23 Juli 2018

Den Neckar entlang

Am Wochenende habe ich meine bisher längste Einradtour gemacht - 31km in unter drei Stunden. Nachdem es zwar warm aber nicht zu warm war, hab ich mich auf das Rad geschwungen und los geht's: Monrepos - Planetenweg - Favoritepark. Von dort aus steil runter zum Heilbad in Hoheneck und zum Neckar. Dann immer den Neckar entlang bis zur U-Bahn Haltestelle Aldinger Mühle.

Ab da wird es dann anstrengend: den Berg hoch nach Pettonville, dann weiter nach Grünbühl und am Salonwald entlang bis zur B27 und noch weiter bis zur Bahnlinie. Weiter an der Bahnlinie zum Schillerdurchlaß und dann zum Osterholz - von dort aus wieder heim.

Im Osterholz hat mich dann ein Regenschauer erreicht - war aber eher wenig und angenehm - so darf's gerne mal regnen.

Die ganze Strecke bin ich gerade mal zwei mal abgestiegen, einmal an einer Straße, das andere mal bin ich glatt neben das Pedal getreten und hab mich fast hingepackt. Aber halt nur fast.

Zwischendrin hab' ich mal mit meinem Handy rumgefilmt - das war direkt am Neckar. Die entgegenkommenden Radfahrer hatten offensichtlich Spass.

17 Juli 2018

Haifischbecken

Ich hab' ja schon lange keine Netzwerkkarte direkt ans Internet gesteckt. Mit dem Serverbasteln von letzter Woche hab' ich das seit langer Zeit mal wieder gemacht, ohne einen Router dazwischen zu haben.

Von Terry Goss, CC BY 2.5, Link
Was mich nicht wundert, ist, dass auf allen offenen Ports irgendwelche Anfragen sind. Das bin ich ja gewohnt. Was mich wundert, ist die Zeit, die es dauert, bis die Anfragen einrollen. Das sind gerade mal ein paar Sekunden.

Am zweiten Tag habe ich Portscans von mindestens 5 Rechnern gleichzeitig gezählt, alle mit so etwa einem Port alle 3-4 Sekunden. Ich hab mich gewundert, wieso sich syslog so unendlich aufbläht, bevor ich das Logging in ufw abgeschaltet habe. Interessiert mich ja wirklich nicht, wer hier an geschlossenen Türen rüttelt.

Erstaunlich ist auch, mit welcher Hartnäckigkeit einige Scripte versuchen, das root-Passwort auf ssh  zu erraten - der Default für PermitRootLogin ist ja eigenlich schon lange prohibit-password. Da können die also raten, bis sie schwarz werden. Ein Root Login ist nur mit dem richtigen Key möglich.

Nachdem auf sshd fröhlich auch alle möglichen anderen Logins ausprobiert werden, überlege ich, in naher Zukunft PasswordAuthentication gleich ganz auf no zu stellen.

Auf den anderen offenen Ports sieht es nicht besser aus. Ich kann mir gut vorstellen, was passiert, wenn man eine MongoDB ohne Passwort mal ins Internet hängt. Die bleibt wahrscheinlich nicht länger als eine halbe Stunde unentdeckt.

13 Juli 2018

Serverbasteln

Einige (wenige) Kollegen und ich betreiben zusammen einen Web- und Mailserver - das Ding war immer noch Ubuntu 12.04 - und damit eben auch reichlich angegammelt. Auf der Mail-Seite gab es Exim4 und Cryrus IMAPd - eine sehr vertraute Installation. Ein bisschen unhandlich, wenn man mal einen neuen User anlegen will, aber das ist bei einem Privatserver jetzt ja nicht täglich Brot.

Das neue Eisen sollte mal was anderes sein. Bei der Serverauswahl war ich dann doch eher konservativ - wieder Ubuntu, 18.04 Server. Die machen wieder mal eine ganze Menge ganz anders, das Installationssystem ist komplett überarbeitet - wenn man eigene Routen oder DNS Server einrichten will, dann ist das wo ganz wo anders als sonst: das altbekannte /etc/network/interfaces sagt, dass man das jetzt in /etc/netplan findet, /etc/netplan/50-cloud-init.yaml klärt dann auf, dass man in /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg rumschrauben soll, was aber gar nicht nötig ist. Viel neuer Scheiß, den man jetzt wieder neu raufschaffen sollte.

Mich nervt ja schon der Umstieg von SysV Init auf das neue Zeug, das jetzt Mode ist. Von mir aus.

Was ich mir bisher auch noch nie angeschaut habe, ist ufw (uncomplicatied Firewall). Ich fand das bisher immer deutlich komplizierter als iptables direkt zu verwenden. Aber nach einer Weile einlesen ist es doch durchaus übersichtlicher. Mach ich jetzt in Zukunft.

Exim4/cryus ist jetzt auch nicht der Standard, also hab ich nach https://thomas-leister.de/mailserver-unter-ubuntu-16.04/ die Mail mit postfix, dovecot und amavis zusammengesetzt. Die Konfiguriation holt die User, Domains und Aliases aus einer MySQL Datenbank, die wollte ich sowieso für einen LAMP Stack haben. Seit 16.04 gab es ein paar Änderungen, vor allem was Berechtigungen für die verschiedenen Pipes für Milter betrifft. Ist aber mit ein wenig StackOverflow durchaus zu bewältigen.

LAMP ist nach wie vor trivial einzurichten, was ich mir für den Server neu angesehen habe, war Let's Encrypt und certbot - CACert war ja eigentlich eine super Idee, hat nur nicht funktioniert. Bei Verschüsselung ist gut, was alle unterstützen, und das ist halt Let's Encrypt. Die lächerlich kurzen Gültigkeiten für die Zertifikate werden dadurch ausgeglichen, dass der Update-Prozess absolut automatisch abläuft, wenn das Zertifikat erstellt wurde. Fire and Forget. Funktioniert, bis man keine Kontrolle mehr über die Domain hat.

Wenn man schon dabei ist (und da jetzt PHP wieder ganz neu ist), gibt es noch eine brandneue CMSMS-Version, und dann noch NextCloud, weil ein Kollege meinte, das sei noch viel, viel cooler als OwnCloud. Zumindest läuft der OwnCloud Desktop-Client auch mit NextCloud.

Jetzt soll noch Piwigo drauf, das zickt aber noch mit PHP 7.2 - gerade seh' ich aber, dass heute die Version 2.9.4 rausgekommen ist - vielleicht geht es jetzt.

Naja, man gönnt sich ja sonst nix.

02 Juli 2018

Analogspam

Irgendwie ist in letzter Zeit mein Spamblocker ausgefallen - trotz dem bisher nahezu unüberwindbaren Aufkleber
STOP Keine Werbung! Keine kostenlosen Zeitungen, Handzettel, Wurfsendungen und Wochenblätter!
komme ich jetzt jeden Donnerstag heim zu einem Briefkasten voller Pizzahandzettel und Ludwigsburger Wochenzeitungen. Den Austrägern scheint inzwischen alles scheissegal zu sein.

01 Juli 2018

á propos: offener Brief der Mission Lifeline an Innenminister Seehofer

Zur Beachtung:
Offener Brief von Lifeline an den Innenminister der Bundesrepublik Deutschland, Horst Seehofer, Betreff: Wir retten Leben, wen retten Sie?

Lesen. Ganz. Danke.

Ich mach' mal eine Tüte Popcorn

Unwort des Tages: wirkungsgleich

Wieso lassen wir uns eigentlich von einer ultrarechten Splitterpartei erpressen? Seit der Wahl lähmen die uns mit Nebensachen - irgendwann dieses Jahr könnten wir auch mal wieder eine Regierung brauchen.