Inspiriert durch die Artikel von Ricardo Geradi [1] und Alex Callejas [3] schreibe ich diesen, um zu erklären, wie mithilfe von Ansible eine Labor-Umgebung bestehend aus einer oder mehreren virtuellen Maschinen (VMs) auf einem KVM-Hypervisor provisioniert werden kann.

Dabei handelt es sich weniger um ein Tutorial, sondern mehr um eine exemplarische Beschreibung einer möglichen Vorgehensweise, die euch als Vorlage für die eigene Umgebung dienen kann.

Ich gehe nicht darauf ein, wie KVM oder Ansible installiert werden. Hierzu verweise ich auf die Dokumentation der jeweiligen Projekte und der verwendeten Linux-Distributionen.

Motivation

Um Anwendungen zu testen, benötigt man in der Regel ein Betriebssystem, auf welchem diese ausgeführt werden können. Ein Betriebssystem läuft dieser Tage meist innerhalb einer virtuellen Maschine (VM). Um bei Tests stets gleiche Rahmenbedingungen zu haben, wird empfohlen, für jeden Test eine neue VM mit einer definierten Konfiguration zu provisionieren, die geplanten Tests durchzuführen, die Ergebnisse zu sichern und die VM zu dekommissionieren.

Möchte man Infrastrukturdienste testen, werden häufig gleich mehrere VMs benötigt. Diese werden auch als Labor-Umgebung bezeichnet.

Um nicht unnötig Zeit mit der Provisionierung der VMs zu verlieren — immerhin möchte man ja seine Anwendungen bzw. Dienste testen — bietet es sich an, diesen Prozess zu automatisieren.

Doch warum mit Ansible und nicht mit [hier Lieblings-Werkzeug eurer Wahl einsetzen]?

Viele Wege führen nach Rom. Und es gibt vermutlich ähnlich viele Werkzeuge, um eine Labor-Umgebung in KVM zu provisionieren. Ich habe mich in diesem Fall für Ansible entschieden, da:

• Ich fast täglich damit arbeite.
• Mit ansible-galaxy role init erstellte Rollen meiner bescheidenen Meinung nach (mbMn) eine schöne Struktur zur Organisation des Codes vorgeben.
• Mit ansible-vault ein Werkzeug dabei ist, um Dateien mit sensiblen Informationen zu verschlüsseln und diese im weiteren Verlauf einfach zu nutzen.
• Ich meine YAML-Dateien nächstes Jahr leichter lesen und verstehen kann als meine Shell-Skripte.
• Ich in einem zukünftigen Artikel zeigen möchte, wie man mit Ansible eine Labor-Umgebung in einem VMware vSphere Cluster provisioniert.

Umgebung

KVM-Hypervisor: Debian 11 Bullseye

Die .qcow2-Image-Dateien für die VMs werden auf dem KVM-Hypervisor im Verzeichnis /var/lib/libvirt/images/ vorgehalten.

Getestete Ansible Versionen:

• ansible 2.10.8 ( auf Debian 11 Bullseye)
• ansible [core 2.12.1] (auf Fedora 35)

Die Verzeichnisstruktur für meine Ansible-Umgebung entspricht der aus dem Artikel Linux-Benutzerkonten mit Ansible verwalten, wie sie im dortigen Abschnitt Vorbereitung beschrieben ist.

Die im Laufe dieses Artikels provisionierte Labor-Umgebung wird aus einer RHEL-7 und einer RHEL-8-VM bestehen. Selbstverständlich ist es möglich, durch einfache Anpassungen weitere VMs sowie andere Linux-Distributionen zu provisionieren.

Vorarbeit

Ricardo Geradi [1] und Alex Callejas [3] beziehen in ihren Artikeln die qcow2-Images, welche sie als Vorlage (engl. Template) für weitere VMs verwenden, aus diversen Internet-Quellen. Ich bin kein Freund davon, mir Images aus dem Netz zu laden und zu nutzen, für die es keine ordentliche Dokumentation gibt, mit welchen Paketen und Einstellungen diese erzeugt wurden.

Wer kauft schon gern die Katze im Sack? Daher erstelle ich mir meine Vorlagen selbst. Dazu führe ich für jede Distribution, für die ich eine Vorlage erstellen möchte, eine manuelle Installation durch. Um die Vorlagen unter all den anderen VMs leicht identifizieren zu können, gebe ich ihnen Namen wie z.B.:

• rhel7-template
• rhel8-template
• debian11-template

Dabei hinterlege ich beim User root bereits den SSH-Public-Key, den ich später mit Ansible verwenden möchte, um diese Systeme weiter zu konfigurieren. Dies tue ich zwar bisher. Es ist für die Verwendung der hier beschriebenen Rolle nicht erforderlich.

Möchte ich eine Vorlage aktualisieren, fahre ich die dazugehörige VM hoch, führe ein Paket-Update durch, fahre die VM wieder herunter und bin fertig. Dies mache ich in der Regel alle paar Monate, wenn mir das Paket-Update bei neu provisionierten VMs zu lange dauert und spätestens nach Erscheinen eines neuen Minor-Release.

Die Ansible-Rolle

Eine Ansible-Rolle wird mit dem Befehl ansible-galaxy role init role_name initialisiert. In meinem Fall sieht dies wie folgt aus:

$ ansible-galaxy role init kvm_provision_lab
- Role kvm_provision_lab was created successfully
$ tree kvm_provision_lab
kvm_provision_lab
├── defaults
│   └── main.yml
├── meta
│   └── main.yml
├── README.md
├── tasks
│   └── main.yml
├── templates
└── vars
    └── main.yml

In obiger Ausgabe fehlen die Verzeichnisse Files und Handlers. Diese hatte ich bereits gelöscht, da sie nicht benötigt werden. Die erstellte Verzeichnisstruktur kann, je nach verwendeter Version von ansible-galaxy, leicht unterschiedlich aussehen. Benötigt werden in diesem Beispiel nur die oben dargestellten Verzeichnisse und Dateien. Streng genommen können das Verzeichnis meta und die Datei README.md ebenfalls entfernt werden, wenn man nicht vorhat, die Rolle zu veröffentlichen. Ich behalte beide bei und nutze die Dateien zur Dokumentation der Rolle.

Variablen

Es ist gute Praxis alle Variablen, die von einer Ansible-Rolle verarbeitet werden, in der Datei defaults/main.yml zu dokumentieren und mit Standardwerten zu versehen. Genannte Datei hat hier folgenden Inhalt:

$ cat -n defaults/main.yml 
     1	---
     2	libvirt_pool_dir: "/var/lib/libvirt/images"
     3	vm_root_pass: "123456"
     4	ssh_key: "/path/to/ssh-pub-key"
     5	
     6	guests:
     7	  test:
     8	    vm_ram_mb: 512
     9	    vm_vcpus: 1
    10	    vm_net: default
    11	    os_type: rhel7
    12	    file_type: qcow2
    13	    base_image_name: rhel7-template
    14	    vm_template: "rhel7-template"
    15	    second_hdd: false
    16	    second_hdd_size: ""
    17	  test2:
    18	    vm_ram_mb: 512
    19	    vm_vcpus: 1
    20	    vm_net: default
    21	    os_type: rhel8
    22	    file_type: qcow2
    23	    base_image_name: rhel8-template
    24	    vm_template: "rhel8-template"
    25	    second_hdd: true
    26	    second_hdd_size: "100M"

In Zeile 2-4 werden Variablen definiert, die unabhängig von einzelnen VMs für die gesamte Rolle gelten. Dies sind der Speicherort für Image-Dateien, das Passwort für den Root-Benutzer der VMs, sowie der Pfad zu dem SSH-Public-Key, welcher beim Root-Benutzer hinterlegt werden soll.

In Zeile 6 beginnt ein sogenanntes Ansible-Dictionary (siehe [6]) namens guests. Es enthält als Keys die Namen der VMs (hier test und test2) und ordnet diesen diverse Variablen als Werte zu (z.B. vm_ram_mb). Die hierfür gewählten Strings müssen gültige Ansible-Variablen sein (siehe [7]).

Die einzelnen Variablen kurz erklärt:

• vm_ram_mb gibt die Größe des Gast-Arbeitsspeichers in Megabyte (MB) an.
• vm_vcpus spezifiziert die Anzahl CPUs der VM.
• vm_net bezeichnet das KVM-Netzwerk, mit dem die VM verbunden wird.
• os_type wird aktuell noch nicht verwendet.
• file_type gibt den Typ der Image-Datei an.
• base_image_name verweist auf den Namen der zu verwendenden Vorlage, die zuvor manuell installiert wurde.
• vm_template referenziert eine Jinja2-Template-Datei, welche wir uns im nächsten Abschnitt anschauen werden.
• second_hdd kann auf true oder false gesetzt werden und bestimmt, ob einer VM eine zweite Festplatte hinzugefügt werden soll.
• second_hdd_size gibt die Größe der zweiten Festplatte in Megabyte (MB) an.

Führt man diese Rolle mit einem Playbook aus, ohne eigene Variablen zu definieren, werden also zwei VMs mit den Namen test und test2 sowie den obigen Parametern erstellt.

Um die Rolle möglichst flexibel einsetzen und wiederverwenden zu können, werden die gewünschten Labor-Umgebungen in separaten Dateien definiert. Für mein RHEL-Lab habe ich die benötigten Variablen in die Datei vars/rhel_lab.yml geschrieben, welche ich mit ansible-vault create vars/rhel_lab.yml erstellt habe. So bleiben mein gewähltes Passwort sowie Pfad zu und Name von meinem SSH-Public-Key vor neugierigen Blicken geschützt. Der Inhalt der Datei entspricht vom Aufbau her jedoch dem aus obigem Code-Block der defaults/main.yml. Wie die Datei rhel_lab.yml genutzt wird, wird in Abschnitt „Das Playbook“ erläutert.

Templates

In der KVM-Terminologie wird eine VM auch als Gast-Domain (engl. guest domain) bezeichnet. Die Definition der Gast-Domain kann in Form einer XML-Datei erfolgen. In diesem Abschnitt werde ich zeigen, wie man die Konfiguration einer bestehenden VM in eine XML-Datei schreibt, um diese anschließend als Template für neue VMs zu benutzen.

Im Vorfeld habe ich die VMs rhel7-template und rhel8-template manuell installiert. Diese werde ich nun nutzen, um daraus Jinja2-Templates abzuleiten, welche ich innerhalb der Rollen-Verzeichnisstruktur im Verzeichnis templates ablege. Der folgende Codeblock zeigt den Befehl exemplarisch für das rhel7-template:

$ sudo virsh dumpxml rhel7-template >templates/rhel7-template.xml.j2

Das rhel8-template.xml.j2 wird auf die gleiche Weise erzeugt. Der Inhalt wird im Folgenden auszugsweise dargestellt:

<domain type='kvm'>
  <name>rhel8-template</name>
  <uuid>cb010068-fe32-4725-81e8-ec24ce237dcb</uuid>
  <metadata>
    <libosinfo:libosinfo xmlns:libosinfo="http://libosinfo.org/xmlns/libvirt/domain/1.0">
      <libosinfo:os id="http://redhat.com/rhel/8-unknown"/>
    </libosinfo:libosinfo>
  </metadata>
  <memory unit='KiB'>2097152</memory>
  <currentMemory unit='KiB'>2097152</currentMemory>
  <vcpu placement='static'>1</vcpu>
[...]
  <devices>
    <emulator>/usr/bin/qemu-system-x86_64</emulator>
    <disk type='file' device='disk'>
      <driver name='qemu' type='qcow2'/>
      <source file='/var/lib/libvirt/images/rhel8-template.qcow2'/>
      <target dev='vda' bus='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/>
    </disk>
    <disk type='file' device='cdrom'>
      <driver name='qemu' type='raw'/>
      <target dev='hdb' bus='ide'/>
      <readonly/>
      <address type='drive' controller='0' bus='0' target='0' unit='1'/>
    </disk>
[...]
    <interface type='network'>
      <mac address='52:54:00:0c:8d:05'/>
      <source network='default'/>
      <model type='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
    </interface>
[...]
  </devices>
</domain>

Die Template-Dateien sind zu bearbeiten, um aktuell statisch konfigurierte Werte durch Variablen zu ersetzen. Die zu bearbeitenden Zeilen sehen anschließend wie folgt aus:

• <name>{{ item.key }}</name>
• <memory unit='MiB'>{{ item.value.vm_ram_mb }}</memory>
• <vcpu placement='static'>{{ item.value.vm_vcpus }}</vcpu>
• <source file='{{ libvirt_pool_dir }}/{{ item.key }}.qcow2'/>
• <source network='{{ item.value.vm_net }}'/>

Darüber hinaus sind weitere Zeilen, welche für jede VM einmalig sind, aus den Template-Dateien zu löschen:

• <uuid>...</uuid>
• <mac address='...'/>

In der fertigen rhel8-template.xml.j2-Datei sieht es dann wie folgt aus:

<domain type='kvm'>
  <name>{{ item.key }}</name>
  <metadata>
    <libosinfo:libosinfo xmlns:libosinfo="http://libosinfo.org/xmlns/libvirt/domain/1.0">
      <libosinfo:os id="http://redhat.com/rhel/8-unknown"/>
    </libosinfo:libosinfo>
  </metadata>
  <memory unit='MiB'>{{ item.value.vm_ram_mb }}</memory>
  <vcpu placement='static'>{{ item.value.vm_vcpus }}</vcpu>
[...]
  <devices>
    <emulator>/usr/bin/qemu-system-x86_64</emulator>
    <disk type='file' device='disk'>
      <driver name='qemu' type='qcow2'/>
      <source file='{{ libvirt_pool_dir }}/{{ item.key }}.qcow2'/>
      <target dev='vda' bus='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/>
    </disk>
[...]
    <interface type='network'>
      <source network='{{ item.value.vm_net }}'/>
      <model type='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
    </interface>
[...]
  </devices>
</domain>

Solltet ihr zu diesem Abschnitt noch Fragen haben, weil z.B. etwas unverständlich ist, stellt diese bitte in den Kommentaren oder meldet euch per E-Mail. Ich werde den Abschnitt dann je nach Bedarf ergänzen.

Tasks

Als Nächstes stelle ich die Tasks vor, welche von dieser Rolle ausgeführt werden. Dabei beginne ich mit dem Inhalt der Datei tasks/main.yml, deren Inhalt ich nach dem folgenden Codeblock erläutern werde.

$ cat -n tasks/main.yml 
     1	---
     2	# tasks file for kvm_provision_lab
     3	- name: Ensure requirements are in place
     4	  apt:
     5	    name:
     6	      - libguestfs-tools
     7	      - python3-libvirt
     8	    state: present
     9	  become: yes
    10	
    11	- name: Get VMs list
    12	  community.libvirt.virt:
    13	    command: list_vms
    14	  register: existing_vms
    15	  changed_when: no
    16	
    17	- name: Copy base image
    18	  copy:
    19	    dest: "{{ libvirt_pool_dir }}/{{ item.key }}.{{ item.value.file_type }}"
    20	    src: "{{ libvirt_pool_dir }}/{{ item.value.base_image_name }}.{{ item.value.file_type }}"
    21	    force: no
    22	    remote_src: yes
    23	    mode: 0660
    24	    group: libvirt-qemu
    25	  register: copy_results
    26	  with_dict: "{{ guests }}"
    27	
    28	- name: Create VMs if not exist
    29	  include_tasks: create_vms.yml
    30	  when: "item.key not in existing_vms.list_vms"
    31	  with_dict: "{{ guests }}"

Der Task in Zeile 3-9 stellt sicher, dass die notwendigen Voraussetzungen erfüllt sind, um sich mit libvirt verbinden zu können. Der Paketname libguestfs-tools existiert unter CentOS Stream, Debian und RHEL. Unter Fedora heißt das Paket guestfs-tools. Der Name muss an die entsprechende Distribution angepasst werden.

In Zeile 11-15 wird das Modul community.libvirt.virt verwendet, um die Liste der bereits existierenden VMs abzurufen und in der Variablen existing_vms zu speichern. Diese wird später genutzt, um nur dann eine VM zu provisionieren, wenn nicht bereits eine VM mit dem gleichen Namen existiert. Es ist quasi ein schmutziger Trick, um der Rolle ein wenig Idempotenz einzuhauchen. Da mit diesem Task nur Informationen abgefragt werden, jedoch keinerlei Änderungen vorgenommen werden, setzt man changed_when: no.

Das Copy-Modul in Zeile 17-26 kopiert die qcow2-Image-Dateien an den vorgesehenen Zielort und setzt Zugriffsrechte entsprechend. Zeile 19 sorgt dafür, dass die Zieldatei den Namen der neuen VM beinhaltet. Da das Copy-Modul bereits idempotent arbeitet, werden die Dateien nur kopiert, wenn das Ziel nicht bereits existiert. Das Ergebnis des Kopiervorgangs wird in copy_results gespeichert.

Der letzte Task führt die Task-Datei create_vms.yml für die VMs aus, die nicht bereits existieren. Dafür sorgt die Bedingung when: "item.key not in existing_vms.list_vms", die diesem Task zu Idempotenz verhilft. Das Playbook selbst hat folgenden Inhalt:

$ cat -n tasks/create_vms.yml 
     1	---
     2	- name: Configure the image
     3	  command: |
     4	    virt-customize -a {{ libvirt_pool_dir }}/{{ item.key }}.qcow2 \
     5	    --hostname {{ item.key }} \
     6	    --root-password password:{{ vm_root_pass }} \
     7	    --ssh-inject 'root:file:{{ ssh_key }}' \
     8	    --uninstall cloud-init --selinux-relabel
     9	  when: copy_results is changed
    10	
    11	- name: Define VMs
    12	  community.libvirt.virt:
    13	    command: define
    14	    xml: "{{ lookup('template', '{{ item.value.vm_template }}.xml.j2') }}"
    15	
    16	- name: Create second disk images if needed
    17	  command: |
    18	    qemu-img create -f {{ item.value.file_type }} \
    19	    {{ libvirt_pool_dir }}/{{ item.key }}-vdb.{{ item.value.file_type }} {{ item.value.second_hdd_size }}
    20	  become: yes
    21	  when: item.value.second_hdd|bool == true
    22	
    23	- name : Attach second disk image to domain
    24	  command: |
    25	    virsh attach-disk {{ item.key }} \
    26	    --source "{{ libvirt_pool_dir }}/{{ item.key }}-vdb.{{ item.value.file_type }}" \
    27	    --target vdb \
    28	    --persistent
    29	  become: yes
    30	  when: item.value.second_hdd|bool == true
    31	
    32	- name: Ensure VMs are startet
    33	  community.libvirt.virt:
    34	    name: "{{ item.key }}"
    35	    state: running
    36	  register: vm_start_results
    37	  until: "vm_start_results is success"
    38	  retries: 15
    39	  delay: 2

Der Task in Zeile 2-9 konfiguriert den Inhalt der qcow2-Image-Datei. Die Bedingung when: copy_results is changed stellt sicher, dass dies nur passiert, wenn die Image-Datei zuvor an ihren Zielort kopiert wurde. Damit wird sichergestellt, dass nicht eine bereits vorhandene Image-Datei einer existierenden VM nochmals verändert wird. Der Task konfiguriert den Hostnamen, setzt das Root-Passwort und hinterlegt den SSH-Public-Key.

Der nächste Task ab Zeile 11 definiert/erstellt die neue VM aus den XML-Template-Dateien.

Die beiden Tasks in den Zeilen 16-30 fügen einer VM eine zweite Festplatte hinzu, wenn dies in defaults/main.yml bzw. vars/rhel_lab.yml entsprechend definiert wurde.

Der letzte Task sorgt schließlich dafür, dass die neu erstellten VMs eingeschaltet werden.

Das Playbook

Im Vergleich zu den Dateien mit den einzelnen Tasks fällt das Playbook eher kurz aus:

 cat -n kvm_provision_rhel_lab.yml 
     1	---
     2	- name: Provision RHEL lab VMs
     3	  hosts: localhost
     4	  vars_files:
     5	    - roles/kvm_provision_lab/vars/rhel_lab.yml
     6	  tasks:
     7	    - name: Run role kvm_provision_lab
     8	      include_role:
     9	        name: kvm_provision_lab

In Zeile 3 ist der KVM-Hypervisor anzugeben, auf dem die Rolle ausgeführt werden soll. Dies kann, wie in meinem Fall, der gleiche Host wie der Ansible-Control-Node sein.

In Zeile 4 und 5 wird die Datei geladen, welche die Variablen für die zu erstellende Laborumgebung enthält. Ohne diese Anweisung werden die Werte aus defaults/main.yml verwendet.

Abschließend wird die Ansible-Rolle inkludiert. Dies ist auch schon alles.

Zusammenfassung

Das Schreiben dieses Artikels hat deutlich länger gedauert als die Erstellung der eigentlichen Ansible-Rolle zur Erstellung einer Laborumgebung unter KVM.

Die einzelnen Abschnitte beschreiben das Vorgehen und die Bestandteile der Rolle im Detail. Ich hoffe, damit deren Funktionsweise deutlich gemacht zu haben.

Ich kann nun meine Labor-Umgebungen in Dateien wie rhel_lab.yml, debian_lab.yml, etc. definieren und die Rolle dazu verwenden, diese zu provisionieren. So steht mir in kurzer Zeit eine frische Testumgebung bereit. Und zwar jedes Mal aufs neue, wenn ich sie benötige.

Wenn euch dieser Artikel dabei hilft, eigene Labor-Umgebungen mithilfe von Ansible zu provisionieren freut mich dies umso mehr.

Quellen und weiterführende Links

1. Build a lab in 36 seconds with Ansible. Ricardo Gerardi (Red Hat, Sudoer). Enable Sysadmin. 2021-10-22.
2. 8 Linux virsh subcommands for managing VMs on the command line. Ricardo Gerardi (Red Hat, Sudoer). Enable Sysadmin. 2021-09.09.
3. Build a lab in five minutes with three simple commands. Alex Callejas (Red Hat). Enable Sysadmin. 2021-08-20.
4. Ansible Create KVM Guests
5. community.libvirt.virt – Manages virtual machines supported by libvirt
6. Ansible Dictionary Variables. URL: https://docs.ansible.com/ansible/latest/user_guide/playbooks_variables.html#dictionary-variables
7. Creating valid variable names. URL: https://docs.ansible.com/ansible/latest/user_guide/playbooks_variables.html#creating-valid-variable-names

von Jörg Kastning am 17.01.2022 06:00

Vor ein paar Wochen hatte ich einen langsam steigenden Load auf dem Server entdeckt.

Was auffiel, war ein schlechtes Antwortverhalten verschiedener CMS Systeme.

Scheinbar besonders betroffen waren Sites mit relativ vielen Redirects.

Es hat eine Weile gedauert, bis ich den Übeltäter fand.

Die inotify Log-Datei war riesige 27GB groß!

Da die Partition voll lief, hat mich mein Monitoring freundlich darauf hingewiesen und ein ncdu -x / hat mir den Übeltäter offenbart.

Sobald die Logdatei gelöscht war, lief alles wieder mit voller Geschwindigkeit.  Maldet und inotify war nicht in den Log-Rotationsprozess eingebunden, also habe ich dies getan, um die inotify Logdatei rotieren zu lassen.

Dazu habe ich den  Vorschlag verwendet. War zu faul mir selbst etwas auszudenken

Auch  Load ist wieder Prima.

von bed (nospam@example.com) am 16.01.2022 09:01

Acht Tage und drei Brote ist es nun her, das Pannenbrot, bei dem wie durch Zauberhand das ganze Wasser aus dem Backautomaten verschwunden war und ich an meinem Erinnerungsvermögen zweifelte – hatte ich es vielleicht doch vergessen? Einen Tag nach jenem Blogartikel versuchte ich es mit einem Kokos-Weißbrot mit Vanillezucker, das ganz normal gebacken wurde. Und vor drei Tagen hatte ich dann dieses Dinkelbrot, das zwar gut schmeckte, aber absolut nicht aus der Backform rauskommen wollte, so daß ich es nur in Brocken rauspflücken konnte.

Ja, und heute früh habe ich wieder gebacken. Ein Roggenbrot mit Haferflocken sollte es werden. Geworden ist es, wie beim „Pannenbrot“ (erster Durchgang) ein gebackener Haufen Mehlmischung. Diesmal sind noch Spuren des zugegebenen Wassers zu sehen.

Somit ist klar, daß ich mich letzte Woche nicht getäuscht habe, was die Zugabe von Wasser angeht. Genau genommen kommt das Wasser ja sogar immer zuerst in die Backform und die Mehlmischung dann obendrauf.

Ich vermute, daß das Rührwerk des Automaten entweder durch Krümel etc. klemmt oder daß es halt so langsam kaputtgeht. In beiden Fällen müßte das Gerät fachgerecht geöffnet und gereinigt bzw. repariert werden. Selbst kann ich das nicht (ist ja schließlich kein PC). Und die Kosten für eine Reparatur durch eine geschulte Person dürften bei den heutigen Stundensätzen die für eine neue Maschine übersteigen. eBay zeigt mir gebrauchte Geräte für unter 50,00 € an, und Neugeräte gibt es ab 70,00 € aufwärts.

Mein Automat ist ein LeCaf BGB 402, und er ist mindestens 22 Jahre alt. Gekauft hatte ich ihn im Spätjahr 2000 oder Anfang 2001, als ich gerade in meine erste Düsseldorfer Wohnung eingezogen war. Er war als gebraucht und wenig genutzt in der „Avis“, einer Anzeigen-Zeitung, angeboten worden und hatte mich gerade mal 40 DM gekostet. Ich mußte dann nur erstmal mit einer Menge Essig-Wasser den Nikotin-Gestank der Vorbesitzenden rauskriegen.

Danach hatte ich damit zeitweise aus fertigen Brotbackmischungen Brote gebacken, war von den Ergebnissen aber nicht so wirklich überzeugt gewesen. Das Brot krümelte oft stark und hielt sich nicht mal drei Tage im Kühlschrank. So schnell kann ich ein Brot von bis zu 750 g als alleinstehende Person halt auch nicht aufessen. In den letzten Jahren stand der Automat nur noch in der Küche im Weg rum.

Dann jedoch war da unter anderem das Mehl nebst weiteren Backzutaten, die ich aus dem Haushalt meiner Mutter 2018 übernommen hatte und die dann doch endlich mal weg sollten. Ich verwende in meinem Küchen-Alltag sonst kein Mehl. Und im Oktober letzten Jahres hatte ich dann sozusagen die Kurve gekriegt, mir mal angelesen, wie sowas geht, und ein erstes eigenes Roggenbrot gebacken, das überraschend gut war. Sehr schnell habe mich an diese Möglichkeit gewöhnt, und kurz nach diesem ersten Brot fing ich an, mir weitere Mehl-Vorräte zuzulegen. Ich will also auf jeden Fall wieder einen Brotbackautomaten haben.

Farlion meint zwar:

Ich habe mir vorletztes Jahr ein Rührgerät gekauft und backe im Ofen. Ich mag keine Löcher im Brot.

— Farlion (@Farlion) January 12, 2022

Jaaa, stimmt schon. Ich besitze sogar – ebenfalls aus dem Haushalt meiner Mutter – wieder ein Handrührgerät. Was mir allerdings fehlt, ist ein Backblech für meinen Ofen, und an Backformen habe ich nur eine (zu) kleine Kastenform und eine Guglhupf-Form. Das Hauptproblem ist aber, daß ich dafür, alle durchschnittlich vier Tage diesen Aufwand zu treiben, nicht die Kapazitäten („Löffel“) habe. So ein Automat ist für mich also wirklich perfekt.

Habt Ihr Empfehlungen? Oder einen funktionsfähigen Automaten übrig, aus einer Haushaltsauflösung oder so?

Meine finanziellen Reserven sind zwar praktisch aufgebraucht, aber ich denke, so ein Gerät, insbesondere gebraucht, könnte ich stemmen. Stellt sich nun also die Frage: Welchen Brotbackautomaten kaufe ich am besten?

von Atari-Frosch am 14.01.2022 19:27

Die Blogs, die ich betreibe bzw. administriere, laufen allesamt mit MariaDB, einem Fork von MySQL. Die beiden Datenbank-Systeme kennen zwei verschiedene Engines, um Daten zu verwalten: MyISAM (die ältere) und InnoDB (die neuere). Die Blogs, die ursprünglich mit WordPress gestartet waren, legten ihre Datenbank mit MyISAM an, und auch, wenn die Blogs mittlerweile auf ClassicPress umgestellt wurden, blieb dieses Format erhalten. Was ich neu direkt mit ClassicPress installiert habe, bekam jedoch eine Datenbank mit der InnoDB-Engine, die die Daten ein wenig anders ablegt. Im laufenden Betrieb insbesondere der relativ kleinen Blogs macht das erstmal keinen Unterschied.

Anders sieht das aus, wenn ich abseits vom Blogsystem (hier: mit Python3) in diese Datenbanken reingreifen möchte. Solange ich nur lesend reingehe, ist das weiterhin kein Problem. Will ich jedoch schreibend auf diese Datenbanken zugreifen, gibt es einen kleinen, feinen Unterschied, und der hat mich eine Weile beschäftigt.

Mit einem Script (via Cronjob) greife ich einmal am Tag in die Blog-Datenbanken und lese erstmal alle Spam-Kommentare und -Trackbacks aus. Diese wurden vorher vom Plugin Antispam-Bee erkannt und bereits als Spam markiert; das Plugin kann ich nur empfehlen, es hat bei mittlerweile über 100.000 Spams in allen meinen Blogs nicht ein einziges Mal einen legitimen Kommentar als Spam markiert, und umgekehrt ist die Anzahl der Spams, die ihm durchgegangen sind und in der Moderation landeten, im unteren zweistelligen Bereich.

Nach dem Auslesen der Daten, die ich weiterverarbeiten möchte, werden diese Kommentare und Trackbacks innerhalb des Blogsystems nicht mehr benötigt; es bietet sich also an, sie – da sie bereits identifiziert sind – dann auch direkt zu löschen. Das ist ein schreibender Zugriff. Und da stieß ich auf ein interessantes Phänomen:

Obwohl ich mit demselben Script in alle Blog-Datenbanken gehe, gab es einen Ausreißer: Im direkt mit ClassicPress installierten Blog dokufotos.biz wurden die Spams nicht gelöscht, obwohl ich nirgends eine Fehlermeldung finden konnte. Das Script selbst lasse ich auch loggen, und es sagte mir: Jou, hab gelöscht – aber die Kommentare waren weiterhin in der Datenbank. Das führte dazu, daß immer wieder dieselben Spam-Kommentare und -Trackbacks ausgelesen wurden, was ja nicht Sinn der Sache war.

Wie üblich, wenn ich wo nicht weiterkomme, habe ich – in diesem Fall mehrfach – im Netz herumgefragt.

Zunächst im Diaspora-Netzwerk am 20. November: Python3 und mysql.

Da habe ich auch das Code-Schnipsel mit drin, das die Daten löschen soll:

commentstable = config.tableprefix[blogid] + "_comments"
# […]
    for h in commentids:
        sql = "DELETE FROM " + commentstable + " WHERE comment_ID = " + str(h)
        logging.debug("sql statement: %s", sql)
        db = pymysql.connect(dbhost, dbuser, dbpass, dbname)
        cursor = db.cursor()
        cursor.execute(sql)
        data = cursor.fetchall()
        db.close()

commentids ist eine Liste, in die ich vorher die IDs der als Spam markierten Kommentare und Trackbacks eingelesen habe. Witzig ist, daß das Statement so, wie ich es hier zusammenbaue, direkt im MariaDB-Interpreter (CLI) anstandslos und erfolgreich ausgeführt wird, von Python aus jedoch nicht.

Ich hatte dort auch bereits festgestellt:

Das vorherige Abrufen der Kommentare funktioniert! Das heißt: Die Tabelle wird vorher korrekt angesprochen, und auch die Kommentar-IDs sind korrekt. Nur gelöscht werden diese Kommentare dann nicht, das heißt, ich hab sie jeden Tag wieder mit in der Liste der abgerufenen Spams. So ist das ja nicht gedacht. Auch der Log-Eintrag, der hier nach dem Statement vorgesehen ist, wird für das betroffene Blog nicht geschrieben (der Loglevel ist für alle gleich auf 5 gesetzt).

Dann waren jedoch wieder andere Dinge wichtiger, und das Problem blieb erstmal liegen.

Letzten Donnerstag fragte ich dann mal im Python-Foo des Chaosdorfs. Dort bekam ich den Hinweis, daß ich mich mal mit dem Locking in InnoDB auseinandersetzen sollte. Aber mein Abstrakt-zu-Konkret-auflösen-Problem war beim Verstehen entsprechender Erklärungstexte mal wieder, ähm, nicht hilfreich. Schließlich stieß ich beim Weitersuchen auf eine Funktion im von mir verwendeten Python3-Modul pymysql:

Gelernt: Es genügt bei einer Datenbank im InnoDB-Format nicht, von Python aus ein SQL-Statement hinzuschicken, um Daten zu verändern; man muß der Datenbank auch noch explizit sagen, daß die Statements jetzt bitteschön auch noch ausgeführt werden sollen. Bislang hatte ich das so verstanden, daß das mit cursor.execute(sql) erreicht wird. Offenbar ist dem doch nicht so.

Den zusätzlichen Befehl stellte ich vor die Zeile mit db.close().

Was soll ich sagen: Schwups, waren die Kommentare auch vom Script aus gelöscht 🙂

Bei MyISAM-Datenbanken ist die zusätzliche Commit-Anweisung offenbar nicht notwendig, daher stand sie auch nicht in meinem Script. Umgekehrt scheint es die Datenbanken im MyISAM-Format nicht zu stören, daß da jetzt noch ein Commit hinterherkommt, denn bei denen funktioniert das Script weiterhin wie bisher.

Wieder ein Problem gelöst.

von Atari-Frosch am 12.01.2022 23:59

Ich selbst lese gern, womit andere Blogger dienstlich und privat arbeiten. Heute schreibe ich auf, wie dies Anfang 2022 bei mir aussieht. Dieser Artikel ist für euch. Viel Spaß beim Lesen.

Smartphone

Mein nahezu ständiger Begleiter ist das Smartphone Sony Xperia XZ2 Compact. Dieses nutze ich bereits seit Mai 2018 und es wird mir hoffentlich noch ein paar Jahre gute Dienste leisten. Als potenziellen Nachfolger habe ich ein Fairphone ins Auge gefasst. Ich nutzte das Gerät:

• Um Bilder und Videos von meiner entzückenden Familie zu machen (meine Frau bestand auf diesen sehr wichtigen Hinweis)
• Zum Telefonieren
• Als Terminkalender
• Für Chat und Kurznachrichten mit Matrix über Element (dienstlich), SMS und Threema (bevorzugt)
• Zur E-Mail-Kommunikation mit K-9-Mail
• Die Internetrecherche mit Firefox, Firefox Klar und dem Tor Browser
• Zum Konsum von RSS-Feeds mit Feedly
• Nutzung diverser sozialer Netzwerkwerke wie Facebook, LinkedIn, Mastodon, Twitter und XING
• Mit bestimmt drei Dutzend weiteren Apps

Tablet

Vom Telefonieren und den Kurznachrichten abgesehen verwende ich für die gleichen Zwecke wie oben seit Mitte 2019 auch ein Samsung T830 Galaxy Tab S4 Wi-Fi Tablet. Durch seine 10,5 Zoll (ca. 27 cm) Bildschirmdiagonale, das geringe Gewicht und mit der App ReadEra eignet es sich hervorragend zum Lesen von PDF-Dateien und E-Books. Darüber hinaus nutze ich auf dem Tablet häufig den Android-Terminal-Emulator Termux. Zusammen mit der Tastatur-Hülle von Fintie dient es mir regelmäßig als Laptop-Ersatz. Dabei finde ich besonders das Preis-/Leistungs-Verhältnis der Tastatur-Hülle unschlagbar gut. Ich habe zuvor nicht wirklich daran geglaubt so gut auf einer doch sehr kleinen und günstigen Tastatur schreiben zu können.

Die Bedienung mit dem S-Pen ist nicht ganz so gut wie die von Apple, doch durchaus gut zu nutzen. Allerdings bin ich wieder dazu übergegangen längere Notizen und Gedanken mit Tinte in einem Notizbuch aus Papier festzuhalten. Das Schreiben mit der Hand auf Papier gefällt mir gut und ist eine Abwechslung zum ständigen Tippen.

Auf dem Tablet habe ich sicher nochmal ein Dutzend mehr Apps, als auf dem Smartphone. Doch möchte ich hier nicht alle auflisten. Die wichtigsten habe ich, glaube ich, genannt.

Laptop

In 2021 neu hinzugekommen ist ein Lenovo ThinkPad T14s (AMD). Auf diesem läuft aktuell Fedora 35. Zu den meistgenutzten Anwendungen zählen:

• Thunderbird für E-Mail, Kalender und Aufgaben
• Chromium für Videokonferenzen
• Firefox für den Rest vom Web
• Das Gnome-Terminal
• Der beste Editor überhaupt: Vim
• Rambox als Sammelecke für:
  • Element
  • Threema
  • Slack
  • XING
  • LinkedIn
  • Feedly
  • Mastodon
• Lokale Instanz von LanguageTool, um auf Rechtschreibung und Grammatik aufzupassen
• TeX Live zum Erstellen von allem, was mal in PDF oder auf Papier gebannt werden soll; als Editor nutze ich Vim.

An Letztem schätze ich, dass ich die ganzen Chat-, Nachrichten und Sozialen-Medien in einem separaten Fenster habe, wo ich sie insgesamt oder selektiv stumm schalten kann.

Insgesamt macht das T14s soviel Spaß, dass ich das Tablet tatsächlich nur noch fast ausschließlich zum Lesen verwende und sämtliche Schreib-, Programmier- und Recherche-Arbeiten an diesem Gerät verrichte.

Desktop/Server-PC

In meinem häuslichen Arbeitszimmer steht noch ein PC der Marke Eigenbau unter dem Schreibtisch. Ein Debian Bullseye verwaltet darin die folgenden Komponenten:

• Motherboard: MSI MS-7C56/B550-A PRO
• CPU: AMD Ryzen 5 PRO 4650G with Radeon Graphics
• 32 GB RAM
• 240 GB SSD und 1 TB HDD

Mein Arbeitsplatz 2022, mit höhenverstellbarem Schreibtisch, privater Workstation und Kabelmonster unter der Arbeitsplatte sowie dazugehöriger Ein- und Ausgabegeräte darauf (links im Bild). Rechts davon meine dienstlichen Arbeitsmittel.

Von Rambox abgesehen verwende ich auf diesem Gerät die gleichen Anwendungen wie auf dem Laptop. Zusätzlich dient mir dieser Rechner als KVM-/QEMU–Hypervisor. Die darin betriebenen virtuellen Maschinen dienen mir als Heimlabor, Entwicklungs- und Test-Umgebung. Produktive Dienste hoste ich darauf aktuell nicht.

Sonstige Geräte im Netzwerk

Seit nunmehr über 15 Jahren halten mein Netzwerk-Drucker und -Scanner Brother DCP-540CN und ich uns gegenseitig die Treue. Die Tintenpatronen sind seit Jahren für sehr geringe Preise zu bekommen und das Gerät verrichtet zuverlässig seinen Dienst. Die lange Laufzeit ist in meinen Augen ein Beweis für die Qualität dieses Gerätes. Zum Scannen unter Linux verwende ich die Anwendung XSane. Über die Jahre hat die Einrichtung unter verschiedenen Distributionen und Releases immer mal wieder etwas gehakt. Doch insgesamt bin ich wirklich sehr zufrieden mit dem Gerät und der Unterstützung unter Linux.

Nicht ganz so lange begleitet mich die Synology Diskstation DS213air. Ausschlaggebend für den Kauf war damals die integrierte WLAN-Unterstützung. Seit einigen Jahren nehmen die zu einem RAID-1 verbundenen Toshiba DT01ACA300 3 TB HDDs verschiedenste Daten auf. Das NAS dient als:

• Backup-Ziel für diverse weitere Geräte im LAN
• Netzwerk-Speicher für gemeinsam genutzte Dateien
• Host für einige Git-Repos
• Audio-, Foto- und Video-Station

Die Daten, die nicht bereits Backups darstellen, werden auf eine direkt angeschlossene 2,5 Zoll USB-HDD sowie mit einem Reverse-SSH-Tunnel offsite gesichert.

Dann gibt es da noch einen Pi-Hole auf einem Raspberry Pi 2 Model B, welcher für DHCP und DNS verantwortlich ist. Dann gibt es da noch einen Pi der ersten Generation. Dieser hostet FHEM und ruft einige Parameter meiner PV-Anlage ab.

Übrigens sind keine Geräte in meinem LAN aus dem Internet erreichbar. Auch nicht per VPN. Es steht also keine Tür offen, durch die der Schmutz aus dem Internet hereinwehen kann. Den Datenverkehr, der das LAN verlässt, möchte ich zukünftig ebenfalls limitieren. Hier suche ich noch nach einer geeigneten Lösung.

Irgendetwas as a Service

Diesen WordPress-Blog betreibe ich selbst auf einem Virtual Private Server (VPS) von Contabo. Als Betriebssystem kommt Debian Bullseye zum Einsatz und NGINX ist der Webserver meiner Wahl. Auf diesem System läuft auch eine Rootless-Podman-Installation, welche ich nutze, um mich mit Linux-Containern vertraut zu machen.

Um E-Mails, Termine und Aufgaben kümmert sich bereits seit einigen Jahren Mailbox.org. Die genannten Dienste nutze ich auf meinen Endgeräten in den Programmen Thunderbird, K-9-Mail sowie mit den Apps:

• OX Sync App
• OX Tasks
• OX Drive

Maibox.org nutze ich ebenfalls für gelegentliche Videokonferenzen im Webbrowser mit 3-5 Teilnehmern.

Meine Domain und die dazugehörige DNS-Verwaltung liegen seit Jahren bei ClouDNS. Die Zonen-Updates sind schnell und ich hatte bisher noch nie Probleme mit dem Dienst.

Und ich bin noch einer der Ewig-gestrigen, die TeamDrive 3 auf Laptop, Tablet und PC nutzen. Der dazugehörige TeamDrive Personal Server läuft ebenfalls auf meinem VPS.

Zusammenfassung

Wie ihr gelesen habt, nutze ich mit wenigen Ausnahmen alte bis uralte Hardware, welche jedoch noch tadellos ihren Dienst verrichtet und meinen Ansprüchen voll und ganz genügt.

Grundsätzlich suche ich meine Geräte danach aus, dass sie meine Anforderungen erfüllen und den Eindruck erwecken, möglichst lange Unterstützung (Garantie, Updates, Ersatzteilverfügbarkeit, etc.) zu erhalten. Das muss kein Dogma sein. So gönne ich mir auch gerne mal etwas Neues wie z.B. das T14s. Deshalb landen die älteren Modelle T410 und X201 nicht auf dem Müll, sondern werden einem neuen Verwendungszweck zugeführt.

Ich hoffe, der Artikel hat euch ein wenig unterhalten. Lasst mich gern in einem Kommentar wissen, ob und wie euch diese Art von Artikeln gefallen. Kommt gut in die neue Woche.

von Jörg Kastning am 10.01.2022 06:00

Was treibt mich an...

Manchen Morgen frage ich mich, wer dieser Mensch im Spiegel eigentlich ist.
Ich bin ein Familienmensch, technikaffin, Naturfreund und ein Mensch der an
Ideale glaubt. Ich sehe unser Dasein als großes Geschenk an, also machen
wir das Beste daraus.
Ich habe eine klassische Ausbildung als Industriemechaniker beim damaligen
Traditionsunternehmen Kleinerwefers gemacht.
Schon in der Ausbildung wurde mir gesagt, hier hast du eine
„Lebensstellung“, hier ist man gut aufgehoben und hier gehen wir auch in
Rente. Nun, es ist anders gekommen; ein halbes Jahr vor Ende meiner
Ausbildung wurde das Unternehmen verkauft. Es passierte das, was bei vielen
Betrieben passiert: Mitarbeiter werden entlassen und Azubis nicht
übernommen.

Nach meiner Prüfung durfte ich dann zum Glück noch bis zu meiner
Wehrdienstzeit im Unternehmen arbeiten. Meine erste „Lebensstellung“ endete
also kurz nach meiner Prüfung
Es kam ein Jahr Bundeswehr, wo ich zahlreiche Ausbildungen durchlaufen
durfte. Es war eine schöne Zeit bei den Pionieren am Rhein in Emmerich und
anders als eventuell immer erzählt, bestand die Bundeswehrzeit nicht aus
Alkohol und Langeweile, sondern aus tollen Aufgaben, Kameradschaft und
einer guten Ausbildung. Gut Alkohol wurde auch getrunken.
Es folgte eine sofortige Anstellung bei der Firma Küsters, die genau wie
meine Ausbildungsfirma die gleichen Maschinen herstellte. Auch diese Firma
ist oder war eine Firma mit vielen Traditionen, die Mitarbeiter sprachen
immer noch von „ihrer Firma“ und so fühlte man sich auch dem verstorbenen
Inhaber und der Firma verbunden. Ich erinnere mich noch an eine Situation,
wo bei einem Mitarbeiter an seinem Arbeitsplatz ein Bild des Inhabers und
eine getrocknete Rose stand.

Leben

Lernen

Leidenschaft

Diese Liebe und Verbundenheit zwischen Arbeiter und Inhaber hat mich in
meinen ersten beiden Firmen sehr geprägt. Aber auch hier standen die Zeiten
auf Veränderung und nach zahlreichen neuen Managern wurde ich bei einer der
Kündigungswellen betriebsbedingt gekündigt. Meine zweite Erfahrung mit
einer „Lebensstellung“ endete mit dieser Kündigung.
Ein paar Tage nach dieser Entlassung traf ich einen alten Kollegen der
schon vor mehreren Monaten gekündigt wurde und ich dachte mir, dieses
Treffen ist Schicksal – und so war es auch. Er hat bei einer neuen Firma
angefangen und sagte mir, dass sie neue Mitarbeiter suchten. Kurz gesagt,
ich habe mich beworben und hatte die Stelle – am Anfang dachte ich mir – ob
ich hier alt werde. Es wurden 16 Jahre und ich habe immer noch eine starke
Verbundenheit zu der Firma und ihren Menschen.
Von den 16 Jahren war ich am Ende 12 Jahre Betriebsrat und am Schluss
freigestellter Betriebsratsvorsitzender. Es war mir immer eine Ehre, den
Menschen und den Beschäftigten eine Stimme zu geben. Ich bin in dieser Zeit
am meisten gewachsen und habe meine Aufgabe mit viel Überzeugung und
Leidenschaft ausgeübt. Aber alles der Reihe nach: ich wollte eigentlich nie
Vorsitzender sein, immer im Fokus, Rede und Antwort stehen, Reden halten
und mit der Geschäftsleitung verhandeln. Manchmal braucht man wie beim
Schwimmen einen Schupser um zu schwimmen und so war es auch bei mir: ich
wurde zum Stellvertreter gewählt und der Vorsitzende wurde
bedauerlicherweise längere Zeit krank. So kam es, dass ich zum Vorsitzenden
wurde bzw. erst als Ersatz und dann wurde ich als Vorsitzender gewählt.

"Gib jedem Tag die Chance der schönste Tag deines Lebens zu sein"

In der Zeit merkte ich, dass genau die Dinge, die mir im Vorfeld Sorgen
machten, immer im Fokus, Rede und Antwort stehen, Reden halten und mit der
Geschäftsleitung verhandeln, genau mein Ding waren. Ich hatte in der Zeit,
als ich noch nicht Vorsitzender war, sehr viel von unseren alten
Geschäftsführern gelernt und habe viel beobachtet und viele
Verhaltensweisen studiert und teilweise kopiert. Persönlich habe ich in
dieser Zeit sehr viel gelernt, auch wenn einige Themen sehr unerfreulich
und traurig waren. In meiner Amtszeit wurden zahlreiche Kündigungen
ausgesprochen, Geschäftsführer wurden ausgetauscht und Tarifverträge
angepasst. So bedauerlich das auch alles war, für mich war es eine sehr
lehrreiche Zeit. Ich verhandelte mit der Gewerkschaft, dem Arbeitgeber und
dem Arbeitgeberverband und durfte hier nie die Kolleginnen und Kollegen
vergessen. Wir haben versucht, das Beste für die Betroffenen herauszuholen.
Es war wie gesagt eine schwere Zeit, aber wir haben versucht, die Firma
wieder aufzurichten, arbeitsmäßig und moralisch, was nach so einer Zeit
nicht einfach ist. Ich sah nach über 16 Jahren bei meiner Firma keine
großen Perspektiven und erhielt nach meiner Wiederwahl zum Vorsitzenden ein
Angebot von der Gewerkschaft. Ich habe lange und sehr intensiv nachgedacht
und schäme mich auch nicht der Tränen, die ich vergossen habe. Nach 16
Jahren endete meine Reise und ich brach zu neuen Ufern auf. Beim DGB bin
ich nun über drei Jahre und zeichne mich hauptsächlich durch mein
strukturiertes, organisatorisches, aber auch kreatives Arbeiten aus.

Was treibt mich an:

Ich habe einmal gelesen, dass Sonnenblumen sich immer nach der Sonne
ausrichten; finden sie keine Sonne, wenden sie sich gegenseitig zu und
geben sich gegenseitig Kraft. Wenn wir Menschen uns gegenseitig zuwenden,
zuhören und zusammenarbeiten, kann etwas ganz Großes entstehen.
Ein gutes Team ist der Garant für Erfolg und tolle Arbeit.
Ich liebes es, mit Menschen zusammenzuarbeiten, liebe die Momente und
beobachte sehr gerne, bringe mich ein und baue Brücken. Die besten
Geschichten schreibt das Leben selbst.

Was kann ich für Sie/dich machen?

In meiner ganzen Zeit habe ich immer eine Leidenschaft gehabt, die mich
durch alles begleitet hat: meine Rechner, meine Technik. Hier liegt meine
Begeisterung.
Wenn ich eines gelernt habe: Mitarbeiter bringen nur optimalen Erfolg, wenn
sie mit Leidenschaft und Begeisterung arbeiten.
Ich habe eine kommunikative, empathische Auffassung, bin technikaffin.

Projekte:

Warum Open Source, warum Linux – nun ich bin ein sehr idealistischer Mensch.
Die Geschichte von Linux und von Open Source sind für mich wie ein modernes
Märchen.
Software, die frei und offen ist und jeder der es kann und mag, kann diese
kontrollieren und anpassen, das ist für mich Freiheit und Transparenz.

Proxmox

Als VM arbeite ich überwiegend mit der Open Source Software Proxmox und
habe dort zahlreiche Virtuelle Maschinen sowie LXE Container eingerichtet,
gewartet und abgesichert.
Proxmox VE basiert auf Debian GNU/Linux und nutzt einen modifizierten Linux
Kernel. Der Quellcode von Proxmox VE ist unter der Open Source-Lizenz GNU
Affero General Public License, Version 3 (GNU AGPL, v3)

Proxmox Backupserver

Zur Sicherung von Proxmox Servern verwende ich Proxmox Backup Server.
Proxmox Backup Server ist eine Enterprise-Backup-Lösung zur Sicherung und
Wiederherstellung von VMs, Containern und physischen Hosts. Die
inkrementellen und deduplizierten Proxmox Backups reduzieren die
Netzwerklast deutlich und sparen wertvollen Speicherplatz. Dank
Verschlüsselung und Methoden zur Gewährleistung der Datenintegrität sind
Backups immer sicher, selbst bei Off-Site-Sicherung zu Zielen, denen nicht
vollständig vertraut werden kann.

Matrix Synapse

Zur Kommunikation verwende ich privat wie beruflich Matrix Synapse / Element.
Aus meiner Sicht ist diese Software zukunftsweisend und wird meines
erachtens in Zukunft immer mehr an Bedeutung gewinnen. In Sachen
Datenschutz und Datensicherheit hat Matrix durch seinen Aufbau deutliche
Vorteile.
Da aus meiner Sicht immer mehr Firmen, Behörden und Unternehmen auf
Datenschutz achten müssen, wird Matrix eine gute und kostenfreie Lösung
sein

Jitsi-Meet

Es muss nicht immer MS Teams, Zoom oder webex sein. Ich arbeite mit der
quelloffenen Software von Jitsi-Meet und habe hier in der Coronazeit viel
mit gearbeitet.

 5/5

Zurück

Weiter

Facebook Instagram Twitter Youtube

von sysadmin am 06.01.2022 18:51

Geländereiten in Wesel

Author: STEFAN FAHL
Aperture: 6
Camera: Canon EOS 5D Mark IV
Iso: 500
Copyright: FAHL. CC
Orientation: 1

« ‹ von 3 › »

von sysadmin am 05.01.2022 16:39

Ich habe hier im Blog schon eine Weile nichts mehr geschrieben, weil sich mein Fokus etwas verschoben hat. Wenn ich etwas zu sagen habe, dann tue ich das i.d.R. auf meinem Twitter-Profil und nicht mehr hier. Heute ist aber so ein Anlass, bei dem ich nicht in 280 Zeichen auskomme. Vor genau zwei Jahrzehnten, also […]

von feltel am 19.12.2021 11:53

Wie ihr schon im ersten Teil dieser kleinen Artikelserien zu LanguageTool lesen konntet, ist die Integration einer bestmöglichen Rechtschreibkorrektur in ein System gar nicht so einfach. Betreut man mehrere Rechner im Netz oder soll LanguageTool im Browser ohne den proprietären Dienst des kommerziellen Projekts funktionieren, lohnt es sich daher, selbst einen LanguageTool-Server aufzusetzen. So funkt LanguageTool weniger ins Netz und eure Texte bleiben vollständig unter eurer Kontrolle. Es braucht nur einen kleinen Rechner im eigenen LAN mit ausreichend freiem Speicherplatz, mindestens 4 GByte solltet ihr übrig haben. Optional installiert ihr euch den Server auf der eigenen Workstation.

Ursprünglich hatte ich auch gedacht, dass LanguageTool eine ideale Ergänzung für meinen Raspberry Pi wäre, der hier im LAN bereits als File-, Drucker- und Scan-Server sowie generell als stromsparende eierlegende Wollmilchsau arbeitet. Doch hier wirds leider hakelig: LanguageTool benötigt zwingend ein 64 Bit-System als Basis. Das bietet die vierte Generation des Raspberry Pi zusammen mit der ARM64-Version des Raspberry Pi OS zwar, doch am Ende scheitert es an Java-Bibliotheken, die auch auf dieser Version des Betriebssystems nur in der 32 Bit-Version vorliegen. Auf die Situation gehe ich am Ende des Artikels ein. Im Folgenden nutze ich einen kleinen Server auf Basis von Debian.

Installation von LanguageTool

Für den LanguageTool-Server benötigt ihr ein Linux-System mit einer Java-Runtime-Umgebung. Auf einem Debian-basiertem System, wie etwa auch Ubuntu oder Linux Mint, spielen die folgenden Kommandos alles Nötige ein. Die Installation der N-Gramm-Daten (zum Erkennen von Schreibfehler wie „viel“ statt „fiel“, „seit“ statt „seid“ oder „Stil“ statt „Stiel“) ist optional. Sie verbessert die Erkennung von oft falsch geschrieben Wörter, schaufelt allerdings nochmal ein paar Gigabyte mehr an Daten auf den Rechner. Für optimale Ergebnisse würde ich diesen Schritt allerdings nicht übergehen und zumindest die N-Gramm-Daten für Deutsch einspielen.

### Installation von LanguageTool:
$ sudo apt install default-jre-headless unzip
$ sudo apt install hunspell hunspell-de-de hunspell-en-us
$ wget https://languagetool.org/download/LanguageTool-stable.zip
$ unzip LanguageTool-stable.zip
$ sudo mv LanguageTool-*.*/ /opt/LanguageTool
$ rm LanguageTool-stable.zip

### Installation der N-Gramm-Daten für Deutsch (~3,5 GByte):
$ sudo mkdir /opt/LanguageTool/ngrams
$ wget https://languagetool.org/download/ngram-data/ngrams-de-20150819.zip
$ sudo unzip ngrams-de-20150819.zip -d /opt/LanguageTool/ngrams
$ rm ngrams-de-20150819.zip
### Installation der N-Gramm-Daten für Englisch (~8,0 GByte):
$ wget https://languagetool.org/download/ngram-data/ngrams-en-20150817.zip
$ sudo unzip ngrams-en-20150817.zip -d /opt/LanguageTool/ngrams
$ rm ngrams-en-20150817.zip

### LanguageTool benötigt über 3 GByte Speicherplatz:
$ du -hs /opt/LanguageTool
3.4G	/opt/LanguageTool

Für einen ersten Test wechselt ihr nun auf dem Terminal in das Installationsverzeichnis unter /opt/LanguageTool des LanguageTool-Archivs. Das zweite Kommando aus dem folgenden Listing startet dann testweise die Server-Komponente von LanguageTool. Der Dienst lauscht auf Port 8081 auf Anfragen, mehr braucht es bei diesem Schritt auch noch nicht. Mit der Tastenkombination [Strg]+[C] beendet ihr den Dienst und kehrt wieder auf die Shell zurück.

$ cd /opt/LanguageTool
$ java -cp languagetool-server.jar org.languagetool.server.HTTPServer --port 8081
2021-12-17 20:47:34.423 +0100 INFO  org.languagetool.server.DatabaseAccessOpenSource Not setting up database access, dbDriver is not configured
2021-12-17 19:47:34 +0000 WARNING: running in HTTP mode, consider running LanguageTool behind a reverse proxy that takes care of encryption (HTTPS)
2021-12-17 19:47:37 +0000 Setting up thread pool with 10 threads
2021-12-17 19:47:37 +0000 Starting LanguageTool 5.5 (build date: 2021-10-02 12:33:00 +0000, 5e782cc) server on http://localhost:8081...
2021-12-17 19:47:37 +0000 Server started

Damit LanguageTool jetzt die von euch optional installierten N-Gramm-Daten integriert, erstellt ihr nun mit einem Editor wie Nano unterhalb des Ordners /opt/LanguageTool die Konfigurationsdatei languagetool.cfg. Als Inhalt fügt ihr die Ausgabe nach dem im folgenden Listing eingefügten Kommando cat languagetool.cfg ein. Mit der Tastenkombination [Strg]+[O] und [Eingabe] speichert ihr die Änderung des Editors ab, mit [Strg]+[O] geht es dann zurück auf die Shell. Selbstverständlich könnt ihr auch jeden anderen Editor verwenden.

$ sudo nano /opt/LanguageTool/languagetool.cfg
$ cat languagetool.cfg
languageModel=/opt/LanguageTool/ngrams/

LanguageTool-Server automatisch starten

Damit der LanguageTool-Server nun automatisch mit dem Rechner hochfährt, legt ihr eine sogenannte Unit für Systemd an. Dazu übertragt ihr den Inhalt aus dem folgenden Listing in die noch zu erstellende Datei /etc/systemd/system/languagetool.service. Orientiert euch beim Aufruf des Editors an der Nano-Zeile im vorhergehenden Listing. Alle Pfade beziehen sich auf den bei der Installation gewählten Ordner /opt/LanguageTool. Habt ihr ein anderes Installationsziel gewählt, müsst ihr die Pfade selbstverständlich in der Unit-Datei anpassen.

[Unit]
Description=LanguageTool
After=syslog.target
After=network.target

[Service]
Type=simple
User=languagetool
Group=nogroup
WorkingDirectory=/opt/LanguageTool
ExecStart=/usr/bin/java -cp /opt/LanguageTool/languagetool-server.jar org.languagetool.server.HTTPServer --config languagetool.cfg --port 8081 --allow-origin "*" --public
Restart=always
#Environment=USER= HOME=/opt/LanguageTool

[Install]
WantedBy=multi-user.target

Damit LanguageTool nicht mit Root-Rechten oder mit den Rechten eures Benutzers laufen muss, legt ihr nun noch einen eigenen System-Benutzer mit dem Namen languagetool an, ein Home-Verzeichnis braucht er nicht. Er muss sich auch nicht anmelden, daher wird auch kein Passwort gesetzt. Anschließend lasst ihr Systemd seine Konfiguration neu einlesen und aktiviert das Starten des LanguageTool-Servers. Danach ruft ihr den Dienst einmal von Hand auf und lässt euch zur Kontrolle den Status ausgeben. Der Dienst sollte sich mit active (running) zurückmelden und auch die ersten Logeinträge ausgeben.

$ sudo adduser --system --no-create-home languagetool
$ sudo systemctl daemon-reload
$ sudo systemctl enable languagetool
$ sudo systemctl start languagetool
$ sudo systemctl status languagetool
● languagetool.service - LanguageTool
● languagetool.service - LanguageTool
     Loaded: loaded (/etc/systemd/system/languagetool.service; disabled; vendor preset: enabled)
     Active: active (running) since Sat 2021-12-18 00:36:38 CET; 4s ago
   Main PID: 4763 (java)
      Tasks: 14 (limit: 2314)
     Memory: 72.3M
        CPU: 1.569s
     CGroup: /system.slice/languagetool.service
             └─4763 /usr/bin/java -cp /opt/LanguageTool/languagetool-server.jar org.languagetool.server.HTTPServer --config languagetool.cfg --port 8081 --allow-origin * --public

Dez 18 00:36:38 lui-test systemd[1]: Started LanguageTool.
Dez 18 00:36:39 lui-test java[4763]: 2021-12-18 00:36:39.486 +0100 INFO  org.languagetool.server.DatabaseAccessOpenSource Not setting up database access, dbDriver is not configured
Dez 18 00:36:39 lui-test java[4763]: 2021-12-17 23:36:39 +0000 WARNING: running in HTTP mode, consider running LanguageTool behind a reverse proxy that takes care of encryption (HTTPS)
Dez 18 00:36:39 lui-test java[4763]: 2021-12-17 23:36:39 +0000 WARNING: running in public mode, LanguageTool API can be accessed without restrictions!
Dez 18 00:36:40 lui-test java[4763]: 2021-12-17 23:36:40 +0000 Setting up thread pool with 10 threads
Dez 18 00:36:40 lui-test java[4763]: 2021-12-17 23:36:40 +0000 Starting LanguageTool 5.5 (build date: 2021-10-02 12:33:00 +0000, 5e782cc) server on http://localhost:8081...
Dez 18 00:36:40 lui-test java[4763]: 2021-12-17 23:36:40 +0000 Server started

Chrome/Firefox und LibreOffice konfigurieren

Im Gegensatz zur LanguageTool-Erweiterung für LibreOffice arbeiten die Browser-Erweiterungen für Chrome und Firefox in der Standardkonfiguration immer mit dem kommerziellen Backend des Dienstes zusammen. Um nun euren eigenen LanguageTool-Server in die Einstellungen einzutragen, öffnet ihr (unter Chrome) über das Menü mit den drei Punkten rechts oben den Eintrag Weitere Tools | Erweiterungen. Dort sucht ihr dann die Karte zur Grammatik- und Rechtschreibprüfung – LanguageTool heraus und tippt auf den Button Details, im nächsten Dialog dann weiter auf die Optionen. In den Einstellungen zu LanguageTool angekommen, müsst ihr euch via Ausloggen vom Dienst abmelden. Danach könnt ihr unter Experimentelle Einstellungen (nur für Profis) die URL zum eigenen LanguageTool-Server in der Art http://Server-IP:Port/v2 eintragen.

Nach der Installation tragt ihr euren LanguageTool-Server in Chrome oder Firefox ein.

Ähnlich funktioniert die Konfiguration auch mit der LanguageTool-Erweiterung für LibreOffice. Hier öffnet ihr über den Menüeintrag Extras | LanguageTool | Optionen… die Einstellungen. Die URL zu eurem Server tragt ihr dann im Reiter Allgemein ein. Im Gegensatz zur Konfiguration der Browser-Erweiterung kommt hier allerdings kein /v2 an das Ende der URL. Es genügt die Server-IP zusammen mit der Nummer des Ports einzutippen. Das N-Gramm-Verzeichis (wie im Screenshot abgebildet) müsst ihr nicht zwingend lokal abspeichern. Nutzt ihr einen Server mit eigenen N-Gramm-Daten, ist dieser Schritt natürlich nicht nötig.

Auch die LanguageTool-Erweiterung kann man auf einen den eigenen Server umleiten.

LanguageTool auf einem Raspberry Pi

Im Prinzip erfüllt der Raspberry Pi die Anforderungen von LanguageTool: Ausreichend Speicherplatz lässt sich mit einer entsprechend großen Speicherkarte schaffen. Auch die Rechenkapazität der vierten Generation des Mini-Rechners genügt vollkommen. Und der Raspberry Pi 4 lässt sich zusammen mit der ARM64-Version des Raspberry Pi OS auch mit 64 Bit fahren, den Server gibt es nur in einer 64-Bit-Version. Die Installation und der Aufruf funktioniert daher auch, schiebt man allerdings die ersten Texte zur Korrektur auf den Raspberry Pi, dann meldet das System Probleme mit Hunspell und BridJ.

pi@raspberrypi:/opt/LanguageTool $ java -cp /opt/LanguageTool/languagetool-server.jar org.languagetool.server.HTTPServer --config languagetool.cfg --port 8081 --allow-origin "*" --public
[...]
/tmp/BridJExtractedLibraries1395486954380915815/libbridj.so: Kann die Shared-Object-Datei nicht öffnen: Datei oder Verzeichnis nicht gefunden (Possible cause: can't load AMD 64-bit .so on a AARCH64-bit platform))
[...]
Caused by: java.lang.RuntimeException: Could not create hunspell instance. Please note that LanguageTool supports only 64-bit platforms (Linux, Windows, Mac) and that it requires a 64-bit JVM (Java).

Die Thematik wird bereits im Github des LanguageTool-Projekts diskutiert. Dort gibt auch einen Patch für BridJ sowie einen Workaround für Hunspell — ich habe beides allerdings hier bei mir nicht zum Laufen gebracht. Wer noch ein wenig mehr Experimentieren möchte, dem würde ich zu diesem Docker-Image für LanguageTool von Erik van Leeuwen raten. Es soll auch auf ARM64 laufen, also auch auf einem Raspberry Pi der vierten Generation. Ich habe hier bei mir allerdings LanguageTool inzwischen zufriedenstellend auf einem kleinen Intel Nuc laufen, von daher habe ich mich nicht weiter mit dem Betrieb von LanguageTool auf einem Raspberry Pi beschäftigt.

von Christoph Langner am 19.12.2021 10:45

Kurze Notiz an mich:

logrotate ist empfindlich, was Kommentare und Leerzeilen angeht.

Zumindestens in der Version  3.7.4-14 

Zum testen eines neuen Eintrags auf jeden Fall mit

logrotate -d /etc/logrotate.d/xyzlog

im Debug Mode ausführen.  Damit bekommt man eine Fehleranalyse und macht nichts kaputt, weil dies nur eine Simulation ist.

Wirklich ausführen geht dann so:

logrotate -f /etc/logrotate.d/xyzlog

von bed (nospam@example.com) am 15.12.2021 10:27

Erweiterungen für den Gnome-Desktop sind eine zweischneidige Sache: Auf der einen Seite lässt sich auf diesem Weg so gut wie jedes Detail des Desktops anpassen, auf der anderen Seite gab es in der Vergangenheit bei Upgrades auf die jeweils nächste Gnome-Version immer wieder Probleme. Ich hatte schon das Vergnügen, dass ich in der virtuellen Konsole die Konfigurationsdateien von Gnome löschen musste, um mich wieder ins System einloggen zu können — ohne diese Aktion lud Gnome nur den blanken Hintergrund. Da ich nun aber schon seit einiger Zeit auf Experimente mit Erweiterungen verzichte, kann nicht ich sagen, ob sich die Situation inzwischen grundlegend verbessert hat. Ich lese in Foren und Blogs allerdings weitaus seltener negative Berichte. Nicht desto trotz empfehle ich vor dem Einspielen „großer“ Gnome-Updates die gerade aktivierten Erweiterungen vorübergehend zu deaktivieren.

Es gibt aber durchaus ein paar Erweiterungen, die ich nicht missen möchte: Dazu gehört zum Beispiel GSConnect zum Andocken des Desktops an KDE Connect, sodass Benachrichtigungen des Handys an den Desktop weitergeleitet werden oder die Musikwiedergabe automatisch stoppt, sobald ein Anruf eingeht. Der Abgleich der Zwischenablage für Copy&Paste ist auch praktisch. Aus Nostalgiegründen gehört aber aktuell auch der Desktop Cube dazu. Die Erweiterung ergänzt Gnome mit einem 3D-Würfel, wie ihr ihn eventuell noch von Compiz her kennt — einen Rechner mit schneller Grafikkarte braucht es dafür nicht zwingend. Bei mir genügt ein Intel Core i7-7700T mit einer internen HD Graphics 630. An der Erweiterung wird auf Github aktuell aktiv gearbeitet, die fünfte Version des Addons wurde gerade erst vor zwei Tagen veröffentlicht. Neu ist ein einfacher Dialog zur Konfiguration der wichtigsten Parameter, sodass ihr den Würfel an eure eigenen Vorstellungen anpassen könnt.

Die fünfte Version des Desktop Cube enthält nun einen Dialog zur Konfiguration des Würfels.

von Christoph Langner am 14.12.2021 12:34

Manchmal möchte man ein Lied oder eine Playlist abspielen, die man nicht lokal in der mpd-Datenbank hat. Häufig findet man diese Lieder dann bei youtube. Da ich über meinen mpd mittels snapcast Musik gleichzeitig in mehreren Räumen abspielen kann möchte ich natürlich mpd auch für youtube nutzen.

Dazu habe ich mir ein kleines script geschrieben, welches das Lied oder die Playliste mit mpd abspielt.

Vorraussetzungen um das script nutzen zu können sind mpc und yt-dlp oder youtube-dl.

#! /bin/bash

# MPDPIPE
# Copyright (C) 2021 Martin Dosch 
# 
# This program is free software: you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation, either version 3 of the License, or
# (at your option) any later version.
# 
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
# 
# You should have received a copy of the GNU General Public License
# along with this program.  If not, see <http://www.gnu.org/licenses/>.

YTDL=$(command -v yt-dlp)
if [[ -z "$YTDL" ]]
then
	YTDL=$(command -v youtube-dl)
	if [[ -z "$YTDL" ]]
	then
		echo "No youtube-dl found."
		exit
	fi
fi

MPC=$(command -v mpc)
if [[ -z "$MPC" ]]
then
	echo "No mpc found."
	exit
fi

get_song_url () {
	URL=$("$YTDL" -qgf bestaudio "$1")
}

check_url () {
	REGEX='(https?|ftp|file)://[-A-Za-z0-9\+&@#/%?=~_|!:,.;]*[-A-Za-z0-9\+&@#/%=~_|]'
	if [[ ! $1 =~ $REGEX ]]
	then
		echo "$1 is not a valid URL."
		exit
	fi
}

show_help () {
	BASENAME=$(command -v basename)
	if [[ -z "$BASENAME" ]]
	then
		PROGRAM="$0"
	else
		PROGRAM=$($BASENAME "$0")
	fi
	echo "USAGE:"
	echo "$PROGRAM URL"
	echo "$PROGRAM MPD_HOST URL" 
	exit
}


case $# in
	1)
		if [ "$1" = "help" ] || [ "$1" = "--help" ]
		then
			show_help
		fi
		MPC_COMMAND="$MPC"
		INPUT="$1"
		;;
	2)
		MPC_COMMAND="$MPC -h $1"
		INPUT="$2"
		;;
	*)
		echo "Invalid input."
		show_help
		;;
esac

check_url "$INPUT"

$MPC_COMMAND clear
FIRSTRUN=1

for LINK in $("$YTDL" --flat-playlist --no-warnings -qg "$INPUT")
do
	get_song_url "$LINK"
	if [ -n "$URL" ]
	then
		$MPC_COMMAND add "$URL"
		if [ $FIRSTRUN -eq 1 ]
		then
			$MPC_COMMAND play
			FIRSTRUN=0
		fi
	fi
done

Ich werde das script hier aktuell halten, aber für den Fall, dass ich es doch mal vergesse: Ich habe es auch auf salsa.debian.org veröffentlicht.

04.12.2021 15:00

Als Anhänger der NHL Serie auf dem PC hatte ich mir vor ein paar Jahren extra eine PS4 gekauft. Ich verstehe noch immer nicht, weshalb EA nebst FIFA nicht auch NHL für den PC rausbringt. Die Vermutung liegt nahe, dass in unseren Breiten Eishockey wohl einen geringen Verbreitungsgrad hat. Dabei ist das Spiel selbst wirklich […]

The post EA Sports NHL Hockey 2022 Pucks und Bugs inklusive first appeared on www.pc-howto.com.

von Daniel am 17.11.2021 16:07

Ich teste in letzter Zeit Vieles bezüglich „Gaming unter Linux“. Meine präferierte Plattform war hier „Debian Testing“. Grundlegend verwende ich Debian GNU Linux für viele Projekte und kenne mich damit deshalb relativ gut aus. Folgendes ist nun aber in den letzten Tagen passiert: Ich habe ein dist-upgrade durchgeführt. Im Zuge des Upgrades wurden viele der […]

The post Debian Testing doch keine stabile Gamingplattform? first appeared on www.pc-howto.com.

von Daniel am 17.11.2021 09:03

2017 schrieb ich über die Einrichtung von DNSCrypt in Debian, mittlerweile nutze ich aber DNS-over-TLS (DoT) mit einem eigenen server. Sowohl auf Server-, als auch auf Client-Seite nutze ich knot-resolver.

Einrichtung

Server

Zuerst muss das Paket knot-resolver installiert werden:

apt install knot-resolver

Danach muss /etc/knot-resolver/kresd.conf editiert werden:

net.listen('127.0.0.1', 53)
net.listen('IP4', 853, { kind = 'tls' })
net.listen('IP6', 853, { kind = 'tls' })
user('knot-resolver','knot-resolver')
cache.size = 2*GB

modules = {
  'view',
  'hints > iterate',
  'serve_stale < cache',
  'workarounds < iterate'
}

Statt IP4 und IP6 muss natürlich die IP-Adresse eingegeben werden, auf der der server über DoT erreichbar sein soll. Ggf. muss man natürlich auch noch den Port 853 in der firewall für Zugriffe von Außen freigeben.

Anschließend aktiviert man den server folgendermaßen:

systemctl enable --now kresd@{1..4}.service

Zugriff auf TLS-Zertifkate

Ohne weitere Konfiguration benutzt kresd selbstsignierte Zertifikate für DoT. Ich habe auf meinem server bereits Zertifikate von Let’s Encrypt und möchte diese auch für DoT nutzen. Um die Zertifikate für kresd erreichbar zu machen habe ich ein kleines Skript geschrieben:

cp /etc/letsencrypt/live/mdosch.de/privkey.pem /var/lib/knot-resolver
cp /etc/letsencrypt/live/mdosch.de/fullchain.pem /var/lib/knot-resolver
chown -R knot-resolver:knot-resolver /var/lib/knot-resolver 
chmod 700 /var/lib/knot-resolver
systemctl restart kresd@{1..4}.service

Die Pfade der Zertifikate sind natürlich anzupassen und das Skript muss nach dem Speichern ausführbar gemacht werden:

chmod +x /pfad/zum/script.sh

Damit das Skript auch ausgeführt wird wenn certbot die Zertifikate erneuert, lasse ich es mittels --renew-hook aufrufen.

Nun muss die Konfiguration abgeändert werden (Zeile 1) damit kresd die Zertifikate auch nutzt:

net.tls("/var/lib/knot-resolver/fullchain.pem", "/var/lib/knot-resolver/privkey.pem")
net.listen('127.0.0.1', 53)
net.listen('IP4', 853, { kind = 'tls' })
net.listen('IP6', 853, { kind = 'tls' })
user('knot-resolver','knot-resolver')
cache.size = 2*GB

modules = {    
  'view',                   
  'hints > iterate',         
  'serve_stale < cache',     
  'workarounds < iterate'
}

Danach muss kresd neu gestart werden:

systemctl restart kresd@{1..4}.service

Werbung und Tracking filtern

Ich möchte Werbung und Tracking direkt auf DNS-Ebene blocken und nutze dafür die Blocklisten von hBlock. Wenn man das hBlock-repo klont und dort make hosts ausführt erhält man u.a. eine Datei hosts_rpz.txt im Ordner dist. Diese Datei kann kresd einlesen und die dort gelisteten hosts bei DNS-Abfragen blockieren. Die Konfiguration muss folgendermaßen angepasst werden (Zeilen 13 und 16):

net.tls("/var/lib/knot-resolver/fullchain.pem", "/var/lib/knot-resolver/privkey.pem")
net.listen('127.0.0.1', 53)
net.listen('IP4', 853, { kind = 'tls' })
net.listen('IP6', 853, { kind = 'tls' })
user('knot-resolver','knot-resolver')
cache.size = 2*GB

modules = {    
  'view',                   
  'hints > iterate',         
  'serve_stale < cache',     
  'workarounds < iterate',
  'policy'
}

policy.add(policy.rpz(policy.DENY, '/pfad/zu/hosts_rpz.txt'))

Danach muss kresd wieder neu gestart werden:

systemctl restart kresd@{1..4}.service

Client

Auf dem client muss ebenfalls das Paket knot-resolver installiert werden:

apt install knot-resolver

Die Konfiguration /etc/knot-resolver/kresd.conf gestaltet sich auf dem client recht simpel:

net.listen('127.0.0.1', 53, { kind = 'dns' })

modules = {
        'policy',
}

policy.add(policy.all(policy.TLS_FORWARD({
    {'5.181.50.75', hostname='mdosch.de'},
    {'2a03:4000:3f:1c8:8839:33ff:feba:fe4a', hostname='mdosch.de'},
})))

Die IPs und der hostname müssen natürlich gegen eure IPs und domain ausgetauscht werden.

Auch hier muss kresd aktiviert werden:

systemctl enable --now kresd@{1..4}.service

Anschließend muss man dem System mitteilen, den DNS-forwarder unter 127.0.0.1:53 zu nutzen. Das tut man indem man die Datei /etc/resolv.conf folgendermaßen editiert:

nameserver 127.0.0.1

Ggf. muss man noch den NetworkManager zähmen, damit dieser nicht die Datei /etc/resolv.conf überschreibt.

Android

Unter Android kann der DoT server folgendermaßen konfiguriert werden:

Einstellungen → Netzwerk & Internet → Erweitert → Privates DNS

Dort ist dann die domain, in meinem Fall z.B. mdosch.de, einzutragen.

Test

Zum testen kann man den Befehl dig aus dem Paket bind9-dnsutils nutzen. Mit z.B. dig debian.org bekommt man folgende Ausgabe:

dig debian.org      

; <<>> DiG 9.17.19-1-Debian <<>> debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13249
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.org.			IN	A

;; ANSWER SECTION:
debian.org.		280	IN	A	128.31.0.62
debian.org.		280	IN	A	130.89.148.77
debian.org.		280	IN	A	149.20.4.15

;; Query time: 240 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Sun Oct 31 11:00:57 CET 2021
;; MSG SIZE  rcvd: 87

Hier wurde die domain debian.org erfolgreich aufgelöst und die Zeile ;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) zeigt, dass der lokale DNS-forwarder benutzt wurde.

Man kann natürlich auch Webseiten, wie z.B. dnsleaktest.com, benutzen um zu sehen welche DNS-server benutzt werden.

Mit dig google-analytics.com kann getestet werden ob das Blocken von Werbung und Tracking auch funktioniert:

dig google-analytics.com

; <<>> DiG 9.17.19-1-Debian <<>> @127.0.0.1 google-analytics.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 19517
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;google-analytics.com.		IN	A

;; Query time: 220 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Sun Oct 31 11:03:38 CET 2021
;; MSG SIZE  rcvd: 49

Hier wurde google-analytics nicht aufgelöst, die Blockliste wird also genutzt.

31.10.2021 10:05

Das OLG Köln ist in dem Berufungsverfahren gegen die Savedroid AG im Ergebnis der Rechtsauffassung des Treuhänders gefolgt. Mit Zufriedenheit wurde das Urteil des Berufungsgerichts vom 13.10.2021 (11 U 56/20) aufgenommen. Das OLG Köln versagte die unmittelbare Herausgabe der Token mit einem aktuellen Wert von nunmehr ca. 40 Mio EUR an die SVD AG. Die Voraussetzungen für die Auskehrung der treuhänderisch verwahrten Token an die SVD AG liegen nicht vor.

Hintergrund:

Seit Jahren liegen die Savedroid AG (SVD AG) mit dem Treuhänder im Streit. Der Treuhänder, der 2018 die ICO (Inital Coin Offering) begleitete, sah Mängel in der Durchführung der ICO seitens der SVD AG.

Die SVD AG ist ein krisengeplagtes Unternehmen, welches hauptsächlich durch Skandale (bzw. auch „Der Savedroid-Absturz„) auf sich aufmerksam gemacht hat. Die SVD AG ist eine 100% Tochter der Advanced Bitcoin Technologie AG (ABT AG, WKN: A2YPJ2 ). Der Konzern um die ABT AG schafft es seit vielen Jahren nicht, eine Erlaubnis für das Anbieten von Krypto- bzw. Finanzdienstleistungen zu bekommen. Und das, obwohl in drei EU-Staaten Standorte unterhalten werden. Es wird wohl seine Gründe haben, weshalb die jeweiligen Finanzaufsichten unabhängig von einander zu dem Ergebnis kommen, dass man die Unternehmensgruppe nicht auf Kunden loslassen dürfte. Mittlerweile hat sich der Konzern in der EU auch offiziell aus dem aktiven Kryptogeschäft zurückgezogen.

Innerhalb der Cryptocommunity gab es schon 2018 extremen Unmut bzgl. dem Geschäftsgebaren der Vorstände Dr. Yassin Hankir und Tobias Zander.

Es ist daher nicht verwunderlich, dass der Treuhänder sich den Sachverhalt einmal genauer anschauen wollte. Hierzu wünschte er detaillierte Unterlagen über die ICO von der SVD AG.

Anstelle die Unterlagen zur Verfügung zu stellen, suchte sich die SVD AG einen anderen, weniger kritischen Treuhänder. Anschließend kündigte sie den alten Treuhänder und verlangte die Herausgabe des Treuguts.

Die Herausgabe verweigerte der ursprüngliche Treuhänder mit dem Hinweis, dass dann die Schutzfunktion des „escrow“ für die Investoren ausgehebelt würde. Der Treuhandvertrag mit dem neuen Treuhänder enthielt explizit die Regelung, dass Voraussetzungen für die Tokenfreigabe gerade nicht geprüft werden sollen.

Urteil:

Erfreulich ist, dass das OLG Köln in Ablehnung des erstinstanzlichen Urteils der SVD AG die Herausgabe der Token verweigert. Die SVD AG ist hier mit ihrem Hauptantrag gescheitert. Das OLG Köln sah aber das Verhältnis zwischen der SVD AG und dem alten Treuhänder als zerrüttet an. Daher ist das Treugut an einen anderen Treuhänder auszukehren. Das Gericht hat aber zu verstehen geben, dass der neue Treuhänder die Einhaltung der Treuhandabrede zu prüfen hat, ob Investoren keine SVD-Token erhalten hätten. Hierzu muss der neue Treuhänder einen öffentlichen Aufruf starten. Hierauf müssen sich die Investoren dann melden. Die Begründung des Urteils liegt noch nicht vor. Näheres muss noch abgewartet werden.

Es sind eine nicht unerhebliche Zahl von Investoren bekannt, die behaupten, immer noch keine SVD-Token bekommen zu haben. Wenn die SVD AG nicht (wieder) eine Klagewelle lostreten möchte, muss sie diesmal die Beschwerden ernst nehmen.

Darüber hinaus läuft bei der STA Bonn ein Beschwerdeverfahren über die Wiederaufnahme der strafrechtlichen Ermittlungen. Gegenstand ist eine Strafanzeige wegen Prozessbetruges gegen der Vorstände Hankir und Zander. Einige Tatsachen wurden m.E. hier nicht oder nicht hinreichend geprüft.

Auch haben sich im Rahmen der langen zivilrechtlichen Auseinandersetzung einige Zeugen gemeldet und Beweise zur Verfügung gestellt. Diese sind geeignet auch das eingestellte Betrugsverfahren gegen die Vorstände in Frankfurt wieder aufzunehmen.

Es ist daher nicht unrealistisch, dass die SVD AG nicht lange Freude an dem Bitcoins & Co. haben wird. Es ist durchaus denkbar, dass das Treugut im Rahmen eines Strafverfahrens oder einer Restitutionsklage wieder herausgegeben werden muss.

HELLINGER.legal - Steuern | Recht | Cryptos

von AH am 18.10.2021 08:21

Der in FortiOS integrierte Packet Sniffer ist eines meiner meist genutzten Troubleshooting Tools der Fortinet FortiGate Firewalls. Der Packet Sniffer ist ein CLI Befehl mit folgendem Aufbau: Schnittstelle: Die Angabe der Schnittstelle erlaubt es die Ausgabe auf ein beliebiges Interface zu reduzieren. Soll keine Schnittstelle als Filter genutzt werden, so kann man dies durch die […]

von Dominik Kupschke am 27.09.2021 20:32

Um ein zentrales Git Repository mit mehreren Personen zu nutzen bieten sich verschiedene Methoden an. Als einfachste Lösung empfinde ich den Datenaustausch über einen Apache Webserver, da man aus den meisten Netzwerken ohne Probleme an den HTTPS Port 443 kommt.In diesem Tutorial sprechen die Clients mit dem Repository über das sogenannte „Git Smart HTTP“ Protokoll. […]

von Dominik Kupschke am 27.09.2021 10:45

Am 17.07. möchte die rechtsextreme Bruderschaft „Wolfsschar“ in Frankfurt (Oder) um 13 Uhr vom Bahnhofsvorplatz in die Innenstadt demonstrieren. Schon am 08.05. diesen Jahres hatte der neu gegründete Stadtverband der NPD eine Kundgebung organisierte. Nun möchte der gleiche Personenkreis rund um Siegfried Pauly und Martin Walmann unter dem Label „Wolfsschar“ durch die Stadt marschieren. Den […]

von invia1200 am 13.07.2021 08:10

Mit dem Programm mitmproxy (https://mitmproxy.org) kann man mittels eigenem Zertifikat als MITM eine HTTPS-Verbindung mitlesen.

Installation von mitmproxy

Installation über die Paketverwaltung:

apt install mitmpoxy

Das Paket wird von Debian und auch Kali Linux bereitgestellt.

Ansonsten ist mitmproxy Python und kann mittels PIP installiert werden (Das funktioniert auch unter Cygwin und auch unter Windows - Python gibt es im Microsoft Store. Wobei ein C/C++ Compiler benötigt wird):

pip install mitmproxy

SOCKS-Proxy starten

mitmweb --mode socks5 --no-web-open-browser

Dies startet einen SOCKS-Proxy Server am Port TCP/8080 und das HUD ist als Web-Interface unter http://localhost:8081 verfügbar.

Zertifikate importieren

Die Zertifikate befinden sich unter ~/.mitmproxy und es muss i.d.R. das mitmproxy-ca-cert.p12 importiert werden. Dieses (neue) Format fast die anderen einzelnen Dateien als eine Datei zusammen.

Ansonsten ist es wichtig das Zertifikat ~/.mitmproxy/mitmproxy-ca-cert.cer als CA in den Webbrowser zu importieren und als SOCKS-Proxy den Socket 127.0.0.1:8080 anzugeben.

Für Firefox öffne dazu Einstellungen/Datenschutz und Sicherheit/Zertifikate/Zertifikate anzeigen/Zertifizierungsstellen/Importieren… und importiere ~/.mitmproxy/mitmproxy-ca-cert.cer und aktiviere Dieser CA vertrauen, um Websites zu identifizieren.

https://support.mozilla.org/de/kb/zertifizierungsstellen-firefox-einrichten

Traffic über Proxy leiten

Außerdem muss auch eingestellt werden den Proxy s.o. zu nutzen.

Für Firefox öffne dazu Einstellungen/Allgemein/Verbindungs-Einstellungen und setze Manuelle Proxy-Konfiguration und setze SOCKS-Host und Port.

https://support.mozilla.org/de/kb/verbindungs-einstellungen-firefox

Transparent Proxy

Wird ein Transparent Proxy z.B. für Android und/oder Windows benötigt, erstellt man einen WLAN Hotspot wie folgt (Das Zertifikat s.o. muss dann zu den OS CAs hinzugefügt werden):

#!/usr/bin/env sudo
# Set up a wifi hotspot under Kali Linux
wifi_ap=wlan0
gateway=eth0
sysctl net.ipv4.conf.$wifi_ap.forwarding=1
sysctl net.ipv6.conf.$wifi_ap.forwarding=1
iptables -t nat -A PREROUTING -i $wifi_ap -p tcp -m multiport --dports 80,443 -j REDIRECT --to-port 8080
iptables -t nat -A POSTROUTING -o $gateway -j MASQUERADE
ip6tables -t nat -A PREROUTING -i $wifi_ap -p tcp -m multiport --dports 80,443 -j REDIRECT --to-port 8080
ip6tables -t nat -A POSTROUTING -o $gateway -j MASQUERADE
nmcli dev wifi hotspot ifname $wifi_ap
nmcli dev wifi show-password

Und dann mitmproxy starten:

# startet den Proxy; benötigt kein root
mitmweb --mode transparent --no-web-open-browser

Für mehr Informationen siehe auch mitmweb --help, nmcli --help und iptables --help.

Wie man unter Android oder Windows das Zertifikat importiert und den Proxy setzt, entnehmen Sie bitte dem Benutzerhandbuch.

mitmproxy

mitmdump

31.05.2021 12:58

Forscher legen Grundlagen für zellbasierte, regenerative Zahnbehandlungen.

“Die Einzelzell-Analyse könnte nicht nur für diagnostische Zwecke nützlich sein und die Früherkennung von Zahnerkrankungen unterstützen, sondern auch zur zellbasierten Regeneration von beschädigten Teilen der Zähne beitragen”, erklärt Mitsiadis. (red, 3.5.2021)

Quelle: www.derstandard.at

03.05.2021 00:00

Ich habe in den letzten Tagen auf einem Sony Xperia XA2 und einem Samsung Galaxy S4 das Betriebssystem /e/ aufgespielt. Und neben dem Datenschutz dem S4 ein zweites Leben geschenkt.

/e/ ist ein Google-freies, auf LineageOS basierendes Betriebssystem mit eigenen Webdiensten, das vom französischen Softwareentwickler und Gründer der Linux-Distribution Mandrake, Gaël Duval, ins Leben gerufen wurde.

Wikipediaartikel von /e/ – Stand 19.03.20

Der Vorgänger

Davor hatte ich ein Intex Aquafish mit SailfishOS. Das ist zwar ein tolles System, aber beispielsweise bei den Bankingapps gabs dann eben Probleme (da, die ein ungerootetes System wollten). Und es schaffte die Aktualisierung auf Version 4 nicht. Ich glaube zwar noch daran, dass eine spätere Unterversion wieder gehen wird, aber ich hab grad meine Glaskugel nicht da. Dieses Smartphone habe ich auf Ebay verkauft – schön, dass es einen neuen Besitzer gefunden hat.

Das Sony Xperia XA2

Das Sony Xperia XA2 ist ein schönes Handy, mit 5,2 Zoll Display, da ich kein großes Smartphone mit mir herumtragen möchte. Die Installation verlief folgendermaßen:

• Anleitung auf e.foundation folgen. Den Bootloader entsperren, TWRP installieren, ein Recovery installieren, /e/ installieren. Es gab am Ende eine Abweichung von der Anleitung, aber es hat funktioniert.
• Feststellen, dass der Multimedia-Ton nicht geht, im Forum fragen und die Antwort bekommen, dass man vor der Installation Android updaten muss. (Dies wurde umgehend in der Anleitung ergänzt – vorbildlich)
• Also: Windows Rechner organisieren, per Sony-Software Android installieren (entweder das Aktuelle oder ein OTA Update machen) und wieder ganz von vorne anfangen.
• Ein paar Mal auf Werkseinstellungen zurücksetzen und schon gings

War es den Aufwand wert? Natürlich! Ich habe jetzt ein gut funktionierendes Smartphone, das ich per Caldav und Carddav mit meiner Nextcloud verbinde (es gibt zwar ein e-Konto, aber das Handy funktioniert eben auch ohne). Es funktionieren auch Banking-Apps, die auf einem gerooteten Handy nicht laufen würden. Und der Multimediasound ist zwar da, geht aber stets mit einem Rauschen einher. Wenn man laut hört, ist das kein Problem, hört man leise ist es störend.

Das Samsung Galaxy S4

Das Samsung war wirklich alt. Es gehört meiner Mutter und ich war erst unschlüssig, ob ich es nicht direkt entsorgen sollte. Die Installation:

• Bei meiner Version GT-l9505 war der Bootloader bereits entsperrt.
• Die Anleitung ließ sich ohne Probleme durchlaufen. Ich musste nur verstehen, dass es einen Unterschied gibt zwischen „Homebutton, Lauter und On“ und „Homebutton, Leiser und On“.

Hat es sich gelohnt? Oh ja! Das Smartphone war lange in Betrieb. Das Betriebssystem veraltet und es lief furchtbar schlecht. Jetzt, mit frischem /e/ fühlt es sich nach einem aktuellen Smartphone an. Auch in der Geschwindigkeit des Hin- und Herwischen und wie schnell Apps geladen werden. Natürlich kein Vergleich zu einem aktuellen 1000 Euro Handy, aber im Vergleich zum Xperia XA2 kann es mithalten und der Multimediasound rauscht nicht. Für unter 10 Euro gibts bei Real einen neuen Akku für das Telefon und somit kann es noch eine ganze Weile genutzt werden. Gut für die Umwelt, gut für den Datenschutz.

Fazit

Beide Smartphones schicken jetzt zumindest weniger Daten an Großkonzerne. Natürlich bewegt man sich immer noch im Ökosystem von Android, aber für mich ist das ein guter Kompromiss aus Datenschutz und dass es funktionieren muss. Wobei ich bei der Funktion bisher keine Abstriche machen muss, eher bei der Zeit und dem Know-How, das ich hineinstecken muss, um soweit zu kommen. Es gibt bisher keine Funktionseinschränkung zu Android und gerade das S4 hat ein zweites Leben bekommen.

Datenschutz ist bereits jetzt schon etwas, das man sich leisten können muss. Entweder durch eigenes Wissen oder durch Geld.

Schön für die Umwelt ist, dass es für das Samsung schon lange keine Android-Updates mehr gibt, die Version von /e/ jedoch dieses Jahr aktualisiert wurde.

Wikipediaartikel von LineageOS: https://de.wikipedia.org/wiki/LineageOS
Wikipediaartikel von /e/: https://de.wikipedia.org/wiki//e/
Offizielle Homepage von /e/: https://e.foundation/

von Timotheus am 19.03.2021 11:08

https://www.heise.de/news/Datenschutzbeauftragter-Behoerden-sollten-unverzueglich-auf-Microsoft-verzichten-5990886.html

von Timotheus am 18.03.2021 10:53

„Rechtliche Schritte“ wollte sich die AfD-Bundestagsfraktion in der letzten Sitzungswoche vorbehalten, sollte der von der LINKEN beantragte Berichtspunkt zu den „Entscheidungsgründen des BfV für die Einstufung der AfD als Verdachtsfall“ in der Sitzung des Innenausschusses aufgerufen werden. Mit Presseberichten zu eben dieser Einstufung der AfD durch das BfV am Morgen der Sitzung, wurde diese leere […]

von invia1200 am 15.03.2021 09:54

LINBO ist eines der wesentlichen Features von linuxmuster.net – einer freien Schulserverlösung. Mit LINBO kann man viele PCs oder Laptops einfach und in wenig Zeit verwalten. Es hilft den administrativen Aufwand, den man mit vielen Geräten hat, in Grenzen zu halten. Viele Prozesse lassen sich zu dem automatisieren, sodass man fast alle Aufgaben, wie z.B. ein neues Image verteilen, aus der Ferne erledigen kann. Mit Version 7 hat linuxmuster.net ein neues & modernes Webinterface bekommen, einzig LINBO sah man das Alter mit seiner alten Benutzeroberfläche an. Doch damit scheint jetzt bald Schluss zu sein, denn eine neue GUI für LINBO befindet sich in der Testphase. Seht selbst.

Installation

Wer linuxmuster.net an der Schule bereits einsetzt und die neue GUI testen möchte (sie ist noch nicht für den produktiven Einsatz gedacht!), muss die „testing“-Paketquelle einrichten. Man öffnet die Datei /etc/apt/sources.list.d/lmn7.list und ändert die Einträge wie folgt ab:

deb https://archive.linuxmuster.net lmn7-testing/
deb-src https://archive.linuxmuster.net lmn7-testing/

Danach kann man nach einem „apt update && apt upgrade“ die neue GUI für LINBO installieren:

$ apt install linuxmuster-linbo-gui7

Fertig.

Neue Optionen für die start.conf

Mit der neuen GUI gibt es auch ein paar neue Optionen für die start.conf Datei, die man manuell oder im Webinterface einstellen kann. Da alles noch in der Entwicklung ist, können sich diese Parameter aber noch ändern:

UseMinimalLayout = yes
Locale = en-US
BackgroundColor = 0c2842

Man kann also neben der Hintergrundfarbe auch die Sprache einstellen. UseMinimalLayout = yes sorgt dafür, dass LINBO in mit einer minimalistischen GUI startet (die aber sehr schick aussieht, siehe Screenshots).

Screenshots

Fazit

Mir gefällt die neue GUI sehr. Sie sieht toll & modern aus und lässt sich gut bedienen. Vielen Dank an Dorian Zedler!

3 Kommentare

Der Beitrag Neue GUI für LINBO erschien zuerst auf .:zefanjas:..

von zefanja am 15.01.2021 05:16

Es die Möglichkeit sein Tablet oder sein Handy per Kabel mit Daten zu versorgen. Gerade bei meinem Tablet kann ich auf diese Weise größere Updates machen oder Filme schauen und habe das W-LAN ausgeschaltet.

In meinem vorherigen Post habe ich beschrieben, wie ich das mit meinem Smartphone mit USB-C mache, in diesem Artikel geht es um mein Tablet mit Micro-USB.

Micro-USB ist dabei der „alte“ Standard und USB-C der Neue. Probiert einfach mal aus euren Stecker umzudrehen und wieder in euer Smartphone zu stecken. Wenns funktioniert habt ihr entweder ein iPhone oder USB-C, wenn nicht, dann Micro-USB – so einfach ist das.

Das Anschließen ist ebenfalls einfach.

1. Ich stecke den Micro-USB Stecker vom Adapter in mein Tablet.
2. Das LAN-Kabel in den Adapter.
3. Fertig

Mir ist aufgefallen, dass ich so nicht nur Funkstrahlung vermeide, sondern der Akku auch viel länger hält. Leider gibt es diese Adapter noch nicht mit der Möglichkeit gleichzeitig den Akku zu laden, sonst wäre das hier das Paradies.

Wenn ich mal kurz was nachschaue, nehme ich weiterhin W-LAN aber sobald ich länger am Schreibtisch oder auf dem Sofa sitze, nutze ich diesen Adapter.

Wer noch Studiert und in einem Raum in der Uni ist, der schlechtes W-LAN aber LAN-Kabel hat, der kann sich hiermit zu schnellem Internet verhelfen. Das gilt natürlich für Firmen, Wohnungen von Freunden usw.

Mein kleines Fazit (ist natürlich gleich, wie beim USB-C Adapter):

Günstig Funktioniert ab Android 3.1 Einfach Akku hält länger Schnelles Internet auf dem Handy Perfekt für die Arbeit am Schreibtisch Weniger Funkstrahlung	Funktioniert nicht mit POE (Laden und Daten gleichzeitig) Ich kann nicht rumlaufen und verlege dauernd den Adapter ; -)

Jetzt interessiert mich natürlich, wie gut das bei eurem Smartphone oder Tablet funktioniert hat?
Eure Antwort und eventuelle Fragen könnt ihr einfach hier in die Kommentare schreiben.

-<-,–{@ Euer Darian

von Darian am 27.12.2020 15:51

Prepare your PHP Code for Static Analysis

Three years ago I got a new job as PHP developer, before that I called myself web developer because I build ReactJS, jQuery, CSS, HTML, … and PHP  stuff for a web agency. So now I am a full-time PHP developer and I converted a non typed  (no PHPDoc + no native types) project with ~ 10.000 classes into a project with ~ 90% type coverage. Here is what I have learned.

1. Write code with IDE autocompletion support.

If you have autocompletion in the IDE most likely the Static Analysis can understand the code as well. 

Example:

bad:

->get('DB_Connection', true, false);

still bad:

->get(DB_Connection::class);

good:

getDbConnection(): DB_Connection

2. Magic in Code is bad for the long run!

Magic methods (__get, __set, …) for example can help to implement new stuff very fast, but the problem is nobody will understand it, you will have no autocompletion, no refactoring options, other developers will need more time to read and navigate in the code and in the end it will cost you much more time than you can save with it.

3. Break the spell on Magic Code …

… by explaining to everyone (Devs > IDE > Tools) what it does.

Example 1:

We use a simple Active Record Pattern, but we put all SQL stuff into the Factory classes, so that the Active Record class can be simple. (Example) But because of missing support for Generics we had no autocompletion without adding many dummy methods into the classes. So one of my first steps was to introduce a “PhpCsFixer” that automatically adds the missing methods of the parent class with the correct types via “@method”-comments into these classes. 

Example 2:

Sometimes you can use more modern PHPDocs to explain the function. Take a look at the “array_first” function in the linked Post.

Example 3:

/**
 * Return an array which has the Property-Values of the given Objects as Values.
 *
 * @param object[]    $ObjArray
 * @param string      $PropertyName
 * @param null|string $KeyPropertyName if given uses this Property as key for the returned Array otherwise the keys from the
 *                                     given array are used
 *
 * @throws Exception if no property with the given name was found
 *
 * @return array
 */
function propertyArray($ObjArray, $PropertyName, $KeyPropertyName = null): array {
    // init
    $PropertyArray = [];

    foreach ($ObjArray as $key => $Obj) {
        if (!\property_exists($Obj, $PropertyName)) {
            throw new Exception('No Property with Name ' . $PropertyName . ' in Object Found - Value');
        }

        $usedKey = $key;
        if ($KeyPropertyName) {
            if (!\property_exists($Obj, $KeyPropertyName)) {
                throw new Exception('No Property with Name ' . $PropertyName . ' in Object Found - Key');
            }
            $usedKey = $Obj->{$KeyPropertyName};
        }

        $PropertyArray[$usedKey] = $Obj->{$PropertyName};
    }

    return $PropertyArray;
}

Sometimes it’s hard to describe the specific output types, so here you need to extend the  functions of your Static Code Analyze Tool, so that it knows what you are doing. ⇾ for example here you can find a solution for PHPStan ⇽  but there is still no support for the IDE and so maybe it’s not the best idea to use magic like that at all. And I am sure it’s more simple to use specific and simple methods instead:  e.g. BillCollection->getBillDates()

4. Try to not use strings for the code.

Strings are simple and flexible, but they are also bad for the long run. Mostly strings are used because it looks like a simple solution, but often they are redundant, you will have typos everywhere and the IDE and/or Static Analysis can’t analyze them because it’s just text.

Example:

bad: 

AjaxEditDate::generator($bill->bill_id, $bill->date, 'Bill', 'date');

• “Bill” ⇾ is not needed here, we can call e.g. get_class($bill) in the “generator” method
• “date” ⇾ is not needed here, we can fetch the property name from the class
• “$bill->bill_id” ⇾ is not needed here, we can get the primary id value from the class

good:

AjaxEditDate::generator($bill, $bill->m()->date);

5. Automate stuff via git hook and check it via CI server.

Fixing bad code is only done if you disallow the same bad code for the future. With a pre-commit hook for git it’s simple to run these checks, but you need to check it again in the CI server because the developers can simply skip these checks.

Example:

I introduced a check for disallowing global variables (global $foo && $GLOBALS[‘foo’]) via “PHP_CodeSniffer”. 

Links:

• git-scm.com: git hooks
• CaptainHook: git hook library for php

6. Use array shapes (or collections) if you need to return an array, please.

Array shapes are like arrays but with fixed keys, so that you can define the types of each key in the PHPDocs.

You will have autocompletion for the IDE + all other devs can see what the method will return + you will notice if you’re better retuning an object because it will be very hard to describe the output for complex data structures and Static Analysis can use and check the types. 

Example:

/**
 * @return array{
 *    missing: array<ShoppingCartLib::TAB_*,string>,
 *    disabled: array<ShoppingCartLib::TAB_*,string>
 * }
 */
private static function getShoppingCartTabStatus(): array {
 ...
}

von voku am 13.12.2020 01:28

Unter openSUSE benutze ich QEMU/KVM und die Virtuelle Maschineneverwaltung (virt-manager) als GUI. Als virtuelle Maschinen laufen Linux- aber auch ein Windows-Rechner.

Damit die Windows-Maschine über Remotedesktop (RDP) erreichbar ist, müssen die Kommandozeilenargumente an QEMU durchgereicht werden, mit denen man den Port in KVM weiterleiten kann. Dazu wird die Konfigurations-Datei, die in XML geschrieben ist, bearbeitet:

sudo virsh --connect qemu:///session edit Windows10

Der Befehl öffnet den VIM-Editor, mit dem man die Konfigurationsdatei bearbeiten kann. Die erste Zeile der Datei wird um folgenden Eintrag erweitert:

Damit ermöglicht man es KVM, Kommandozeilenparameter von QEMU zu akzeptieren. In unserem Fall soll der Port für RDP vom Host zum Gast weitergereicht werden. Dazu trägt man gleich unter der ersten Zeile folgenden XML-Code ein:

Das Werkzeug zum Verwalten virtueller Maschinen virsh sortiert den Eintrag dann an die richtige Stelle in der XML-Datei nach dem Speichern.

Unter openSUSE muss dann noch firewalld mitgeteilt werden, dass der RDP-Port geöffnet werden soll, damit eine Verbindung hergestellt werden kann:

firewall-cmd --permanent --add-port=3389/tcp
firewall-cmd --reload

Unter Windows muss noch in den Einstellungen unter dem Punkt „Einstellungen für Remotedesktop“ der Remotedesktop aktiviert werden.

Als Client gibt es Remmina für den Zugriff über RDP. Dort fügt man eine neue Verbindung hinzu und verbindet sich mit seiner Windows-VM.

Remmina Remotedesktop Client mit Zugriff auf Windows 10 über RDP.

von Christian Imhorst am 21.11.2020 18:38

Besucht man heute eine durchschnittliche Website, so werden unzählige Skripte und Tracker nachgeladen. Dadurch können die Webseitenbetreiber, Google, Facebook, usw. Daten über mich sammeln und meinen Streifzug durch die Weiten des Internets verfolgen. Zum Glück muss man sich diesem Treiben nicht ergeben und es gibt viele sinnvolle Erweiterungen z.B. für den Browser (uBlock Origin, uMatrix, etc.). Diese Lösungen haben den Nachteil, dass ich sie auf jedem Gerät und für jeden Browser einzeln installieren muss. Deshalb möchte ich heute vorstellen, wie man Werbung und unerwünschte Inhalte mit pfSense und pfBlockerNG netzwerkweit filtern kann. Das ist z.B. sinnvoll in einem Heim- oder Schulnetzwerk.

pfBlockerNG installieren

Zuerst loggen wir uns in pfSense ein und öffnen den Package Manager. Dort wählen wir pfBlockerNG-devel unter „Available Packages“ aus:

Mit „Install“ können wir das Paket installieren. PfSense lädt nun das pfBlockerNG Paket herunter und fügt es der Firewall hinzu.

pfBlockerNG Ersteinrichtung

Als nächsten werden wir pfBlockerNG konfigurieren. Dazu gehen wir zu Firewall  → pfBlockerNG.

Es begrüßt und ein Assistent, der uns bei der Einrichtung von pfBlockerNG helfen wird. Mit „Next“ geht es weiter.

Auf der nächsten Seite wird erklärt, welche Dinge nun eingerichtet werden:

• Es wird ein Standard-Setup für Anfänger mit pfBlockerNG eingerichtet.
• Falls man vorher schon einmal pfBlockerNG installiert hatte, werden alle Einstellungen gelöscht.
• Zwei Komponenten werden installiert:
  • IP: Firewall-Regeln für die WAN-Schnittstelle, um die schlimmsten bekannten Angreifer zu sperren.
  • DNSBL: Werbung und andere bekannte bösartige Domains werden geblockt.

Mit „Next“ geht es wieder weiter.

Im nächsten Schritt müssen wir die eingehende Schnittstelle (WAN) und ausgehende Schnittstelle (LAN) auswählen. Wenn man mehrere interne Schnittstellen hat, kann man alle diejenigen auswählen für die man pfBlockerNG einrichten will. Möchte man z.B. das Gäste-WLAN filtern, aber nicht das WLAN für die Lehrkräfte, kann man hier die entsprechenden Schnittstellen aus bzw. abwählen.

Als nächstes müssen wir eine sogenannte VIP-Adresse festlegen. Auf dieser läuft der Webserver von pfBlockerNG und sollte unter keinen Umständen eine IP aus einem verwendeten Netzwerk sein! Wenn das LAN-Netz z.B. 192.168.1.1/24 ist, sollte die VIP-Adresse nicht in diesem Bereich liegen. Hier in unserem Beispiel lassen wir die Adresse bei 10.10.10.1. Die Ports muss man i.d.R. nicht ändern.

Das Setup ist nun fertig und wir können den Assistenten mit einem Klick auf „Finish“ beenden.

Danach öffnet sich die pfBlockerNG Updateseite und es werden automatisch alle aktivierten Blocklisten heruntergeladen und aktiviert.

pfBlockerNG einrichten

Wir haben nun ein fertig eingerichtetes pfBlockerNG Setup, dass unerwünschte Werbung und bösartige Domains und Webseiten blockiert. pfBlockerNG ist aber ein sehr mächtiges & flexibles Werkzeug. Deshalb möchte ich gern ein paar Einstellungen hervorheben.

Wichtig: Damit geänderte Einstellungen auch wirksam werden (egal, ob DNSBL oder IP), müssen wir unter Update → Reload → All → Run ausführen, damit die (geänderten) Listen heruntergeladen und aktiviert werden.

IP

Im IP Reiter, empfehle ich folgende Einstellungen:

• Floating Rules → Enable. Wenn man nur eine interne Schnittstelle hat, kann man es auch deaktiviert lassen. Bei vielen Schnittstellen (z.B. in einem Schulnetzwerk), macht es Sinn, diesen Punkt zu aktivieren, damit die Firewallregeln übersichtlicher bleiben.
• Kill States → Enable. Wenn pfBlockerNG die Blocklisten aktualisiert, werden alle aktiven Verbindungen zu IPs in den Listen zurückgesetzt.

GeoIP Blocking

Möchte man Zugriffe aus bestimmten Regionen der Erde verbieten, muss man sich zuallererst einen kostenloses Konto bei MaxMind erstellen. Daraufhin erhält man einen Lizenzschlüssel, den man unter IP → MaxMind GeoIP Configuration eintragen. Danach muss man einmal unter Update → Reload → IP die GeoIP Datenbanken herunterladen.

Nun können wir unter IP → GeoIP die gewünschten Kontinente oder Top-Spammer auswählen. Dazu klicken wir auf den kleinen Stift rechts und wählen dann in der Liste alle Einträge aus. Unten wählen wir noch „Deny Both“ (List Action).

Hinweis zu „Deny Inbound“ und „Deny Outbound“: „Deny Inbound“ bedeutet, dass die IPs für alle eingehenden Verbindungen geblockt werden. Wenn man z.B. einen Webserver betreibt und man möchte bestimmte Länder blocken, dann kann man das mit „Deny Inbound“ machen. „Deny Outbound“ gilt für alle ausgehenden Verbindungen, d.h. ich kann mich von einem Rechner im Netzwerk nicht zu dieser IP verbinden. Hier muss man aufpassen! Wenn ich z.B. alle IPs Nordamerikas mit „Deny outbound“ sperre, kann ich ab sofort keine Webseiten mehr erreichen, die auf diesem Kontinent gehostet sind!

DNSBL / Feeds

pfBlockerNG blockt neben IPs auch Domains. Es findet also keine Man-in-the-Middle-Attacke statt, um Inhalte zu filtern, sondern es wird einfach in eine lange Liste geschaut, ob eine Domain erlaubt ist oder nicht (funktioniert auch mit HTTPS). Unter Feeds können wir einstellen, welche Listen aktiv genutzt werden sollen. Es gibt dabei Feeds für IP Blocklisten, als auch für DNSBL, also Blocklisten für DNS / Domains.

Alle aktivierten Feeds haben einen Haken am Ende der Zeile. Wenn wir nun einen noch nicht aktiven Feed hinzufügen wollen, klicken wir einfach auf das „+“:

Es öffnet sich eine Seite auf der wir Details zu dem Feed einstellen können. Folgende Felder sind wichtig:

• State: ON
• Action: Unbound
• Update Frequency: Once a day

Manchmal möchte man einen Feed hinzufügen, der nicht in der Liste ist (z.B. einzelne Feeds von Steven Black). Dazu gehen wir zu DNSBL → DNSBL Groups und klicken unten auf „Add“:

Auf der nächsten Seite geben wir der DNSBL Gruppe einen Namen und fügen und DNSBL Source Definitions unseren Feed (oder mehrere) hinzu.

• Name: StevenBlack
• State: ON
• Source: https://raw.githubusercontent.com/StevenBlack/hosts/master/alternates/gambling/hosts
• Header / Label: Glückspiel
• Action: Unbound
• Update Frequency: Once a day

Mit „Save“ schließen wir den Vorgang ab.

Whitelists

Wenn eine Domain nicht geblockt werden soll, muss man sie unter DNSBL → DNSBL Whitelist in die Whiteliste aufnehmen. Wenn man einen Punkt („.“) vor den Domainnamen setzt, werden auch alle Subdomains freigeschaltet, sonst nur genau die (Sub)Domain, die man eingetragen hat.

SafeSearch

Unter DNSBL → DNSBL SafeSearch kann man SafeSearch für die bekanntesten Suchmaschinen einstellen. Weiterhin können wir auch noch DNS over HTTPS von Firefox blockieren sowie Beschränkungen für Youtube einstellen.

pfSense als DNS Server erzwingen

Damit auch alle Anfragen in unserem Netzwerk durch pfBlockerNG gefiltert werden, müssen wir verhindern, dass jemand im Netzwerk einen anderen DNS-Server als den DNS-Server von pfSense verwendet. Dazu erstellen wir 2 Regeln für die LAN-Schnittstelle (mehr Details hier):

Fazit

pfBlockerNG ist ein tolles Open Source Projekt. Es hilft Werbung, unerwünschte Inhalte und ganze Netzbereiche zu filtern. Egal ob IPs oder DNS-Blocklisten – mit pfBlockerNG kann man beides verwalten und so konfigurieren, wie man es für sein Netzwerk haben möchte. Es gibt aber auch Alternativen für pfBlockerNG, z.B. pi-hole, welches sich gut auf einem Raspberry Pi oder in einer VM bzw. Container installieren lässt. Unter Strich bleibt, dass ein werbefreies Netzwerk möglich ist!

Nutzt du pfBlockerNG oder pi-hole in deinem (Schul)Netzwerk?

2 Kommentare

Der Beitrag pfBlockerNG – Werbung und unerwünschte Inhalte filtern erschien zuerst auf .:zefanjas:..

von zefanja am 21.10.2020 14:13

Nach jeder Anmeldung bei openSUSE Tumbleweed nervt die Gnome Software-App damit, dass eine „Aktualisierung Fehlgeschlagen“ sei. Die Gnome Software-App versucht, eine Datei herunterzuladen:

Failed To Update 
 
Detailed errors from the package manager follow: 
 
Download (curl) error for 'http://download.opensuse.org/tumbleweed/repo/non-oss/repodata/repomd.xml': 
Error code: Connection failed 
Error message: Could not resolve host: download.opensuse.org

Angeblich kann der Hostname nicht aufgelöst werden, obwohl Internet und DNS funktionieren und die Webseite in der Fehlermeldung bei openSUSE auch erreichbar ist.

Die Lösung

Der Text befindet sich in der Datei /var/lib/PackageKit/offline-update-competed. Wenn man die Datei löscht, erscheint die Meldung nicht mehr:

sudo rm -rf /var/lib/PackageKit/offline-update-competed

von Christian Imhorst am 28.09.2020 16:10

Generics in PHP via PHPDocs

If you did not know that you can use Generics in PHP or you do not exactly know how to use it or why you should use it, then the next examples are for you.

Type variables via @template

The @template tag allows classes and functions to declare a generic type parameter. The next examples starts with simple functions, so that we understand how it works, and then we will see the power of this in classes.

A dummy function that will return the input.

⇾ https://phpstan.org/r/1922279b-9786-4523-939d-dddcfd4ebb86

    <?php    

    /**
     * @param \Exception $param
     * @return \Exception
     *
     * @template T of \Exception
     * @psalm-param T $param
     * @psalm-return T
     */
    function foo($param) { ... }

    foo(new \InvalidArgumentException()); // The static-analysis-tool knows that 
                                          // the type is still "\InvalidArgumentException" 
                                          // because of the type variable.

@template T of \Exception // here we create a new type variable, and we force that it must be an instance of \Exception

@phpstan-param T $param // here we say that the static-analysis-tool need to remember the type that this variable had before (you can use @psalm-* or @phpstan-* both works with both tools)

@phpstan-return T // and that the return type is the same as the input type 

A simple function that gets the first element of an array or a fallback. 

In the @param PHPDocs we write “mixed” because this function can handle different types. But this information is not very helpful if you want to understand programmatically what the code does, so we need to give the static-analysis-tools some more information. 

⇾ https://phpstan.org/r/1900a2af-f5c1-4942-939c-409928a5ac4a

    <?php
     
    /**
     * @param array<mixed> $array
     * @param mixed        $fallback <p>This fallback will be used, if the array is empty.</p>
     *
     * @return mixed|null
     *
     * @template TFirst
     * @template TFirstFallback
     * @psalm-param TFirst[] $array
     * @psalm-param TFirstFallback $fallback
     * @psalm-return TFirst|TFirstFallback
     */
    function array_first(array $array, $fallback)
    {
        $key_first = array_key_first($array);
        if ($key_first === null) {
            return $fallback;
        }

        return $array[$key_first];
    }

    array_first([1, 2, 3], null); 

    if ($a === 'foo') { // The static-analysis-tool knows that 
                        // === between int|null and 'foo' will always evaluate to false.
	    // ...
    }

@template TFirst // we again define your typed variables

@template TFirstFallback // and one more because we have two inputs where we want to keep track of the types

@psalm-param TFirst[] $array // here we define that $array is an array of TFirst types

@psalm-param TFirstFallback $fallback // and that $fallback is some other type that comes into this function

@psalm-return TFirst|TFirstFallback // now we define the return type as an element of  the $array or the $fallback type 

 Very basic Active Record + Generics

The IDE support for generics is currently not there, :-/ so that we still need some hacks (see @method) for e.g. PhpStorm to have autocompletion.

⇾ https://phpstan.org/r/f88f5cd4-1bb9-4a09-baae-069fddb10b12

https://github.com/voku/phpstorm_issue_53352/tree/master/src/Framework/ActiveRecord

<?php

class ActiveRow
{
    /**
     * @var ManagedFactory<static>
     */
    public $factory;

    /**
     * @param Factory<ActiveRow>|ManagedFactory<static> $factory
     * @param null|array                                $row
     */
    public function __construct(Factory $factory, array $row = null) {
        $this->factory = &$factory;
    }
}

/**
 * @template T
 */
abstract class Factory
{
    /**
     * @var string
     *
     * @internal
     *
     * @psalm-var class-string<T>
     */
    protected $classname;

    /**
     * @return static
     */
    public static function create() {
        return new static();
    }
}

/**
 * @template  T
 * @extends   Factory<T>
 */
class ManagedFactory extends Factory
{
    /**
     * @param string $classname
     *
     * @return void
     *
     * @psalm-param class-string<T> $classname
     */
    protected function setClass(string $classname): void
    {
        if (\class_exists($classname) === false) {
            /** @noinspection ThrowRawExceptionInspection */
            throw new Exception('TODO');
        }

        if (\is_subclass_of($classname, ActiveRow::class) === false) {
            /** @noinspection ThrowRawExceptionInspection */
            throw new Exception('TODO');
        }

        $this->classname = $classname;
    }

    // ...
}

final class Foo extends ActiveRow {

    public int $foo_id;

    public int $user_id;

    // --------------------------------------
    // add more logic here ...
    // --------------------------------------
}

/**
 * @method Foo[] fetchAll(...)
 *
 * @see Foo
 *
 * // warning -> do not edit this comment by hand, it's auto-generated and the @method phpdocs are for IDE support       
 * //         -> https://gist.github.com/voku/3aba12eb898dfa209a787c398a331f9c
 *
 * @extends ManagedFactory<Foo>
 */
final class FooFactory extends ManagedFactory
{
    // -----------------------------------------------
    // add sql stuff here ...
    // -----------------------------------------------
}

A more complex collection example.

In the end we can extend the “AbstractCollection” and the static-analysis-tools knows the types of all the methods. 

https://github.com/voku/Arrayy/tree/master/src/Type

/**
 * @template TKey of array-key
 * @template T
 * @template-extends \ArrayObject<TKey,T>
 * @template-implements \IteratorAggregate<TKey,T>
 * @template-implements \ArrayAccess<TKey|null,T>
 */
class Arrayy extends \ArrayObject implements \IteratorAggregate, \ArrayAccess, \Serializable, \JsonSerializable, \Countable
{ ... }

/**
 * @template TKey of array-key
 * @template T
 * @template-extends \IteratorAggregate<TKey,T>
 * @template-extends \ArrayAccess<TKey|null,T>
 */
interface CollectionInterface extends \IteratorAggregate, \ArrayAccess, \Serializable, \JsonSerializable, \Countable
{ ... }

/**
 * @template   TKey of array-key
 * @template   T
 * @extends    Arrayy<TKey,T>
 * @implements CollectionInterface<TKey,T>
 */
abstract class AbstractCollection extends Arrayy implements CollectionInterface
{ ... }

/**
 * @template TKey of array-key
 * @template T
 * @extends  AbstractCollection<TKey,T>
 */
class Collection extends AbstractCollection
{ ... }

Links:

⇾ https://phpstan.org/blog/generics-in-php-using-phpdocs

⇾ https://psalm.dev/docs/annotating_code/templated_annotations/

⇾ https://stitcher.io/blog/php-generics-and-why-we-need-them

von voku am 29.08.2020 00:34

Datenschutz, Datensicherheit und Privacy ist ein Themenspektrum, um das sich seit vielen Jahren zahlreiche Experten versammelt haben. Es gibt zahllose Podcasts, Blogs und Kolumnen. Da durchzublicken ist schwer aber nahezu alle lassen sich in drei Oberkategorien eingruppieren.

Das Informationsangebot zu dem Themenspektrum Datenschutz, Datensicherheit und Privacy ist riesig und wächst immer noch. Es gibt bestimmt ein Dutzend gut produzierter Podcasts, zahllose Blogs mit mehr oder weniger hoher Betragsfrequenz. Wie soll man sich in dieser Kakophonie der Meinungen orientieren und die brauchbaren Informationen filtern?

Hilfreich kann es sein die Informationsquelle einer von drei Oberkategorien zuzuordnen:

1. Juristischer Ansatz
2. Pädagogische Motivation
3. Aktivistische Autoren

Im folgenden möchte ich das an drei Beispielen exemplifizieren, wobei die Auswahl ziemlich zufällig ist und ich den jeweiligen Autor bzw. Blog nicht herausheben möchte. Für jede Kategorie gibt es dutzende weitere Beispiele.

1. Juristischer Ansatz

In meinen Wochenrückblicken beziehe ich regelmäßig die Informationen von Dr. Datenschutz mit ein. Die dortigen Informationen sind fundiert und ausgewogen, dienen aber letztlich der Dienstleistungswerbung für die hinter dem Angebot stehende intersoft consulting services AG. Aufgrund der Transparenz dieser Verbindung ist dies unproblematisch.

Die Artikel haben oft einen juristischen Ansatz (da Datenschutz im Grunde ja auch ein rechtliches Thema ist). Bei der Beurteilung von Cookie Bannern konzentriert man sich folglich auf die rechtliche Bewertung der zulässigen Maßnahmen und nicht ob Datenerhebung gut oder schlecht ist. Am Beispiel der Corona-Gästelisten übt man zwar auch Kritik, verweist aber auf die mutmaßliche rechtliche Zulässigkeit der Maßnahmen.

Der juristische Ansatz lässt sich oft auf die Aussage "Datenschutz bedeutet DSGVO-konform" reduzieren.

2. Pädagogische Motivation

Im Podcast der Datenwache gibt Mitch Symalla in mittlerweile 54 Folgen sinnvolle Tipps für mehr Sicherheit und Datenschutz im Alltag als Endverbraucher. Die Folgen sind nahezu zeitlos und wenn man mit den ersten Folgen einsteigt sieht man sehr deutlich den Ansatz. Mitch holt die Menschen genau da ab wo sie sind: Mit unsicheren Geräten und als Nutzer zahlloser problematischer Dienste. Im Grunde genommen braucht man für den Einstieg noch nichts gemacht haben außer ein bisschen Interesse für Privatsphäre zu haben.

Ohne erhobenen Zeigefinder betont er in den Folgen was gute erste Schritte sind und bei welchen Aspekten man noch weiter gehen könnte. Gerne mit der etwas lapidaren Aussage "musst du halt selbst entscheiden". Durch dieses "pädagogischen Ansatz" stellt er sich auf keinen Sockel und überfährt die Hörer nicht. Denn wenn man jemandem stattdessen ins Gesicht rufen würde "Du hast keine Ahnung" und "Alles was du machst ist doof und muss geändert werden" schmeißt dieser vermutlich eher alles hin, als auch nur einen sinnvollen Schritt zu gehen.

3. Aktivistische Autoren

Jegliche Datensammlung ist gefährlich und ohne Open Source kann kein Vertrauen möglich sein. Mit dieser impliziten Grundhaltung kann man viele Artikel von Mike Kuketz umschreiben. Damit steht er beispielhaft für eine Reihe aktivistischer Autoren, die zumindest unterschwellig einen grundlegenden Wechsel im gesellschaftliche Umgang mit IT und Daten anstreben und durch ihre Artikel einen Beitrag dazu leisten wollen. Das ist nicht falsch und Kuketz ist ein versierter Experte des Gebiets. Seine Analysen haben es schon mehrfach in die Mainstream-Presse geschafft und sind immer wieder lohnenswert zu lesen. 

Die Beiträge haben allerdings oft einen appellierenden Charakter und stellen Praxistauglichkeit im Zweifel hinten an. Nachzulesen z. B. beim Aufruf alle großen IT-Konzerne aus Bildungseinrichtungen zu verbannen. Alles proprietäre wird dabei gerne mal in einen Topf geworfen. So berechtigt seine Kritik an Online Bezahlmethoden beispielsweise ist, zwischen den Datenschutzniveaus von Angeboten wie Sofortüberweisung, PayPal und Apple Pay gibt es durchaus Unterschiede. Das wird nur vollkommen unbeachtet beiseite gewischt und stattdessen Vorkasse, Lastschrift, Rechnung, SEPA oder paydirect empfohlen. Diese sind zwar hinsichtlich des Datenschutzes spitze, nur werden sie selten angeboten. Schon gar nicht ohne Auskunfteienabfrage bei z. B. Rechnungs-Kauf. Dieser Einwand würde wohl begegnet werden mit: AGB's lesen und notfalls auf Alternativen ausweichen.

Sachlich und fachlich richtig aber hier hat man dann meistens alle Verbraucher jenseits eines Kerns aus Überzeugungstätern verloren. Um solche Informationsangebote schart sich dann meist eher eine Peergroup von "100%tigen", die weniger auf die Informationen angewiesen sind, als sie dort Selbstbestätigung finden. Man sollte die Informationen daher eher zur Kenntnis nehmen und sie nicht zur alleinigen Richtschnur des eigenen Handelns zu machen.

Zusammengefasst

Trifft man auf Informationen lohnt es sich diese bis dato unbekannte (aber natürlich seriös und korrekt wirkende) Informationsquelle in eine der drei Kategorien einordnen. Meistens weiß man dann schon woran man ist und wie man mit den Informationen umgehen muss. Ich persönlich finde den pädagogischen Ansatz sehr sympathisch und glaube, dass hierdurch am meisten für das gesamtgesellschaftliche Privacy-Bewusstsein getan werden kann. Insbesondere Aktivisten begegne ich mit Skepsis, da diese immer Gefahr laufen in ideologischen Dogmatismus zu verfallen und Schwarz/Weiß Zeichnung zu betreiben. Der juristische Ansatz sollte dabei nie außer Acht gelassen werden, denn nicht jeder moralisch fragwürdige Umgang mit Daten ist gleich illegal. Eine simple Wahrheit, die bei der Beschäftigung mit dem Themenkomplex gerne mal auf der Strecke bleibt.

Etwas bedauerlich ist das Fehlen eines Planeten/Aggregator für Privacy-Themen. Solche Planeten bieten die einzigartige Möglichkeit in einem Themenbereich konträre Meinungen abzubilden und verhindern allzu enge Filterblasen.

Bilder:
Einleitungs- und Beitragsbild von Gerd Altmann via pixabay

von Gerrit (postfach@curius.de) am 25.08.2020 09:06

Wieder einmal gibt es einen doppelten Rückblick für die Kalenderwochen 33 und 34. Die Bezeichnung "ausnahmsweise" entfällt aufgrund der Regelmäßigkeit dieser doppelten Rückblicke in letzter Zeit. Besserung ist leider nicht in Sicht. Dafür gibt es eine große thematische Spannbreite.

Open Source

Nextcloud hat endlich Ende-zu-Ende Verschlüsselung in seine Clients integriert. Das spielt vor allem beim immer zahlreicheren Einsatz von Dienstleistern eine Rolle.

• Golem - Verschlüsselte Dateien in der eigenen Cloud

Debian leidet schon länger an einer völligen Überregulierung bei sinkender Aktivität (siehe auch: Debian - Eine Kritik). In einigen Bereichen wird es langsam kritisch. KDE-Anwender merken das schon länger und mit dem offiziellen Abtritt der Qt-Betreuer dürfte sich diese Situation verschlechtern.

• linuxnews - Debians Qt-Betreuer treten zurück

Im Zuge der Corona-Krise dringen die Plattformen der großen Digitialkonzerne tiefer in das tägliche Leben vor. Einen großen Modernisierungsrückstau haben dabei Bildungseinrichtungen, die nun massiv auf fertige Lösungen wie Microsoft Teams setzen. Dagegen regt sich nun Widerstand. So sehr ich das nachvollziehen kann, so sehr fehlen mir aber brauchbare Open Source Lösungen. Ohne Alternativen ist das nämlich nur realitätsfernes Gemeckere, wodurch das Thema Datenschutz insgesamt diskreditiert.

• heise - Schule digital: (K)ein Platz für Microsoft

IT Konzerne

Google scheint gemäß neuesten Berichten Nutzerdaten im großen Stil an US-Behörden weiter zu geben.

• Golem - Google meldet Nutzerdaten unaufgefordert an Behörden

Apples restriktive Tracking-Einschränkungen lösen gegenwärtig Befürchtungen in der Werbebranche aus. Mal sehen, ob das im Herbst so kommt wie angekündigt.

• SPIEGEL - Apples iPhone-Update könnte Facebook das Geschäft vermiesen

DSGVO

Die omnipräsenten Cookiebanner sind ein schönes Beispiel für die Unterscheidung von "gut gemeint" und "gut gemacht". Der Gesetzgeber wollte die massenhafte Datenübertragung an Dritte und Zusammenführung mit anderen Datensätzen einschränken. Einen Ausweg bietet lediglich die freiwillige und informierte Einwilligung. Einen Weg den nun nahezu alle Seiten im Netz gehen. Die Banner sind dabei teilweise hochgradig manipulativ und versuchen den Nutzer in "die richtige Richtung" (aus Sicht des Anbieters) zu drängen. Im Endeffekt stumpfen die Anwender ab und nicken die Voreinstellungen einfach ab.

• Dr. Datenschutz - Webinar Cookiecalypse – Fragen und Antworten
• Golem - Datenschützer knöpfen sich gezielt Medien vor

Datenschützer versuchen die DSGVO als Hebel gegen die kommerziellen Anbieter von Gesichtserkennung zu nutzen.

• Golem - Datenschützer erhöht Druck auf US-Anbieter Clearview

Corona

Technik löst nicht alle Probleme. Eine Erkenntnis, die vor allem junge Menschen und Jünger des Silicon Valley noch lernen müssen. Jüngstes Beispiel sind die Probleme der Corona Tracing Methode im ÖPNV. Trotzdem sollte man solche Artikel nicht zum Vorwand nehmen um die App nicht zu nutzen. Vor allem wenn man aus beruflichen und privaten Gründen viel unterwegs ist und daher die Kontakteinschränkungen nur bedingt befolgen kann.

• t3n - Forscher: Corona-Warn-Apps funktionieren im ÖPNV nicht zuverlässig

Bilder:

Einleitungs- und Beitragsbild von Megan_Rexazin via pixabay

von Gerrit (postfach@curius.de) am 23.08.2020 06:00

%!s()

If you looked at the Nextcloud app store you could already find OpenID-Connect connectors before but since Nextcloud 19 it is an officially supported user back-end. So it was time for me to have a closer look at it and to try it out.

Get a OpenID Connect provider

First step was to get an OpenID-Connect provider, sure I could have chosen one of the public services. But why not have a small nice provider running directly on my machine? Keycloak makes this really simple. By following their Getting Started Guide I could setup a OpenID-Connect provider in just a few minutes and run it directly on my local demo machine. I will show you how I configured Keycloak as an OpenID-Connect provider for Nextcloud but please keep in mind, this is the first time I configured Keycloak and my main goal was to get it running quickly to test the Nextcloud connector. It is quite likely that I missed some important security setting which you would like to enable for a productive system.

After installing Keycloak we go to http://localhost:8080/auth/ which is the default URL in “standalone” mode and login as admin. The first thing we do is to configure a new Realm in the “Realm Settings”. Only “Name” and “Display name” need to be set, the rest can be kept as it is:

Next we move on to the “Clients” tab, and created a new client:

Set a random “Client ID”, I chose “nextcloud” in this example, and the root URL of your Nextcloud which is http://localhost/stable in this case. After that we get redirected to the client configuration page. Most settings are already set correctly. We only need to adjusted two more settings.

First we set the “Access Type” to “confidential”, this is needed in order to get a client secret which we need for the Nextcloud setup later on. While the “Valid Redirection URIs” work as it is with the wildcard, I used the one proposed by the Nextcloud OIDC app http://localhost/stable/index.php/apps/user_oidc/code. This is the Nextcloud end-point to which Keycloak will redirect the user back after a successful login.

Finally we create a user who should be able to login to Nextcloud later.

While technically the “Username” is enough I directly set E-Mail address, first- and second name. Nextcloud will reuse this information later to pre-fill the users profile nicely. Don’t forget to go to the “Credentials” tab and set a password for your new user.

That’s it, now we just need to grab a few information to complete the Nextcloud configuration later on.

First we go back to the “Realm Settings” of the “OIDCDemo”, under “OpenID Endpoint Configuration” we get a JSON document with all the parameter of our OpenID-Connect end-point. For Nextcloud we only need the “authorization_endpoint” which we find in the second line of the JSON file.

The second value is the client secret. We can find this in the credential tab of the “nextcloud” client settings:

Nextcloud setup

Before we continue, make sure to have this line in your config.php 'allow_local_remote_servers' => true,, otherwise Nextcloud will refuse to connect to Keycloak on localhost.

Now we can move on and configure Nextcloud. As mentioned before, the official OpenID-Connect app was released together with Nextcloud 19, so you need Nextcloud 19 or later. If you go to the Nextcloud apps management and search for “openid” you will not only find the official app but also the community apps. Make sure to chose the app called “OpenID Connect user backend”. Just to avoid misunderstandings at this point, the Nextcloud community does an awesome job! I’m sure the community apps work great too, they may even have more features compared to the new official app. But the goal of this article was to try out the officially supported OpenID-Connect app.

After installing the app we go to the admin settings where we will find a new menu entry called “OpenID Connect” on the left sidebar. The setup is quite simple but contains everything needed:

The app supports multiple OpenID Connect providers in parallel, so the first thing we do is to chose a “Identifier” which will be shown on the login page to let the user chose the right provider. For the other fields we enter the “Client ID”, “Client secret” and “Discovery endpoint” from Keycloak. After accepting the setting by clicking on “Register” we are done. Now let’s try to login with OpenID Connect:

As you can see, we have now an additional button called “Login with Keycloak”. Once clicked we get re-directed to Keycloak:

After we successfully logged-in to Keycloak we get directly re-directed back to Nextcloud and are logged-in. A look into our personal settings shows us that all our account detail like the full name and the email address where added correctly to our Nextcloud account:

von Björn Schießle (bjoern@schiessle.org) am 26.07.2020 06:00

Dann ist es heute soweit mit den ersten Arbeitsstunden für den Schwinmverein…

Mal schauen wie das wird

von Slater am 24.07.2020 14:54

Unterwegs ergibt es total Sinn, dass man sein Handy oder Tablet auf Empfang hat. Nun sitze ich seit Corona im Home-Office am Schreibtisch – bewege mich also nicht – und nutze trotzdem eine Technik, die für Bewegung im Freien gemacht ist. Natürlich kann ich mich zu Hause ins W-LAN einloggen, das reduziert die Strahlung für die Allgemeinheit und beschränkt den Funkradius auf das, was mein Router leistet. Aber geht es noch weniger?

Nach einiger Suche bin ich auf diesen Adapter gestoßen:

Netzwerkkabel auf USB-C Adapter

Gefunden, gekauft, ausprobiert, funktioniert großartig. Ich kann nun während des Arbeitens ein LAN-Kabel an mein Handy, das meistens auf meinem Schreibtisch liegt, anschließen und die mobilen Daten abschalten. Messenger, Browser, Aktualisierungen usw. funktionieren weiterhin tadellos und viel schneller. In diesem Video könnt ihr meinen Speedtest anschauen – das Internet ist jetzt nicht mehr abhängig vom Fumkturn, sondern von meinem privaten Anschluss (50 Mbit/s):

Außerdem merke ich, dass durch die Deaktivierung der Mobilen Daten (funktioniert automatisch beim Einstecken) mein Akku länger hält. Es scheint viel weniger Strom zu verbrauchen, wenn die Daten aus dem Kabel kommen, als wenn sie zum nächsten Funkturm oder per W-LAN zum Router gesendet werden.

Technisch gesehen ist es einfach ein Adapter von RJ45 (LAN) auf USB C. Einzig SMS und Anrufe kommen nun über die Funkverbindung.

Nun wäre natürlich schön gewesen, wenn ich meinen Akku gleichzeitig hätte laden können. Aber das können die Adapter nicht. Ich werde fleißig weiter suchen, vielleicht gibts ja irgendwann einen.

Mein kleines Fazit:

Günstig Funktioniert ab Android 3.1 Einfach Akku hält länger Schnelles Internet auf dem Handy Perfekt für die Arbeit am Schreibtisch Weniger Funkstrahlung	Funktioniert nicht mit POE (Laden und Daten gleichzeitig) Ich kann nicht rumlaufen und verlege dauernd den Adapter ; -)

Jetzt interessiert mich natürlich, wie gut das bei eurem Smartphone oder Tablet funktioniert hat?
Eure Antwort und eventuelle Fragen könnt ihr einfach hier in die Kommentare schreiben.

-<-,–{@ Euer Darian

von admin am 15.07.2020 15:45

Habe gerade über die Apple Seite meine neue Watch bestellt und mich für die 0% Finanzierung entschieden.

Alles ging online und total unkompliziert.

Ist schon fast erschreckend wie schnell und unkompliziert auf einmal Geld ausgegeben werden kann

von Slater am 13.07.2020 12:49

Vergangene Woche wurde ich auf webh.pl aufmerksam, einen Internet Service Provider mit Standort Lodz, Polen. Nach kurzer Anfrage erhielt ich die Möglichkeit, eins ihrer VPS-Pakete für über eine Woche unter die Lupe zu nehmen. Generell bin ich hin und wieder auf der Suche nach kleinen, effizienten, zumeist virtuellen Systemen, auf denen unter anderem diese Webseite gespeichert und ausgeliefert werden kann. Bislang fuhr ich mit servercow.de, einem Dienst vom mailcow-Entwickler André Peters, sehr gut. Und auch weiterhin bin ich von seinem Service begeistert und werde ihm keineswegs den Rücken kehren. Dennoch schadet es sicher nicht, einmal einen Ausflug zu anderen Anbietern zu wagen und deren Benutzerfreundlichkeit und Leistungen in ein Verhältnis zu setzen.

Im weiteren Verlauf dieses Artikels werde ich die einzelnen Komponenten ausgiebig testen und versuchen, die Ergebnisse relativ mit früheren Tests vergleichen.

Sollte euch der Test gefallen haben und solltet ihr euch für webh.pl entscheiden, würde ich mich freuen, wenn ihr meinen Referral-Link oder -Code bei der Registration/Bezahlung verwenden würdet. Vorteil für euch: 20% Rabatt auf die erste Bezahlung:

Für den Referral-Link hier klicken oder den Promo-Code “PROMO46344” verwenden.

Intro

Bei dem Test-VPS handelt es sich um das Paket “KVM Standard” mit folgenden Leistungsmerkmalen:

• 4 vCPUs
• 8GB RAM
• 80GB SSD Speicher (500GB/1000GB HDD Speicher für 40/80 Zloty zubuchbar)
• keine Limitierung für Datentransfers

Der Preis liegt in dieser Ausstattung bei 90 Zloty pro Monat, derzeit sind das 19,64 Euro. Ist man mit 2 vCPUs zufrieden, drückte das den Monatspreis auf 60 Zloty pro Monat, etwa 13,09 Euro.

Zusätzliche Daten

• Standort Polen (Lodz)
• SLA von 99,9%
• Root-Zugriff
• Jederzeit Zugriff via VNC
• Installation von individuellen ISO-Dateien
• Skalierbarkeit (die Grundpakete können später im Webinterface beliebig skaliert werden)
• Automatische, stündliche Snapshots
• Snapshots werden 14 Tage rückwirkend aufbewahrt
• Snapshots können vom vmmanager aus wiederhergestellt werden
• Der Kunde erhält einen zusätzlichen virtuellen Server für die Wiederherstellung von Daten aus Snapshots
• Snapshots haben keinen Einfluss auf die Performance des Servers
• Angegebene Ressourcen werden garantiert
• Keine Einschränkungen für Gameserver oder andere netzwerkintensive Anwendungen, keine Blockade von Torrents

Bezahlmöglichkeiten

• EU-Banküberweisung
• PAYU (VISA und MasterCard)
• PayPal

Die Webinterfaces

Registration und Billing

Die Registration erfolgte unter https://ssl.webh.pro/ und war äußerst schnell und unkompliziert erledigt.

Das “ISPsystem billmanager“-basierte Interface ist übersichtlich, wirkt jedoch etwas altbacken. jedoch bietet es in übersichtlicher Form alle notwendigen Einstellungen und Übersichten. Einen sehr positiven Eindruck erhalte ich von der Geschwindigkeit des Interfaces.

VPS-Management

Die Steuerung des VPS ansich erfolgt im “ISPsystem vmmanager”-basierten Webinterface. Dieses passt designtechnisch zum Billing-Interface, dient jedoch explizit der Verwaltung von VPS.

Mein Test-VPS wurde bei Erstellung sofort mit CentOS 7 eingerichtet. Eine Neuinstallation ist über das Interface leicht zu erreichen, dabei konnte ich zwischen folgenden Presets wählen:

• CentOS 7
• CentOS 8
• Debian 8
• Debian 9
• Debian 10
• FreeBSD 11
• FreeBSD 12
• Ubuntu 16.04
• Ubuntu 18.04

Diese wiederum bieten unterschiedliche “Recipes”, also “Rezepte”, mit denen ich automatisiert bestimmte Anwendungen vorinstallieren lassen kann:

• Bitrix CRM
• Django
• ISPmanager Lite
• LAMP
• OpenVPN
• Redmine
• Teamspeak
• Tomcat
• VMmanager

Hier merke ich: Es wird sich Mühe gegeben, indem man aktuelle Betriebssysteme fertig zur Installation anbietet und dem Kunden so Zeit und Aufwand spart.

Zum Test entschied ich mich für ein aktuelles Ubuntu 18.04 “bionic”, da ich mir hiermit neben einem aktuellen Kernel auch aktuelle Versionen der Tools für Netzwerk- und Performancetests erhoffte. Leider stellte sich später heraus, dass diese Entscheidung einen teil meiner Netzwerk-Performancetests stören würde.

Bequeme Zusatzfunktion: Ich kann im vmmanager direkt meinen SSH-Pubkey angeben, sodass dieser direkt hinterlegt wird und ich mir somit einen lästigen Passwort-Login spare. Leider führt im Fall Ubuntu 18.04 diese Funktion dazu, dass eine Reinstallation sich aufzuhängen scheint – hier besteht noch Verbesserungsbedarf.

Nützlich: webh.pl erlaubt es dank entsprechender Virtualisierungstechnologie, Systeme mit individuellen vom Kunden hochladbaren ISO-Dateien zu installieren. Wollte ich also Fedora installieren, welches webh.pl nicht als fertiges Image anbietet, könnte ich dies über diese Funktion recht einfach tun. Mit entsprechender Konfiguration (Festplattentreiber, Netzwerktreiber) ließ sich im Test sogar ein uraltes Windows XP Pro SP3 installieren:

Um von den nützlichen Logging-Funktionen, auch dem Performance-Logging, beider Interfaces gebrauch zu machen, empfiehlt es sich, die Zeitzone im Interface korrekt zu konfigurieren. Diese stand per default auf “Afrika/Windhoek”, was einen Zeitversatz bedeutet und unter Umständen für Verwirrung sorgen könnte.

Allgemeines

Reinstallationen

Die Reinstallationen funktionieren zuverlässig, sauber und schnell. Wird jedoch über das Webinterface ein SSH-Pubkey eingegeben, so hängt sich das System bei der Installation auf und reagiert nicht mehr. Startet man es dann manuell neu, wird man automatisch in die GRUB2-Kommandozeile eingeloggt, da GRUB nicht vollständig konfiguriert wurde.
Eine Reinstallation ohne vorher eingegebenem SSH-Key funktioniert fehlerfrei.

Nach der erfolgten Installation kann ich nun also meinen SSH-Key unter Zuhilfenahme des Passworts auf die Maschine kopieren und mit der Einrichtung meines Servers fortfahren:

ssh-copy-id root@91.205.75.239
ssh root@91.205.75.239

IP-Adressen

Eine Recherche der mir zugewiesenen IPv4 ergab, dass die IP bereits von anderen vorherigen Kunden genutzt wurde. Ein Blacklist-Check lieferte jedoch ein sauberes Ergebnis. Eine entsprechende Bereinigung und Cooldown-Periode wird von entsprechend guten Internet Service Providern nach Kündigung vorgenommen.

Support

webh.pl bietet Support unter anderem in ihrer Muttersprache Polnisch, aber auch in Englisch und Deutsch an. 4 mal habe ich den Support unvermittelt kontaktiert und die Reaktionszeit aufgezeichnet.

Die Antworten kamen zügig und man kann in diesem Preissegment und ohne zugesicherte Support-Antwortzeiten wirklich nichts bemängeln:

Hostsystem und Virtualisierungslösung

Laut dmidecode kommt ein Red Hat Enterprise Linux 7 auf dem Hostsystem zum Einsatz. Zugewiesen sind der VM wie bereits erwähnt 4 vCPU-Kerne mit Taktraten von je 2793 MHz.

/proc/cpuinfo verrät in diesem Fall nicht den konkreten Typ der CPU, jedoch lässt sich erahnen, um welchen es sich handelt (Skylake Model 85, 4 MiB L2 Cache, 2793 MHz, Stepping 4):

4112 Xeon Silver $ 473.00 11 July 2017 4 8 2.6 GHz 3 GHz 85 W 4 MiB 8.25 MiB DDR4-2400 768 GiB

CPU-Vulnerability Mitigations

root@m:~# tail /sys/devices/system/cpu/vulnerabilities/*
==> /sys/devices/system/cpu/vulnerabilities/itlb_multihit <==
KVM: Vulnerable

==> /sys/devices/system/cpu/vulnerabilities/l1tf <==
Mitigation: PTE Inversion

==> /sys/devices/system/cpu/vulnerabilities/mds <==
Vulnerable: Clear CPU buffers attempted, no microcode; SMT Host state unknown

==> /sys/devices/system/cpu/vulnerabilities/meltdown <==
Mitigation: PTI

==> /sys/devices/system/cpu/vulnerabilities/spec_store_bypass <==
Vulnerable

==> /sys/devices/system/cpu/vulnerabilities/spectre_v1 <==
Mitigation: usercopy/swapgs barriers and __user pointer sanitization

==> /sys/devices/system/cpu/vulnerabilities/spectre_v2 <==
Mitigation: Full generic retpoline, STIBP: disabled, RSB filling

==> /sys/devices/system/cpu/vulnerabilities/tsx_async_abort <==
Not affected

Konkret ist es so, dass die potenziellen Sicherheits- und Denial of Service-Lücken itlb_multihit, MDS und spec_store_bypass laut Gastsystem nicht abgeschaltet scheinen und daher potenziell ausgenutzt werden können. Da es sich jedoch um eine virtualisierte Lösung handelt, ist es durchaus denkbar, dass diese Lücken in Wirklichkeit umgangen werden, dies aber vom Gastsystem nicht feststellbar ist.

“I have received information that we’re not showing patches in /sys/devices/system/cpu/vulnerabilities/* for security reasons.”

webh.pl Support

Besonderheit ext4 reserved space bei vergleichsweise kleinen Festplattenspeichern

Aufgrund der per Standard knapp bemessenen 40/80G an Speicherplatz, ist es sinnvoll, Speicher zu sparen wo möglich. Empfehlenswert ist hierbei unter anderem, bei ext4-Dateisystemen den “Reserved Space” (normal 5%) zu verkleinern oder, wenn möglich, sogar komplett abzuschalten.

tune2fs -m 0.5 /dev/vda2 # Reservierter Speicher auf 0,5%
tune2fs -m 0 /dev/vda2 # Reservierter Speicher deaktiviert

Besonderheit Swapfile

Im neuesten Ubuntu LTS wurde begonnen, nicht mehr länger SWAP-Partitionen zu erstellen, sondern auf Swapfiles zu setzen. So auch im Standardsetup von webh.pl: Ein 2G großes Swapfile wird erstellt, welches selbstverständlich von dem zugesicherten Festplattenspeicher abgezogen wird. Möchte man diesen Speicher freigeben, kann man das Swapfile deaktivieren und entfernen. Es ist keine Rekonfiguration der Partitionstabelle mehr notwendig.

Routing

Das Routing spielt bei einem Server meist eine wichtige Rolle, da mit jedem Hop, der nicht passiert werden muss, die Latenz sinkt, was sich wiederum auf Anwendungen und deren Kommunikation auswirkt. Daher testete ich das Routing aus den Netzen unterschiedlicher Internetanbieter und von unterschiedlichen Standorten aus.

tkchopin.pl – webh.pl

servercow.de (meerfarbig Gmbh & Co. KG) – webh.pl

hetzner FSN1-DC1 (Falkenstein) – webh.pl

Vodafone DSL (Stuttgart) – webh.pl

Die Maps wurden generiert mit dem Leaflet Traceroute Mapper von Peter Thomson, welcher wiederum auf dem Traceroute Mapper von Stefan Sundin basiert, die Kartendaten stammen von OpenStreetMap.

Zumindest im Fall des Endkunden-Zugangs über tkchopin.pl, einem lokalen Internet- und Kabel-TV-Anbieter, erhielt man zum Zeitpunkt des Tests ein vergleichsweise direktes Routing. Für den Zugriff aus Deutschland war zweimal das Routing über Warschau und Stettin unumgänglich.

Das Routing von hetzner in Falkenstein nach webh.pl in Lodz war absurder, der fünfte Hop erfolgte über Großbritannien, was jedoch auch auf einen Fehler in der Datenbank von ipinfo.io zurückzuführen sein kann.

Netzwerkkonfiguration

Es handelt sich auf dem Server um eine statische Netzwerk-Konfiguration, welche im Fall von Ubuntu 18.04 nicht netplan/networkd-basierend ist, sondern auf die ältere ifupdown-Konfigurationsmethode in /etc/network/interfaces setzt.

auto ens3
iface ens3 inet static
address 91.205.75.239/24
gateway 91.205.75.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 1.1.1.1 8.8.4.4
dns-search webh.me

DNS

Ein Blick in die /etc/resolv.conf zeigt, da es sich um Ubuntu 18.04 handelt, dass systemd-resolved zum Einsatz kommt. Das war zu erwarten. Um also die wirklich genutzten DNS-Resolver herauszufinden, ist es notwendig, “systemd-resolve –status” auszuführen oder die /etc/systemd/resolved.conf oder die /etc/network/interfaces zu konsultieren.

Per default sind auf dem Testsystem die DNS-Resolver 1.1.1.1 (Cloudflare) und 8.8.4.4 (Google Public DNS Secondary) hinterlegt.

IPv6

Während des Tests fiel mir auf, dass das Testsystem über keine IPv6 verfügte. Auch der Versuch, eine solche über den vmmanager aufzuschalten schlug fehl. Eine Nachfrage bei webh.pl sorgte dann für Klarheit:

“We’re not offering ipv6 for now, but we’re going to offer it in the future.”

webh.pl Support

Demnach wird webh.pl IPv6 in Zukunft anbieten, was meiner Meinung nach im Jahre 2020 auch ein Muss darstellt.

Reverse-DNS

Im Test wurde nicht klar, wie Reverse-DNS-Einträge zu ändern sind. Zwar bietet der vmmanager eine solche Funktion, jedoch sorgte eine Anpassung dort nicht für das gewünschte Ergebnis. Auf Anfrage teilte der Support mit

“We’re using different IP subnets for our clients. For some of them, clients can change revdns using control panel, for rest we can change it upon request.”

webh.pl Support

Es handelt sich hierbei also offenbar um eine IP aus einem der Subnetze, für die eine Änderung der Reverse-DNS-Einträge nur aufschließlich über den webh.pl-Support erfolgen kann.

Performancetests

Netzwerk-Datentransferraten

Für die Datentransfers nutzte ich weiterhin speedtest-cli und wählte daher folgende Peers gewählt:

• 30907) Deutsche Telekom Technik GmbH (Berlin, Germany) [394.94 km]
• 4886) Stadtwerke Neumünster GmbH (Neumunster, Germany) [538.44 km]
• 18667) meerfarbig GmbH & Co. KG (Frankfurt, Germany) [818.46 km]
• 21514) Contabo GmbH (Munich, Germany) [855.26 km]

Diese werden im Abstand von 20 Minuten jeweils doppelt sequenziell getestet und die Ergebnisse mittels –csv Parameter und entsprechender Ausgabeumleitung als CSV in eine Tabelle zur späteren Verarbeitung geschrieben, etwa so:

30907,Deutsche Telekom Technik GmbH,Berlin,2020-03-28T07:17:20.127799Z,422.89016707081726,27.723,189797326.6667173,4150220.759736613,,91.205.75.239
30907,Deutsche Telekom Technik GmbH,Berlin,2020-03-28T07:17:41.287859Z,422.89016707081726,23.271,188071670.36669397,4150181.2915712413,,91.205.75.239
20478,Contabo GmbH,Nuremberg,2020-03-28T07:18:02.505737Z,646.0977991623539,35.526,182002432.52288514,4067378.244187205,,91.205.75.239

Leider birgt die von Ubuntu paketierte speedtest-cli einen Bug, welcher hier dokumentiert ist und dafür sorgt, dass Upload-Tests bei etwa 4 Mbit/s limitiert werden. Unglücklicherweise wurde ich auf diesen Umstand erst nach dem Test von einer Woche Testdauer aufmerksam. Aus diesem Grund beinhalten die folgenden Graphen lediglich Download-Datenpunkte.

Downloadraten aus Richtung der 4 unterschiedlichen Peers, Angaben in Mbit/s

Die Transferraten sind relativ stabil zwischen 192 und 177 Mbit/s jenach Peer. Vereinzelt gab es Streuung nach unten in den Abendstunden und einigen Ausreißern, welche hauptsächlich auf die Gegenstellen zurückzuführen sind.

Zuvorkommend: Bereits nach dem Testzeitraum bot mir webh.pl auf Nachfrage an, den Server zwei weitere Tage testen zu können, um zumindest einige Ergebnisse zu den Uploadraten zu sammeln.

RAM-Benchmark

Für den RAM-Benchmark mache ich mir wieder sysbench und dessen memory-Modul zunutze. Ich teste den Datendurchsatz von Schreib- als auch den von Lesevorgängen.

sysbench --threads=4 memory run

Pro Testdurchlauf erhalte ich damit folgenden Output:

Total operations: 39587238 (3958095.14 per second)
38659.41 MiB transferred (3865.33 MiB/sec)

Durchsatzraten lesend und schreibend (Datenpunkte “lesend” wurden seltener und erst später gesammelt)

Im Test zeigte sich, dass die Durchsatzraten lesend zwischen 16000 MiB/s und 18000 MiB/s lagen und nur sehr selten unter 16000 MiB/s fielen.
Die Durchsatzraten schreibend hingegen lagen meist bei 5000 MiB/s und fielen nur selten unter 4500 MiB/s.

Im Ranking liegt das Testsystem von webh.pl damit hinter meinem in die Jahre gekommenen ThinkPad T420 (wenn ausgestattet mit zwei DDR3-1333-Riegeln) und dem performantesten meiner Servercow-vServer. Absolut betrachtet bietet webh.pl jedoch trotzdem vernünftige und auch über längere Zeiträume stabile RAM-Durchsatzraten.

“All servers have ddr4 ecc ram bands.”

webh.pl Support

CPU-Benchmark

sysbench CPU Benchmark über die gesamte Testdauer

Der CPU-Test fiel kleiner aus, da ich hierzu diesmal nur die “events per second” aufnahm. Hier zeigte sich, dass dieser Wert über den gesamten Testzeitraum hinweg zwischen 3600 und 4400 Events lag. Während dieser Wert ansich keine Aussage über die absolute CPU-Leistung zulässt, zeigt er doch die Abweichungen in bestimmten Lastsituationen (beispielsweise nachts, wenn CPU-intensive Anwendungen wie zur Kompression von Logs laufen).

Da ich zu dieser Metrik derzeit keine weiteren Vergleichswerte habe, fällt es hier schwer, die Ergebnisse ins Verhältnis zu setzen. Mein mittelmäßig ausgelasteter i5-2520M im ThinkPad T420 schaffte im Schnitt 2500 events pro Sekunde.

Bessere CPU-Tests bietet beispielsweise die Phoronix Test Suite, indem sie echte Anwendungsfälle (beispielsweise das kompilieren einer bestimmten Kernel-Version) abdeckt und die benötigte Zeit misst und aufzeichnet.

“In our infrastructure we use different processors within Intel Xeon Scalable gen 1 and gen 2 series.”

webh.pl Support

IO-Benchmark

Auch für den IO-Benchmark habe ich Daten über mehrere Tage hinweg aufgezeichnet. Im Schnitt erreichte ich hier für die folgenden Modi die folgenden Performancewerte:

“We have infrastructure where our hosts and storage are on different nodes. We’re attaching our working nodes to storage nodes. We’re using both ssd and nvme drives within our storage nodes and we’re currently moving everything to nvme.”

webh.pl Support

Fazit

Für wen die Systeme von webh.pl geeignet sind

Wer auf der Suche nach einem VPS mit stabiler Internetanbindung, gutem Standort und äußerst schnellem, freundlichem und zuvorkommendem Support ist, ist mit webh.pl gut bedient. Die Angebote sind nicht die billigsten, aber das Preis/Leistungs-Verhältnis stimmt definitiv.

webh.pl kommt in meinem Fall für zukünftige Projekte definitiv in die engere Auswahl.

Anmerkungen

Derzeit wird die Webseite von webh.pl in die englische und russische Sprache übersetzt. Deutsch soll laut webh.pl anschließend auch folgen. Es zeigte sich jedoch auch, dass eine automatische Übersetzung mit Google Translator völlig ausreichend ist, da die anschließenden Webinterfaces in vielen unterschiedlichen Sprachen, darunter Deutsch, verfügbar sind.

Bis auf die hängende Installation mit vorab eingegebenen SSH-Keys, die Tatsache, dass es noch kein IPv6 gibt und in manchen Fällen die Änderung von Reverse-DNS-Einträgen nicht durch den Kunden möglich ist, bin ich positiv beeindruckt.

Während dieses Tests …

Für diesen Test wurden insgesamt circa 1810G an Daten herunter- und 90G an Daten hochgeladen. Ferner wurden 203296740 ms (~56h) CPU-Zeit verbraucht und 211.680.000 IOPS durchgeführt.

von maltris am 06.04.2020 20:12

%!s()

At the beginning of this year I gave two times a presentation about Nextcloud Talk. First at the annual CS3 conference in Copenhagen and just one week later at FOSDEM in Brussels. Nextcloud Talk provides a full featured real-time communication platform. Completely Free Software, self-hosted and nicely integrated with all the other aspects of Nextcloud.

(This blog contain some presentation slides, you can see them here.)

von Björn Schießle (bjoern@schiessle.org) am 07.03.2020 06:00

Willkommen bei WordPress. Dies ist dein erster Beitrag. Bearbeite oder lösche ihn und beginne mit dem Schreiben!

von chris am 03.03.2020 08:53

von Thorsten am 25.02.2020 19:29

Anknüpfend an die Fragen von Gerald stellte Ariez J. Vachha nun eine weitere Frage an die Kandidaten.

Ein Hinweis: Fragen und Antworten sind ursprünglich auf Englisch. Dies ist nur eine Übersetzung.

Ich würde gerne wissen, wie die Kandidaten es denjenigen, die sich beteiligen wollen, vor allem den Nicht-Programmierern, leichter machen wollen das auch tun zu können.

Danke, dass du diese Frage stellst, denn sie berührt ein (wenn nicht gar das) entscheidende Thema für openSUSE als Gemeinschaft in der nahen Zukunft.

Ich möchte meine Ansicht dazu an einem einfachen Beispiel veranschaulichen:
Wenn man opensuse.org besucht, gibt es oben rechts einen Menüpunkt namens „Mitarbeiten“. Ein Klick darauf bringt dich zum Teil der Seite über Beiträge. Dort hat man die Wahl zwischen zwei Dingen: Code und Hardware. Wenn wir Glück haben, klickt ein potenzieller Beitragender auf „Code“ und bekommt vier leicht unmotivierte Textzeilen und eine Schaltfläche „mehr herausfinden“ präsentiert. So kann man nicht freundlich und einladend sein. Hoffen wir, dass nicht zu viele Leute dadurch abgeschreckt werden.

Aber was ich als ein weitaus größeres Problem sehe – und eine Art Grundmuster in oS – ist, dass sich hinter dem „Finden Sie es heraus…“-Knopf in der Tat wirklich gute und detaillierte Informationen darüber befinden, wie man einen Beitrag leisten kann. Dokumentation, Tests, Übersetzungen und so weiter ist alles da. Aber es wird nicht in einer vernünftigen Weise kommuniziert! Es ist an verschiedenen Orten versteckt, tief im Wiki vergraben. Das Wiki ist ein guter Ort für ausführliche schriftliche Erklärungen, aber nicht, um einen ersten Schritt in den Pool zu machen.

Meine Idee ist also Teil einer ganzen noch zu definierenden Umstrukturierung von opensuse.org. Ich habe vor einer Weile einige Gedanken vorgeschlagen, wurde aber aufgrund der damaligen Umbenennungs-/Umbenennungsdiskussion gebremst. Dennoch habe ich diese Dinge immer noch auf meiner Liste, die ich diskutieren und in Angriff nehmen möchte. [1]

Natürlich ist die Website nur ein Puzzleteil. Das ganze „frisches Blut bekommen“ (wie Du es nennst) muss weiter vorangetrieben werden. Daher die Initiative des Marketing-Teams, spezielle T-Shirts für Leap 15.2 Betatester zu beschaffen. [2]
Dies ist etwas, das leicht nach außen kommuniziert werden kann und ein Türöffner für neue Menschen sein kann. Allerdings ist es dort nicht die Aufgabe eines Board-Mitglieds. Aber ich denke, es ist gut, wenn sich das Board an dieser ganzen Kommunikationsinitiative beteiligt.

Du hast weitere Fragen? Schreib mir!

[1] https://lists.opensuse.org/opensuse-project/2019-06/msg00195.html
[2] https://en.opensuse.org/openSUSE:Marketing_meeting:2020-01-08#1.3_Leap_15.2_Beta:_Promote_beta_testing

von Vinzenz Vietzke am 26.01.2020 22:59

Bereits Anfang 2019 habe ich für das Board von openSUSE kandidiert. Nachdem inzwischen wieder zwei Plätze offen sind, stehe ich auch diesmal wieder für die Aufgabe zur Verfügung und stelle mich zur Wahl.

Einen allgemeinen Überblick über meine Vorstellungen und Ziele gibt es hier.

Im Vorfeld zur Wahl stehen alle Kandidaten der Community natürlich für Fragen offen. Einen Katalog aus 5 Fragen von Gerald Pfeifer, derzeit Chairman des Boards, habe ich beantwortet und möchte diesen auch hier bereitstellen.

Ein Hinweis: Fragen und Antworten sind ursprünglich auf Englisch. Dies ist nur eine Übersetzung.

1. Was sind deiner Meinung nach die drei, vier Stärken von openSUSE, die wir kultivieren und auf denen wir aufbauen sollten?

1) Vielfalt der Features
OpenSUSE ist vor allem für die Distributionen Leap und Tumbleweed bekannt. Die große Bandbreite der verschiedenen Teilprojekte und wie sie zusammenpassen, ist eine große Stärke. Wir sollten einen Weg finden, oS mit den ganzen Projektteilen wie YaST, OBS, openQA etc. in Verbindung zu bringen.

2) „Erbe“
Linux-Distributionen kommen und gehen, manche bleiben jahrelang, andere verschwinden in den Tiefen des Internets. OpenSUSE gibt es nun schon seit Jahrzehnten und es muss diese Tatsache in Richtung einer Anerkennung als zuverlässiger Freund für den Betrieb von Computern verändern.

3) Genehmigungsfreie Gemeinschaft
Die openSUSE-Community lebt von Menschen, die einfach Dinge tun und versuchen, andere durch Ergebnisse zu überzeugen. Das ist nicht überall bei FOSS üblich. Einige andere Gemeinschaften versuchen, die Dinge über Komitees und Oberbosse zu vereinheitlichen.

2. Was sind die drei größten Risiken, die du für openSUSE siehst? (Und vielleicht Ideen, wie man sie angehen kann?)

1) Vergessen werden
2) Teilweise unbekannt bleiben
3) Im eigenen Saft schmoren

Es könnte auch andere Risiken geben, aber diese drei passen alle zu einem großen Thema: Kommunikation – oder eher dem Fehlen einer solchen.

Meine Idee, dies anzugehen, ist es, das Marketingteam (irgendwie) wiederzubeleben und als treibende Kraft für alles, was von openSUSE in Richtung des Restes der Welt geht, zu pushen. Es gibt bereits Initiativen, Artikel zu schreiben, mit Community-Leuten in Interviews zu sprechen und neues Marketingmaterial zu erstellen. Dies erfordert natürlich Koordination und Manpower, aber es läuft bereits recht gut.

Das Marketing-Team, das ich im Sinn habe, ist eine Initiative, die in zwei Richtungen arbeitet: Neben der Arbeit in Eigenregie möchte ich es offen haben für Menschen, die Ideen, Wünsche und Projekte einbringen. Mitglieder können Tickets öffnen, Nichtmitglieder können E-Mails senden oder in Chatrooms erklären, was sie wollen oder brauchen. Die Marketingleute erledigen dann entweder die Anfrage selbst oder versuchen, jemanden zu finden, der bereit ist, dies zu tun, z.B. in Artwork, l10n oder einem anderen geeigneten Team.

Das Hauptziel ist es, einen konstanten Fluss interessanter Inhalte für den Rest der Gemeinschaft und für jeden außerhalb von openSUSE aufrechtzuerhalten.

Die Antwort auf die folgende Frage erweitert diesen Punkt noch ein wenig.

3. Was sollte der Vorstand anders / mehr tun?

Kommunizieren. Obwohl die meisten Leute hier (einschließlich mir) die Sache mit der Hierarchie nicht mögen, ist es etwas, das nicht ungenutzt bleiben sollte. Kurz gesagt: Wenn das Board etwas sagt, wird es weithin als etwas Wichtiges und Offizielles angesehen.
Obwohl das nur teilweise wahr ist und diametral zu dem steht, was der Vorstand wirklich ist (ein „Diener“ der Gemeinschaft), ist es sicherlich ein Weg, um Aufmerksamkeit für das gesamte Projekt zu gewinnen.

Ein Beispiel: Wählt relevante Dinge aus den Meetingnotizen aus, macht einen monatlichen Beitrag auf news-o-o, fügt ein nettes „Board News“ Emblem hinzu.

4. Wenn du einen Blanko-Gutschein vom SUSE-CEO für einen Wunsch hättest, welcher wäre das?

Ich würde ihn dafür verwenden, die Prozesse mit Heroes und der technischen Infrastruktur zu vereinfachen. Obwohl ich nicht so sehr Details kenne, höre ich oft, dass die Dinge langsam laufen und viel nachgebohrt werden muss. Und ich gehe davon aus, dass das, was dort öffentlich sichtbar ist, nur die Spitze des Eisbergs ist.

5. Was hältst du von der Stiftung? Was hältst du für ein realistisches Ergebnis dieses Unterfangens? (Und falls anders, welches Ergebnis würdest du gerne sehen?)

SUSE ist in rechtliche und finanzielle Angelegenheiten der Community involviert und wird sich höchstwahrscheinlich niemals zurückziehen. Und es würde sich falsch anfühlen, wenn man versuchen würde, alle Verbindungen dort zu kappen. Aber meine Vermutung und Hoffnung für die Stiftung ist, dass sie die Dinge klarer und getrennter gestalten wird.

Du hast weitere Fragen? Schreib mir!

(Quelle der Fragen ist hier.)

von Vinzenz Vietzke am 16.01.2020 22:23

In letzter Zeit nimmt Spam, der über Kontaktformulare von Websites versandt wird, immer weiter zu. Während früher noch in erster Linie verirrte Bots ihren Suchmaschinenspam in die vermeintliche Eintragsfelder für Blogkommentare eintrugen, handelt es sich jetzt vermehrt um zielgerichteten Spam an die Betreiber der jeweiligen Website. Auch Abwehrmethoden wie versteckte Honey-Pot-Eingabefelder verlieren dabei mehr und mehr ihre Wirkung.

Beworben werden hierbei beispielsweise Dienstleistungen wie Suchmaschinenoptimierung, Marketing oder Kundenpflege. Besonders dreist sind Mails, in denen das Spammen von Kontaktformularen beworben wird, wie z.B.:

Did you know that it is possible to send business offer totally legit?
We presentation a new unique way of sending commercial offer through feedback forms. Such forms are located on many sites.
When such requests are sent, no personal data is used, and messages are sent to forms specifically designed to receive messages and appeals.
Also, messages sent through feedback Forms do not get into spam because such messages are considered important.
We offer you to test our service for free. We will send up to 50,000 messages for you.
The cost of sending one million messages is 49 USD.

Der Erfolg dieser Spammethode ist demnach auch darin begründet, dass der Versender der Spammails ja der eigene vertrauenswürdige Server ist und der Empfänger vermutlich nur ungern einen allzu scharfen Filter implementiert, der wichtige Kundenanfragen in den Spamordner befördern könnte.

Ich habe meine eigenen Kontaktformulare nun dennoch so erweitert, dass sie das Verhalten des User Agents auswerten und gegebenenfalls den String „[Spamverdacht]“ an den Anfang des Betreffs schreiben. Auf dem Mailserver schiebt Sieve bei Vorhandensein dieses Strings die betreffende Mail in den Spamordner. Neunzig Prozent dieser Spammails kann ich dadurch filtern, bislang ohne False Positives. Vorsichtshalber schau ich aber ein mal am Tag in den Spamordner. Unterm Strich ist die Maßnahme insoweit von Vorteil, da mein Mail-Notifier (xfce4-mailwatch-plugin) so eingestellt ist, dass er bei Mails im Spamordner nicht anschlägt, und ich dadurch seltener durch Spammails von der Arbeit abgelenkt werde.

von Jörg am 16.01.2020 20:14

von Thorsten am 26.12.2019 19:10

Wie in den letzten Jahren werde ich auch dieses Jahr wieder Threema Android Lizenzen verschenken. Dieses Jahr werde ich 5 Lizenzen verschenken. Dazu erhalten die Gewinner oder Glücklichen von mir einen Lzenzschlüssel, mit dem sie auf der Webseite von Threema dann den Android Client nach Eingabe des Lizenzschlüssel herunterladen können.

Es ist nicht möglich, damit Threema vom PlayStore sondern nur aus dem Threema Store herunterzuladen.

Teilnahme

Die Teilnahme ist ganz einfach. Die ersten 5 Nutzer die mich via XMPP / Jabber anschreiben wird (pr3ach3r@trashserver.net) und die folgenden Fragen richtig beantworten kann:

1.) Aus welchem Land kommt Threema? 2.) Was bedeuten die 3 grünen Punkte bei einem Threema Kontakt? 3.) Was ist der Threema Safe?

Ich freue mich auf eure Einsendungen. Ich möchte festhalten ich stehe in keine Zusammenhang mit Threema. Ich kaufe die Lizenzen zum vollen Preis und dieses soll auch keine Werbaktion für mich oder Threema sein. Ich will nur einen kleinen Teil zu mehr Datenschutz und Sicherheit beitragen.

von Malte Kiefer (malte.kiefer@mailgermania.de) am 07.12.2019 00:00

Nachdem ich jahrelang Google Drive (Schande über mich) als Cloud Speicher für einige Dinge genutzt habe, habe ich mich in den letzten Wochen nach einer sicheren Alternative umgeschaut. Ich habe mich für Tresorit entschieden. Da dieses ein bezahlter Cloud Anbieter ist, werde ich nichts weiter dazu erläutern, weil ich keine Werbung hier machen möchte. Jeder soll hier sich für seinen Anbieter entscheiden.

Download Linuxclient

Einer der wichtigen Punkte warum ich mich für Tresorit entschieden habe, war das es einen vollwertigen Linux Client gibt. Dieser kann über die Webseite heruntergeladen werden:

Download Linux Client

Installation

Die Installation des Clients ist sehr einfach, da es sich um einen run Script handelt. Dazu werden wir einfach das Script ausführbar machen:

chmod +x tresorit_installer.run

Danach einfach als Nutzer die Installation ausführen:

./tresorit_installer.run

Die Installation hat bei mir nur knapp 5 Sekunden gedauert und keine Abhänigkeiten gehabt. Es erscheint nur eine kleine Warnung beim ersten Start:

Warning: Ignoring XDG_SESSION_TYPE=wayland on Gnome. Use QT_QPA_PLATFORM=wayland to run on Wayland anyway.

Das war es auch schon.

von Malte Kiefer (malte.kiefer@mailgermania.de) am 06.12.2019 00:00

2014 – Ukrainekrise, Ebola, PKW-Maut. Um in all diesem Schlamassel die Stimmung zu lockern, verspricht die Politik uns den Breitbandausbau bis Ende 2018 für jeden Haushalt mit mindestens 50 Mbit/s. Das Handelsblatt berichtete Mitte diesen Jahres.

Fünf Jahre später, prüfe ich zum 10. mal diesen Jahres die Verfügbarkeit von MagentaZuhause an unserem Anschluss. Kein Erfolg, die schnellste Verbindung, welche uns vorgeschlagen wird, ist MagentaZuhause Hybrid – genau die, welche bereits vorhanden ist und dank der allerletzten, ranzigen SpeedPort Hard- und Software, geringer LTE-Geschwindigkeit und noch geringerer DSL-Geschwindigkeit ein Witz ist. Von den 2014 seitens der Telekom propagierten 50 Mbit/s mit MagentaZuhause Hybrid, die zeitweilig tatsächlich geliefert wurden, kommen heute noch 16 Mbit/s. Und da müssen wir schon eine günstige Zeit erreichen.

Donnerstag 19 Uhr im reinen LTE-Betrieb
2009 hat angerufen und möchte seine Hausanschluss-Transferraten zurück

So ganz wollten wir uns noch nicht geschlagen geben. Also riefen wir die Telekom an. Der Serviceberater teilte mit, dass MagentaZuhause L mit 100 Mbit/s in Empfangsrichtung verfügbar sei. Nanu? Ich teilte ihm meine Sorge mit, dass das nicht stimmen könnte, da die Verfügbarkeitsprüfung mit Adresse und Telefonnummer ein anderes Prüfergebnis lieferte.

Die Dartscheibe: Wichtiger mutmaßlicher Bestandteil der Terminplanung und -vergabe der Telekom

Bild: Quelle, Lizenz: GNU Free Documentation License 1.2

Er meinte das passe alles, wir klärten die weiteren Begebenheiten und erklärten, dass wir unseren Router selbst beschaffen würden. (Die Miet- und Kaufangebote der Telekom für Router sind ein Witz für sich, ich möchte jetzt nicht konkreter darauf eingehen.)

Der Serviceberater teilte uns den recht frühen Umschalttermin in vier Tagen mit. Diese scheinbar kurzfristige Terminverfügbarkeit freute uns. Ich erkundigte mich noch wie mit den Zugangsdaten zu verfahren sei und ob wir diese per Post erhalten würden – er bejahte dies.

Im Bild markiert: Telekom-Serviceberater Hannes – sein Vorgesetzer in Reihe 1 passt nicht auf, daher verkauft Hannes Internetverträge, für die gar keine Anschlüsse existieren

Bild: Quelle, Lizenz: CC-BY-SA 2.0, Änderungen: Rote Markierung

Heute ist Donnerstag, drei Tage später und nachdem unsere Fritz!Box, bestellt über Amazon, bereits am Tag nach der Bestellung da war, warteten wir vergebens auf einen Brief der Telekom. Da wir einen Ausfall des Internet aufgrund fehlender Zugangsdaten vermeiden wollten, riefen wir also heute nochmals bei der Telekom an.

Die Serviceberaterin teilte uns mit, dass der Termin am Freitag keineswegs verbindlich gebucht wurde. Auch Zugangsdaten würden wir keine neuen erhalten, die alten behielten ihre Gültigkeit. Uns wurde mitgeteilt, dass der nächste Termin für Mittwoch den 23.10 oder Donnerstag den 24.10. verfügbar sei und sie diesen anfragen würde.

Kurz darauf erhielten wir einen weiteren Anruf der Beraterin, die uns mitteilte, dass MagentaZuhause L an unserem Anschluss nicht verfügbar sei, da alle Anschlüsse die über 50 Mbit/s (das wäre MagentaZuhause M) leisten könnten, bereits belegt wären. Wir erklärten uns mit MagentaZuhause M einverstanden, da eine stabile 50 Mbit/s-Anbindung immernoch besser ist als die derzeit 14-16 Mbit/s leistende DSL+LTE-Lösung oder die 6 Mbit/s DSL-Verbindung allein.

Das Gänseblümchen – mutmaßlicher Hauptbestandteil des Telekom Verfügbarkeitschecks

Bild: Quelle – User Alexmenk auf wikimedia.org
Lizenz: CC-BY-SA 3.0

Kurz darauf erhielten wir einen weiteren Anruf der Beraterin, die Sachlage hatte sich nun weiter verschlechtert. Das gesamte Haus hätte lediglich einen 50 Mbit/s-Anschluss, welcher bereits von einem anderen Teilnehmer genutzt werde.

Das ist wohl dieser “Breitbandausbau” von dem alle reden. Um das kurz zu veranschaulichen, hier ein Bild dieses Einfamilienhauses an dem es natürlich nicht mehr als eines einzigen 50 Mbit/s-Anschlusses bedarf:

Man sieht es trotz der niedrigen Auflösung ganz klar:
Hier handelt es sich um ein 4-stöckiges Einfamilienhaus an dem es nur eines 50 Mbit/s Breitbandanschlusses bedarf.

Doch hier war es noch nicht vorbei. Wir fanden noch ein interessantes, informelles Schreiben vom August von FEXCOM:

VOLLGAS-SURFEN, 250 MBIT/S, Millionen Haushalte, JETZT, Highspeed-Internet, JETZT

Reicht noch nicht? Geht weiter!

Vor 16 Monaten: Baumaßnahmen finden gerade statt, 250 MBit/s

Noch etwas: Die tolle Karte zum Breitbandausbau zeigt für unsere Lokation 100 MBit/s DSL. Einen Screenshot kann ich aufgrund der Lizenzbestimmungen hier nicht einbinden.

Zum Schluss noch etwas zu den monatlichen Gebühren und unserem tollen Breitbandausbau:

Deutsches Telekom Kupfer-DSL mit Supervectoring (seit Jahren im mühsamen Ausbau befindlich) gegen tkchopin.pl Koaxialkabel-Internet (ohnehin fast überall in Polen vorhanden) im Preis-/Leistungsvergleich.

Nachtrag

Um den 31. Oktober kontaktierten wir wieder einmal die Telekom, da die erwartete Rückmeldung ausblieb. Die Supportmitarbeiterin teilte uns hier mit, dass bis einschließlich Dienstag dem 4. November keine Auskünfte möglich seien, da “das System geupdated” werde.

Die Telekom scheint hier ihr Armutszeugnis aufpeppen zu wollen – 5 Tage ohne Support aufgrund eines “Systemupdates”? Aufgrund meiner beruflichen Tätigkeit kenne ich die ungefähren Abläufe solcher “Updates” oder “Migrationen” und weiß, dass 5 Tage Systemausfall für eine Supportabteilung eines Unternehmens mit

• über 200.000 Mitarbeitern
• etwa 13 Millionen DSL-Kunden
• einem Jahrensumsatz von 75 Milliarden Euro

schlicht nicht notwendig sein dürfen. Sind sie es dennoch, läuft bei der zuständigen Abteilung oder beim zuständigen Dienstleister etwas gewaltig schief.

Nachtrag

Am 6. November dann der nächste Kontakt mit der Telekom. Bis zu 250 Mbit/s seien nun an unserem Anschluss verfügbar – jedoch könne der Mitarbeiter dies nicht freischalten, da die Kollegin den Fall noch bearbeite.

Warum die Kollegin sich nicht bei uns melde, sei ihm nicht bekannt. Er habe ihr eine Mail geschrieben und wir sollen noch 2 Tage auf ihren Rückruf warten. (Datum dieses Nachtrags: 11. November, noch keinen Rückruf erhalten.)

“Die Wege des Telekom-Supports sind unergründlich.”

– Unbekannt

Nachtrag

Am 12. November riefen wir wieder beim Telekom-Support an. Ein nicht sonderlich eloquenter Mitarbeiter aus Leipzig versuchte uns mal wieder abzuwimmeln mit der Methode “da sei bei kein Anschluss verfügbar, da müsse er bei der Technik anfragen, das würde 4 Wochen dauern”. Auf meine Nachfrage was in den 4 Wochen passieren würde, teilte er erst mit, dass in diesen 4 Wochen geschaut würde ob ein Anschluss verfügbar sei. Auf erneute Nachfrage teilte er mit, dass in diesen 4 Wochen ein Anschluss geschaffen würde. Aufgrund der Verdrehungen teilte ich ihm mit, dass ich seinen Vorgesetzten sprechen möchte.

Sein Vorgesetzter war hier nicht viel hilfreicher, lenkte nach einigen Minuten meines latenten “erboster Kunde”-Geschwafels jedoch ein und teilte mir mit, dass er den Tarif buchen würde, was dazu führe, dass sobald der Anschluss frei sei, wir eine Information hierüber erhielten und dann ganz gewiss der entsprechende Tarif gebucht werden könne, da wir ja bereits in der Warteschlange seien. Wir sind gespannt und werden nun wöchentlich bei der Telekom um einen neuen Stand nachfragen.

“Desperate times call for desperate measures.”

– Sprichwort

Disclaimer

Die Beschreibungen unterhalb der Bilder sind frei erfunden und dienen Unterhaltungszwecken.

von maltris am 14.11.2019 05:19

Wer häufig mit dem Texteditor vim arbeitet, wird bestimmte Einstellungen, wie z.B. zum Anzeigen von Zeilennummern oder zum automatischen Einrücken, in eine Konfigurationsdatei speichern. Während systemweite Einstellungen unter Linux in der Datei /etc/vimrc angelegt sind, können User eine eigene Konfiguration in der lokalen Datei ~/.vimrc vornehmen. Manchmal kann aber auch eine projektbezogene Konfiguration notwendig sein, wenn z.B. der Coding-Style des betreffenden Projektes eine andere Art der Einrückung vorschreibt als diejenige, die man normalerweise verwendet.

Das Plugin localvimrc ermöglicht es vim, Konfigurationsdateien mit dem Namen .lvimrc in Projektordnern einzulesen. Die Installation erfolgt als Vimball, wie unter „install details“ beschrieben: man lädt die aktuelle localvimrc.vmb herunter, und installiert diese dann folgendermaßen:

vim localvimrc.vmb
:so %
:q

Nach erfolgter Installation sucht vim bei jedem Start im aktuellen Verzeichnis eine Konfigurationsdatei .lvimrc und lädt diese bei Vorhandensein. Aus Sicherheitsgründen muss hierbei eine Sicherheitsabfrage bestätigt werden. Mit folgendem Eintrag in der Datei ~/.vimrc erreicht man, dass diese in einer vim Session nur einmalig erfolgt:

let g:localvimrc_persistent=2

von Jörg am 05.11.2019 21:07

2019-07-15



Today I solved the  problem  of  sending  mail  messages  to  the
mayor's  office  in  a rather easy way. I must have been blind to
not see that option earlier.

The general approach, as I did  it  before,  was  the  following:
First  I  prepare  all texts, photos and captions as files in the
filesystem, named in a specific scheme. Then I start comp(1) with
a  special  message draft.  Then I add the relevant files, modify
the message text as needed and submit it. The message goes to the
mayor's office and at the same time to a script on my server that
stores the attachments for access through the website.

The solution now is: Instead of sending one copy directly to  the
mayor's  office,  I  send  it  to a new script, which reworks and
transforms them in exactly the way the mayor's office wants  them
to receive. With mmh this is a rather simple shell script.

I am happy for having found this solution,  that  makes  everyone
happy.   I  can keep the process as it was, but only add one more
filter to the outgoing mail.  I  must  have  been  blind  that  I
haven't  seen  it earlier. Maybe I only was too emotional in this
topic before ...




http://marmaro.de/lue/        markus schnalke <meillo@marmaro.de>

14.07.2019 22:00