Seltsam das mir immer bei einem derartigem Versagen direkt wieder mein eher selten beschriebenes Blog einfällt.
Heute ein paar Updates reingekommen. Für bash, Update für Debian stable. Updatezeitpunkt bei Debian stable: Donnerstag. Updatezeitpunkt bei Strato: Nachfolgender Montag. Nicht schlecht.
Schon einmal versucht Strato beizubringen das etwas an ihrer Netzwerkkonfiguration für die virtuellen Maschinen nicht stimmt? Symptom: IPv4 konfiguriert IPv6 nicht. DHClient wirft Fehler, ARP läuft ins Leere. Kurz dokumentiert, Service angerufen. Was passiert?
Der Service glaubt einem nicht und versucht einem beizubringen wie man auf einer Linuxmaschine das Netzwerk konfiguriert. Nach fünf Minuten rumstreiten das ganze verpackt und „für die interne IT“ zusammengefasst, damit vielleicht mal ein Ticket daraus wird oder so.
Das ist nun schon was her. Heute festgestellt: Das Problem tritt auch mit frisch privisionierten Maschinen auf.
Ich bin beruflich gezwungen Server beim bekannten Hoster Strato zu benutzen. Im Laufe der Zeit habe ich zahlreiche, fast ausschließlich negative Erfahrungen gesammelt.
Heute habe ich eine neue Virtuelle Maschine über das MultiServer-Angebot bei Strato angelegt, eine besonders mittemäßige Variante des Strato-Angebotes, die durch beständige IO-Probleme auffällt.
Stratos Debian 7.0 Image ausgewählt. Maschine gestartet. Die Maschine startet automatisch SSH und geht online. Mit einer heartbleed-Anfälligen Version von OpenSSL. Ohne Worte.
PS: Ich bekomme irgendwie Lust über weitere Erfahrungen mit Strato zu berichten.
VPN ist ja eigentlich kein Hexenwerk. Ich mag OpenVPN. Simpel. konfigurierbar.
Aber bei all dem Schrott den ich gezwungen bin zu benutzen, von dem die Hälfte InternetExplorerVolleRechteActiveXJavaScriptJavaVolleRechteLokaleInstallationVonSoftware haben will, fühlt sich diese Art der Absicherung zusehens an wie Malware.
Das Ganze natürlich von einer Website mit abgelaufenem Zertifikat.
Mit fällt gerade auf das ich deshalb alleine schon eine Virtuelle Maschine erstellt habe, damit ich das ganze irgendwann in einem Schwung sauber entsorgen kann. Wie Giftmüll.
Tolle Sicherheit.
Ich halte ja nicht viel von der Bewertungsfunktion („Sterne“) für Google-Suchergebnisse. Aber heute wollte ich wissen, ob es einen VSphere-Client für mein Linux-Arbeitssystem gibt. Eigentlich sagen da die Sterne genug:
Kurze Antwort: Nein
Es geht weiter mit Technikposts.
Wo wir gerade dabei waren. Ein anderer Kunde wollte auch eine VPN-Verbindung schaffen. Nachdem mir die Lösung genannt wurde, habe ich mich schon gefreut: einfach, simpel. Rückfrage von mir: Ihr wollt das bestimmt per Zertifikat machen, schickt mir das doch ruhig zu, GPG key ist ja bekannt.
Antwort: Ne, wir machen das mit Shared Secret. Haben wir Ihnen schon zugefaxt.
Und das verdammte Ding war auch noch in ca Schriftgröße 6pt und nahezu unleserlich. Einige Buchstaben stellten sich nach stundenlangen debuggen mit tcpdump dann als andere herraus.
Ich arbeite häufig via VPN mit Kunden. Mit was für Zeug die Leute da anrücken, ist manchmal schon bedenkenswert.
Kunde A will Änderungen an Applikation haben. Diese kommuniziert mit uns über eine eine IPSec-gesichterte Verbindung. Vorbildlich soweit. Um aber am Server was zu ändern, darf ich nicht z.B. SSH über IPSec tunneln.
Nein ich muss:
Und Ihr macht sowas für MEHR Sicherheit?
Ich habe vor vier Tagen ein (zugegebenermaßen schwer erhältliches) Buch via Amazon bei einem britischen Händler erworben. Soweit so gut. Heute ist der 17. April. Ich bekomme gerade die folgende Nachricht:
Guten Tag, wir möchten Ihnen hiermit mitteilen, dass Deal DE Ihre Bestellung verschickt hat. Ihre Sendung befindet sich nun auf dem Versandweg; eine Änderung ist nicht mehr möglich. Lieferung voraussichtlich: Dienstag, 13. Mai 2014 Die Sendung geht an: [..] Einzelheiten Ihrer Lieferung: 1 x Deep Navigation: A Collection of Stories Verkauft von: Deal DE
Das ist ein Buch. Womit versenden die das? Per Maulesel?
Wieder einmal ein Buch, das ich viel zu spät bemerkt habe. Endymion ist der Nachfolger von Dan Simmons großartigen Hyperion-Gesängen. Die Perspektive ist dieses mal größtenteils aus der Sicht von Raul Endymion, früherer Söldner. Er entkommt einem ungerechtem Todesurteil und bekommt eine Reihe unlösbar scheinender Aufgaben. Unter anderem: Den Pax vernichten, den TechnoCore aufspüren und die alte Erde wiederfinden.
Die eher bizarre Szene bietet den Auftakt für das Spektakel das Simmons auf den nächsten 1000 Seiten ausbreitet.
Simmons pflegt einen monumentalen, deskriptiven Erzählstil. Manchmal fühlt man sich passagenweise an Tolkien erinnert, langatmig wird es jedoch nie. Eine mehrseitige Beschreibung einer Landschaft hat mich selten so an ein Buch gefesselt wie in Endymion. Das das Buch genau wie der Vorgänger ein ziemlicher Wälzer ist, verwundert wenig. Wer den ersten Teil aber geschafft hat, wird sich mit der Größe des zweiten kaum herumärgern.
Ein interessantes Detail: Der Protagonist Raul ist nicht gerade der schlaueste. Zwar ist er nicht dumm, aber er zieht wichtige Schlussfolgerungen oft als einer der letzten. Dieses eher stilistische Mittel erlaubt es Dan Simmons den Leser Details vorzuenthalten. Normalerweise empfinde ich sowas eher als störend oder unglaubwürdig, im Falle von Endymion sorgt es für einen konstanten Spannungsbogen, da die fehlenden Schlüsse eben nicht offensichtlich sind.
Warum das Buch keine großen Preise abgestaubt hat, ist mir ein Rätsel. Womöglich liegt es daran das es ein Sequel ist – diese haben noch selten Preise gewonnen. Auch kann sich womöglich nicht jeder mit dem Hauch von Mystizismus anfreunden der manche Sachverhalte umgibt.
Manchmal findet man Programmcode,er einfach preisverdächtig ist. Dieses Fundstück ist ein Fall für die Kategorie: „Grausam verschachtelstes Stück Software, das trotzdem annäherend tut was es soll.“
Ich arbeite im Moment mit einer älteren Version von Nagios, installiert ist auch ein extra Configuration-Layer namens Nconf, welches die Arbeit damit erträglich macht. Interessant, dieses Script zum Generieren der Konfiguration:
./generate_config.php:
Inline-PHP (böse), welches über eine AJAX-Schnittstelle ein weiteres PHP-Script aufruft:
exec_generate_config.php
Im Anschluss wird die Datenbankverbindung (welche Datenbankverbindung eigentlich?) gekappt.
./include/ajax/exec_generate_config.php
Dieses (inline-PHP) Script überprüft ob alle (sechs) benötigten Ordner existieren und schreibbar sind. Dann holt es alle Daten aus einer Datenbank und versucht die Nagios-Konfiguration zu schreiben. Indem es inline ein Perlscript aufruft:
./bin/generate_config.pl
Danach packt es die (hoffentlich generierte) Konfiguration in einen Tarball – mittels system()-call erstellt, komprimiert das ganze (wieder system()) und ruft die Nagios-eigenen Test-Routinen per exec() auf. Das Ergebnis wird mit ein paar regulären Ausdrücken grob überprüft, und die Konfiguration dann mittels system(„mv …“) deployed. Die Ergebnisse von ./include/ajax/exec_generate_config.php werden dynamisch mit PHP als Tabelle generiert und mit AJAX live zum Browser übertragen. Die Ausgabe der Überprüfungsroutinen wird mittels dynamisch generiertem Java-Script (im Inline-PHP, mit AJAX) aufbereitet.
./bin/generate_config.pl
Dieses Perlscript ruft einige Logging-Funktionen auf, entpackt den vom aufrufendem Script kopierten Tarball (bevor dieser kopiert wurde! Deshalb muss man das Script auch zweimal ausführen), und startet mittels system(sudo service restart) nebenbei den Nagios-Dienst neu. Ursprünglich hat es noch ein Shellscript aufgerufen, das das erledigt hat. Das habe ich erstmal gestrichen und in das Perlscript eingearbeitet.
Momentan überlege ich ob ich den ganzen Kram i.O. bringen, oder es einfach wegwerfen soll.
Holistisches Panoptikum 