i live in my own little world, but it's ok… they know me here

normalerweise wollen doch firmen ihre newsletter immer an den mann bringen. die hier nicht…

im ersten moment dachte ich … jemand der z.b. nur einen gmail.com account nutzt, kann sich da nicht anmelden oder wie? zwei sekunden spaeter… nee, kann nicht sein. so doof ist doch echt niemand. das muss vielleicht die gewuenschte sprache des newsletters sein. ein blick in den quelltext bekraeftigte meine ahnung. das label fuer das auswahlfeld heisst naemlich “langSelector”. die hoffnung stirbt zuletzt.

der erste versuch hielt nicht lange. und die freude ueber die neue scheibe und das gesparte geld war dahin. das war moeglicherweise kein originalteil. so dann so aus…

also der naechste versuch. ein originales originales und hoffentlich und moeglicherweise wirklich echtes ersatzteil musste her. kostet auch gleich mehr als das doppelte. obs denn wirklich original ist, werde ich nie erfahren. und obs laenger haelt, wird sich rausstellen. zumindest ist mal irgendeine nummer drauf gedrueckt und sowas wie ein qs kuerzel zu sehen.

schaumermal. wenn das auch wieder kaputt geht, gehe ich zum rat-look ueber und fixiere das alles einfach mit panzertape. schliesslich ists nur ein gebrauchsgegenstand.

ah.. wollte ich schon immer mal probieren. schild gesehen… laut “biiiiiiiike” gerufen… dann “faaaaaaahrraaaaad”… nix. funktioniert nicht. kommt kein fahrrad. doof.

aber mal im ernst. wwarum heisst das “call a bike”, wenn man sich die dinger in der stadt suchen muss? wenn ich “call a taxi” mache, dann kommt das da hin, wo ich bin.

da sich seit dem upgrade von 4 auf 5 ein paar kleinigkeiten geaendert haben… hier nochmal mein braindump fuer das patchlevel update von z.b. 5.0.1 auf 5.0.2

apt-get install -y libmime-base64-urlsafe-perl libauthen-sasl-perl libxml-libxml-perl libxml-libxslt-perl
cd /opt
wget http://ftp.otrs.org/pub/otrs/otrs-5.0.2.tar.gz
/etc/init.d/cron stop
/etc/init.d/postfix stop
/etc/init.d/apache2 stop
cd /opt/otrs/
su - otrs
bin/Cron.sh stop
bin/otrs.Daemon.pl stop
logout
mysqldump -p otrs > otrsdbbackup.sql
cd /opt
mv otrs otrs-old
tar -xzf otrs-5.0.2.tar.gz 
mv otrs-5.0.2 otrs
cp /opt/otrs-old/Kernel/Config.pm /opt/otrs/Kernel/
cp /opt/otrs-old/Kernel/Config/GenericAgent.pm /opt/otrs/Kernel/Config/
cp /opt/otrs-old/Kernel/Config/Files/ZZZAuto.pm /opt/otrs/Kernel/Config/Files/
cp /opt/otrs-old/var/log/TicketCounter.log /opt/otrs/var/log/
cd /opt/otrs/var/cron
for foo in *.dist; do cp $foo `basename $foo .dist`; done
cd /opt/otrs/
bin/otrs.SetPermissions.pl --web-group=www-data
su - otrs
bin/otrs.Console.pl Maint::Database::Check
bin/otrs.Console.pl Maint::Config::Rebuild
bin/otrs.Console.pl Maint::Cache::Delete
logout
/etc/init.d/apache2 start
/etc/init.d/postfix start
/etc/init.d/cron start
su - otrs
bin/otrs.Daemon.pl start
bin/Cron.sh start
logout

und dann noch im backend unter “admin” -> “paket-verwaltung” die installierten pakete in einer neuen bzw kompatiblen version installieren.

glaube das brauche ich nicht weiter zu kommentieren 😉

ein haendler fuer gebrauchte dvds, buecher etc. hat einen “wieder da-e-mail” service. wenn man einen bestimmten artikel sucht, der gerade nicht verfuegbar ist, kann man sich per email benachrichtigen lassen, wenn er wieder verfuegbar ist. ich zucke jedesmal zusammen, wenn ich eine dieser email bekomme….

… weil ich jedesmal beim ueberfliegen nur “wieder de-mail” lese.

ja, auch ich habs endlich mal geschafft, ein handy kaputt zu machen. also zumindest aeusserlich. die rueckseite hat nen sprung bekommen.

eigentlich wollte ich das ja machen lassen. hab auch nen laden in frankfurt gefunden, der vielversprechend aussah. bei den reparaturen konnte ich nur das backcover nicht finden. also kurzerhand angerufen die situation geschildert. das lief dann etwa so:

[…]
sm: “backcover machmer nicht”
me: “wieso?”
sm: “wenns nicht im shop zu finden ist, bieten wir das nicht an”
me: “wie? sie tauschen displays und loeten buchsen in handys, aber nen albernen deckel koennen sie nicht tauschen?”
sm: “nee, wenns nicht im shop zu finden ist, bieten wir das nicht an”
me: “recht unflexibel, wa? naja. kammernixmachen. schoenen tag noch.”

also bei ebay ein ersatzteil inkl. versand fuer 10 euro gezogen. einen tag spaeter wars da. und entgegen meiner erwartungen wars auch in 10 minuten erledigt. mit etwas uebung gehts vielleicht auch in 5 minuten. erst schoen mitm nem foen warm machen, damit der kleber weich wird und dann mit so gitarren plektrum dingern die scheibe vorsichtig abhebeln. so sieht das dann geoeffnet aus:

und jetzt weiss ich auch, warum der akku so lange haelt. das geraet besteht nur aus akku (teils verdeckt von der rfid antenne) 😉

im nachhinein also ne gute entscheidung gewesen, nur 10 euro zu investerieren, statt vielleicht 60 oder 80 in so einem laden.
ok, ob das ding nun wirklich noch wasserdicht ist… keine ahnung. aber das kann der laden auch nicht garantieren.

mit dnssec muss man sich beschaeftigen. soviel war schon klar. eingerichtet ist der ganze kram relativ schnell… aber dann will der key rollover auch gelernt sein. ich habe absichtlich kurze gueltigkeitszeitraeume eingestellt, um das ein wenig zu ueben.

bei den dnssec-tools gibts den nuetzlichen “rollerd“, der sich um das signieren von zonen und den key rollover kuemmert.

die grundlegende einrichtung bzw konfiguration von rollerd ist easy und wird an genuegend stellen beschrieben. nur haben die in debian wheezy eingesetzten versionen ein paar eigenheiten und fehler, mit denen man umgehen muss.

zuerst mal ist die standardeinstellung in der datei configdatei /etc/dnssec-tools/dnssec-tools.conf auf NSEC statt NSEC3 eingestellt. ist doof, denn das funktioniert mit dem ganzen rest zusammen nicht mehr. zonen lassen sich weder neu signieren noch der rollerd starten. die auftretende fehlermeldung ist eigentlich garkeine:

root@ns01:~# **************************************** here: www. meinetestzoneblabla.de.

keine weiteren, verwertbaren ausgaben im logfile. debugginglevel etc. nach oben geschraubt… trotzdem nichts. wenn man die richtigen suchbegriffe waehlt, findet man vielleicht auch was dazu. ich habs mehr durch zufall gefunden auf der suche nach einem anderen problem.

um also NSEC3 zu verwenden erstmal im configfile einschalten:

usensec3        yes

wenn man bis dahin schon alles konfiguriert und NSEC verwendet hatte, ist wie folgt vorzugehen:

Als erstes löscht man aus allen krf-Dateien den rollmgr-Eintrag, welcher auf rollerd verweist.
Danach stellt man in /etc/dnssec-tools/dnssec-tools.conf den Wert usensec3 auf yes.
Man signiert nun alle Zonen einmal per Hand mit zonesigner.
Danach kann man den rollerd wieder starten.

dann hat rollerd noch eine kleinen bug. im log taucht immer wieder auf:

Oct 27 05:00:38 2015: : unable to send message to blinkenlights; turning off display

gibt auch nen bugreport dazu. die loesung ist ein kleiner patch:

patch 
--- rollerd.orig	2013-09-30 12:12:20.000000000 +0100
+++ rollerd	2013-09-29 17:50:28.000000000 +0100
@@ -7021,7 +7022,7 @@
 	#
 	# Don't try anything if we aren't connected to a display program.
 	#
-	#return if(!$display);
+	return if(!$display);
 	return if(fileno(DISPLAY) == -1);
 
 	#

ein weiterer, ganz fieser bug ist, dass rollerd statt der serial im zonefile den hostnamen “hochzaehlt”. am anfang eines zonefiles steht der SOA kram:

$TTL 3600
@  IN  SOA ns01.meinetestzoneblabla.de. zonemaster.meinetestzoneblabla.de. ( 
     2015080317       ; serial, todays date + todays serial #
     7200              ; refresh, seconds
     900              ; retry, seconds
     604800              ; expire, seconds
     86400 )            ; minimum, seconds
[…]

nachdem rollerd am werk war, steht da:

$TTL 3600
@  IN  SOA ns02.meinetestzoneblabla.de. zonemaster.meinetestzoneblabla.de. ( 
[…]

ein workaround ist es, den zeilenumbruch zu entfernen und die serial mit in die SOA zeile zu nehmen:

$TTL 3600
@  IN  SOA ns01.meinetestzoneblabla.de. zonemaster.meinetestzoneblabla.de. ( 2015080317  ; serial, todays date + todays serial #
     7200              ; refresh, seconds
     900              ; retry, seconds
     604800              ; expire, seconds
     86400 )            ; minimum, seconds
[…]

weiter gehts mit den fehlern… diesmal ists nicht der rollerd, sondern ein anderes programm namens “donuts” aus den dnssec-tools. normalerweise ueberprueft man damit die signierten dns zonen. allerings spuckts in meinem falle seit der verwendung eines TLSA records in der zone folgenden fehler:

WARNING: failed to read pri.meinetestzoneblabla.de.signed for an unknown reason
unrecognized type for _15._tcp.meinetestzoneblabla.de.
_25._tcp.meinetestzoneblabla.de.	3600	IN TLSA	3 1 1 (
, line 104

irgendwo habe ich einen hinweis gefunden, dass es am fehlenden TLSA eintrag in dem (sehr alten) Net::DNS perl modul liegen soll… also husch auch noch eingefuegt (der typ 52 ist fuer tlsa und fehlte):

'DHCID'     => 49,      # RFC4701
'NSEC3'     => 50,      # RFC5155
'NSEC3PARAM' => 51,     # RFC5155
'TLSA'      => 52,      # RFC6698
# 52-54 are unassigned
'HIP'       => 55,      # RFC5205
'NINFO'     => 56,      # non-standard 

leider war dieser eingriff nicht von erfolg gekroent und ich haenge immernoch an dieser stelle. macht aber erstmal nichts, da der rest funktioniert und donuts “nur” zur ueberpruefung auf fehler dient. ich werde hier wieder berichten, wenn ich eine brauchbare loesung gefunden habe.

bei so viel schlechtem ist auch etwas gutes an dem debian paket dran. in den meisten howtos ist beschrieben, dass bei den dnssec-tools kein init script fuer rollerd dabei ist. beim debian paket allerdings schon. man muss nur seine startparameter fuer den daemon in die /etc/default/rollerd eintragen.
in meinem falle (fuer die testphase:)

DAEMON_OPTS="-rrfile /etc/bind/all.rollrec -directory /etc/bind -loglevel tmi -sleep 60"

und dann kann man wie ueblich auch den daemon starten…

/etc/init.d/rollerd start

so…. das macht natuerlich alles keinen spass, wenn nur die haelfte klappt. also ein bischen weiter probieren. 😉

wenn man eine aenderung in einer zone macht, erkennt der rollerd das und fuehrt ein “re-sign” durch:

wenn man eintrage ins zonefile macht, erkennt rollerd das, setzt die serial eins rauf und signiert die zone neu.

Oct 26 20:04:55 2015: meinetestzoneblabla.de: zonefile modified; re-signing
Oct 26 20:04:55 2015: meinetestzoneblabla.de: executing "/usr/sbin/zonesigner -rollmgr rollerd -dtconfig /etc/dnssec-tools/dnssec-tools.conf  -zone meinetestzoneblabla.de -krf meinetestzoneblabla.de.krf -signonly pri.meinetestzoneblabla.de pri.meinetestzoneblabla.de.signed"
Oct 26 20:04:55 2015: meinetestzoneblabla.de: executing "/usr/sbin/zonesigner -rollmgr rollerd -dtconfig /etc/dnssec-tools/dnssec-tools.conf  -zone meinetestzoneblabla.de -krf meinetestzoneblabla.de.krf -signonly pri.meinetestzoneblabla.de pri.meinetestzoneblabla.de.signed"
Oct 26 20:04:55 2015: meinetestzoneblabla.de: rollerd signed zone

aufgrund der einstellung “roll_loadzone 1” in der /etc/dnssec-tools/dnssec-tools.conf sollte dann eigentlich der bind auch einen reload machen… aber es ist irgendwie nicht mein tag.

also manuell hinterher:

rndc reload

das wars dann erstmal fuer heute… bald werde ich mehr berichten.

google verlangt wohl die zustimmung zu irgendwelchen nutzungsbedingungen. in einem firman-lan mit proxy, in dem ich mich heute bewegt habe, sah das dann so aus:

…und ging nicht mehr weg. naja.. eeeeeendlich mal ein grund, sich die alternativen suchmaschinen anzusehen 🙂

mal zusammengefasst aufschreiben, weil ich das sonst beim naechsten mal wieder an vier stellen zusammensuchen muss…

der raspberry pi mit raspbian soll bei mir im lokalen netzwerk u.a. verschiedene mailgeschichten machen. dazu hat nen postfix installiert bekommen.
direkt nach dem starten des postfix hat das gemeckere angefangen:

postmulti: warning: inet_protocols: disabling IPv6 name/address support: Address family not supported by protocol
postmulti: warning: inet_protocols: disabling IPv6 name/address support: Address family not supported by protocol
postmulti: warning: inet_protocols: disabling IPv6 name/address support: Address family not supported by protocol
postmulti: warning: inet_protocols: disabling IPv6 name/address support: Address family not supported by protocol
postmulti: warning: inet_protocols: disabling IPv6 name/address support: Address family not supported by protocol
postmulti: warning: inet_protocols: disabling IPv6 name/address support: Address family not supported by protocol

im die meldung weg zu bekommen, muss man dem postfix sagen, dass er den ipv6 kram lassen soll. dazu schreibt man diese zeile in die /etc/postfix/main.cf :

inet_protocols = ipv4

damit der postfix ausgehende mails an einen regulaer im internet erreichbaren mailserver schickt und sich dabei auch noch authentifiziert, sind folgende zeilen in der /etc/postfix/main.cf notwendig:

smtpd_sasl_auth_enable = no
smtp_use_tls=yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth
smtp_sasl_security_options = noanonymous
relayhost = [mein.relayserver.tld]:587

den user und das passwort fuer die authentifizierung am relayserver schreibt man in die datei /etc/postfix/smtp_auth :

[mein.relayserver.tld]:587	meine@email.tld:dasgeheimepasswort

und fuehrt diesen befehl danach aus:

sudo postmap /etc/postfix/smtp_auth

damit die vom raspberry selbst gesendeten emails auch noch eine richtige mailadresse als absender bekommen (ohne den raspi gaenzlich als “echten” mailserver zu konfigurieren), laesst man die mailadrese des absenders “umschreiben”. dazu noch diesen eintrag in der /etc/postfix/main.cf machen:

smtp_generic_maps = hash:/etc/postfix/generic

und die /etc/postfix/generic mit den gewuenschren daten befuellen:

pi@raspberrypi	ich@meinedomain.tld

auch hier wieder postmap ausfuehren:

sudo postmap /etc/postfix/generic

ich habe in meinem netz noch so ein altes moechtegern smartes geraet, welches emails verschicken kann, aber sich weder authentifizieren, noch tls gesicherte verbindungen aufbauen kann.

deswegen trage ich das noch in die mynetworks variable in der /etc/postfix/main.cf ein:

mynetworks = 127.0.0.0/8 192.168.1.39

und zum schluss nicht vergessen… den postfix neu starten:

pi@raspberrypi ~ $ sudo /etc/init.d/postfix restart