Category Archives: Linux - Page 2

Java Security Update 7 f├╝r CVE-2012-4681

Ihr wisst sicher schon bescheid. Derzeit ist, mal wieder, eine Java Sicherheitsl├╝cke in aller Munde, die bereits aktiv ausgenutzt wird. Normal betrifft es ja fast immer “nur” Windows, in diesem Fall jedoch gibt es bereits PoCs f├╝r Linux und OS X. Es d├╝rfte nicht lange dauern bis es erste Trojaner, Keylogger, W├╝rmer oder anderes fertig zum Kauf gibt, womit die ScriptKids dann ihre Freude daran haben.

Ihr solltet, wenn ihr noch Java installiert oder unter Mountain Lion gar Java von Sun nachinstalliert habt, schleunigst auf folgende Version updaten: OS X Java 7 Update 7 (Ab Lion, 64bit). F├╝r Linux einfach folgenden Link benutzen und entweder das RPM f├╝r CentOS / RedHat, das Tar.gz f├╝r alle Linux oder gar f├╝r unsere SunOS Leute das SunOS Release laden. Also HopHop, Java runterhauen oder das Update installieren! Wenn ihr mir fragt, privat gibt es kaum noch Nutzen f├╝r Java… also werdet es los, genauso wie Flash ­čśë

Xirra.net – Es ist einige Zeit vergangen…

Ich habe schon einmal ├╝ber die Xirra GmbH, mit Sitz in N├╝rnberg berichtet. Damals waren meine Erfahrungen mit dieser Firma nicht gerade von positiven Ereignissen gepr├Ągt. Ich hatte, nachdem das damals alles schief gegangen ist, einen anderen Provider in DECIX n├Ąhe f├╝r div. Dinge ausgew├Ąhlt. Anfangs wirklich unglaublich stabil und ohne nennenswerte Probleme. Doch dann wurden die Probleme immer mehr, Stromausf├Ąlle, Netzwerkausf├Ąlle etc. Ich entschied mich dann nach rund 6 Monaten die Zusammenarbeit mit dem DECIX nahen Unternehmen zu beenden.

Da mich die Xirra GmbH in Bezug auf Geschwindigkeit und Latency ├╝berzeugt hat, gab ich der GmbH eine neue Chance. Zuerst der kleinste vServer mit 512MB RAM und 1TB Traffic. Lief und l├Ąuft wie eine 1 bisher. Schnell, in Bezug auf I/O, Netzwerk und Feeling. 512MB RAM waren mir dann jedoch zu wenig. Auf die Frage, ob der vServer (KVM) in den n├Ąchst h├Âheren Tarif angehoben werden kann, bekam ich als Antwort dass es leider nicht m├Âglich ist (Dachte ich mir, ist ja auch (Gott sei Dank) kein OpenVZ). Mir wurde jedoch der n├Ąchst gr├Â├čere vServer vorab zur Verf├╝gung gestellt, so kann eine softe Migration erfolgen. Wie ich damals schon in meinem Blogpost zur Xirra GmbH schrieb, Service und die N├Ąhe zum Kunden wird dort wirklich gro├č geschrieben! Die technischen Dinge sind bisher alle einwandfrei. Ich denke mit dem vServer ein neues Zuhause f├╝r div. Dinge gefunden zu haben.

Meine Erfahrungen mit dem Dedicated Server, dem fiesen Montagsserver, waren, soweit ich das heute sagen kann, ziemlich sicher ein sehr tragischer Einzelfall. Wer gute vServer (auch Dedicated Server) und vern├╝nftige Preise in einem hochwertigen und modernen (IPv6) Netzwerk sucht, der wird bei Xirra.net meiner Meinung nach sicher gl├╝cklich. Ja, es gibt noch Hoster und Provider die preiswerte Produkte mit sehr hoher Verf├╝gbarkeit bieten k├Ânnen. Xirra ist hier sicher nicht alleine vertreten, es ist jedoch sehr schwer geworden solche noch zu finden.

XQuartz Mountain Lion “Color Depth” Bug mit RDesktop

Da hat mich seit einigen Tagen ein ziemlich fieser Bug aufgeregt… vieleicht habt ihr es auch schon bemerkt oder fallt irgendwann noch dar├╝ber. Wie ihr sicher wisst, gibt es keinen X11 Server mehr von Apple, man muss unter Mountain Lion auf das freie Gegenst├╝ck XQuartz zur├╝ckgreifen. Gesagt getan, die aktuelle RC (2) runtergeladen, installiert und gleich einen Testlauf gestartet. Ich benutze ├╝ber ein FirmenVPN “rdesktop” unter Linux um von der Ferne einen Windows Terminalserver anzuzeigen. Was passiert? Klar, nicht das gewohnte sondern das Fenster war etwas wirr…
Das Bild ist total verzogen, die Farben etwas auf Drogen und an ein gezieltes klicken ist nicht mal im Ansatz zu denken. Also was tun? Ich hab erst mal die XQuartz Version in Verdacht gehabt und anstelle der Development Version auf die Stable runter installiert. Keine Besserung, selbes Problem. Also eine andere RDesktop Version (Aktuell ist bei uns 1.7.1) getestet. Auch keine Besserung. Dann hab ich noch eine ganz alte, 1.4.x, gefunden und siehe da, Fenster war zwar winzig da keine Parameter mitgegeben aber es ging. Moment mal, keine Parameter mitgegeben? Das Problem war also in den Parametern. Gesucht und gefunden. XQuartz hat scheinbar ein Problem mit der Farbtiefe bei RDesktop. Diese ist bei uns per Default auf “-a 16” also 16 Bit Farbtiefe gestellt. Mag XQuartz bei RDesktop, egal welche Version (!) ├╝berhaupt nicht und verweigert seinen Dienst mit dem hier gezeigten Bild.

NIS (ypserv / libtirpc) Broadcast Problem on CentOS 6

Maybe someone of you have those problems too. The NIS service on CentOS 6 x86_64 is not working properly, means no client (OS X, FreeBSD or Linux) ever receives a ACK packet from the ypserv service on CentOS 6.x servers. After searching on RedHat / CentOS bugtracker i found out that its a problem with the libtirpc library. There was a patch and some RPM packages for Fedora offered but not for CentOS. I build it for CentOS 6.3 x86_64. Actual there is no fix directly from RedHat or CentOS, so you can download that two Packages from here install it with “yum localinstall libtirpc-*” and restart your Machine. The broadcast from ypserv should then working fine again and all Clients should receive ACK packages from it.

Only CentOS 6.3 and x86_64 Packages available, if you need i386 or a older CentOS version, let me know in the comments.

libtirpc-0.2.1-7.SHADE.el6.x86_64.rpm (SHA1 3e451398b2193ad8127463dbaffa57c33f672db5)
libtirpc-devel-0.2.1-7.SHADE.el6.x86_64.rpm (SHA1 26c7b859c9502e4231145aebe09804a330f60b3f)

Stand der Dinge…

Ihr… seid….alle….wahnsinnig!
Als privater Blog mit ein paar Apple Betas gestartet muss ich in den Monitoring Statistics das Grauen entdecken. Ihr habt das erste mal die 1Gbit Grenze geknackt! Lange h├Ąlt das der arme Server nicht mehr durch! Froh bin ich, wenn der Bergl├Âwe endlich rausgelassen wurde! ­čśë

Zur allgemeinen Info, da immer wieder Fragen aufkommen: Ich speichere grunds├Ątzlich keine Logs l├Ąnger als 24 Stunden (Damit im Fehlerfall zumindest nachvollzogen werden kann was passiert ist), das gilt f├╝r Access als auch f├╝r Error Logfiles. Nicht weil ich etwas zu verbergen h├Ątte, sondern weil ich die Privatsph├Ąre meiner Besucher, egal welcher Herkunft und Absicht, nicht ignoriere. Es wird schon genug gesammelt und aufgezeichnet…

ElementaryOS – Interessantes Desktopkonzept

Manche werden sagen, ja das ist doch nichts anderes als ein OS X Port f├╝r Ubuntu. Nun, ich sehe das ├Ąhnlich aber warum denn eigentlich nicht? Ich finde dieses Design gelungen und hoffe dass die Menschen hinter dem Projekt viel Zustimmung bekommen und ihre Vorstellung, von einem besseren Desktop (Man sehe sich nur das, augenscheinlich wirren K├Âpfen entsprungene, Windows 8 Metro Design an) vorangetrieben und supported wird. Hier ein Video des sehr eleganten und Userfreundlichen Elementary OS Desktops:

Link: Elementary OS

OCZ Vertex 3 Firmware Update in MacBookPro8,2 (Update)

Es hat mich Tage gekostet meine Vertex 3 in diesem Macbook Pro von 2011 auf den neusten Firmware Stand zu bringen! Keine gro├če Leistung von OCZ, hier kein vern├╝nftiges Tool f├╝r OS X zur Verf├╝gung zu stellen. Wie auch immer, hier eine kurze Anleitung wie man mit einem Ubuntu 12.04 die Firmware auf den aktuellsten Stand bekommt. Problem ist EFI in Verbindung mit den beiden Grafikkarten des MacBook’s – Mein Macbook wollte nicht ├╝ber den Shelleintrag “fb conflicting fb hw usage radeondrmfb vs efi vga” hinaus booten. Zumindest nicht ├╝ber die Standardeinstellungen eines Live Ubuntu Bootvorgangs hinaus.

Einzelne Schritte, ausgef├╝hrt auf einem Mac:

  1. Unetbootin runterladen
  2. Ubuntu 12.04 runterladen
  3. USB Stick mit min. 1GB Kapazit├Ąt einstecken und mit FAT, MBR und einer Partition formatieren
  4. Mittels unetbootin Ubuntu 12.04 auf den Stick laden
  5. Mit gedr├╝ckter ALT Taste den Stick am Macbook booten
  6. Im Grub Men├╝ auf den Live Boot Eintrag gehen und “E” zum editieren dr├╝cken
  7. Die Eintr├Ąge “quiet” und “splash” l├Âschen daf├╝r “nomodeset” eintragen und mit F10 booten
  8. Nachdem Ubuntu jetzt in die Shell gebootet hat LAN Kabel anschlie├čen (Config am besten mit DHCP im Netz) und folgendes ausf├╝hren:
sudo su -
wget -O - mirror.shade.sh/oczfwupd.tgz 2> /dev/null | tar xvfz -
cd fwupd_v2.12.05/linux64/
./fwupd -log /dev/sda

Das sollte eure Vertex nun erfolgreich auf den aktuellsten Firmwarestand bringen. Ich hab das nur f├╝r MacBookPro8,2 und Ubuntu 12.04 64Bit getestet. Ich denke es sollte aber auch mit den anderen Macbooks klappen. Eine komplette Ubuntu Version ist hier sicher “zu gro├č” und eigentlich nicht n├Âtig, ich hab aber irgendwann die Lust verloren weiter zu suchen, so klappt es erst mal. Vieleicht erstelle ich ein schlankes USB Stick Image das bereits fertig ist, mal sehen ­čśë

Update 03.06.2012: Das Update hat in der Tat einige Änderungen mitgebracht. Seit dem Update keinerlei Beachballs mehr, keine Lags und insgesammt fühlt sich das MBP sehr flink an. Ich empfehle jedem das Update der Firmware durchzuführen!

Kurztipp: Partitionen gr├Â├čer 2TB unter Linux mit Parted

Es gibt Dinge die merke ich mir einfach nicht, egal wie oft ich Sie schon eingetippt habe, dazu geh├Ârt, wie auch SSL, die Partition von Festplatten mit Partitionen gr├Â├čer 2TB. Diese m├╝ssen mittels GPT partitioniert werden.

Disklabel
(GPT ist hier n├Âtig)

(parted) mklabel
Neuer Disk-Label-Typ?
Neuer Disk-Label-Typ? gpt
Warnung: Die bestehende Partitionstabelle und alle Daten auf /dev/sdb werden gel├Âscht. Wollen Sie fortfahren?
Ja/Yes/Nein/No? Yes

Unit / mkpart (Unit Gr├Â├če hier in Prozenzangaben)

(parted) unit %
(parted) mkpart primary 0% 100%

Unit / mkpart (Unit Gr├Â├če hier in TB – Terrabyte)

(parted) unit TB
(parted) mkpart primary 0TB 4TB

Pr├╝fen und verlassen

(parted) print
(parted) quit

Das wars auch schon, jetzt kann die Platte mit mkfs.ext4 oder einem anderen Filesystem formatiert und eingeh├Ąngt werden.

ZeroBin oder Crypted Web Paste (http://sp.shade.sh)

Gerade gabs einen Artikel auf Heise zum Thema “Crypted Pastes”.
Ich zitiere hier mal die Developer Website mit den wichtigsten Punkten:

  • FAST
  • Brain-dead easy to use: Paste text, click ÔÇťSendÔÇŁ, share the URL.
  • Data compressed and encrypted in the browser before sending to server. Uses 256 bits AES.
  • Server has zero knowledge of data being stored. Your data is safe even in case of server breach or seizure.
  • Expiration (never, 10 minutes, 1 hour, 1 day, 1 month, 1 year).
  • Automatic conversion of URLs into clickable links (http, https, ftp and magnet).
  • On-demand short URLs.
  • Single button to clone an existing paste.
  • Size limiting: 2 Mb per paste (of compressed and encrypted data – cleartext data can be larger).

Ich hab die neue, vielversprechende Software mal als Test unter

http://sp.shade.sh
https://sp.shade.sh (CACert SSL)

zur Verf├╝gung gestellt. Ihr k├Ânnte damit Pastes verschl├╝sselt auf meinem Server ablegen, auch ich habe keinen Zugriff auf die Pastes da der Verschl├╝sselungskey nicht mit an den Server ├╝bertragen wird sondern bei euch im Browser generiert, der Content ver- und entschl├╝sselt wird. Super Sache wie ich finde, testet mal flei├čig!

Hinweis: Keine Links zu illegalen Dingen dar├╝ber verbreiten! Gemeint sind Kinderporno(links), Nazischwachsinn oder sonstige Dinge die nicht in den Altag geh├Âren!

PS: Ich speichere keine Logs und somit auch keine Referer die u.U. Links oder die Passphrase enthalten.

IPv6 Stateless Config mit CentOS / RedHat 6.x

Manchmal verstehe ich die unterschiedlichen Methoden der diversen Linux Distrubitionen nicht. Es scheint wirklich so als w├╝rden noch ziemliche Differenzen in der Implementierung von IPv6 in den verschiedenen Linux Versionen herrschen. Einen richtigen Standard gibt es wohl noch nicht…

Warum reicht es z.B. bei RedHat / CentOS nicht, einfach in die sysctl.conf folgendes einzutragen:

net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.all.autoconf = 0

um die automatische IPv6 Config mit einem im Netz befindlichen RADVD Server zu unterbinden? Mir ist es mit diesen Optionen auf einem CentOS 6.2 Server nicht gelungen ihn von automatischen IPv6 Adressen fernzuhalten. Erst die Option

IPV6_AUTOCONF=no

im File /etc/sysconfig/network-scripts/ifcfg-<InterfaceName> hat dann das gew├╝nschte Ergebnis gebracht… kann mich jemand aufkl├Ąren warum das nicht schon mit den sysctl Eintr├Ągen funktioniert?