Veni, Vidi, VISA

Gesucht wurde jemand der mehrere Hosts aufsetzt, diverse Dienste installiert/konfiguriert, diese dann in ein bereits bestehendes Netzwerk einbindet und die Ciscos neu konfiguriert. In der Stellenausschreibung stand nichts von Ubuntu (sonst wär ich da gar nicht erst hin), aber egal. Dort hin, Referenzen vorgelegt, denen meine Lösung präsentiert und dann wurde ich erstaunt und zum Teil enttäuscht gefragt ob ich kein Für Ubuntu zertifizierter Administrator bin. Nun ist mir zwar Ubuntu-Zertifizierung von LPI und Ubuntu Certified professional bekannt, aber ich hab das eher für einen verspäteten Aprilscherz gehalten. Alles argumentieren half nichts; der Job wurde jemanden angeboten der die Zertifizierung vorlegen konnte. Immerhin arbeitet er ja schon seit drei Jahren mit Linux und soooo schwer sind 525er PIX ja auch nicht zu konfigurieren. Immerhin ist er ja mit "den gängigen Firewallkonzepten vertraut".
Ich wünsch ihm jedenfalls viel Glück und das er alles auf die Reihe kriegt (ist wirklich ernst gemeint!). Die ersten Jobs sind meistens die stressigsten; besonders wenn ständig jemand hinter einem steht und auf die Finger schaut.


Hat aber auch seine guten Seiten das ich den Job nicht bekommen habe. So hab ich wenigstens etwas Zeit um meine Survivaltour für dieses Jahr zu planen. Zur Zeit tendiere ich zu Kiruna (Nordschweden). Das Problem ist das ich dieses Jahr nicht recht viel freie Zeit habe und deswegen max. zwei Wochen dafür einplanen kann und deswegen Kanada, China, Chile, .. ausscheiden. Abgesehen davon bräuchte ich für längere/weitere Touren einen zweiten Mann auf den ich mich verlassen kann und der die nötige Ausrüstung hab und nicht mit einem Lidl-Klappmesser ankommt und jeden Tag duschen will.

Hier habe ich schonmal dazu ausführlich Stellung zu meiner Aussage "[...] allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss [...]" bezogen, aber anscheinend reicht das immer noch nicht. Einige Debian-Nazis haben mir nämlich u. a. via Mail erklärt das ich keine Ahnung habe und Müll labere, weil Die Sicherheit eines System in erster Linie vom Administrator abhängt.
Nun.. das ist nur die halbe Wahrheit. Es ist korrekt das ein fachlich versierter Admin das gleiche System "sicherer machen kann" als ein Anfänger. Nur ist auch der kompetenteste Admin an das System gebunden. Linux - respektive die Distributionen - sind nicht nach TCSEC evaluiert. Das ist zwar rein theoretisch mit SEL realisierbar, aber mir persönlich ist noch kein einziger Fall bekannt wo das auch gemacht wurde. Und dazu kommen wir gleich zum nächsten Punkt: Nur weil ein System den Vorgaben eines TCSEC/ITSEC-Levels entspricht, ist es noch lange nicht zertifiziert. Das kann nur das BSI. Von daher ist meine Aussage "$FOO ist ein Hochsicherheitssystem und $BAR nicht" vollkommen korrekt. Egal wie sehr das meine lieben Debian-Trottel nervt.

Und nur damit wir uns richtig verstehen: Mit Debian-{Trottel,Nazis} meine ich die "Debian ist krass stabil!" und "Nur für Profis!"- Rumschreier die seit zwei Jahren mit Linux arbeiten und denken sie hätten Ahnung wovon sie reden.


Ahso.. bin vorhin von einem Kurztrip nach Italien zurückgekommen. Einige Fische gefangen, braun geworden, Spaß gehabt und für diesen Herbst nach Spanien zum fischen eingeladen worden.

Nach einem dist-upgrade auf einer meiner Workstations incl. Neustart weil ich einen Kernel kompiliert habe, meldet sich MPlayer mit

$ mplayer foobar.flv

[...]

Opening audio decoder: [ffmpeg] FFmpeg/libavcodec audio decoders

AUDIO: 44100 Hz, 2 ch, s16le, 129.9 kbit/9.21% (ratio: 16241->176400)

Selected audio codec: [ffaac] afm: ffmpeg (FFmpeg AAC (MPEG-2/MPEG-4 Audio))

==========================================================================

[AO_ALSA] alsa-lib: pcm_hw.c:1293:(snd_pcm_hw_open) open '/dev/snd/pcmC0D0p' failed (-16): Device or resource busy

[AO_ALSA] alsa-lib: pcm_dmix.c:1018:(snd_pcm_dmix_open) unable to open slave

[AO_ALSA] Playback open error: Device or resource busy

Failed to initialize audio driver 'alsa'

[AO OSS] audio_setup: Can't open audio device /dev/dsp: No such file or directory

[AO_ALSA] alsa-lib: pcm_hw.c:1293:(snd_pcm_hw_open) open '/dev/snd/pcmC0D0p' failed (-16): Device or resource busy

[AO_ALSA] alsa-lib: pcm_dmix.c:1018:(snd_pcm_dmix_open) unable to open slave

[AO_ALSA] Playback open error: Device or resource busy

[AO ARTS] loading the aRts backend "/usr/lib/libartscbackend.la" failed

[AO ESD] esd_open_sound failed: Connection timed out

waitpid(): No child processes

AO: [pulse] Init failed: Internal error

[JACK] cannot open server

ao_nas: init(): Can't open nas audio server -> nosound

[AO SDL] Samplerate: 44100Hz Channels: Stereo Format s16le

waitpid(): No child processes

[AO_ALSA] alsa-lib: pcm_hw.c:1293:(snd_pcm_hw_open) open '/dev/snd/pcmC0D0p' failed (-16): Device or resource busy

[AO_ALSA] alsa-lib: pcm_dmix.c:1018:(snd_pcm_dmix_open) unable to open slave

[AO SDL] Unable to open audio: No available audio device

DVB card number must be between 1 and 4

AO: [null] 44100Hz 2ch s16le (2 bytes per sample)

Starting playback...

[...]

und mein erster Gedanke war WTF?! Ich hab doch meine Soundkarte eingebunden! und ein lspci zeigt mir auch an das sie noch immer vorhanden ist. Mein zweiter Gedanke war das MPlayer rumzickt, aber auch VLC mag nicht und labert irgendwas von

"Potential ALSA version problem:

VLC failed to initialize your sound output device (if any).

Please update alsa-lib to version 1.0.23-2-g8d80d5f or higher to try to fix this issue."

und ein lsof /dev/snd/* zeigt nichts. an. Das Device or resource busy sagt aber das irgendwas "die Soundkarte blockiert" und nach einem "ps" und lesen einiger Manpages war der Schuldige auch gefunden: muroard. Also sudo /etc/init.d/muroard stop, MPlayer anwerfen und siehe da.. it works.
Anschließend hab ich das ganze nochmal ausprobiert um den Fehler zu reproduzieren und Alsa entladen:

sudo alsa reload

/usr/sbin/alsa: Warning: Processes using sound devices: 1304(muroard).

[...]

Wayne.. ich hatte eh nix anderes zu tun als Manpages zu lesen *narf* Aber das kommt davon wenn man ein dist-upgrade macht und sich vorher keine Liste der installierten Pakete erstellen lässt, damit man sie ggf. vergleichen kann. Deswegen erstellt mein Backup-Script mit dem furchtbar ekligen Einzeiler sudo apt-get --dry-run dist-upgrade | grep '^Inst' | sort | awk '{print $2" "$4}' eine solche Liste und hängt sie als Attachment an meine Infomail an.

Nächste Woche gleich Drei. #1 ist für die angehenden Admins von $FIRMA und wie sie bei der Fehlersuche und nach einer Kompromittierung
vorgehen sollten, #2 wieso User Freiwild sind und nichts zu melden haben (ist auch für Admins und handelt darum welche Rechte sie normalen Usern einräumen sollten) und #3 mein Lieblingsthema: Netzwerk- und Passwortsicherheit am Arbeitsplatz. Für #1 und #3 habe ich schon Folien und #2 würde ich am liebsten aus dem Effeff machen, aber wenn es auf der Leinwand nix zu sehen gibt, taugt es nichts *sigh*
Drei Vorträge, drei Firmen und absolut null Bock. Einziger Lichtblick ist, dass die Vorträge alle nur einen halben Tag dauern und zumindest zwei der drei Lehrgangsteilnehmer ausreichend motiviert sind, da sie neu in der Branche sind. Die traurige Wahrheit ist jedoch, dass sich 99% nach einiger Zeit exakt gar nichts mehr darum kümmern und nur noch nach dem works for me-Prinzip arbeiten. Wobei das wiederum den angenehmen Nebeneffekt hat, dass ich nicht arbeitslos werde.

.. und Das muss ein Fehler seitens des Systems sein!

$ aptitude update

$ aptitude dist-upgrade

[ Haufenweise Zeugs ]

dpkg-query: warning: parsing file '/var/lib/dpkg/status' near line 7653 package 'foobar'

 error in Version string 'barfoo': version number does not start with digit

(Und das ~100 Mal)

Das dist-upgrade verlief zwar problemlos wenn man mal von den Warnungen absieht und es wurde auch wirklich nichts geändert. Also bis auf das austauschen von stable auf testing in der /etc/apt/sources.list ohne anschließenden Neustart. Details ..

Wieso wird nicht einfach gesagt: "Du.. ich habe das und das gemacht und jetzt passiert das.". Dann müsste ich nicht stundenlang nach dem Fehler suchen, der Server wäre schneller wieder online und die Firma müsste nicht soviel zahlen. Das hab ich auch dem Chef der Firma gesagt und ich hoffe mal das er sich den Oberadmin mit seinem 99€-Anzug von C&A zur Brust nimmt.

Letzte Woche war ich bei $Firma und musste dort ins. vier Server neu aufsetzen. Also eigentlich sollte ich dort lediglich einen Server aufsetzen und auf den anderen drei nur die "Betriebssystembedingten Fehler" beheben.

Beim 1. Server mit OpenBSD 4.7 funktionierte kaum ein Port, weil "das wahrscheinlich ein Bug im Compiler ist". Der Compiler war auch schuld. Wieso zickt der rum nur weil man OpenBSD 4.7-STABLE hat und die Ports von -DEVEL einsetzt? Frechheit das!!11!
Server Nr. 2 mit Debian wheezy/sid (auf einer Produktionsplattform wohlgemerkt!) "verhält sich komisch" und hat nicht jeden Daemon gestartet. Naja.. wenn man unter /etc/default/* nicht ENABLE, ACTIVATE, .. anpasst, dann is das halt mal so. Immerhin macht das System das, zu was man es anweist und nicht das was man will.
Server Nr. 3 (ebenfalls wheezy/sid) war schon etwas hartnäckiger. Da konnte man sich nämlich nicht mehr als root einloggen. Als mir der Admin erklärt hat was er gemacht hat, hat es mich eher verwundert das die Kiste nicht gleich explodiert ist. Weil: Sich als root einloggen ist pöhse[TM]. Da hat er ja auch recht. Aber er wollte dafür sorgen das sich niemand mehr als root einloggen kann und hat die Loginshell für root auf /bin/false umgebogen und dafür die /etc/passwd editiert. Und weil er grad dabei war, hat er auch gleich die notwendigen User angelegt, die sich auf der Kiste einloggen können sollten (Ja. Ich weiß.. meine Grammatik saugt); das hat er ebenfalls mit einem Editor gemacht. Ich weiß zwar nicht wie man auf die Idee kommt - und das sauge ich mir jetzt nicht aus den Finger! - in der /etc/shadow die Passwörter für die User mit einem Editor einzutragen. Und zwar im Klartext!

Ich glaube ich muss eine neue Kategorie Namens "Best of pebkac" erstellen, weil langsam aber sicher nimmt das ungeahnte Ausmaße an.

Vorhin auf meiner wheezy/sid - Kiste:

$ apt-get dist-upgrade                                                                                         

Reading package lists... Done

Building dependency tree       

Reading state information... Done

Calculating upgrade... Done

The following NEW packages will be installed:

  libgnutlsxx26 libpipeline1

The following packages will be upgraded:

  anthy anthy-common apt-file avahi-daemon bash-completion cups cups-bsd cups-client cups-common cups-ppdc cupsddk dbus dbus-x11 dhcp3-client dhcp3-common fancontrol google-chrome-beta groff-base hal iproute

  isc-dhcp-client isc-dhcp-common iso-codes libanthy0 libatasmart4 libavahi-client3 libavahi-common-data libavahi-common3 libavahi-core7 libavahi-glib1 libcups2 libcupscgi1 libcupsdriver1 libcupsimage2

  libcupsmime1 libcupsppdc1 libdbus-1-3 libgeoip1 libglew1.5 libgnomevfs2-0 libgnomevfs2-common libgnomevfs2-extra libgnutls-dev libgnutls26 libgpg-error-dev libgpg-error0 libhal-storage1 libhal1 libmms0

  liborc-0.4-0 libpciaccess0 libsensors4 libusb-0.1-4 libusb-dev libvpx0 libx11-6 libx11-data libx11-xcb1 libxaw7 libxcb-dri2-0 libxcb-render0 libxcb-shape0 libxcb-shm0 libxcb-xv0 libxcb1 libxext6 libxi6 libxt6

  lm-sensors login man-db mesa-utils myspell-en-us passwd patch pm-utils rsyslog tasksel tasksel-data ttf-dejavu ttf-dejavu-core ttf-dejavu-extra ttf-freefont ttf-liberation usbutils

85 upgraded, 2 newly installed, 0 to remove and 0 not upgraded.

Need to get 59.0 MB of archives.

After this operation, 4,917 kB disk space will be freed.

Do you want to continue [Y/n]? n

Abort

$ aptitude dist-upgrade

The following NEW packages will be installed:

  libgnutlsxx26{a} libpipeline1{a} 

The following packages will be REMOVED:

  fancontrol{u} lm-sensors{u} 

The following packages will be upgraded:

  anthy anthy-common apt-file avahi-daemon bash-completion cups cups-bsd cups-client cups-common cups-ppdc cupsddk dbus dbus-x11 dhcp3-client dhcp3-common google-chrome-beta groff-base hal iproute 

  isc-dhcp-client isc-dhcp-common iso-codes libanthy0 libatasmart4 libavahi-client3 libavahi-common-data libavahi-common3 libavahi-core7 libavahi-glib1 libcups2 libcupscgi1 libcupsdriver1 libcupsimage2 

  libcupsmime1 libcupsppdc1 libdbus-1-3 libgeoip1 libglew1.5 libgnomevfs2-0 libgnomevfs2-common libgnomevfs2-extra libgnutls-dev libgnutls26 libgpg-error-dev libgpg-error0 libhal-storage1 libhal1 libmms0 

  liborc-0.4-0 libpciaccess0 libsensors4 libusb-0.1-4 libusb-dev libvpx0 libx11-6 libx11-data libx11-xcb1 libxaw7 libxcb-dri2-0 libxcb-render0 libxcb-shape0 libxcb-shm0 libxcb-xv0 libxcb1 libxext6 libxi6 

  libxt6 login man-db mesa-utils myspell-en-us passwd patch pm-utils rsyslog tasksel tasksel-data ttf-dejavu ttf-dejavu-core ttf-dejavu-extra ttf-freefont ttf-liberation usbutils 

The following packages are RECOMMENDED but will NOT be installed:

  geoip-database libatm1 

83 packages upgraded, 2 newly installed, 2 to remove and 0 not upgraded.

Need to get 58.8 MB of archives. After unpacking 5,519 kB will be freed.

Do you want to continue? [Y/n/?] n

Abort.

Aber für was hab ich denn meine glorreiche helpme()? Ebend.

$ helpme "Soll ich wirklich aptitude verwenden?"

Please wait.. i'll think about..

...Yes!

Diese Frage wurde mir per Mail gestellt und auf meine Aussage [...] allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss [...] und meinen Rant gegen Debian 6.0 "Squeeze" verwiesen.
Die meisten Firmen wollen vorzugsweise das System, das sie in der restlichen Umgebung einsetzen (bis auf einige Ausnahmen) und das ist zum Großteil Linux, wobei leider nur sehr wenig Linux auf Workstations einsetzen. Ich werde i. d. R. auch nicht dafür bezahlt eine Workstation für eine Sekretärin oder einen Desktop für einen CADler aufzusetzen und kann auch nur Empfehlungen aussprechen was das OS betrifft. Am häufigsten wurde bisher Debian eingesetzt; aber nicht weil extremst Stabil und so, sondern weil es schnell zu installieren ist und eine umfangreiche Paketsammlung enthält. Außerdem kann man es am besten verkaufen, weil es den Ruf einer "Profidistribution" hat und auf vielen Architekturen läuft. NetBSD fristet bei meiner Arbeit (leider) ein Nischendasein (letztes Jahr genau dreimal installiert/konfiguriert); Free- und OpenBSD kamen häufiger zum Einsatz, wobei die zum Teil auch als "Auswahlsystem" bei Vservern genutzt wurden.
Sobald es sich allerdings um hochsichere Systeme dreht, rate ich jedem von Linuxdistributionen ab weil der Aufwand den Nutzen übersteigt. Bei *BSD hat man den Vorteil das man alles aus einer Hand bekommt; sprich: Kernel und Userland. Bei Linux wird der Kernel unabhängig von der Distribution entwickelt und deswegen dauert es auch länger bis Bugfixe in die Distribution einfließen (was durch das Fehler einer offiziellen Announce seitens @kernel.org zusätzlich noch verzögert wird). Dazu kommt noch das z. B. Debian Probleme provoziert; ist zwar jetzt etwas reißerisch geschrieben, aber sinngemäß. Bei "lenny" wurde die Verwendung von aptitude(8) empfohlen, während man ein Release später - also "Squeeze" - wieder apt-get(8) für die interaktive Paketverwaltung empfohlen wird. Ich wage mal zu behaupten, dass ich dieses Jahr des öfteren mit Systemen zu tun haben werde, die aufgrund der abwechselnden Nutzung von apt-get(8) und aptitude(8) kaputtoptimiert wurden. Dazu kommt noch das die Backports jetzt offizieller Bestandteil von Debian sind und Nutzer dazu motiviert werden auf diese zurückzugreifen, obwohl in der Vergangenheit in Foren, Newsgroups, Mailinglisten, .. davor gewarnt wurde Stable, Unstable und Testing zu mischen. Ich habe im Laufe der Zeit schon einige Male "aber das stand so auf der Homepage!" gehört wenn ich gefragt habe wieso $FOO $BAR gemacht hat (nicht nur in Bezug auf Debian).
Einige Firmen sind sich dessen auch bewusst, aber nehmen das Risiko in Kauf, weil sie in ihrem Umfeld eine bestimmte Software aus dem aktuellen Branch benötigen, die über das Paketmanagement verwaltet werden kann. Gentoo kommt nur in Ausnahmefällen zum Einsatz, weil jegliche Software aus den Sourcen kompiliert werden muss und die Ressourcen zum Teil anderweitig benötigt werden. Zu guter Letzt kommt es auch darauf an welche Hardware eingesetzt wird. Auch wenn *BSD noch so gut für den Einsatzzweck geeignet gewesen wäre, bringt es nichts wenn die Hardware nicht unterstützt wird. Das ist wieder ein Punkt für Linux, da hier Treiber für mehr (und auch neuere) Geräte vorhanden sind. Lustig wird es dann erst bei proprietären Treibern bzw. Software die einige Distributoren aus Lizenzgründen als proprietär einstufen.
Bei "richtigen" Hochsicherheitssystemen kommt dann allerdings kein Linux oder *BSD zum Einsatz, sondern da werden nach TCSEC evaluierte Systeme wie Trusted Solaris, Ultrix, HP-UX oder AIX eingesetzt.

Und zwar am 06. Januar 2011. Mit einem 13 Monate altem Kernel, Firefox 3.5.16 (3.6.13 ist Stable) und einigen - verständlicherweise nicht ganz aktuellen - Paketen. Alles zwecks Stabilität und so. Nur wieso dann z. B. Developerversionen von Mutt, Slrn, zsh, .. ebenfalls enthalten sind konnte mir leider noch niemand erklären.
Und bevor sich jetzt hier wieder diverse Debian-Nazis auskotzen: Ja. Meine Kunden (ich auch) legen Wert auf aktuelle Software; auch im Serverbereich. Und mir braucht niemand erzählen das das gesamte System instabil wird wenn man aktuelle (!= Devel/Beta) Software ins Paketmanagementsystem einfließen lässt. Was feiert man eigentlich auf den Release Partys? Das es nach zwei Jahren geschafft wurde ein System mit der Software von vor zwei Jahren auszuliefern?

Das Bayerische Landeskriminalamt greift zu fragwürdigen Überwachungsmethoden. An sich war der Behörde gerichtlich nur gestattet, die Telekommunikation eines Beschuldigten zu überwachen. Einen auf den Computer des Betroffenen geschleusten Trojaner nutzten die Beamten aber auch dazu, alle 30 Sekunden einen Screenshot des Browserinhalts abzugreifen. Dies hat das Landgericht Landshut nun für unzulässig erklärt.
[...]
Gegen das Einschleusen eines Trojaners zum Knacken von Skype hatte das Landgericht nichts einzuwenden. Das ist jedoch höchst umstritten.
[...]
Den Zugriff auf die Festplatte des Beschuldigten, also eine Online-Durchsuchung im eigentlichen Sinn, hatte übrigens schon das Amtsgericht ausdrücklich untersagt.

Quelle: law blog

Das ist die sagenumwobene Überwachung des Computers eines Verdächtigen? Also die, die auch bei den pöhsen Terroristen zum Einsatz kommt? Was machen die wenn dort kein Windows eingesetzt wird? Oder überhaupt keine GUI? Oder eine GUI und der Inhalt der Mails wird als Anlage eingefügt? Oder wenn die nicht von daheim aus, sondern vom Internet-Café aus surfen? Zuzutrauen wäre es denen, weil Verbrecher und Terroristen sind klug genug. Also wenn das die Mittel sind die uns gegen die ständig wachsende Terrorgefahr schützen soll.. wir werden alle störben!