Computer - 4

(this text describes how to avoid that your computer switches off itsself on shutdown - english version available in the openSUSE wiki as SDB article)

Auch wenn der Wunsch etwas ungewöhnlich ist: mein Server soll sich nach dem Shutdown nicht automatisch ausschalten.

Der Grund ist einfach: ich schalte den Strom mit einer abschaltbaren Steckdose an und aus und möchte nicht jedesmal den Power-Button des Servers betätigen. Das Problem ist, dass das BIOS nicht die Option bietet, bei Rückkehr der Stromversorgung den Rechner hochzufahren. Immerhin erinnert sich der Rechner an den letzten Status - nach einem Stromausfall (auch wenn er über die abschaltbare Steckdose simuliert wurde ;-) fährt er also wieder hoch.

Die Lösung ist einfach, sobald man sie kennt: In /etc/sysconfig/shutdown muss die Variable HALT="halt" gesetzt werden (Voreinstellung ist "auto").

Bei dieser Gelegenheit sollte man auch gleich einen HALT_SOUND in derselben Datei setzen, damit der Rechner nach dem Shutdown piept. Damit kann man ein zu frühes Abschalten der Stromversorgung vermeiden.

(Der Dank geht an Stefan Seyfried, der mich auf die Configdatei hingewiesen hat.)

(as special present for everybody coming from my People of openSUSE interview, this post also includes an english translation (green font) ;-)

Ich bin gerade in den Nachrichten :-) Um genau zu sein: Ich wurde für People of openSUSE interviewt. Als kleines Geschenk an alle openSUSE-User hier die Erklärung, wie man seine Tastatur vim-freundlicher macht.

Vim ist dank der Tastaturbedienung der schnellste Editor, den ich kenne. Einzig der weite Weg zur Escape-Taste stört etwas. Linux wäre aber nicht Linux, wenn man die Tastaturbelegung nicht selbst ändern könnte.

Aus meiner Sicht ist CapsLock ziemlich überflüssig. Daher habe ich Escape auf CapsLock verlegt und nutze jetzt die noch überflüssigere Break-Taste für CapsLock.

Die Änderung der Tastaturbelegung ist ziemlich einfach. Zuerst legt man ~/.Xmodmap mit folgendem Inhalt an:

Vim is the fastest editor I know because you can operate it with the keyboard. Only the long distance to the Escape key is annoying. But Linux would not be Linux if you could not change the keyboard mapping yourself.

IMHO the CapsLock key is quite superfluous. Therefore I have mapped Escape to the CapsLock key and use the even more superfluous Break key for CapsLock functionality.

Changing the keyboard mapping is easy. First create ~/.Xmodmap with this content:

!! map CapsLock functionality to the "Break" key
keycode 110 =  Caps_Lock

!! map Escape to the CapsLock key
keycode 66 =  Escape

!! clear CapsLock and map it on "Break"
clear Lock
add Lock = Caps_Lock

Jetzt muss man nur noch dafür sorgen, dass die .Xmodmap beim Login geladen wird. Da die KDE-Tastatureinstellungen gern mal die Einstellungen der .Xmodmap überschreiben, mache ich das Ganze spät genug mit einem Script im KDE Autostart-Ordner:

Then you have to make sure that .Xmodmap is loaded at login. The KDE keyboard settings tend to overwrite earlier settings, therefore I load my .Xmodmap late enough in a script inside the KDE autostart folder:

xmodmap /home/cb/.Xmodmap

Wenn man auch die virtuellen Konsolen mit dieser Tastaturbelegung bestücken möchte (diesmal ohne die Änderung von Break), legt man die Datei /usr/share/kbd/keymaps/i386/qwertz/escape-capslock.map mit folgendem Inhalt an:

If you want to modify the keymap of the virtual consoles also (this time without changing Break), create the file /usr/share/kbd/keymaps/i386/qwertz/escape-capslock.map with this content:

include "de-latin1-nodeadkeys.map.gz" # enter your local keytable here

keycode  58 = Escape
    alt keycode  58 = Meta_Escape

Anschließend ändert man in /etc/sysconfig/keyboard die Tastaturbelegung:

Then change your keyboard layout in /etc/sysconfig/keyboard:

KEYTABLE="escape-capslock.map"

Das wars. Mit dieser kleinen Änderung der Tastaturbelegung lässt es sich mit vim noch bequemer und schneller arbeiten.

That's it. With this little change of the keyboard layout, working with vim is more comfortable and faster.

Meine persönliche Meinung: 10.2 war schon sehr gut, aber 10.3 ist noch besser!

Zur Feier des Tages finden einige Release Parties statt, die aber leider alle zu weit weg sind. Mein Vorschlag für alle, die in der Pfalz wohnen, ist deshalb:

Kommt diesen Samstag (6.10.) zum Linux Infotag der LUG Landau - ich bin definitiv dort. Im Anschluss suchen wir uns ein gemütliches Lokal und feiern openSUSE 10.3 :-)

Muss ich dazu wirklich etwas sagen?

Na gut, für den Fall, dass jemand das Problem nicht sieht: Ein Passwort, das im Klartext angezeigt wird, kann niemals sicher sein. Dass direkt daneben Tipps für ein sicheres Passwort gegeben werden, würde ich als ironisch bis peinlich bezeichnen.

Beim Runterscrollen kommen übrigens noch bessere Tipps:

• Ändern Sie Ihr Passwort sofort, wenn Sie den Verdacht haben, dass es einer anderen Person bekannt sein könnte.

Hinter mir sitzen ein paar Leute, also: Waaaaa-aaaaas, alle 10 Sekunden Passwort ändern?!

• Notieren Sie sich niemals Ihr Passwort.

Dann brauche ich ganz, ganz dringend Tipp-Ex auf dem Bildschirm...

Lustigerweise ist das (im Vergleich zum Vertragspasswort) eher unwichtige Mail-Passwort besser geschützt - das kann man sich nicht anzeigen lassen, sondern nur ändern. Im Gegenzug wird das FTP-Passwort im Klartext angezeigt. Klar, das ist ja auch wertvoller als Mailpasswörter, warum sollte man das verstecken? *grummel*

Bevor sich jemand wundert, warum ich mich plötzlich bei 1&1 rumtreibe: Abschlussarbeiten einer Kündigung, die Domains habe ich gerade zu mir umgezogen :-)

Der LinuxTag ist inzwischen vorbei. Wie befürchtet ;-) "durfte" ich vom Nachtzug (kam um 5:33 in Karlsruhe an) direkt ab in die Weinberge. Das verhindert übrigens zuverlässig, dass man einschläft...

Zwischenzeitlich haben auch andere Leute über den LinuxTag geschrieben, u. a. AJ (Vorbereitung, openSUSE day, nochmal openSUSE day und LinuxTag und LinuxNacht) und Martin Lasarsch.

Was gibt es im Nachhinein noch Interessantes vom LinuxTag zu berichten?

Am Freitag war die Keysigning-Party mit rund 100 Teilnehmern. Die Beschreibung "Kultiges Zusammensitzen und gemeinsames Murmeln magischer Zahlen." (Gert Döring, FdI 95) trifft es ziemlich gut, auch wenn es in diesem Fall nach dem Prüfen der MD5- und SHA1-Summen hauptsächlich ein "OK, stimmt" war. Damit war es mit dem Zusammensitzen auch schon vorbei, weil sich dann alle auf dem Flur aufstellten und gegenseitig ihre Idendität prüften. Ja, das muss man mal erlebt haben ;-)

Das Signieren der Keys habe ich dann mit caff gemacht, das AJ freundlicherweise im Buildservice zur Verfügung stellt. Leider war Postfix auf meinem Laptop nicht korrekt konfiguriert (Absender cb@cboltz.boltz...), sodass wohl etliche Mails mit den Signaturen nahe /dev/null gelandet sein dürften :-( Ich werde nächste Woche die Keys aller Teilnehmer durchsehen und an alle, die meine Signatur noch nicht haben, nochmal eine Mail schicken. Außerdem ist ein Feature Request zu überlegen - caff sollte KMail zum Versand unterstützen ;-) oder notfalls wenigstens alle Mails als mbox rausschreiben können. Wer im Jahr 2007 noch zwingend einen korrekt konfigurierten MTA auf einer Workstation voraussetzt, ist ziemlicher Optimist...

Das zum LinuxTag - für mich waren es 3 schöne Tage in Berlin, auch wenn ich von der Stadt recht wenig gesehen habe. Beim LinuxTag habe ich auf den Vorträgen wieder einiges gehört und gelernt, viele Bekannte getroffen und auch der Kontakt mit "Otto-Normal-User" am openSUSE-Stand war immer wieder interessant. Und nächstes Jahr fahre ich natürlich wieder hin!

Nach dem LinuxTag kommt...

Ja, richtig - die LinuxNacht in Berlin-Kreuzberg. Was das ist? Man nehme einen Haufen Geeks, packe diese in ein altes Umspannwerk, füge leckeres Essen und reichlich Getränke hinzu und runde das Ganze mit einem DJ, einer Ladung Scheinwerfer und etwas Nebel ab. Fertig ist die Party ;-)

Vom roten Teppich habe ich leider kein Bild, dafür aber einige von der Party:

Andreas Jaeger (links) und Adrian Schröter beim Essen

Abendfüllende Unterhaltung: Martin Lasarsch auf der Backsteinwand

Larry Ewing (mitte)

Zu früh für die erste U-Bahn (um 4 Uhr) - ein Döner als vorgezogenes Frühstück

Nach fast 2 Tagen LinuxTag eine schnelle Zusammenfassung:

Gestern gab es eine Reihe interessante Vorträge beim openSUSE-Day rund ums openSUSE-Projekt, den Buildservice, die Entwicklung der 10.3 und rund um "mobile devices", also Laptops (Suspend, Stromeinsparung usw.).

Gestern Abend ging ich dann mit einer Gruppe SUSE-Mitarbeiter Pizza essen und anschließend in ein Pub.

Heute hatte ich gemischtes Programm - ein paar Vorträge, dazwischen immer wieder Dienst am openSUSE-Stand. Und heute Abend geht's zum Social Event, zu dem mir Martin Lasarsch netterweise eine Freikarte organisiert hat :-)

Eine reine Filterung auf "<a href=...>" und "[url]" reicht leider nicht mehr aus, aber es gibt ja noch mehr Möglichkeiten. Aktueller Stand:

preg_match_all("@http://@", $eintrag, $http_count_tmp);
preg_match_all("@%@", $www, $prozent_count_tmp);
if (
    preg_match ( "/\[URL=.*\]|<a[^>]*href|^abc123$/i", trim($eintrag))
    || ( count($http_count_tmp[0]) > 3 )
    || ( $leerfeld != "" )
    || ( ( $name == $ort ) && ( $name != "" ) )
    || ( count($prozent_count_tmp[0]) > 10 )
) {
    echo "Verp*** dich, Spammer!";
    die;
}

Gefiltert wird also auf folgende Kriterien:

• der Eintrag enthält "<a href=...>" oder "[url]"
• lustigster Filter: der Eintrag lautet "abc123" - scheinbar lieben die Spammer solche Kurzeinträge ;-)
• im Eintrag kommt mehr als dreimal "http://" vor
• das Leerfeld (ein per CSS display:none ausgeblendetes Eingabefeld) wurde ausgefüllt
• die Homepage mehr als 10 %-Zeichen enthält (gern verwendet bei "Fremdhosting" von Spam, aka unsichere, gecrackte Forensoftware u. ä.)
• zwei Felder mit gleichem Eintrag

Die aktuelle Trefferquote liegt sehr nahe an 100%. Insbesondere das Leerfeld hat mir in letzter Zeit gute Dienste geleistet, weil viele Spammer nur noch einen kurzen Text (englisch, italienisch oder in kaputtem deutsch) ohne Links eintragen.

UPDATE 17.8.2007:
Filter auf >10 Prozentzeichen und auf Felder mit gleichem Eintrag hinzugefügt (ist schon seit einiger Zeit im Gästebuch-Spamfilter enthalten - seitdem ist wieder Ruhe.)

"Designed for Microsoft Windows™"

Was /dev/null ist, erklärt und zeigt das nebenstehende Bild ja schon länger auf meiner Homepage.

Von "/dev/null 2.0" hat bisher niemand geredet, deshalb hole ich das an dieser Stelle nach ;-) Ja, eine Windows-Installation in 2 Minuten hat was - und vor allem ist diese Art der Installation sicher vor jeglichen Viren und Würmern *g*

Frohe Weihnachten! (Bild von Klowner's wallpapers)

Eigentlich nicht, aber ich habe trotzdem ein vorgezogenes Geschenk: Die AppArmor-Profile dieses Servers. Im Einzelnen sind das Profile für:

• Postfix (Mailuser in MySQL)
• maildrop (Maildirs in /home/mailbox/)
• Mailman
• Amavisd
• ClamAV
• SQLgrey
• Courier (Mailuser in MySQL)
  
• vsftpd
• diverser "Kleinkram"

Der Vorteil meiner Profile gegenüber den in SUSE Linux 10.1 mitgelieferten ist schlicht, dass meine Profile durchgetestet sind und (zumindest bei meiner Konfiguration) auch alle nötigen Aktionen erlauben. Das nervige Nacharbeiten der Profile und "warum blockt er das jetzt?" fällt also weg ;-)

Außerdem habe ich für einige Programme (Mailman, Courier, maildrop, vsftpd, SQLgrey, ClamAV) die Profile komplett selbst erstellt. (Bei vsftpd können Anpassungen der Pfade je nach Struktur der Homedirs nötig sein, außerdem ist /home/mailbox/ als Mail-Verzeichnis fest in den maildrop- und Courier-Profilen verdrahtet.)

Einige Profile sind nach /etc/apparmor/profiles/extra/ verlinkt - diese Profile funktionieren entweder im Originalzustand oder ich habe das entsprechende Programm noch nie gebraucht ;-)

Download: apparmor-profiles-20061220.tgz

Installation: nach /etc/apparmor.d/ entpacken, rcapparmor reload aufrufen und schon ist das System ein gutes Stück sicherer.

Die Weitergabe und Verwendung der AppArmor-Profile ist unter den Bedingungen der GPL erlaubt.

Und ich wünsche an dieser Stelle schon mal Sichere ;-) und Frohe Weihnachten!

packages.debian.org geht fremd ;-)

Leider gibt es immer wieder traurige Gegenbeispiele. fefe hat jetzt entdeckt, dass packages.debian.org die URL-Parameter ungeprüft übernimmt, inclusive der auf der Seite angezeigten MD5SUM des Pakets. Sowas ist ziemlich blauäugig ;-)

Vor ein paar Stunden konnte man noch beliebigen HTML-Code einschleußen (siehe Screenshot - ja, soviel Spaß muss sein), inzwischen wird "immerhin" die MD5SUM auf Länge und erlaubte Zeichen überprüft. Eine falsche MD5SUM ausgeben geht immer noch, solange die Länge stimmt.

Eine falsche MD5sum in Verbindung mit einem manipulierten FTP-Server heißt de facto, dass jemand ein gefaktes Paket mit beliebig bösem Inhalt anbieten kann und das nichtmal auffällt. Auf debian-www hält man sowas aber für "low risk". Es geht ja auch nur um potenziell gefakte Pakete mit bösen suid-root Programmen...

Was fefe übersehen hat: auch die anderen Parameter sind beliebig manipulierbar. Ich bin mal gespannt, wie lange Debian den Internet Explorer zum Download anbietet *eg*

Wie man sowas manipulationssicher programmiert? Eigentlich recht einfach - man packt die Nutzdaten (Paketnamen, MD5SUM usw.) in eine Datenbank und übergibt dem Script nur die ID als Parameter.

UPDATE: Inzwischen wurde die RegEx etwas verschärft und erlaubt nur noch [0-9a-f]. Ich habe die obigen Links etwas angepasst, damit sie weiterhin funktionieren. Falsche MD5SUMs kann man immer noch einschleußen...

Das ist die Mailstatistik dieses Servers der letzten Woche. Die großen Ausschäge in der "Rejected"-Kurve stammen im Wesentlichen aus "Relay access denied" von einer einzigen IP.

Falls jemand gern Rätsel löst, hätte ich ein paar Fragen:

• Wann ist ein neuer Kunde dazugekommen?
• Ist es ein Privat- oder ein Geschäftskunde?
• Wann hat er endlich geglaubt, dass er SMTP Auth aktivieren muss? ;-)

Anhand der Grafik sollte die Lösung recht leicht zu finden sein. *g*

UPDATE (11.12.2006): Wie sich inzwischen herausgestellt hat, hat die Firewall die SMTP-Authentifizierung rausgefiltert...

Übersetzt? Soso...

Die schlimmsten Bugs, die ich entdeckt habe, sind zwei Probleme im Paketmanager. Der eine sorgt für einen Hänger, wenn eine (Online-)Installationsquelle nicht verfügbar ist (#221071), der andere für einen riesigen Stapel Fehlermeldungen, wenn eine Installationsquelle eine Apache-Fehlermeldung statt der Metadaten liefert (#218552). Als Workaround hilft es, nur funktionierende Installationsquellen zu verwenden ;-)

Falls sich jemand Sorgen um den Status des Paketmanagers macht: diesmal funktioniert er wirklich ;-) out of the box und muss nicht erst wie bei 10.1 zurechtgepatcht werden. Ach ja, und man kann zmd und zen-updater durch opensuse-watcher ersetzen, der direkt auf libzypp aufsetzt. Bleiben nur noch die kaputten Berechtigungen bei permissions.secure (#216485).

Der einzige Bug, der in der täglichen Arbeit nervt, ist ein hyperaktiver artsd, der den Prozessor unnötig beschäftigt (#178930) - naja, dafür gibt es killall -9...

Dazu kommen die üblichen Kleinigkeiten - ein paar verwirrende Schaltflächen (#218677), eine komische Übersetzung (#220668) oder auch ein fehlendes Leerzeichen (#220875).

Ach ja, das Syntax-Highlighting for AppArmor-Profile in vi funktioniert dank meiner Mithilfe wieder (#190084).

Am schönsten fand ich aber die Tipps beim KDE-Start (Screenshot rechts oben). Dort wird u. a. erklärt, dass KDE in viele Sprachen übersetzt ist - und genau dieser Text ist nicht übersetzt *g* (#221177 - hmmm, sollte ich den wegen Peinlichkeit zum Blocker machen?)

Zur Abwechslung biete ich "404 bugs found" ;-)

Ja, von SUSE Linux 9.2 beta bis heute hat sich einiges angesammelt. Darunter waren einige Dauerbrenner, z. B. der Dualhead-Betrieb auf meinem Laptop (#61858), der dem Blinker-Prinzip folgt (pro SUSE-Release: geht, geht nicht, geht, ...) und PHP open_basedir, das ich gern pro vHost setzen würde - dummerweise werden aber die Einstellungen der vHosts bunt durcheinandergemischt (#136651). Der letzte "Fix" vor einiger Zeit war leider wenig erfolgreich. Ich bin ja mal gespannt, ob der jetzt angekündigte Patch das Problem endlich behebt ;-)

Andere Bugs befassten sich mit Ausnahmesituationen (z. B. dass /var/lib ein Symlink ist ;-) - #181606) und wieder andere "nur" mit ungewohnten Tastenfolgen für Datei - Öffnen (#215576). Auch der Spaß kam nicht zu kurz, wie beispielsweise einige Kommentare in Bug #141107 oder Bug #180796 zeigen. Dazu kamen diverse Verbesserungsvorschläge, von denen manche sofort und manche nach deutlichem Nachhaken (#206414, #143648) umgesetzt wurden. Beim Betatest der 10.1 hatten insbesondere die Programmierer von YaST und der Paketverwaltung ihre Freude - in diesen Bereich fielen 64 meiner 152 Bugreports zur 10.1 (was mich nebenbei zum zweitaktivsten Bugreporter nach Andreas Jaeger (182 Bugreports) gemacht hat ;-)

Nicht nur die Programmierer, auch das Doku-Team hatte seinen Spaß mit mir (oder umgehehrt?), als ich im berühmt-berüchtigten Bug #65000 (#50000 zu Zeiten von bugs.suse.de; ich habe zwar trotz der runden Zahl nichts gewonnen, aber "lots of people here were annoyed by it - they wanted to file this magical number themselves ;))") diverse Fehler im Handbuch ("handbug?") der 9.2 berichtete. Jede Büroklammer im Handbuch markierte einen Fehler im Kapitel "Shell", das Foto ging vorab ans Doku-Team. Die erste Reaktion seitens Jana Jaeger auf meinen Bugreport war dann übrigens "@bugreporter: please do not ever touch a paperclip again ... :)"

Inzwischen helfe ich gelegentlich auch selbst bei der Fehlerbehebung, beispielsweise in pin und in apparmor.vim (vim Syntax-Highlighting für AppArmor-Profile).

Nur einen Bug konnte ich bis heute nicht beheben: der Tag hat leider nur 24 Stunden. Egal, nehme ich eben die Nacht dazu ;-)

Ach so: Die älteren Bugreports für SUSE <= 9.3 sind nur für alteingesessene Betatester zugänglich, daher sind nur rund 290 Bugs öffentlich sichtbar. Vermutlich erhöt sich die Zahl aber demnächst - ich will morgen openSUSE 10.2 beta1 installieren...

Im Gästebuch der Landjugend RheinhessenPfalz habe ich ein paar Zeilen PHP-Code verwendet, um Gästebuch-Spam abzufangen. Das Funktionsprinzip war recht einfach: wenn der Eintrag nach Spam aussieht, setze $_POST['firstname'] = "". Das Gästebuch hat dann den fehlenden Vornamen beklagt ;-) und den Eintrag zuverlässig abgewiesen.

Nach dem Update auf Typo3 4.0 funktioniert das so nicht mehr - scheinbar wird $_POST von Typo3 gecacht.

Der Einfachheit halber habe ich jetzt doch ve_guestbook gepatcht:

--- pi1/class.tx_veguestbook_pi1.php_ORIG   2006-10-22 03:07:02.000000000 +0200
+++ pi1/class.tx_veguestbook_pi1.php        2006-10-22 02:56:52.000000000 +0200
@@ -947,6 +947,11 @@  function checkForm() {
                        }
                }

+               if (!empty($this->postvars['entry'])) {
+                       if (preg_match ( "/\[url=.*\]|<a[^>]*href/i", $this->postvars['entry']))
+                           $error .= "<li>Bitte keinen Spam posten!</li>\n";
+               }
+
                if ($this->config['email_validation'] && !empty($this->postvars['email'])) {

                        if (t3lib_div::validEmail($this->postvars['email']) == false) {

Der Feature Request für eine offizielle "Eintrag Blacklist" Konfiguratonsoption in ve_guestbook, die ganz normal übers Typo3-Backend konfiguriert werden kann, ist übrigens auch schon beim Autor eingereicht ;-)

UPDATE (17.11.2006)

Der Fehler lag woanders - Typo3 4.0.2 cacht ve_guestbook zu aggressiv.

Das führte zum Einen dazu, dass mein Hack, $_POST zu verändern, nicht mehr funktioniert hat, und zum anderen dazu, dass keine neue Gästebucheinträge akzeptiert wurden - die Bestätigungsseite wurde gechacht und der Eintragen-Code im Gästebuch wurde deshalb nicht mehr ausgeführt :-(

Die Lösung: Die Seite komplett vom Cachen ausschließen (nicht wirklich empfehlenswert) oder im Typoscript plugin.tx_veguestbook_pi1 = USER_INT eintragen. (Quelle)

Und schon kann man wieder $_POST missbrauchen ;-)