Veni, Vidi, VISA - Security

Von wegen "Ich hab schon alle notwendigen Präsentationen/Vorträge"..

blog@strcat.de (Christian Schneider) — Wed, 10 Mar 2010 14:47:17 +0100

Nach einigen Jahren in dem Job hab ich gedacht das ich dann doch alle notwendigen Präsentationen und Vorträge.. von wegen. Nächste Woche darf ich einen Tag lang zum Thema Sensibilisierung in Bezug auf Passwortsicherheit und Datenschutz am Arbeitsplatz in $FIRMA einen Vortrag halten und die Mitarbeiter schulen. Ich halte zwar ungern Vorträge, aber immerhin legt $FIRMA wert auf dieses Thema. Und zwar ohne vorherigen Vorfall.

Steuerdaten-CD interessant für Forensiker?

blog@strcat.de (Christian Schneider) — Fri, 05 Feb 2010 16:07:26 +0100

Die umstrittene Steuersünder-CD könnte sich möglicherweise als Bumerang erweisen. Durch datenforensische Methoden können Rückschlüsse auf die Herkunft des Datenträgers, und damit womöglich den Verkäufer, gezogen werden, warnen Experten.
Die deutsche Regierung erwägt, von einer anonymen Schweizer Quelle eine Daten-CD mit den Namen von Steuerhinterziehern zu kaufen. Nicht nur bei gulli:News sorgte dies für kontroverse Diskussionen. Auch die Schweizer sind über das deutsche Verhalten erbost; sie befürchten eine Aushebelung ihres stets hochgehaltenen Bankgeheimnisses. Neben den ethischen und politischen Aspekten sind aber auch technische Besonderheiten zu beachten. Mittels spezieller Verfahren aus der Datenrettung und Forensik ist auch die Herkunft der CD bestimmbar. So können digitale Spuren bis hin zu ihrem Ursprung zurückverfolgt werden, geben die Spezialisten von Kroll Ontrack zu bedenken.

"Es gibt verschiedene Wege, um die Identität des Inhabers der Steuersünder-CD zu ermitteln", erläutert Reinhold Kern, Abteilungsleiter Forensik bei Kroll Ontrack. Beim Brennen einer CD werden dem Fachmann zufolge etwa die Brenn-Software, die Marke des Geräts sowie die Seriennummer des Brenners gespeichert. Anhand dieser Informationen ist beispielsweise ein Arbeitsplatz schnell auffindbar. Somit ließen sich nicht nur Hinweise auf die Echtheit der Daten finden, sondern auch auf denjenigen, der sich mit dem Verkauf dieser Identitäten einige (Millionen) Euro hinzuverdienen will.

Exakte Informationen über die Herkunft der Steuersünder-CD dürften besonders für die betroffenen Banken von Interesse sein. Zwar verfügt der Inhaber über die Möglichkeit, die Daten per Software in einem "relativ einfachen Verfahren" zu verschlüsseln und mit einem 20-Stellen-Passwort zu versehen, das schwer zu knacken sei, wie Kern gegenüber pressetext betont. Spätestens im Fall des Verkaufs müssten die Daten jedoch freigegeben werden. Allerdings weist Kroll Ontrack darauf hin, dass die gerichtliche Verwertbarkeit der forensisch erforschten Informationen von Fachjuristen beurteilt werden müsse.

(via gulli.com

Man beachte den von mir unterstrichenen Satz. In welcher Welt leben diese technischen Vollpfeifen eigentlich? Es gibt etliche OpenSource-Brennprogramme und noch mehr Möglichkeiten anonym zu brennen. Ich kenne einige Internetcafes die das Brennen einer CD anbieten. Wird dann das Internetcafe verklagt? Hoffentlich ist der Verkäufer nicht auf die Idee gekommen die CD im Ausland zu brennen (Tschechien, Polen oder - mein Gott.. - im Urlaub in den USA). Wie kommen die eigentlich auf so wahnwitzige Irrglauben das sowas auch nur annähernd realisierbar ist? Wenn ich mir im Hertie eine Brennsoftware für 5 kaufe, dann muss ich weder beim Kauf, noch bei der Installation irgendwelche persönlichen Daten eingeben.
Ich seh jetzt schon unseren rollstuhlfahrenden Grundgesetzvergewaltiger das SEK und die GSG9 reaktivieren damit sie sämtliche Nachbarländer Haus für Haus durchsuchen und den Vorschlag bringen, dass man sich beim Kauf irgendeiner CD mit Personalausweis und Fingerabdruck identifizieren muss.

Wie man sich mit sudo(8) gezielt in den Fuß schiessen kann

blog@strcat.de (Christian Schneider) — Tue, 24 Nov 2009 14:50:12 +0100

Das man es kann sollte ja bekannt sein; und das man es kann weil $ADMIN ein gutgläubiger Mensch ist (was in dem Job absolut fehl am Platz ist) oder null Ahnung hat (was noch schlimmer ist) ist ja auch noch irgendwie im Bereich des Möglichen, aber das man es kann weil beides auf einmal zutrifft, war sogar mir neu.
$FIRMA hat mehrere Programmierer angestellt, welche u. a. Client-/Server-Applikationen erstellen. Dazu hat jeder seinen eigenen Useraccount incl. SSH, VNC, FTP, SVN und wasweißichnochalles. Außerdem stehen den Programmierern noch einige Kisten im Netzwerk zur Verfügung, auf denen sie ebenfalls einen Account haben um dort ihre Clients/Server abzulegen um sie zu testen. Die Programmierer sind alle Mitglied der extra angelegten Gruppe "developer" (was ja auch durchaus sinnvoll sein kann). Ab und zu wird $ADMIN gebeten einem Developer mal schnell einen Auszug aus einem Logfile zu schicken. Das war ihm auf Dauer anscheinend zuviel Arbeit, so dass er der Gruppe "developer" mittels einem Eintrag in der /etc/sudoers tcpdump(8) erlaubt hat (mit NOPASSWD versteht sich). Einige werden jetzt wahrscheinlich schon die Hände über dem Kopf zusammenschlagen, aber Ruhe bewahren.. der Admin ist zwar ein Idiot, aber die User absolut unverantwortlich (was daran liegt das der Admin ein Idiot ist).
Kein User hatte unterschiedliche Passwörter für SSH, VNC, FTP, SVN und bei jedem User war das Passwort auf dieser Kiste, das gleiche wie auf allen anderen Kisten auf denen $User einen Account hatte. Ergo %user: sudo tcpdump -A -X -n port 21 eingeben, nach USER. und PASS. suchen (All hail ftp!!!111!) und sich dann mit dem gleichen Passwort via SSH oder VNC einloggen. Nachdem ich mich in Anwesenheit des Chefs und des Admins mit verschiedenen Logins authentifiziert habe, kam die Erklärung seitens des Admins überhaupt. Sinngemäß (ich hab den genauen Wortlaut nicht mehr im Kopf) "Die User sind vertrauenswürdig und wenn ich sie überall ein anderes Passwort verwenden müssen, können sie es sich nicht merken oder schreiben es auf und legen es unter die Tastatur".
Und ich werde doch tatsächlich immer wieder gefragt wieso ich alle Menschen prinzipiell hasse und für Idioten halte.

Mal wieder Zeit für ein paar Rants

blog@strcat.de (Christian Schneider) — Sun, 08 Nov 2009 06:50:41 +0100

Gibts eigentlich ein ungeschriebenes Gesetz das einige Addons beim Update von Firefox nicht mehr kompatibel sind oder wird das per random() entschieden? Tab Mix Plus ist da mein absoluter Top-Favorit! Und weil wir grad beim WWW sind.. wer ist eigentlich auf die abgefuckte Idee gekommen, Produktkataloge im Flash-Format anzubieten? Oder noch besser.. der Hersteller von hochwertigen Kunstködern mit eigenem Shop bietet z. B. den Katalog mit als PDF zum freien herunterladen an. Auf RapidShare.. sieht dann in etwa so aus:

Diese Datei ist weder einem Premiumaccount, noch einem Collector's Account zugeordnet und kann deshalb insgesamt nur 10 mal heruntergeladen werden.

Dieses Limit ist erreicht.

Um diese Datei herunterladen zu können, muss der Anbieter entweder die Datei in seinen Collector's Account verschieben, oder die Datei erneut raufladen. Die Datei kann nachträglich in ein Collector's Account verschoben werden. Der Anbieter muss nur auf den Löschlink der Datei klicken, um mehr Informationen zu erhalten.

Wieso kriegt es sogar M$ auf die Reihe Patche für Sicherheitslücken online zu stellen und zu dokumentieren, während die Linuxkreaturen kein Wort über gefundene und ggf. behobene Sicherheitslücken verlieren und die Patche klammheimlich einbauen? Wieso fangen einige Mac-User an zu schmollen wenn man ihnen erklärt das die Hardware von Apple veralteter und überteuerter Schrott ist? Was ist so schwer daran, einen halbwegs brauchbaren und ausführlichen Changelog zu erstellen? Mutt ist da auch so ein Fall; ständig kommen neue Features hinzu die irgendwo dokumentiert sind, aber die man erst mit so ekligen Einzeilern wie

grep DT_SYN, init.h | sed -e 's/.*"\(.*\)",.*/\1/'

grep DT_ init.h | grep -v define | sort

raus'grep(1)'en und diff(1)'en muss? Mutt ist da nicht alleine; Slrn, Vim (Ja. :h version-7.2 ist mir bekannt, aber da steht nicht drin welche Settings neu sind) und sämtliche GNU-utilities sind da ebenfalls gemeint.

Manchmal fühl ich mich einfach nur noch müde.. *sigh*

Root-Exploit im Linux-Kernel entdeckt

blog@strcat.de (Christian Schneider) — Wed, 04 Nov 2009 03:12:46 +0100

http://www.gulli.com/news/root-exploit-im-linux-kernel-entdeckt-2009-11-04
Dem Software-Entwickler Brad Spengler ist es gelungen, einen gefährlichen Bug in allen aktuell produktiv eingesetzten Versionen des Linux-Kernels zu finden. Dieser könnte normalen Benutzern erlauben, Root-Rechte zu erlangen.

Der sogenannte "Null Pointer Dereference Flaw" tritt in allen Versionen des Linux-Kernels bis zum aktuellen Release Candidate 2.6.32 auf. Dies bedeutet, dass praktisch jede produktiv eingesetzte Linux-Maschine verwundbar ist - denn wer setzt schon einen RC produktiv ein? Zwar gibt es eine Möglichkeit, die Ausnutzung der Schwachstelle zu verhindern (es muss das Feature "mmap_min_addr" benutzt werden). Dieses ist jedoch bei Red Hat Enterprise Linux (RHEL), einer populären Linux-Distribution für den professionellen Einsatz, offenbar fehlerhaft implementiert und bietet daher keinen Schutz. Auch zahlreiche Software-Entwickler-Tools sowie das auf Desktop-Systemen beliebte Tool Wine zur Ausführung von Windows-Programmen verhindern eine Nutzung des Features. Dieses ist daher auf zahlreichen Linux-Rechnern deaktiviert. So könnte die Anzahl verwundbarer Rechner beunruhigend hoch sein.

Spengler kritisiert nicht nur die Verantwortlichen von RHEL für ihre fehlerhafte Implementierung der Schutzfunktion (offenbar dem Wunsch nach mehr Kompatibilität geschuldet). Auch an den Entwicklern des Linux-Kernels und ihrem Umgang mit Sicherheitsthemen übt er Kritik. "Ich finde es interessant, dass ich [den Bug] zwei Wochen vor den Leuten gefunden habe, deren Job es ist, so ein Zeug zu finden," sagte er am gestrigen Dienstag, "Sie haben ganze Teams von Leuten und ich bin nur eine Person, die das in ihrer Freizeit macht." Dies ist nicht das erste Mal, dass Spengler die Linux-Kernel-Entwickler für Sicherheitslücken und auch für mangelnde Transparenz beim Bekanntgeben gestopfter Lücken kritisiert.

Quelle: The Register

Linux saugt immer mehr; kann das mal bitte jemand fork()'en oder die dafür zuständigen Leute erschlagen? Danke!

Nachtrag zu "Gekonnt Scheisse bauen"

blog@strcat.de (Christian Schneider) — Tue, 14 Jul 2009 14:17:01 +0200

In Bezug auf den vorherigen Eintrag hab ich dem Oberadmin kurz Bescheid gesagt und der Typ ist ja wirklich.. also von dem kann ich noch einiges lernen.
Er guckt sich das an, cloned die Repos auf einer anderen Kiste, biegt die Logins via Portforwarding im Router auf die neue Adresse um, löscht dann fast alle Repos auf der alten Kiste und erstellt eine motd(5) in der U GOT HACKED&OWNED! steht, ruft den zuständigen Admin an und als der ankommt, erzählt er ihm schon fast hysterisch das die Kiste gecrackt wurde und macht Typen richtig Stress von wegen "Schon etliche User haben sich beschwert weil ihre Arbeiten weg sind" usw.
Er stand dann vor den Ruinen des vermeintlich gecrackten Servers und wusste überhaupt nicht was er machen soll und war sichtlich verzweifelt. Der Oberadmin hat ihn dann mit den Worten "Mach Du mal wieder bei Dir weiter; ich versuch das irgendwie zu reparieren." zur Seite geschoben und man konnte ihm seine Dankbarkeit richtig ansehen. Nach dem "Beim nächsten Mal machst Du nicht einfach, sondern läßt es erst von jemandem prüfen wenn Du Dir nicht sicher bist!" sah er aus.. naja.. schonmal 'n geprügelten Hund gesehen? So in etwa. Ich glaub der hätte sich mit dem anderem BOfH glänzend verstanden.

Wie heisst es doch so schön: Man lernt nie aus!

Gekonnt Scheisse bauen

blog@strcat.de (Christian Schneider) — Tue, 14 Jul 2009 03:39:59 +0200

Es gibt drei Sorten von Admins: Die einen wissen was sie machen, die anderen wissen es nicht und lassen es von den Admins machen, die wissen was sie tun und dann gibts da noch die, die meinen sie wissen was sie machen und das auch tun obwohl sie keine Ahnung haben. Letztere legen dann auf einer Linux-Kiste ein SVN-Repo an, dessen Root unter / im Dateisystem zu finden, alle User read+write besitzen und eine gültige Loginshell via SSH zur Verfügung haben.
Der Witz an der Sache ist ja eigentlich das ich das grad durch Zufall entdeckt hab und gar nicht dafür bezahlt werde mich darum zu kümmern. Ich glaub ich sag dem Oberadmin später mal Bescheid.

Unleserliche Captchas

blog@strcat.de (Christian Schneider) — Sun, 28 Jun 2009 00:14:08 +0200

~~Liebe~~ Foren-/Newsseiten-/Blog-/$Whatever - Betreiber. Es ist zwar vollkommen verständlich das ihr euch gegen Spam und Spambots schützen wollt und dazu auf CAPTCHAs zurückgreift, aber müsst ihr unbedingt so extremst unleserliche Grafiken verwenden?
Ja.. der Artikel Gekrakel gegen Spambots auf TR ist mir genauso wie die technischen Hintergründe bekannt, aber trotzdem nerven CAPTCHAs wie

extremst. Das einzige was man damit ziemlich sicher erreicht, ist das einem User spätestens nach der dritten Falscheingabe die Lust vergeht und ihr ihn nicht wiederseht.

"Was spricht denn gegen ein Backup via ftp?"

blog@strcat.de (Christian Schneider) — Wed, 24 Jun 2009 15:12:45 +0200

Die Frage wurde mir heute gestellt, nachdem ich gesagt habe, dass die momentan eingesetzte Backuplösung Scheisse ist. Naja.. prinzipiell ist ein Backup via ftp(1) nicht unbrauchbar, aber in dem Fall schon.
Das Backup wurde aus einem Einzeiler mit tar(1) und find(1) erstellt und das gepackte Archiv anschließend aus dem Backupscript heraus via lftp -u username,password <ip-adresse> übertragen. Das Problem an der Sache ist nur, dass jeder User auf der Kiste mit einem ps ax | grep lftp an die Logindaten kommen kann. Immerhin war NcFTP installiert welches dann auch genutzt wurde. Das macht es nämlich besser

$ ps ax | grep ncftp

11724 pts/0    S+     0:00 ncftp -u **** -p ********** ftp.host.invalid

Wieso sie nicht einfach rsync(1) oder ähnliches einsetzen, wollte ich dann doch nicht wissen.

Beschlagnahme von E-Mails gelockert

blog@strcat.de (Christian Schneider) — Thu, 14 May 2009 00:29:24 +0200

Die Polizei darf künftig einfacher über den Provider auf E-Mailkonten zugreifen - und das nicht nur bei schweren Straftaten.

GRUNDSATZURTEIL Zugriffe auf E-Mail-Konten beim Provider sind bei Straftaten aller Art möglich. Vor allem Nutzer von Umsonstdiensten betroffen

FREIBURG taz | Wenn E-Mails beim Provider beschlagnahmt werden, gilt nicht das Fernmeldegeheimnis. Dies entschied der Bundesgerichtshof (BGH) in einem jetzt erst bekannt gewordenen Beschluss von Ende März. Vielmehr sollen die relativ anspruchslosen Regeln der Postbeschlagnahme gelten.

Von diesem Beschluss sind vor allem die Nutzer von kostenlosen E-Mail-Diensten wie gmx oder web.de betroffen, bei denen alle E-Mails auch nach der Lektüre auf dem Server des Providers verbleiben. Doch auch bei T-Online und anderen klassischen E-Mail-Providern werden eingehende Mails einige Minuten bis Tage beim Anbieter zwischengespeichert, bis sie der Nutzer zum Lesen auf den eigenen Rechner herunterlädt.

Dass die Polizei nach richterlichem Beschluss auf die Mails beim Provider zugreifen kann, war schon bisher klar. Umstritten war aber, wann dies möglich ist. Das Landgericht Hamburg entschied Anfang 2008, dass hier das Fernmeldegeheimnis gilt, auch wenn die Nachrichten dauerhaft auf dem Server des Providers bleiben. Die Beschlagnahme der Mails wäre dann nur bei schweren Straftaten möglich. Dagegen hatte das Landgericht Braunschweig 2006 vertreten, dass es hier um eine ganz normale Beschlagnahme gehe, die bei Straftaten aller Art möglich ist. Schließlich sei der Übertragungsvorgang zumindest bei den gelesenen Mails beendet. Der Nutzer habe es jetzt selbst in der Hand, ob er die Nachrichten löschen will.

Der BGH ging als höchstes deutsches Strafgericht nun einen Mittelweg und wertete die Beschlagnahme von E-Mails auf dem Server des Providers als Postbeschlagnahme. Es gelten damit die gleichen Regeln, wie wenn Briefe oder Telegramme auf dem Postamt beschlagnahmt werden. Zwar ist auch dies bei Straftaten aller Art zulässig, die Durchsicht der Mails muss aber durch den Richter oder einen Staatsanwalt erfolgen, während bei der normalen Beschlagnahme auch ein einfacher Polizist die Mails auswerten dürfte.

Ob dies die endgültige Lösung des Problems ist, wird sich aber noch zeigen. Denn ein vergleichbarer Fall ist schon seit 2006 beim Bundesverfassungsgericht anhängig und noch nicht entschieden. Damals wurde sogar eine einstweilige Anordnung erlassen, um die Nutzung einfach beschlagnahmter Mails zu verhindern. Die zuständigen Richter sind derzeit allerdings wohl zu sehr mit ihren europapolitischen Ambitionen bei der Kontrolle des EU-Reformvertrags beschäftigt.

Die neue BGH-Rechtsprechung hat keine Auswirkungen auf die Beschlagnahme von Mails auf den heimischen Computern. Hier gelten weiter die allgemeinen Beschlagnahmeregeln. Und wenn Mails zwischen den Providern abgefangen werden, gilt dies wie bisher als Telekommunikationsüberwachung. Für die Ermittler dürfte aber der Zugriff beim Provider künftig am bequemsten sein.

(taz.de via Mail)

Guckst Du auch hier und hier. Wer seine Mails noch immer nicht verschlüsselt, der verdient nichts anderes als Schmerzen. Ein "Aber mein Freund/Freundin/Kollege/Bekannter/.. nutzt kein PGP/GPG!" ist kein Argument, sondern lediglich eine Ausrede.

Fun mit sudo(8)

blog@strcat.de (Christian Schneider) — Mon, 20 Apr 2009 22:29:34 +0200

$ sudo grep -E 'insults|testuser' /etc/sudoers

Defaults        insults

testuser ALL=(ALL) ALL

$ su testuser

Password:

% id

uid=1004(testuser) gid=1005(testuser) groups=1005(testuser)

% sudo uptime



We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:



    #1) Respect the privacy of others.

    #2) Think before you type.

    #3) With great power comes great responsibility.



[sudo] password for testuser: (falsches password)

You do that again and see what happens...

[sudo] password for testuser:  (falsches password)

I think ... err ... I think ... I think I'll go home

[sudo] password for testuser: (falsches password)

You type like I drive.

sudo: 3 incorrect password attempts

Bei wem es nicht funktioniert, der sollte zuerst prüfen ob sudo(8) auch mit insults kompiliert wurde (strings `which sudo` | grep insults) bzw. sudo -K eingeben.

"Professionelle Beseitigung des Wurms Conficker"

blog@strcat.de (Christian Schneider) — Tue, 31 Mar 2009 01:48:44 +0200

Vorhin hat mir eine Firma (Name wird nicht genannt!) an meine "Geschäfts-Emailadresse" eine mit PGP verschlüsselte Mail mit obigem Subject geschickt, in der sie mich dafür engagieren wollten, drei ihrer Kisten im Netzwerk von Conficker zu befreien. Ja. Richtig gelesen. $Firma weiß das drei Kisten mit dem Wurm - der am 1. April aktiv wird - infiziert sind und schicken mir am 30. März eine Mail. Der Hammer kommt aber noch: Aufgrund der kurzfristigen Anfrage und der Dringlichkeit stellen wir Ihnen auch die Möglichkeit zur Verfügung, die Säuberung der infizierten Hosts online durchzuführen ähm.. HALLO!?
$Firma weiß (woher auch immer) das drei ihrer Kisten (welche anscheinend noch immer online sind) mit einem Wurm infiziert sind und kümmern sich dann einen verfickten Tag davor darum? Wieso gibt es eigentlich keine Behörde, bei der man so massive Verstöße gegen IT-Sicherheit melden kann? Und wieso zum Teufel kommen diese Idioten darauf das mich irgendeine Kiste auch nur im geringsten interessiert?!

Zur Erklärung: Die Firma von der die Mail kam, kam wirklich von dieser Mail, da ich bereits eine Antwort auf meine Antwort bekommen habe; zudem ist das eine Firma, die ~5000 Beschäftigte in Deutschland hat. Hoffentlich krepieren alle Verantwortlichen der Firma daran. Und zwar alle; vom teuersten Anzug angefangen bis runter zu jedem der root/Admin-Rechte auf einem Host in der Firma hat.

"Hackers Go After Pirate Bay Investigator"

blog@strcat.de (Christian Schneider) — Sat, 28 Mar 2009 04:00:43 +0100

A police IT forensics specialist has had some of his personal details leak via The Pirate Bay. Jim Keyzer, who led the investigation into the popular tracker, has just discovered that his girlfriends email account was compromised by hackers, who obtained several passwords and other personal documents.

The torrent, titled Where did the money come from? exposes some of the policemans passwords and account details, including some documents relating to a house he recently bought. The title hints at Keyzers short employment at Warner Bros. while he was working on the police investigation, but this implied link seems a little tenuous.

According to the release info the documents were released by the Keyzer Defender and were obtained from Keyzers girlfriends Hotmail account. These attachments are taken from mails in the Hotmail account belonging to Jim Keyzers girlfriend. Also included are login credentials and some of Jims passwords, it reads.

Keyzer has contacted the Pirate Bay team and said that he found it unfortunate that his girlfriend was hacked because of his involvement with The Pirate Bay case. He did not ask for the torrent to be removed, which shows that he learned at least one thing during the investigation.

Keyzer became the subject of some controversy when he started working for Warner Bros. before the Pirate Bay investigation was closed. After a short stay at the movie company Keyzer terminated his leave of absence, and returned to the IT Crime Unit in Stockholm.

The Pirate Bay crew were not amused by Keyzers dual role, and filed a complaint with the police. The police looked into the case briefly but decided not to investigate it because there was no reason to believe that a crime has been committed by anyone employed by the police.

During the Pirate Bay trial Keyzer inexplicably disappeared but now weeks later, his girlfriend appears to have been dragged into the dispute. The Pirate Bay certainly provokes a certain passion in their fanbase, and some are clearly prepared to go to extreme lengths to show that their beloved site is not to be messed with.

(via TorrentFreak)

Also ich bin ja wirklich nicht schadenfroh, aber *bruahaaaaahaaaa*

Offenes WLAN im Hotel

blog@strcat.de (Christian Schneider) — Tue, 10 Mar 2009 21:45:43 +0100

Eine ganz gute Sache für Gäste. Einfach den Laptop hochfahren, auf den AP verbinden und kostenlos und ohne Probleme in der Hotellounge surfen. Es ist nur eine ziemlich blöde Idee wenn man über http://192.168.1.1 auf das Webinterface des Routers zugreifen kann, das Default-Passwort dann neben der Eingabemaske steht und noch nicht geändert wurde.

S9Y auf Debian 5.0 installieren

blog@strcat.de (Christian Schneider) — Sat, 21 Feb 2009 13:53:48 +0100

Ich hab ja schon angedroht das ich ggf. ein neues Template für dieses Blog erstellen werde und da es extremst saugt auf localhost zu arbeiten und auf $remote_server zu testen, hab ich das auch blitzkrieg ausgelagert; dort läuft nämlich seit einiger Zeit ein frisch installiertes Debian 5.0 das sich zu Tode langweilt. Also dann.. auf in den Kampf!
Zuerst mal gucken welche Version von S9Y aka Serendipity vorhanden ist.

$ aptitude show serendipity

ackage: serendipity

State: not installed

Version: 1.3.1-1

Priority: optional

Section: web

Maintainer: Thijs Kinkhorst <thijs@debian.org>

Uncompressed Size: 18.3M

Depends: apache2 | httpd, libapache2-mod-php5 | libapache-mod-php5 | php5 | php5-cgi | libapache2-mod-php4 |

 libapache-mod-php4 | php4-cgi | php4, php5-mysql | php4-mysql | php5-pgsql | php4-pgsql | php5-sqlite |

 php4-sqlite | php5-sqlite3 | php-sqlite3, dbconfig-common, mysql-client | postgresql-client | sqlite |

 sqlite3, php-pear, smarty, php-cache-lite, php-http-request, php-net-socket, php-net-url,  php-net-checkip, 

debconf (>= 0.5) | debconf-2.0

Recommends: imagemagick | php4-gd | php5-gd, ttf-dejavu-core

Description: Weblog manager with extensive theming and plugin support

 Serendipity (s9y) is a weblog application which gives the user an easy way to maintain an online diary, 

weblog or a complete homepage. 

 

 It has extensive plugin and theming, support for multiple authors, threaded comments, multiple 

categories and spam blocking. It's written in PHP and supports the SQLite, PostgreSQL, MySQL 

and MySQLi databases.

Homepage: http://www.s9y.org/

Gut. 1.3.1 ist zwar vom 22. April 2008 aber egal. Die neue Version is ja gleich runtergeladen.
Also aptitude install serendipity und folgendes

Reading task descriptions... Done  

The following NEW packages will be installed:

  apache2{a} apache2-mpm-prefork{a} apache2-utils{a} apache2.2-common{a} 

  dbconfig-common{a} libapache2-mod-php5{a} php-cache-lite{a} 

  php-http-request{a} php-net-checkip{a} php-net-socket{a} php-net-url{a} 

  php-pear{a} php5-cli{a} php5-common{a} php5-mysql{a} serendipity 

  smarty{a} 

0 packages upgraded, 17 newly installed, 0 to remove and 1 not upgraded.

Need to get 0B/11.9MB of archives. After unpacking 40.6MB will be used.

Do you want to continue? [Y/n/?]

mit Y bestätigen und nachdem alles heruntergeladen und entpackt wurde, ploppt mir folgender Hinweis ins Gesicht:

serendipity must have a database installed and configured before it can be used.  If you like, this can be

handled with dbconfig-common.

If you are an advanced database administrator and know that you want to perform this configuration manually,

or if your database has already been installed and configured, you should refuse this option.

Details on what needs to be done should most likely be provided in /usr/share/doc/serendipity.



Otherwise, you should probably choose this option.

Configure database for serendipity with dbconfig-common?

gefolgt von Yes/No-Abfrage; nach einem "Jaaa.." wähl ich MySQL als Datenbank aus, geb das Passwort ein, bestätige es um dann folgendes zu lesen:

To properly configure the database for serendipity, it is necessary that you also have mysql-client 

installed.  Unfortunately, this can not be done automatically.

If in doubt, you should choose "abort", and install mysql-client before continuing with the configuration 

of this package.  If you choose "retry", you will be allowed to choose different answers (in case you 

chose the wrong database type by mistake).  If you choose "ignore", then installation will continue as 

normal.

abort/retry/ignore?! Wär nett gewesen wenn ich das vorher gewusst hätte oder ein dementsprechender Hinweis angezeigt werden würde. Mir hätte es ja schon gereicht wenn es unter Recommends: gestanden hätte, aber na gut. Also "ignore" und die restliche Konfiguration durchlaufen.

dbconfig-common: writing config to /etc/dbconfig-common/serendipity.conf

*** WARNING: ucf was run from a maintainer script that uses debconf, but

             the script did not pass --debconf-ok to ucf. The maintainer

             script should be fixed to not stop debconf before calling ucf,

             and pass it this parameter. For now, ucf will revert to using

             old-style, non-debconf prompting. Ugh!



             Please inform the package maintainer about this problem.

Ja! Nerv nicht! Kurz danach lese ich dann folgende Meldung auf meiner Konsole:

Serendipity for Debian
======================

Getting started
---------------
You need to configure your webserver for use with Serendipity. A default
configuration for Apache is included in /etc/serendipity/apache.conf; you
can drop or symlink it into the /etc/apache*/conf.d directory and reload
the webserver.

You can then access your Serendipity install at
http://localhost/serendipity ; to log into the admin section, use
the username 'admin' and password 'admin' (and of course change
that right away).

Mein erster Gedanke war "Wie jetzt? Ich kann S9Y konfigurieren obwohl es nich installiert ist?". Also noch schnell /etc/serendipity/apache.conf nach /etc/apache2/conf.d/ verlinkt, Apache neu gestartet und localhost aufgerufen. Apache läuft, aber ./serendipity is nich da!?
Wayne.. dann halt doch mysql-client installieren; hat nur nix gebracht, weil ich mysql-server benötige. Das hab ich dann auch gemacht und mit dpkg-reconfigure serendipity, aber localhost zeigt immer noch kein ./serendipity an. Ist in meinem Fall auch egal, weil ich eh 1.4.1 herunterlade. Also ab nach /home/www/, serendipity-1.4.1.tar.gz heruntergeladen, entpackt, mit "admin/admin" eingeloggt, http://localhost/serendipity und.. J-E-H-O-V-A!!!111! Kaum popelt man ~1h lang rum, schon funktioniert es!

Mental note to self: Zuerst mysql-server, dann den Rest herunterladen. Wieso allerdings die von Debian installierte Version von S9Y nicht im ServerRoot von Apache auftaucht, bleibt mir ein Rätsel.. wobei.. ich will gar nicht alles wissen.