt:

case $- in
    *i*)
    if command -v tmux>/dev/null; then
        if [[ ! $TERM =~ screen ]] && [[ -z $TMUX ]]; then
          if tmux ls 2> /dev/null | grep -q -v attached; then
            exec tmux attach -t $(tmux ls 2> /dev/null | grep -v attached | head -1 | cut -d : -f 1)
          else
            exec tmux
          fi
        fi
    fi
    ;;
esac

Sehr praktisch falls die Verbindung nicht stabil oder die bash_history deaktiviert ist.

Man kann auch

ssh 123.123.123.123 -t tmux a

nutzen, falls eine tmux Session vorhanden ist bzw. „tmux“ falls keine.
Die .bashrc Lösung ist aber natürlich etwas eleganter.

Link:  https://stackoverflow.com/a/42351698

 

Jeder der sich irgendwie für ebooks interessiert kommt eigentlich nicht an Calibre vorbei. Die Software ist mittlerweile in der der 3.0er Version erschienen. Der „Content server“ ist deutlich performanter und bietet nun endlich auch eine Funktion zum online lesen an.
Bisher, dank Cops und Bicbucstriim, zwar von mir kaum genutzt, aber dennoch eine sehr praktische Funktion. Dabei hat Cops, dank des integrierten Readers, aber die Nase vorn.

Wirft Pydio in der 8.0.0 Version den Fehler

<message type="ERROR">You are not allowed to access this resource.</message>

beim Update via Webinterface auf die 8.0.1er. Einfach mal einen anderen Browser probieren. Bei mir hat das Update dann mit Chrome funktioniert

 

Link: https://pydio.com/forum/f/topic/solved-not-allowed-to-access-this-resource/

 

Maldet ist ein Malware Scanner. Ideal für jegliche Art von Webhosting.

Maldet legt automatisch einen cronjob an und verschickt je nach Wunsch täglich mails.

Mails sehen dann in etwa so aus:

HOST:      web01
SCAN ID:   170610-0654.14910
STARTED:   Jun 10 2017 06:54:15 +0200
COMPLETED: Jun 10 2017 07:07:34 +0200
ELAPSED:   799s [find: 450s]

PATH:          
RANGE:         1 days
TOTAL FILES:   24202
TOTAL HITS:    2
TOTAL CLEANED: 0

WARNING: Automatic quarantine is currently disabled, detected threats are still accessible to users!
To enable, set quarantine_hits=1 and/or to quarantine hits from this scan run:
/usr/local/sbin/maldet -q 170610-0654.14910

FILE HIT LIST:
{HEX}php.cmdshell.unclassed.365 : /pfad/zum/docroot/phpshells/844-4873-1-SM.phtml
{HEX}gzbase64.inject.unclassed.15 : /pfad/zum/docroot2/c.php

Maldet bietet etliche Einstellungsmöglichkeiten.  Man kann es auch in Echtzeit im monitoring mode laufen lassen. Je nach Umfang der docroots stößt man dabei aber an diverse Limits (ulimit &co).

Auf Github findet man Maldet unter https://github.com/rfxn/linux-malware-detect. Debian Pakete gibt es unter https://github.com/waja/maldetect.

Nur ein paar Notizen für mich für ein Update von Ubuntu 12.04 zu 14.04 und von MySQL 5.5 zu 5.6.

MySQL
table_cache gibt es bei MySQL 5.6 nicht mehr, das heißt nun table_open_cache.  Am besten vorher in der my.cnf ändern

ln -s /etc/apparmor.d/usr.sbin.mysqld /etc/apparmor.d/disable
invoke-rc.d apparmor restart
schadet auch nicht.

Pacemaker
apt-get install haveged
braucht man
Pacemaker komplett löschen. Purgen reicht nicht
rm -rf /var/lib/pacemaker
rm -rf /var/lib/heartbeat
rm -rf /var/lib/pengine

Nachdem Update Pacemaker einfach neu installieren. Das sollte inklusive Konfiguration maximal 5 Minuten dauern. Eventuell kurz  root via key zwischen den Nodes erlauben.

update-rc.d pacemaker defaults
kann auch nicht schaden

ssh
Match Blocks werden nicht mehr mit „Match“ geschlossen und müssen immer am Ende der sshd_config  stehen. Eventuell hilft „Match all“

 

 

So, das Update ist dann durch. Bei so einer Aktion kann man auch immer ganz gut abschätzen wieviele normale Nodes (also keine Bastel- Experimentier etc.) in unserem Netz sind. Das sind zur Zeit 867, was auch ganz interessant ist, denn davon sind eigentlich immer mindesten 50 aus, wenn man das mal mit der Nodestatistik vergleicht.

Wir starten morgen ein Update der Firmware im Göttinger Freifunk-Netz.

Nodes, die auf Autoupdate stehen, werden im Laufe der nächsten zwei Wochen das Update automatisch installieren.

Das ist ein Sprung von
“ffgoe-0.8.2 basierend auf Gluon 2016.1.5 vom März 2016” auf
“ffgoe-0.8.7 Basierend auf Gluon 2016.2.3 vom Februar 2017”.

Es steckt also ein Jahr Entwicklungsarbeit in der Firmware, es gibt viele Bugfixes und Support für neue Hardware. Wir haben die Firmware in Version 0.8.7 seit Februar als Beta-Version zur Verfügung gestellt und sie läuft seitdem erfolgreich auf 67 Nodes.

Hier sind sämtliche Änderungen verzeichnet:
v2016.1.6.html
v2016.2.html
v2016.2.1.html
v2016.2.2.html
v2016.2.3.html

Unsere Konfiguration befindet sich hier:
https://github.com/freifunk-goettingen/site-ffgoe/tree/v0.8.7

Da gibt es einige Angebote an Open Source Softwarelösungen. Früher hatte ich  gallery im Einsatz, dass wurde dann irgendwann mal gehackt und wird auch seit einigen Jahren nicht mehr weiter entwickelt. Generell scheinen Webgalerien ein beliebtes Ziel für Einbrüche zu sein. Als Ablösung kam dann ganz einfach google Fotos bei mir/uns.  Das funktioniert, ist extrem praktisch wenn man eh 99,9% der Fotos mit dem Handy macht. Da aber Fotos von Handys immer noch schrottig gegenüber Fotos einer richtigen Kamera aussehen, haben wir uns eine Systemkamera zugelegt. Erst etwas skeptisch ob das Geld auch gut angelegt ist,  war ich bereits nach dem ersten Spaziergang mit Kamera & Co vom Nutzen der Kamera überzeugt.  Mit einer Kamera hat man halt Fotos und mit einem Handy Schnappschüsse. Nun stellte sich die Frage wohin mit den Fotos? Irgendwo auf Platte, Dropbox, Nextcloud, Google Photos?

Google Photos ist ungünstig, weil bei Bildern über 16 MP die Qualität auf 16 MP reduziert wird, jedenfalls wenn man unbegrenzt Bilder ablegen will und die Daten nicht auf den Quota angerechnet werden sollen. Da ich eh schon immer ein Freund von Wasduselbsthostenkannsthosteselbst bin, habe ich mir piwigo angeschaut. Vorher noch kurz nextcloud als Galerie ausprobiert, das ist aber leider komplett unbrauchbar dafür. Erst hatte ich die Daten noch via nextcloud client gesynct und einfach einen symlink in den galleries Ordner von piwigo gelegt. Fand ich aber nervig und ist überflüssig. Einfach die Fotodaten via rsync in den galleries Ordner und via Webinterface syncen lassen und fertig. Natürlich liegen die Fotos nochmal auf dem NAS.

Die Lösung gefällt mir ausgesprochen gut und funktioniert wunderbar. Sollte jemand eine gute andere  Webgalerie Software kennen, immer her damit.  Optimal wäre es natürlich wenn die Kamera (die natürlich heute alle WLAN haben) direkt syncen könnte, ohne den Weg über den PC  zu gehen.

Wir haben eine Datei, die wir einfach nur leeren wollen. Die Dateirechte sollen so bleiben und wir wollen nicht mit rm&touch&chown&chmod arbeiten.

$ l machmichleer.txt
-rw-rw-r-- 1 thomas thomas 27K Apr 21 10:06 machmichleer.txt

$ > machmichleer.txt

$ l machmichleer.txt
-rw-rw-r-- 1 thomas thomas 0 Apr 21 10:07 machmichleer.txt

Nach einem Update von Debian 7 auf 8 ging das Anmelden am System extrem langsam, zudem lief clamav nicht mehr.  UsePAM yes auf no hat zwar geholfen aber man will ldpap nutzen. Da gab es noch mehr, aber das spare ich  mir alles.

Die Lösung hat etwas gedauert. Geholfen hat:

1. Debug von pamd aktivieren
   $ touch /etc/pam_debug
   *.debug /var/log/debug.log in die rsyslog.conf und rsyslog restart
2. darüber auf https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=798522 aufmerksam geworden

3. $ ldd /usr/sbin/console-kit-daemon
   libgobject-2.0.so.0 => /opt/tivoli/tsm/client/ba/bin/libgobject-2.0.so.0 (0x00007f20f34ef000)
   libglib-2.0.so.0 => /opt/tivoli/tsm/client/ba/bin/libglib-2.0.so.0 (0x00007f20f32fe000)

4. Die Einträge für tsm aus der

   /etc/ld.so.conf.d/tsm.conf

   löschen bzw. wo auch immer man das damals für TSM Client eingetragen hat.

5. $ ldconfig

   fertig. Mittlerweile gibt es einen von IBM unterstützen 7er Client für Debian/Ubuntu (eigentlich nur Ubuntu aber egal).

I don’t like to have daemons listening on the systems I am responsible for. This is the reason why I check periodically all systems with netstat -tulpen to see what processes are actually listening, look if they are needed and may be bound to localhost only.

I used to set the system time via ntpd, but many years ago I switched to a simple cron job that runs ntpdate. This is good enough for all systems that don’t depend on milliseconds and smooth time shift etc. I was able to remove ntpd from almost all servers. My cron job looks like this:

## ntpdate Cron Job

# Environment Settings
MAILTO=root
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# Job Definition
*/30 * * * *  root  /usr/sbin/ntpdate 0.pool.ntp.org > /tmp/ntpdate.prt 2>&1

I often need to work in a database on the command line. Booleans are not displayed in an intuitive way. I mean this:

There is a simple trick that helps me to read it much better: cast it to an integer. This is done by adding +0 to the boolean column:

mod_macro ist dufte, besonders wenn man nicht nur Apache Vhosts für 10-20 Leute verwaltet.  Da gibt es etliche sinnvolle Einsätze für.

Das Modul mod_macro ist default bei apache 2.4 dabei.

$a2enmod macro

Nun kann man sich eine einfache macro.conf anlegen:

<Macro VHost $name $domain>
<VirtualHost *:80>
    ServerName $domain
    ServerAlias www.$domain
    DocumentRoot "/var/www/vhosts/$name"
    ErrorLog "/var/log/httpd/$name.error_log"
    CustomLog "/var/log/httpd/$name.access_log" combined
</VirtualHost>
</Macro>

Wir haben damit ein Macro namens VHost angelegt. Dieses Macro kann mit folgenden Werten gefüttert werden:

$name $domain

Wollen wir das Nacro nun in unserer vhost.conf nutzen, schreiben wir dort einfach nur:

Use VHost example example.com
...
Use VHost montag baldistfruehling.org

Wir übergeben also den Wert example und example.com an das Macro mit dem Namen VHost. Dabei ist die Reihenfolge der Werte durch das Macro vorgegeben. Der Apache baut uns damit unsere Vhost.conf zusammen.

Fertig  sind unsere Vhosts. Einfach den Apache neu starten und das war es.  In der Dokumentation wird aus verständlichen Gründen noch vorgeschlagen die Macro Definition wieder zu entfernen wenn sie nicht mehr gebraucht wird.
Dies geschieht einfach  mit

UndefMacro VHost

Besonders bei größere Konfigurationen, vermeidet man damit Konflikte.

Will man mehrere Werte übergeben z. B.  IP Listen, kann man einfach diese einfach in Anführungszeichen setzen.

Use RestrictedAccessPolicy "192.54.172.0/24 192.54.148.0/24"

Hinweise:

Die macro.conf kann natürlich in beliebig viele Dateien auf gesplittet werden. Optimalerweise sollten die Namen der Macro Dateien Aufschluss über deren Funktion geben.  Das Include  der macro.conf muss vor dem Include der vhost.conf stehen.

Eine Dokumentation zu mod_macro findet man unter

https://httpd.apache.org/docs/2.4/mod/mod_macro.html

Die ist sehr gut, daher habe ich auch auf eigene Beispiele verzichtet.