Veni, Vidi, VISA

Auch wenn ich meinen Fanclub mal wieder enttäuschen muss, aber ich erfreue mich noch immer bester Gesundheit und halte Menschen nach wie vor für Idioten. Der Grund wieso ich so lange nichts mehr in das Blog geschrieben habe, ist schlicht und einfach der, das ich entweder keine Lust hatte oder es nichts zu schreiben gab. Ich hatte ehrlich gesagt keinen Bock das x-te Mal über das Verfahren von Julian Assange zu schreiben.
Das einzige was mich (un)mittelbar betrifft ist der neue Jugendmedienschutzstaatsvertrag (kurz JMStV). Kristian hat sein Blog vom Netz genommen und dort eine passende Stellungnahme gegeben. Aber jetzt scheiden sich die Geister. Ich kenne zwar den Eintrag von Udo Vetter, aber ich als juristischer Volllaie lese da lediglich ein "Wird schon nichts passieren!" raus, denn verbindliche Aussagen kann und wird niemand machen. Und zwar aus einem ganz einfachen Grund: Dieses Gesetz wurde von Personen entworfen/verabschiedet/whatever, die in Bezug auf "Technik" mit allem überfordert sind, was die Komplexität eines Waschlappens übersteigt.
Die Fragen die sich mir stellen sind die gleichen wie die, die sich die Mehrzahl der "Blogger" stellen. Wie muss ich meine Seite kennzeichnen? Ab wie viel Jahren ist meine Seite? Ich persönlich werde - sofern sich der aktuelle Stand dieses Gesetzes nicht grundlegend ändert - sämtlichen Inhalt dieser Domain entfernen. Aus Lesepflicht für alle: 17 Fragen zum neuen JMStV lese ich u. a. "Lediglich das Impressum muss um die Daten eines Jugendschutzbeauftragten ergänzt werden, weil sonst Abmahnungen drohen." und alleine da dreht sich mir schon der Magen um. Abmahnungen.. war ja klar das sich einige Juristen daran wieder eine goldene Nase verdienen (wollen/können) und es noch immer verboten ist solche Typen zu erschlagen.
Jetzt werden wahrscheinlich irgendwelche krassen Revoluzzer aufschlagen und Parolen wie "Hey.. steh auf und kämpfe!", "Aufgeben ist keine Lösung!" und was weiß ich was noch zum Besten geben. Nun, wer mir eine verbindliche Zusage gibt das mich der JMStV nicht betrifft wenn ich weiterhin so schreibe wie bisher und ggf. die anfallenden Kosten für mich übernimmt wenn es zu einer Abmahnung kommt, der darf sich gerne bei mir melden. Apropos Kosten... Mein glorreiches und extremst ekliges "Antihotlinking-Bild" wurde von einem Erwachsenen (gehe ich mal davon aus, da er seinen Dr.-Titel angegeben hat (Bauer's Law!!!111!)) zur Anzeige gebracht. Anscheinend war derjenige so geschockt, weil er "Pornographie gesehen hat obwohl er nicht explizit danach gesucht hat". Diese Anzeige ging dann über den besten Webhoster wo das es gibt" zu mir und ich wurde zu fünf Tagessätzen a 100€ verdonnert. Lernen durch Schmerz.. eine einfache Mail vom Dr. zu mir mit der Aufforderung das Pic zu entfernen hätte es auch getan, aber wayne..

Wie dem auch sei: Sollte sich der JMStV nicht grundlegend ändern, wird jeglicher Inhalt dieser Domain zum Jahreswechsel entfernt und auch nicht als Archiv angeboten. Ich werde zwar ein aktuelles Backup anlegen, allerdings nur für den Fall das ich diese Seite irgendwann wieder online stelle.
Sollte also jemand etwas von dieser Seite brauchen, der soll es sich doch bitte herunterladen.

"Haben wir mit dem Firewallkonzept dann auch uneingeschränkten Zugriff auf das Internet?!"
m(

Nachdem ich im vorherigen Eintrag geschrieben habe das ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht, haben mich schon einige Mails erreicht wo mir erklärt wurde, das man auch Linux auf solchen Systemen verwenden kann.
Stimmt auffallend. Die Frage ist nur ob man das auch wirklich will? Das kein System wirklich sicher ist, steht außer Frage (mal XTS-400 und diverse TCSEC-B1 - Systeme mal außer Acht gelassen) und das Sicherheitslücken gefunden werden lässt sich bei komplexen Systemen nicht vermeiden. Aber was ein absolutes KO-Kriterium sein kann, ist, wie auch gefundene Sicherheitslücken reagiert wird. Bei *BSD (damit ich mich auch den vorherigen Eintrag beziehe) gibt es dafür Mailinglisten und Advisories auf der Homepage wo man sich informieren bzw. auf dem laufenden halten kann. Bei Linux gibt es weder noch; nur einen kurzen Log im git-log. Gut.. besser als nix werden sich jetzt einige denken, aber das ist für Admins alles andere als auch nur irgendwie brauchbar. Ein Admin hat i. d. R. keine Zeit um sich ein Repo zu clonen und dort in den Shortlogs nach Änderungen Ausschau zu halten die sich auf Sicherheitslücken beziehen. Und - auch wenn ich jetzt einige enttäuschen muss - es bringt auch nicht viel das z. B. Debian die Mailingliste debian-security-announce@ hat, wo man über Sicherheitslücken benachrichtigt wird. Deren Aufgabe ist es, Patche über ihr Paketmanagementsystem verfügbar zu machen, damit sie eingespielt werden können. Aber das können sie erst, nachdem der Patch auch verfügbar ist.
Wenn eine bekannte Sicherheitslücke über zwei Monate lang nicht behoben wird, dann ist das absolut untragbar und die Tatsache das in keiner Art und Weise veröffentlicht wird, dass es sich um die Behebung eines sicherheitsrelevanten Bugs handelt, ist für mich ein Grund meinen Kunden Linux auf sicherheitsrelevanten Systemen als letzte Möglichkeit zu empfehlen (und selbst da nur mit Einschränkungen).

Vim 7.3 Announcement. Was genau geändert wurde, kann man unter :h version-7.3 nachlesen.. mehr oder weniger.. eigentlich mehr weniger, weil es wieder mal keinen brauchbaren Changelog gibt *sigh*


Und eine Sicherheitslücke im Linuxkernel wurde geschlossen. Nach zwei Monaten. Und selbstverständlich ohne irgendeinen Hinweis darauf das es eine Sicherheitslücke war. Hey.. geht ja nur um das kleine Problem das lokale User root-Rechte erreichen können. Langsam wird es echt mal Zeit das jemand einen funktionierenden Fork von Linux rausbringt; allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht.

So.. keine Aufträge mehr in der Warteschleife. Zum ersten Mal seit fast einem Jahr wo ich mehr als vier Tage zusammenhängenden Urlaub habe bzw. es so drehen konnte das ich keine Aufträge mehr hatte. Jetzt mach ich bis zum 06.09.2010 gar nichts. Nicht mal gar nichts.

Nein.. damit meine ich nicht die Windows-LNK-Lücke oder iTunes Sicherheitslücke, sondern viel unwichtiger.. zumindest für die Medien; für $FIRMA jedoch alles andere als unwichtig.
$ADMIN hat durch einen Hardwareschaden des Routers mal schnell den Austauschrouter konfiguriert. Gab auch so gut wie keine Komplikationen seitens der User was die Authentifizierung betraf. Der war nämlich so gut konfiguriert, dass man sich vom offenem WLAN ohne jegliche weitere Authentifikation ins Intranet der Firma einloggen konnte und auch Zugriff auf die internen Datenbanken hatte. Der Router lief das ganze Wochenende in dieser Konfiguration, weil Freitag und wenig Zeit und Wochenende und so.
Jetzt wurde aus meinem "Mal schnell zwei neue Server aufsetzen, ins Intranet einbinden und konfigurieren" ein "Wir brauchen ein Sicherheitskonzept um gegen alle Eventualitäten abgesichert zu sein!". Meinen Vorschlag den vorhandenen Admin gegen einen Kompetenten auszutauschen um eine brauchbare Grundlage zu haben, überlegen sie sich anscheinend noch. So wie ich das sehe werde ich in dieser Firma noch einige Male beschäftigt sein.

Und - ein viel schwerwiegenderer Bug als diese Peanuts grad eben - mein Bot hat sich heute mit einem Coredump verabschiedet und ich hab vergessen ihn mit ``DEBUG'' zu kompilieren *narf*

Die - bereits vorhandenen - Backupscripte funktionieren problemlos und werden verschlüsselt übertragen/gespeichert, die Securityupdates sind alle eingespielt, die Software optimal konfiguriert und auf dem aktuellsten Stand, die Bannermeldungen (issue{,.net}, motd, .plan, ..) aussagekräftig und informativ, Logins sind ebenfalls nur verschlüsselt möglich, Logins werden mittels cracklib geprüft, Passwörter verfallen nach bestimmter Zeit und wichtige Informationen stehen über RSS und/oder Mailingliste zur Verfügung. Ich musste nur noch zwei Kisten neu aufsetzen, die Dokumentation übergeben, eine kurze Einweisung machen und zum ersten Mal tut es mir schon fast leid das ich hier fertig bin. Und das liegt nicht nur daran das der "Hauptadmin" eine Frau ist.

Wenn sich Debian/testing ein update/dist-upgrade mit folgender Fehlermeldung quittiert:

Errors were encountered while processing:

 linux-image-2.6.32-5-686

 linux-image-2.6-686

E: Sub-process /usr/bin/dpkg returned an error code (1)

A package failed to install.  Trying to recover:

Setting up linux-image-2.6.32-5-686 (2.6.32-15) ...

Running depmod.

Running update-initramfs.

update-initramfs: Generating /boot/initrd.img-2.6.32-5-686

initrd.img(/boot/initrd.img-2.6.32-5-686

) points to /boot/initrd.img-2.6.32-5-686

 (/boot/initrd.img-2.6.32-5-686) -- doing nothing at /var/lib/dpkg/info/linux-image-2.6.32-5-686.postinst line 400.

vmlinuz(/boot/vmlinuz-2.6.32-5-686

) points to /boot/vmlinuz-2.6.32-5-686

 (/boot/vmlinuz-2.6.32-5-686) -- doing nothing at /var/lib/dpkg/info/linux-image-2.6.32-5-686.postinst line 400.

Running update-grub.

User postinst hook script [update-grub] failed to execute: No such file or directory

dpkg: error processing linux-image-2.6.32-5-686 (--configure):

 subprocess installed post-installation script returned error exit status 255

dpkg: dependency problems prevent configuration of linux-image-2.6-686:

 linux-image-2.6-686 depends on linux-image-2.6.32-5-686; however:

  Package linux-image-2.6.32-5-686 is not configured yet.

dpkg: error processing linux-image-2.6-686 (--configure):

 dependency problems - leaving unconfigured

Errors were encountered while processing:

 linux-image-2.6.32-5-686

 linux-image-2.6-686

Reading package lists... Done

Building dependency tree

Reading state information... Done

Reading extended state information... Done

Initializing package states... Done

Reading task descriptions... Done

dann hilft es nichts zu beteuern das man schon Jahrzehnte lang mit Linux arbeitet und sonst immer jedes Problem lösen konnte und das garantiert ein schwerwiegender Bug von Debian sein muss. Da sollte man einfach nur die Fehlermeldung lesen, feststellen das update-grub nicht vorhanden ist, das mit apt-file search update-grub suchen und dann das Paket mit aptitude(8) installieren.
Die geballte Fachkompetenz einiger Admins treibt mir regelmäßig Tränen in die Augen und das Essen aus dem Magen.

Guckst Du auf http://www.3dsupply.de/shirt4link/. Ich hab da auch das Feed me-Tshirt und das Ich wähle keine Spielekiller her. Also nicht nur die beiden, sondern da hab ich schon mehrere bestellt; aktuell interessiert mich gerade das hier: http://www.3dsupply.de/products/382-you-make-me-facepalm/. Bilder sagen nämlich mehr als 1000 Worte wie es so schön heißt

Weil ich schon mehrere Fragen via Mail bekommen habe, wieso ich Betriebsgeheimnisse über $Firma ausplaudere..
Tue ich nicht. Habe ich nicht und werde ich auch nicht. U. a. weil in meinem Vertrag eine glorreiche Geheimhaltungsklausel enthalten ist, die wie folgt lautet:

(1) Der/Die Mitarbeiter/in hat über alle im Rahmen der Tätigkeit zur Kenntnis gelangenden vertraulichen 

geschäftlichen Angelegenheiten und Vorgänge in der Firma oder der mit der Firma verbundenen Unternehmen, 

Kunden und Lieferanten, insbesondere über Geschäfts- und Betriebsgeheimnisse, Stillschweigen gegenüber 

Unbefugten zu wahren. Er/Sie hat geeignete Vorkehrungen zu treffen, dass Unbefugte von den genannten 

Angelegenheiten und Vorgängen keine Kenntnis erlangen.



(2) Unbefugte sind sowohl Außenstehende als auch Mitarbeiter/innen der Firma, die mit der betreffenden 

Angelegenheit oder dem betreffenden Vorgang nicht befasst sind.



(3) Die in Absatz 1 genannte Verpflichtung gilt auch nach Beendigung des Vertragsverhältnisses fort.



(4) Bestehen für den/die Mitarbeiter/in Zweifel daran, ob eine Angelegenheit oder ein Vorgang vertraulich zu 

behandeln ist, hat er/sie vor deren auch nur teilweiser Offenbarung gegenüber Unbefugten eine Weisung der 

Geschäftsleitung  einzuholen.

D. h. ich darf auch weiterhin schreiben das $Admin von $Firma ein lernbefreiter Vollpfosten ist. Was ihr hier definitiv nicht lesen werdet, sind personen- und/oder firmenbezogene Daten, die Rückschlüsse auf selbige zulassen.

Nicht wundern weil ich zur Zeit so gut wie gar nichts poste, aber ich habe z. Z. relativ viel um die Ohren (aus beruflicher Sicht) und beschränke meine Onlinezeit auf das Nötigste. Ab nächster Woche sollte sich das aber eigentlich wieder normalisiert haben.. also hoffe ich zumindest.