syslog

Heute: ssh-copy-id

geht mit stat.

root@chris-desktop:~# stat -c "%a %n" /tmp/
1777 /tmp/
root@chris-desktop:~# stat -c "%a" /tmp/
1777


In jedem Howto zur Installation von Linux finden sich Tips zur partitionierung von Festplatten, aber nirgends steht, wie man seinen neuen Computer denn nun nennen soll. Wahrscheinlich weil es mit den Namen erst Probleme gibt, wenn es mehrere werden. Ich habe schon viele schrecklich Namen gesehen, und abgesehen vom Geschmacklichen, gibt es viele Gründe sich den Namen gründlich zu überlegen. Spätestens wenn die Anzahl der zu verwaltenden Computer die Handvoll übersteigt wird es nämlich reichlich unübersichtlich. Als Namen beliebt sind zum Beispiel Figuren aus Filmen oder Comics. Was macht man aber, wenn es mehr Computer werden. Neben Idefix, Obelix und Asterix gibt es dann plötzlich noch Garfield, Spongebob und Barbie ?

Oder die Benamsung nach Planeten: Da muss man dann bis zur nächsten Anschaffung erstmal einen neuen Planeten entdecken, und der heisst dann auch noch “Gliese876d”.
Noch spannender wirds mit dem Alphabet. Da ist dann nach 26 wirklich schluss.
Umlaute in Hostnamen nämlich wirklich nicht drin.
Deshalb hier der Tipp:
Namen geben, die auf die Funktion des Servers hindeuten.
Am besten noch mit Nummer versehen. Beispiele: web1,web2 ..
oder: smtpin,smtpout wenn klar ist, dass das jeweils nur einer bleibt.
Größenwahnsinnige können auch smtpin001,smtpin002,smtpin003 benutzen.
Bei Servern mit mehreren Diensten drauf empfiehlt sich vielleicht der Kundenname.
Oder gleich alles in xen-Instanzen verlegen. Dann hat man das Problem nicht. Alternativ kann man hosts auch mehrere Namen geben. Für jeden Dienst einen eigenen. smtpin und smtpout können ja auf die selbe IP zeigen. Wobei wir beim nächsten Problem sind: Reverse auflösung. Manchmal noch wichtiger. Um rauszufinden, auf welchem Webserver eine Domain liegt, bietet sich die rückwärtsauflösung der IP an. Wenn da dann rückwärts das gleiche rauskommt wie vorwärts, hilft das wenig. web1.ort.schrank.firma.com oder web1.ort.vlan.firma.net wäre wahrscheinlich besser. Und was garnicht geht: Keine reverse Auflösung. Dann bekommt man spä¤testens beim Mail-Versenden Ärger von anderen Postmastern. Es sollte auch aussenstehende aus dem Namen etwas schliessen können. Wenn jemand sagt, es wäre doch klar dass der dicke Server neben dem Rack mit Obelix gemeint ist, vergisst dass eventuell nicht jeder das Rack vor sich hat, oder der Freund von Asterix im englischen vielleicht ganz anders heisst.

Diese Tips treffen naürlich nur auf Leute zu, die mehrere Server zu betreuen haben. Den Namen von meinem Laptop hat sich `pwgen 4` ausgedacht. Aber mit Virtualisierung werden die Server immer mehr und die Namen damit immer wichtiger. Wer trotzdem lustige Namen haben will, um den Spass nicht zu verlieren, oder um besonder geekig zu sein, kann die Server ja gerne zusätzlich mit schönen Namen versehen. Bei mir zu Hause haben die Server neben samba,nagios,xen etc auch noch Gemüsenamen. Lustig, aber nicht hilfreich. Sollte sich der Zweck des Servers einmal ändern, ist es ja auch überhaupt kein Problem den Namen zu ändern. Auf jeden Fall einfacher als jedes mal übelegen zu müssen, was denn jetzt alles auf radieschen läuft oder was ich mit der Mail von root@tomate anfangen soll oder auf welchem Server jetzt eigendlich der Samba läuft.

Bisher war ich ja immer der Meinung, dass das mit dem Crypto schon klappen würde. Solange das öffentlich ist, würden Fehler da schon drin gefunden.

DSA-1571 (gibts das schon auf T-Shirts) hat mir aber klar gemacht, dass ich mich auf crypto nicht verlassen kann. Wenn solch sicherheitsrelevante Projekte wie Openssl als random seed sowas wie uninitialisierten Speicher oder die PID benutzen, frage ich mich wirklich was das soll. Alle Welt redet davon dass /dev/urandom nicht sicher genug ist, und ich hab seit Jahren einen ssh-Key, der so leicht zu erraten ist, wie mein Vorname. Ich glaub es hackt.

Ich muss mir dann jetzt wohl doch mal den Sourcecode von gnupg ansehen. Dumm nur, dass ich wahrscheinlich der letzte bin, der darin Fehler findet.

Die Situation ist wirklich beunruhigend. Alles was irgendwie mit crypto zu tun hatte (ausser gpg) war komplett nicht sicher. Ich hab mal nachgesehen. Der nächste Server hier hat eine uptime von 150 Tagen und ist inzwischen bei PID 32000 angekommen. Alle meine Schlüssel habe ich auf meinem Laptop erstellt. Der hat eine Uptime von max 50 Tagen. Also eine PID wahrscheinlich unterhalb von 10000 ? Noch schlimmer bei ssh-host-keys. Die werden bei der Installation gebaut. Ich muss mal sehen, ob bei unserem Fai die PID dann eventuell immer genau die SELBE ist. Auf jeden Fall unter 2000. Jegliche Kommunikation mit von uns installierten Servern war abhörbar. Ich krieg das kotzen. Ich mach mir mal einen tcpdump von einer ssh-session. Mal sehen, wie einfach die entschlüsselt werden kann.

Lenovo rief grad an (wenigstens etwas):
Die haben einen neuen Lüfter für meinen Computer bestellt. Der ist heute gekommen. Nachdem das
Notebook schon zwei Wochen bei denen lag.
Und der neue Lüfter war … DEFEKT!. Jetzt haben die noch einen bestellt. Der braucht dann wieder zwei Wochen.

IRGENDWER MUSS STERBEN !1! ARRGH!

Wie kommt es, dass der einzige Reparaturdienst für Lenovo in Deutschland jedes Ersatzteil einzeln bestellt ? Haben die kein Lager ? Wo werden denn Ersatzteile noch benötigt ? Haben die wenigstens eine Tasse im schrank ?