Adminhell

Hier ist ja seit langem etwas Funkstille und diesbezüglich sind wir einige Sachen im Hintergrund am klären. Ich denke, hier wird sich in einiger Zeit noch ein bissl was tun.

Ich bin jetzt Kunde bei 1&1 und hab im Rahmen dessen einen neuen Router bekommen - für VDSL und VoIP tuts mein alter Router leider mal so gar nicht mehr. Macht nix. nen Linksys kann man immer wieder mal gebrauchen ;)

Nun also stolzer Besitzer einer Fritzbox 7390, Details dazu gibt's hier. Schniekes Teil, auch ordentlich ausgestattet: 1x S0 für ISDN, 2 Analoge TAE Anschlüsse, 2 USB Ports, integrierter GBit-Switch, Wireless N mit 300 MBit. Alles, was das Herz begehrt.

Lang ist es her, dass meinerseits hier etwas geschrieben wurde. Lag es teils schlicht an massiver Unlust, teils jedoch auch daran, dass der Dokus sich leicht verschoben hat.
Dennoch will ich nicht behaupten untätig gewesen zu sein.

Ich habe ein Faltblatt zur Aufklärung von Benutzern über Grundsätzliche Aspekte des Thema Datenschutz erstellt. Diese Broschüre ist bewusst sehr nahe an der Basis gehalten, da ich sie als Diskussionsgrundlage nutze. Nichts desto weniger habe ich die Datei auch Say-Ho zur verfügung gestellt, welche Sie als brauchbar und sogar gut einstufte, was mich gleichzeitig natürlich auch dazu bewegt sie hier für alle zugänglich zu machen.

Da mein Notebook - bestückt mit der LXDE-Ubuntu Variante Lubuntu 11.04 - einfach immer mehr Zicken machte, wollte ich mal endlich einer anderen Distro für "zuhaus" eine Chance geben. Ubuntu mutiert IMHO immer mehr zur Distro für Windelwechsler oder Leuten mit zu viel Freizeit, anders kann ich mir vieles dort nicht erklären. LXDE ist zwar wirklich eine schöne Oberfläche, allerdings auch etwas spartanisch - zumindest wenn man am festen Rechner hauptsächlich mit Windows 7 arbeitet. Daher war mein simpler Plan, eben KDE nachzuinstallieren.

Hi folks,

bei mir geht's beruflich hin und her - halt öfter mal was neues. In diesem Zusammenhang: Falls wer 'nen Admin braucht, steh ich gern bereit ;)

Debian 6.0 ist raus, dazu gibt's 'ne schicke neue Website - über Geschmack lässt sich ja streiten, die alte fand ich persönlich wesentlich übersichtlicher.

Da muss ich doch mal eben meinem Ärger luft machen. Geht es eigentlich nur mir so, oder Kann Windows nun nicht mehr "einfach so" mit Dateien und meienm Kopierwunsch umgehen, Immer wieder muss ich feststellen, dass Windows mit dem Kopieren überfordert zu sein scheint, wenn am Ziel Daten überschrieben werden sollen.
Anhand des obigen Bildes erkennt man wunderbar, dass so selbst das "Aktualisieren" des WsusOffline Ordners zu einem langfristigem Unterfangen wird.

Wirklich ärgerlich das ganze...

Super cool, für so ein Projekt könnte man mich auch noch begeistern.

Mittlerweile empfinde ich es ab einer Größenordnugn von 2+ schon fast als "must have" einen Proxyserver bzw. Proxyserver in Verbindung mit einem Contentscanner einzusetzen. Grade in einem Netzwerk bei den ich nicht allein im Internet herumtolle habe ich das Gefühl die Nutzer an die Hand nehmen zu müssen.

OVH ist mittlerweile eine gute Empfehlung meinerseits. 1A Preise, zuverlässig und schnell, was die Server angeht.

Hab jetzt meine ersten Erfahrungen mit denen machen dürfen, was Webhosting betrifft, und das bestätigt meinen Eindruck von der Firma wieder. Allerdings durfte ich jetzt einmal mit kämpfen.

OVH hat per default php4 in deren Hostingpaketen installiert, was mittlerweile (zu Recht!) nicht mehr gross unterstützt wird. Hab mich im Backend blöd gesucht, wie man das umstellt, da OVH laut eigener Aussage auch php5 unterstützt.

Lösung ist im Grunde simpel: In der .htaccess wird der Driss umgestellt, für php5.2 den Eintrag SetEnv PHP_VER 5 und für php5.3 SetEnv PHP_VER 5_TEST setzen.

Tante Google half da zwar auch recht schnell, aber ist für mich ein kleiner Reminder ;)

Wegen einer Geschichte, die ich noch nicht in aller Form breittreten möchte, muss ich für meine Firma einen Domain-/Contentfilter installieren. Man könnte zwar den üblichen Weg gehen, mit [insert distro of choice], squid und squidguard / DansGuardian, nur warum es sich immer so schwer machen?

Hab mir ein paar Gateway-Distros angesehen, unter anderem m0n0wall, IPCop, Endian Firewall, Smoothwall und Coyote Linux, aber am besten gefällt mir von all den Lösungen bisher IPfire.

IPfire ist ein Fork von IPcop und erbt von ihm wesentliche Design-Grundpfeiler, so auch das Konzept der farbig markierten Netze.

Im Grunde sagt das Bild eigentlich schon alles aus, was der geneigte Admin wissen muss: GRÜN ist das lokale Netz, ROT das (feindliche) Internet, BLAU steht für vom LAN isolierte (WLAN-) Clients und ORANGE ist als DMZ vorgesehen.

Installation des Ganzen ist schmerzfrei und nach 15 Minuten abgeschlossen. Allerdings installiert IPfire unter Umständen den Bootloader nicht richtig, daher sollte vorm Recycling eines Altrechners (hier tuts grad ein P3 900MHz mit 256 MB und dieser jenige welcher langweilt sich mit der Aufgabe) die Platte mittels dban gesäubert werden; man kann dies aber auch während der Installation über tty3 erledigen oder per Hand grub korrekt installieren, aber ich schweife ab ;)

Nach der Installation lässt sich der ganze Rest über eine WebGUI bequem einstellen. Hier ein paar Screenshots:

Weitere Screenshots finden sich hier.

Standardfeatures sind recht amtlich:

• Squid Caching Proxy, Optional mit URL Filter (SquidGuard)
• Update Cache, mit dem Windows Updates über den Proxy gecached und bereitgestellt werden können
• Standard Router Funktionalität (DNS, DHCP, Gateway, iptables etc)
• IPsec und OpenVPN Server
• Intrusiondetection mittels Snort
• Eingebautes Paketmanagement mit zig Erweiterungen, wie zB fetchmail, cyrus, postfix, samba, vsftpd, nagios... Siehe auch hier

Ich spiel grad noch ein wenig mit rum, aber ich denke, dass ich meine Wahl schon getroffen habe :)

Wie es halt nun mal so ist: Wenn der Bekannten- und Freundeskreis weiss, dass man als Admin seine Brötchen verdient, kommen natürlich auch mal Anfragen in der Richtung "Mein Computer macht Zicken, bitte hilf mir!".

Bei manchen mach ich das ja wiederum gerne, aber momentan fühl ich mich, als ob ich bei "versteckte Kamera" bin.

Hintergrund: Junge Dame hat einen Rechner, der immer wieder mit nem BlueScreen abstürzt. Nach etwas tüfteln der Befund: Mainboard platt! Neues Mainboard auserkoren, ein schickes neues Gigabyte GA-G41M-ES2H. Sollte für die Frau reichen, weil das Dingen im Endeffekt nur zum Surfen genutzt wird. CPU wurde vom alten Rechner übernommen, ein P4 630 Sockel 775. Laut compatibility list mit dem Mainboard kompatibel.

Eingebaut, alles angesteckt, eingschaltet. Schwarzer Bildschirm. Hmmm.

Nochmal überprüft, ob alle Kabel sitzen, ob CPU richtig steckt, aber selbes Resultat.

Da baut sich bei mir im Hinterkopf die Vermutung auf, ob nicht doch die CPU was abbekommen hat. Also flugs in meinem Rechner eingebaut, funktioniert tadellos.

Dann wiederum meine CPU (Core2Quad Q9400) in den Rechner der guten Frau verbaut, und es läuft. *grrr*

Von der Arbeit dann wiederum einen P4 516 mitgebracht und verbaut, mag das Board ebenfalls nicht. Ich hasse sowas.... Erstmal morgen zum Händler, und schauen was da los ist.

Und im Extremfall Notizblock und Stift geben, BTX Gerät fliegt hier auch irgendwo noch rum. Ich werd langsam zu alt für so ne Scheisse...

Auch wenn wir hier noch nicht so riesige Probleme mit offensichtlichen SEO Kommentaren haben - siehe auch beim fiesen Admin -, nervt es mittlerweile schon etwas, da jedesmal noch nachbessern und ermahnen zu müssen. Ist zwar noch überschaubar, was hier an Kommentaren reinflutet, aber Leute: Wenn ein Kommentar nur drei-vier Wörter enthält und dann wiederum auf ein völlig belangloses Verkaufsportal verlinkt wird, wird kommentarlos gelöscht.

Kollege wollte grad ne lustige kleine Metzelsession im Blizzardklassiker Diablo 2 starten. Leider verweigert das Spiel unter Vista und 7 x64 die Installation mit der Fehlermeldung "es konnte kein programmstart-menü gefunden werden". Auch StarCraft soll wohl an dem Problem scheitern...

Desweiteren hilft das hier auch gegen "error in script file Setup/inst.ins line 14 undefined symbol (desktop)".
Abhilfe schafft man sich so:

• Im Windows-Verzeichnis regedit.exe mit Rechtsklick --> "Als Administrator ausführen..." (Vorsicht: Die Registrierung ist sehr empfindlich! Bitte GENAU darauf achten, was dort getan wird!)
  
• Dort dann zu dem Wert "HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders" durchhangeln.
  
• Falls der Eintrag "Programs" nicht existieren sollte, dies mit Rechtsklick ---> "Neu" --> "Zeichenfolge" ändern und dem Kind den Namen "Programs" geben.
  
• Dann mit Doppelklick Eintrag "Programs" ändern, und den Wert "%appdata%\\Microsoft\\Windows\\Start Menu\\Programs" eintragen. Bitte unbedingt auf die doppelten Backslashes achten.
• Ein weiterer Eintrag namens "Desktop" muss erstellt werden, falls er nicht existiert. Mittel Rechtsklick ---> "Neu" --> "Zeichenfolge" und dem Namen "Desktop" ändern wir das eben.
  
• Dieser bekommt den Desktoppfad verpasst. Dieser ist, falls er nicht umgebogen wurde, unter "%userprofile%\\Desktop" zu finden. Bitte unbedingt auf die doppelten Backslashes achten.
  

Nun sollte der Installer auch starten und die Software installiert werden können.

IPv4 stirbt ja einen ziemlich schleichenden Tod, und ich bin ehrlich gesagt etwas widerstrebend bei dem Gedanken, mir IPv6 drausfzutun. Ist im Vergleich zu IPv4 einfach zu verworren und undurchsichtig. Naja, wat mut....

Via Matthias auf folgendes Kleinod aufmerksam geworden:

Hier gehts direkt dahin.

In diesem Zusammenhang auch schön...

Wer wie ich ein VPN auf Basis von OpenVPN realisiert und aber unter Windows XP als Client wiederum ohne Adminrechte arbeiten möchte, bieten sich folgende Lösungen an:

OpenVPN als Dienst starten

OpenVPN installiert einen Dienst namens "OpenVPN Service". Dieser ist per default deaktiviert, kann aber dazu genutzt werden, komplett ohne Nutzerinteraktion beim Systemstart den Rechner in ein VPN einzubinden.

- Vorteile: Die Geschichte läuft völlig transparent und ohne Interaktion für den User. Man bemerkt den Verbindungsaufbau nicht grossartig und alles läuft "wie gewohnt".

- Nachteile: Es können nur unverschlüsselte (d.h. ohne Passwort versehene) Zertifikate dafür verwendet werden; der Dienst stellt nicht die Möglichkeit zur Verfügung, ein Passwort einzugeben. Es werden keine grossen Informationen preisgegeben, ob die Verbindung funktioniert. Weiterhin kann der Dienst standardmässig auch nur als Admin neu gestartet oder beendet werden, dies lässt sich allerdings mit dem Tool SubInACL ändern. Beispiele zur Nutzung mit SubInACL oder mit GroupPolicies gibt es hier.

OpenVPN als normaler Benutzer als Mitglied der Gruppe Netzwerkkonfigurations-Operatoren

Benutzer können normalerweise ohne Adminrechte keinen OpenVPN-Tunnel aufbauen, da sie dafür das Recht benötigen, eine Netzwerkkarte zu konfigurieren (Routen setzen, DHCP release/renew etc). Wenn man einen Benutzer als Mitglied der Gruppe "Netzwerkkonfigurations-Operatoren" (furchtbares Wort...) hinzufügt, kann der Benutzer ganz normal mit OpenVPN oder OpenVPN GUI die Verbindung aufbauen.

- Vorteile: Der Benutzer kann ohne grossen Aufwand selbst steuern, ob die Verbindung aufgebaut werden soll. Es gibt ein wenig mehr Output, was die Fehlersuche als "Telefonadmin" etwas erleichtert. Weiterhin können damit auch verschlüsselte Zertifikate genutzt werden.

- Nachteile: Der Benutzer sieht viel (Microsoft Credo: Wenn man zu viel sieht, verwirrt es den Benutzer nur ;) ), Vorgang lässt sich nur etwas umständlich automatisieren (nur über die Registry), eventuelles Sicherheitsrisiko durch Zuweisen der Berechtigung.

Noch etwas mehr zu dem Thema findet sich hier. Dieser Artikel war für mich ein guter Leitfaden zum Einstieg :) Heise hat ebenfalls einen schönen Artikel zum Thema OpenVPN parat.

Da Debian den Support für Etch am 15. Februar 2010 einstellen wird, oblag es nun dem geneigten Admin - also mir armen Würstchen - eine Migration kurz vor Weihnachten vorzunehmen.

Da ich keine Lust habe, in 2 Jahren wieder zu migireren und die Kiste ein produktiv und mit selten geänderter Konfiguration genutzter Mail- und Webserver ist, hab ich mich dazu entschlossen, auf CentOS zu migrieren. Da hab ich dann jetzt erstmal ne ganze Zeit lang Ruhe ;)

Nach 1 Stunde rumfummeln mit der apache-config (da merkt man eigentlich erstmal, dass Debian von Standardkonfiguration irgendwie so gar nichts hält ;) ) und der Erkenntnis, dass PHP 5.1 echt nicht mehr das Wahre ist, gings dann nach funktionierender Konfig ans Backup.

Unter Debian benutzte ich dafür das Tool duplicity in Kombination mit ftplicity. ftplicity schimpft sich mittlerweile duply, ist aber noch wie vor eine schöne Lösung für ein verschlüsseltes FTP-Backup.

Also fleissig Backups eingerichtet, getestet und als gut befunden. Sodann flugs einen crontab eingerichtet und sich gewundert, warum es dort nicht funktioniert. Ein Blick ins Log verrät mir ein lapidares "Output: sh: ncftpls: command not found NcFTP not found:  Please install NcFTP version 3.1.9 or later", obwohl ncftp ordentlich installiert ist und das ganze per Hand ausgelöst auch ohne Probleme funzt.

Lösung des Ganzen: In der crontab gilt eine andere $PATH Variable. ncftp liegt in der Defaultinstallation unter /usr/local/bin, und genau da zeigt die $PATH des crontabs natürlich nicht hin *grml* Wieder was gelernt...