Tag: software

fuer den dns server powerdns gibt es die administrationsoberflaeche “poweradmin“. die auswahl solcher tools ist nicht sonderlich gross… das duerfte die einfachste sein. irgendwann wirds soweit sein, dass boese buben das webinterface entdecken und versuchen einzubrechen. mit fail2ban kann man da ein bischen gegensteuern und nach fehlgeschlagenen loginversuchen die ip per iptables zu sperren.

in der datei “inc/config.inc.php” muessen dazu diese werte gesetzt sein:

$syslog_use = true;
$syslog_ident = 'poweradmin';

das ergibt dann bei fehlgeschlagenen logins im syslog eintraege wie diesen:

Feb  2 05:36:02 host poweradmin: Failed authentication attempt from [xx.xxx.xx.x]

weiter muss eine datei namens “/etc/fail2ban/filter.d/poweradmin.conf” angelegt werden mit folgendem inhalt:

[Definition]
failregex = poweradmin\: Failed authentication attempt from \[\]
ignoreregex =

und die “/etc/fail2ban/jail.conf” erweitert um folgenden eintrag:

[poweradmin]
enabled  = true
port     = http,https
filter   = poweradmin
logpath  = /var/log/syslog
maxretry = 3

und nach einem…

/etc/init.d/fail2ban restart

…sollte das auch schon funktionieren.

wie viele andere, kuemmere ich mich in der familie um die belange rund um den computer. ein problem bei den “supportanfragen” eines gewissen jemandes war immer, dass er nicht gelesen hat, bevor er was anklickt oder eine taste drueckt. wenn also eine fehlermeldung oder sonstwas kam, dann schnell wegdruecken. dann bei mir anrufen und sagen “da geht was nicht” oder “da kam vorhin so ne meldung”… das uebliche halt. immer und immer wieder habe ich dann auf ihn eingeredet, dass es durchaus sinn macht zu lesen, was da geschrieben steht und vielleicht dann zu entscheiden, welchen knopf man drueckt… je nachdem, was da geschrieben steht. und bei fehlermeldungen kann ich ohne die geschriebenen informationen erstmal nichts zu sagen.

das hat er sich zu herzen genommen. also computer einschalten – lesen was da steht – “press f11 to..” irgendwas englisches… also f11 gedrueckt. ein, zwei mal weiter gedrueckt, so wie es da geschrieben stand. und schwupps.. war das recovery image ueber die bestehende installation drueber gebuegelt. erst bei “geben sie einen computernamen ein” hat er dann angerufen. da wusste er nicht weiter.

irgendwie habe ich mich wohl falsch ausgedrueckt oder er es falsch verstanden. naja… wir arbeiten dran.

tja.. alles futsch. pc wieder blank ohne daten. und viel schlimmer noch: das ganze vorinstallierte gelumpe von medion ist wieder drauf. das deinstallieren des euberfluessigen muells ist viel schlimmer als einen pc von grund auf neu zu installieren und die benoetigten programme einzurichten. und was da alles fuer ein scheiss drauf ist.
dank teamviewer muss man wenigstens keine grossen reise auf sich nehmen und kann das bequem von zuhause erledigen. aber bis der teamviewer erst mal runtergeladenist, gestartet und die nummer durchgegeben… eine halbe ewigkeit mit weiteren kommunikationshuerden 😉

ich habe noch die alte withings “wbs01” wlan waage, welche ich vor jahren genutzt und fuer meine beduerfnisse gepimpt habe. mittlerweile gibts neuere hardware, welche z.b. der ein leser und kommentator meines urspruenglichen postings hat. der liebe christoph war so nett und hat mir den code zur verfuegung gestellt, welchen ich hier mit seiner genehmigung veroeffentliche.
testen bzw selber einsetzen kann ich den mangels neuer hardware leider nicht.

hier der quelltext:

wi_data.php
wi_measure.sql
withings.php

die pulsmessung ist deaktiviert und nicht beruecksichtigt.
vielen dank nochmal an christoph!

noch fragen?

man ist ja schon gewohnt, dass auf es einem auf irgendwelchen webseiten schwer gemacht wird, das zu sehen, was man ueber eine suchmaschine gefunden hat. aber bei sowas platzt mir ja fast der kragen:

ja wie bitte?? 5 minuten warten, bis der scheiss angezeigt wird? oder eben auf social media kack teilen/folgen/whatever. es gibt doch bestimmt auch leute, die diesen social media kram nicht mit machen? ich mache da zwar teilweise sehr wenig mit, aber ich werde mich mit sicherheit nicht noetigen lassen, da nen knopf zu druecken… und schon garnicht werde ich 5 minuten warten um den dreck anzusehen. tab cloesd… fertig.

um bei mails, welche das eigene mailsystem verlassen, ein paar header aus der mail zu entfernen, die niemanden in der boesen weiten welt was angehen, in der datei /etc/postfix/main.cf einfuegen:

header_checks = regexp:/etc/postfix/header_checks

und die datei /etc/postfix/header_checks mit folgendem inhalt anlegen:

/^Received: .*\(Authenticated sender:.*/ IGNORE
/^Received: .*\.internal\.domain\.tld.*/ IGNORE

die erste zeile schmeisst die header weg, die durch die authentifizierung beim smtp versand hinzugefuegt werden. (falls beim fuer smtp auth zustaendigen postfix in der main.cf der paramaeter “smtpd_sasl_authenticated_header = yes” gesetzt ist).

die zweite zeile schmeisst alle recived header weg, die von internen mailservern hinugefuegt wurden. schliesslich geht die struktur niemanden was an.

weil das noch nicht ganz richtig war, hier nochmal etwas angepasst:

# erstmal backup machen
cd /var/www/sites/kundexy
mysqldump -p -h   > backupdb-$(date +%Y%m%d%H%M).sql
tar -czvf backup-$(date +%Y%m%d%H%M).tar.gz  --exclude files/cloud
# dann update laden und installieren
cd verzeichniswebseite
curl -L https://download.contao.org/3.5.6 | tar --strip-components=1 -xzp
chown . <../verzeichniswebseite/> -R
# und wenn alles danach noch funktioniert, den kram wieder loeschen:
rm core-3.2.16.tar.gz
rm ../201412211004.sql # ersetzen mit dem aktuellen dateinamen
rm ../201412211004.tar.gz # ersetzen mit dem aktuellen dateinamen
# feddich!

da hat sich SUN damals wohl etwas verschaetzt…

tagelang habe ich mich mehr oder weniger erfolgreich erfolglos mit der dnssec implementierung in bind herumgschlagen. mittendrin kam ein kommentar von jonne, welches mich dann doch inspirert hat, mal powerdns anzuschauen. und was soll ich sagen? vergesst die wakeligen pakete in debian fuer bind und die dnssec-tools und nehmt powerdns. (natuerlich nicht den alten in debian stable, sondern ein aktuelles paket welches sich ohne grosse abhaengigkeiten installieren laesst.)

den folgenden absatz habe ich erst nach dem eigenen, in rekordzeit erstelltem test-setup gelesen:

In addition, the PowerDNS Authoritative Server is the leading DNSSEC implementation, hosting the majority of all DNSSEC domains worldwide. The Authoritative Server hosts at least 30% of all domain names in Europe, and around 90% of all DNSSEC domains in Europe.

und ganz ehrlich… ich weiss aus eigener erfahrung auch genau warum.

moeglicherweise gibts demnaechst auf diesem kanal ein kleines howto dafuer.

da sich seit dem upgrade von 4 auf 5 ein paar kleinigkeiten geaendert haben… hier nochmal mein braindump fuer das patchlevel update von z.b. 5.0.1 auf 5.0.2

apt-get install -y libmime-base64-urlsafe-perl libauthen-sasl-perl libxml-libxml-perl libxml-libxslt-perl
cd /opt
wget http://ftp.otrs.org/pub/otrs/otrs-5.0.2.tar.gz
/etc/init.d/cron stop
/etc/init.d/postfix stop
/etc/init.d/apache2 stop
cd /opt/otrs/
su - otrs
bin/Cron.sh stop
bin/otrs.Daemon.pl stop
logout
mysqldump -p otrs > otrsdbbackup.sql
cd /opt
mv otrs otrs-old
tar -xzf otrs-5.0.2.tar.gz 
mv otrs-5.0.2 otrs
cp /opt/otrs-old/Kernel/Config.pm /opt/otrs/Kernel/
cp /opt/otrs-old/Kernel/Config/GenericAgent.pm /opt/otrs/Kernel/Config/
cp /opt/otrs-old/Kernel/Config/Files/ZZZAuto.pm /opt/otrs/Kernel/Config/Files/
cp /opt/otrs-old/var/log/TicketCounter.log /opt/otrs/var/log/
cd /opt/otrs/var/cron
for foo in *.dist; do cp $foo `basename $foo .dist`; done
cd /opt/otrs/
bin/otrs.SetPermissions.pl --web-group=www-data
su - otrs
bin/otrs.Console.pl Maint::Database::Check
bin/otrs.Console.pl Maint::Config::Rebuild
bin/otrs.Console.pl Maint::Cache::Delete
logout
/etc/init.d/apache2 start
/etc/init.d/postfix start
/etc/init.d/cron start
su - otrs
bin/otrs.Daemon.pl start
bin/Cron.sh start
logout

und dann noch im backend unter “admin” -> “paket-verwaltung” die installierten pakete in einer neuen bzw kompatiblen version installieren.