LAN vor WLAN im NetworkManager

Mein Arbeitsnotebook ist aus Performancegründen meistens per Kabel am Netzwerk angeschlossen, für die Mobilität im Büro besteht zusätzlich eine WLAN-Verbindung zum selben Netzwerk. Beide Verbindungen werden vom NetworkManager verwaltet, allerdings kann man hier keine Priorisierung einstellen, was zu folgender Routing-Tabelle führt:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 wlan0
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 eth0
10.0.0.0        0.0.0.0         255.255.0.0     U     0      0        0 wlan0
10.0.0.0        0.0.0.0         255.255.0.0     U     0      0        0 eth0

Die Metric steht bei beiden Interfaces auf 0, weshalb nicht eindeutig festgelegt ist, wo der Traffic nun rausgeht. Das System nimmt die erste Route, die in diesem Falle über das WLAN läuft.

Um dieses Problem zu umgehen, habe ich ein NetworkManager-Script gebastelt. Dies muss im Verzeichnis /etc/NetworkManager/dispatcher.d/ liegen und für root ausführbar sein.

#!/bin/sh
 
#wireless-metric.sh - NetworkManager script
#sets a higher metric for wireless connections to prioritize a wired connection
 
#metric that will be used for the wireless connection
METRIC=100
 
#check input parameters
if [ -z "$1" -o -z "$2" ]; then
  echo "This script is meant to be run by the NetworkManager";
  echo "Syntax: $0 <device> <up/down>"
  exit 1
fi
device=$1
updown=$2
 
#exit if the current connection isn't a wireless one
iwconfig $device > /dev/null
if [ $? -eq 161 ]; then
  exit
fi
 
#get default route and local network address
defaultgw=`ip route|grep default.*$device|awk '{print $3}'`
localnet=`ip route|grep $device|grep -v default|head -n1|awk '{print $1}'`
 
#delete the routes for the device and add new ones with the higher metric
if [ "$updown" = "up" ]; then
  route del -net $localnet dev $device
  route add -net $localnet dev $device metric $METRIC
  route del -net 0.0.0.0/0 gw $defaultgw dev $device
  route add -net 0.0.0.0/0 gw $defaultgw dev $device metric $METRIC
fi

Nachdem ich die WLAN-Verbindung getrennt und wieder aufgebaut habe, finde ich nun eine eindeutige Routingtabelle vor:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.0.1        0.0.0.0         UG    100    0        0 wlan0
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 eth0
10.0.0.0        0.0.0.0         255.255.0.0     U     100    0        0 wlan0
10.0.0.0        0.0.0.0         255.255.0.0     U     0      0        0 eth0

Das Script wurde getestet unter Debian 7.1 wheezy AMD64 mit NetworkManager Version 0.9.4.0-10.

Debian-Paketlisten sichern und wiederherstellen

Für den Umzug auf neue Hardware möchte ich meine installierten Pakete auch auf dem neuen System installieren. Dazu sichere ich die Paketlisten mit dpkg. Dabei geht allerdings die Information verloren, ob ein Paket manuell oder aufgrund von Abhängigkeiten automatisch installiert wurde. Mit apt-mark lässt sich diese Information ebenfalls speichern.

Paketliste sichern:

dpkg --get-selections > packages.list
apt-mark showauto > packages_auto.lst
apt-mark showmanual > packages_manual.lst

Paketliste wiederherstellen:

dpkg --set-selections < packages.list
apt-get -u dselect-upgrade
apt-mark auto `cat packages_auto.lst`
apt-mark manual `cat packages_manual.lst`

WordPress 3.0.4 installiert

#Housekeeping: Die aktuelle Version von WordPress lautet 3.0.4 und diese läuft nun auch hier. Es handelt sich dabei um ein empfohlenes Sicherheitsupdate.

Das Update funktionierte – mittlerweile wie gewohnt – problemlos über den FTP-Autoupdater direkt aus dem Dashboard heraus.

WordPress-Deutschland hat auch wieder die komplett eingedeutschte Version bereit gestellt, sodass diese ebenfalls über den Auto-Updater bereit steht. Vielen Dank dafür.
Weiterlesen

Sun JRE unter Ubuntu 10.10

Canonical hat in der aktuellen Ubuntu-Version die Javapakete standardmäßig entfernt. Man wird gebeten, die freie Laufzeitumgebung aus dem OpenJDK-Projekt zu verwenden. Die Pakete der originalen Sun-JRE lassen sich dennoch recht einfach nachinstallieren:

sudo echo "deb http://archive.canonical.com/ubuntu maverick partner" >> /etc/apt/sources.list.d/canonical-partner.list
sudo apt-get update
sudo apt-get install sun-java6-jre sun-java6-plugin

Freunde der GUI (hier Gnome) gehen folgendermaßen vor:

  • Im Gnome-Menü unter System/Systemverwaltung die Synaptic-Paketverwaltung starten.
  • Im Programmenü auf Einstellungen/Paketquellen klicken.
  • Den Tab Andere Software auswählen.
  • Häkchen bei Canonical-Partner setzen.
  • Nach einem Klick auf Schließen in der Menüleiste auf Neu laden klicken.
  • Jetzt lassen sich die Pakete sun-java6-jre und sun-java6-plugin über die Paketverwaltung installieren

Neuigkeiten 2010

Hallo roots,

lang war es ruhig hier, nur gelegentlich zwitscherte ein Vögelchen einen ROOT-Tweet weiter.

Die chronische Vernachlässigung ist schade, aber leider nicht zu vermeiden, denn wie bereits in einem früheren Post erwähnte, habe ich eine zweite Liebe, das Programmieren. In den letzten zwei Jahren habe ich viel Zeit in meine Firma für Softwaredienstleitungen gesteckt und dabei sehr interessante Projekte mitgestalten dürfen.

Damit ihr, liebe Besucher, aber keine (weiteren) Entzugserscheinungen habt, werde ich zusammen mit Chris, der bisher schon einige Gastposts schrieb, diesen Blog wieder etwas zum Leben erwecken. Es gibt noch ein paar Themen, die im Backend halbfertig auf die Vollendung warten und Chris hat sicherlich auch noch einiges beizutragen.

Im Usabilitybereich haben wir das Kommentarsystem von WordPress durch das des Dienstleisters disqus ersetzt. Das hat den Vorteil, dass ihr euch in der Regel mit einer der gegebenen Möglichkeiten anmelden könnt und für uns entfällt die Löschung der endlosen (und sinnlosen) Spam-User-Registrierungen. Weiterhin ist das neue System dynamischer und verbreitet die Kommentare auch außerhalb dieses Blogs weiter.

Da auch viele Besucher mittlerweile mobil unterwegs sind, haben wir das Plugin WPTouch. Es sorgt für eine optimierte Darstellung auf mobilen Geräten wie dem Handy.

Wir hoffen sehr, dass die letzten Verbesserungen Euren Besuch versüßen und die Diskussionen zu Admin-Themen wieder mehr anregen werden.

Xming – X-Server für Windows

Gerade wollte ich nach langer Zeit mal wieder von einem Windows-System aus eine X-Anwendung auf einem entfernten Linux-System starten. Das war damals mit kostenlosen Lösungen sehr kompliziert (cygwin). Inzwischen hat sich aber einiges getan.

Mit Xming lässt sich das ganz einfach realisieren. Einfach installieren und es findet seinen Platz im System-Tray.

Nun kann PuTTY gestartet werden und in den Optionen unter Connection/SSH/X11 das X11-Forwarding aktiviert werden. Wenn man sich jetzt mit einem Rechner verbindet, auf dem ein X-Server läuft, kann man ein X-Programm starten (z.B. xcalc), das sich darauf hin in die Windows-Oberfläche einbindet.

Xming in Action

ARP-Cache unter Linux vergrößern

Die Ursachen von Verbindungsabbrüchen in einem größeren LAN zu finden ist schwierig, in meinem Fall war die ARP-Tabelle des Routers voll. Auf Debian-Systemen ist sie standardmäßig auf 1024 Einträge begrenzt. Ist der Adressraum des Netzwerks größer, könnte jemand allein durch einen Ping-Scan die ARP-Tabelle des Routers füllen. Wenn das passiert, ist im Kernel-Log folgende Meldung zu lesen.

Dec 16 09:08:19 router kernel: [14468939.388404] Neighbour table overflow.
Die Begrenzung lässt sich mit folgenden Befehlen festlegen - ersteres ist das Hardlimit, das andere das Softlimit.

echo 65536 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
echo 32768 > /proc/sys/net/ipv4/neigh/default/gc_thresh2

Um die Optionen dauerhaft zu speichern, sollten sie in die sysctl.conf eingetragen werden.

net.ipv4.neigh.default.gc_thresh2=32768
net.ipv4.neigh.default.gc_thresh3=65536

Vorratsdatenspeicherung vor dem Bundesverfassungsgericht

Gerade erreichte mich folgende Mail zur Verfassungsbeschwerde gegen die Vorratsdatenspeicherung.

Mandantenrundschreiben – zur Verfassungsbeschwerde Vorratsdatenspeicherung

Sehr geehrte Damen und Herren,

Sie haben sich mit 34.450 weiteren Antragstellerinnen und Antragstellern an der Verfassungsbeschwerde gegen das
Gesetz zur Einführung der Vorratsdatenspeicherung beteiligt und mich mit Ihrer Vertretung beauftragt. Damit haben
Sie mitgeholfen, ein eindrucksvolles Signal gegen den bisher größten Angriff auf das Recht jedes Bürgers auf
Privatheit und unbeobachtete Kommunikation zu setzen. Zu den Antragstellern unserer Verfassungsbeschwerde
gehören auch Abgeordnete aller demokratischen Parteien.

Weitere Verfassungsbeschwerden wurden von bekannten FDP-Politikern, vertreten durch Rechtsanwalt Dr. Hirsch,
und zahlreichen Bundestagsabgeordneten der Fraktion „Die Grünen“, vertreten durch Prof. Dr. Schneider,
eingelegt.

Endlich ist es so weit und das Bundesverfassungsgericht verhandelt am 15.12.2009 die Verfassungsbeschwerden
gegen die Vorratsdatenspeicherung.

Was ist bisher geschehen?

Das Bundesverfassungsgericht hat mit mehreren einstweiligen Anordnungen seit dem 11.03.2008 Auskünfte über
die auf Vorrat gespeicherten Telekommunikationsdaten erheblich eingeschränkt, die Vorratsdatenspeicherung selbst
aber vorläufig zugelassen.

Praktisch heißt das, dass zurzeit alle Verbindungsdaten von Telefongesprächen, Telefaxen, E-Mail-Abrufen und
Internetnutzungen gespeichert werden, Auskunft hierzu wird aber nur unter einschränkenden Voraussetzungen
erteilt.

Für alle von Ihnen, die sich über das Verfahren und aktuell über den Verlauf der mündlichen Verhandlung
informieren wollen, werden auf der Webseite des Arbeitskreises Vorratsdatenspeicherung Informationen angeboten:

http://verfassungsbeschwerde.vorratsdatenspeicherung.de

Am 15.12.2009 wird unter dieser Adresse ab 8 Uhr eine Pressekonferenz der Beschwerdeführer zu sehen sein und
wird ab 10 Uhr live aus der Mündlichen Verhandlung des Bundesverfassungsgerichts berichtet werden. Darüber
hinaus wird der Arbeitskreis am 15.12.2009 einen öffentlichen Informationsraum in Karlsruhe bereitstellen. Sitzplätze
im Gerichtssaal sind leider keine mehr vorhanden!

Weitere Informationen zum Verfahren erhalten Sie auch auf meiner Seite: www.starostik.de.

Mit freundlichem Gruß und
bestem Dank für Ihre bisherige Unterstützung
bin ich Ihr

Meinhard Starostik
Rechtsanwalt

Wie man also sieht, geht es voran und der verdachtsunabhängigen Datenspeicherung hoffentlich endlich an den Kragen.

Hallo Technik

Manchmal fängt der Morgen lustig an…

Hallo Technik,

Meine ta!tatur i!t mir ge!tern kaputt gegangen, ich bräuchte dringend eine neue, denn ein paar Buch!taben !ind dabei irgend!ie auf der !trecke geblieben.

Vielen !ank!Mail an den innerbetrieblichen Technik-Support

PS: Nein, es ist kein Encoding-Fehler, die Mail kam wirklich so. ;-)

Kurztipp: selbstsigniertes OpenSSL-Zertifikat mit einem Befehl

Es gibt Befehle, die man nicht oft genug nutzt, um sie aus dem Kopf zu wissen, aber doch in schöner Regelmäßigkeit nutzen muss.

Dazu gehört es für Testzwecke oder interne Systeme auch das Erstellen von selbstsignierten SSL-Zertifikaten. Damit geschützte Systeme sind genau so gesichert wie welche mit gekauften Zertifikaten, nur dass der Browser eine Fehlermeldung anzeigt, weil der Aussteller unbekannt ist. Für interne Zwecke also meistens durchaus ausreichend.

Weiterlesen

“Setup – kein Problem”(?): Microsoft’s Windows 7-Partyvorschlag

Microsoft wird am 22. Oktober 2009 Windows 7 offiziell veröffentlichen. Normalerweise wird dazu irgendwo eine zentrale Veranstaltung geplant, Presseleute eingeladen und dann eben einen Präsentation der neuen Features durchgeführt.

Dieses Mal versucht Microsoft etwas anderes: Ähnlich der schon seit Jahren durchgeführten Download-Parties für neue Linux-Releases soll es überall* auf der Welt private Gastgeber geben, die Ihren Freunden und Bekannten W7 näher bringen. *Die Microsoft-Welt für dieses Angebot umfasst dabei Australien, Italien, Kanada, Japan, Mexiko, Frankreich, Spanien, Deutschland, USA, Hongkong, Großbritannien und Indien.

Als Gastgeber wird man von Microsoft nach Wahl eines Partymottos (4 stehen zur Wahl) mit einem Partypaket ausgestattet.

Sie richten die Party aus. Wir beschenken Ihre Gäste.

Bewerben Sie sich online als Gastgeber für die Launch Party. Veranstalten Sie Ihre Party zwischen dem 22. und 29. Oktober und Sie erhalten vorab ein spezielles Windows® 7-Partypaket von uns. Windows 7 Launch Party Site

Weiterlesen

long lost child came home!

Hier mal wieder der Beweis, dass Programmierer auch Humor haben (können).

Auszug aus dem Apache-Log:

[Wed Sep 2 00:00:03 2009] [notice] Apache configured — resuming normal operations
[Wed Sep 2 00:00:03 2009] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Wed Sep 2 00:00:03 2009] [warn] long lost child came home! (pid 26610)
[Wed Sep 2 00:00:03 2009] [warn] long lost child came home! (pid 26611)
[Wed Sep 2 00:00:03 2009] [warn] long lost child came home! (pid 26612)
[Wed Sep 2 00:00:03 2009] [alert] Child 25654 returned a Fatal error… \nApache is exiting!

Danke an Chris für diese Erheiterung.

Urban Legend beseitigt: Mehrfaches Überschreiben ist sicherer

Dass Festplatten nicht ungesäubert an fremde Personen weitergegeben werden sollten, hat sich ja nun bei fast allen rumgesprochen. Lange hielt und hält sich die Meinung, dass das Überschreiben nur ausreichend ist, wenn man es mehrfach durchführt. Es gibt sogar Standards mit festgelegten Reihenfolgen und Häufigkeiten.

Da der Forensikexperte Craig Wright dies nicht so recht glauben wollte, fertigte er im letzten Jahr dazu eine Studie an. Das Ergebnis: Bereits einfaches (aber komplettes) Überschreiben genügt, um die Wiederherstellung der Daten zu verhindern.
Weiterlesen

WeAreRoot zwitschert nun auch (gelegentlich)

Nachdem meine ersten Versuche mit Twitter mangels Interesse vor gut einem Jahr im Sande verliefen, bin ich nun nochmal auf den Twitter-Zug aufgesprungen, da ich es mittlerweile als zusätzliches Informationsmedium zu schätzen gelernt habe.

Ohne viele Worte können (und werden) über Twittter Informationen weitergegeben. Es ist damit nichts anderes als eine weitere Spielart des user generated contents, allerdings mit dem Charme des “sich-Kurzfassens”, da Twitter nur 140 Zeichen pro Nachricht erlaubt.
Weiterlesen

Kurztipp: Amavisd-new und Bitdefender for Unices

Nach einem Update auf die 64Bit-Version von Bitdefender for Unices funktionierte die Regex nicht mehr, die Amavisd-new ( hier 2.6.1 auf Debian Lenny) verwendet, um aus dem Virenscanner-Output das Scanergebnis zu lesen.

Im Syslog erscheint dazu:

Aug 22 14:11:35 www amavis[26474]: (26474-01) (!!)BitDefender av-scanner FAILED: /usr/bin/bdscan unexpected exit 0, output="BitDefender Antivirus Scanner for Unices v7.90123 Linux-amd64\nCopyright (C) 1996-2009 BitDefender. All rights reserved.\n\nInfected file action: ignore\nSuspected file action: ignore\n/var/lib/amavis/tmp/amavis-20090822T141130-26474/parts/p001  ok\n\n\nResults:\nFolders: 0\nFiles: 1\nPacked: 0\nArchives: 0\nInfected files: 0\nSuspect files: 0\nWarnings: 0\nI/O errors: 0\n" at (eval 86) line 527.

Weiterlesen

OptOutDay.de – Schütze Deine Daten

Die Piratenpartei hat wieder einmal eine schöne Aktion ins Leben gerufen: OptOutDay am 17.09.2009!

Worum geht es?

Meldebehörden haben das Recht, persönliche Daten, wie zum Beispiel Adresse, Geburtstag, Konfession und Familienstand, an Dritte weiterzureichen, solange man sich nicht selbstständig und ausdrücklich in Schriftform dagegen ausspricht.

Wir tragen uns gemeinsam bei unseren regionalen Meldebehörden aus den offenen Listen aus, um ein Zeichen zu setzen.Aktionsseite OptOutDay.de

Wer also auch ein deutliches Zeichen für Datenschutz setzen möchte, kann sich der Aktion anschließen oder vor- oder nachher “still und heimlich” seinen Widerspruch einreichen.

Auf der Webseite der Aktion werden die Städteaktionen aufgelistet und auch erklärt, was an dem jetzigen Verfahren negativ zu sehen ist.

Link: OptOutDay.de
Nachtrag: Tweets zur Aktion

be admin or die tryin'