Anwendungen
Portal
Forum
Wiki
Ikhaya
Planet
Mehr
Anmelden

11. April 2014

SSH-Absicherung mit fail2ban

Permalink Michael Koflers Blog

Die erste Server-Installation von Ubuntu 14.04 offenbart: Das Paket denyhosts steht nicht mehr zur Verfügung. Warum das so ist und wie fail2ban denyhosts ersetzen kann, zeigt dieser Artikel.

Zu den unerfreulichen Neuerungen in Ubuntu Server 14.04 zählt das Verschwinden des Pakets denyhosts. Dieses kleine und simple Programm hat mich in der Vergangenheit durch viele Server-Installationen begleitet; es war immer das erste Programm, das ich nach der erfolgreichen Aktivieren des SSH-Servers installiert habe.

denyhosts überwacht SSH-Login-Versuche. Nach einer konfigurierbaren Anzahl gescheiterter Versuche wird die betreffende IP-Adresse gesperrt, üblicherweise für einen Tag. denyhosts modifiziert dazu die Datei /etc/hosts.deny. Der Charme von denyhosts bestand für mich immer in seiner Einfachheit.

Wie dem auch sei, in Ubuntu 14.04 heißt es von denyhosts Abschied nehmen. Das Paket wird nicht mehr gewartet und wird deswegen nicht mehr als offizielles Ubuntu-Paket angeboten (Details siehe askubuntu).

fail2ban

Eine kurze Suche nach denyhosts alternatives führt unweigerlich zu fail2ban. Die Idee dieses Pakets ist ähnlich wie die von denyhosts, die Implementierung aber ganz anders. Auch fail2ban überwacht Login-Versuche. Nach 6 gescheiterten Versuchen wird die betreffende IP-Adresse gesperrt — wenn auch nur für 10 Minute. Anstelle von hosts.deny greift fail2ban auf iptables zurück, also die Firewall-Infrastruktur von Linux. fail2ban hat zudem den Vorteil, dass es nicht auf SSH limitiert ist, sondern auch andere Authentifizierungsdienste überwachen kann.

In einer Hinsicht ist fail2ban aber erfreulich ähnlich zu denyhosts: Es funktioniert auf Anhieb ohne weitere Konfigurationsarbeiten. Die Konfiguration können Sie bei Bedarf in der Datei /etc/fail2ban/jail.conf nach Ihren eigenen Wünschen anpassen. Anschließend müssen Sie fail2ban mit service fail2ban reload auffordern, die geänderte Konfiguration einzulesen. Den aktuellen Status von fail2ban können Sie mit dem folgenden Kommando feststellen:

fail2ban-client status ssh
  Status for the jail: ssh
  |- filter
  |  |- File list:  /var/log/auth.log 
  |  |- Currently failed:   1
  |  `- Total failed:       132
  `- action
     |- Currently banned:   0
     |  `- IP list: 
     `- Total banned:       4

Ein Protokoll über alle IP-Adressen, die aktuell oder in der Vergangenheit blockiert wurden, liefert less /var/log/fail2ban.log.

Heartbleed: Apache hält jetzt dicht [Problem gelöst]

Permalink thomas-leister.de

Vor ca. einer Stunde bin ich auf die Idee gekommen, nicht nur Apache, sondern auch meine Mailserver auf die Heartbleed Lücke zu testen. Dazu habe ich dieses Python Script verwendet. Mit dem Aufruf

python heartbleed.py trashserver.net -p 143 --starttls

habe ich meinen IMAP Server überprüft. Das Ergebnis: Entwarnung! Offenbar waren die Mailserver (Auch Postfix) nicht von dem OpenSSL Problem betroffen. Wie ich schon berichtet hatte, hatte ich das OpenSSL Update ja schon lange installiert und trotzdem wurde ich über die hiesigen Tests gewarnt. Mein Fehler war: Ich habe bis dahin nur meinen Apache Webserver getestet. Mit dem Python Script ist es aber auch möglich, Mailserver mit StartTLS zu testen, und auf die Idee bin ich eben erst heute Vormittag gekommen.

Nach meinem Test war nun die Frage: Warum gibt es bei den Mailservern keine Probleme, bei meinem Apache Webserver aber schon? Eigentlich sollten ja beide die libssl.so.1.0.0 nutzen – die Bibliothek, die über das Update aktualisiert worden war.

Ich hatte davon gehört, dass das SPDY-Modul von Google eine eigene SSL Bibliothek nutzt, also unabhängig von der libssl des Systems ist. Dieses Modul hatte ich vor vielen Monaten einmal testweise installiert aber relativ schnell wieder entfernt. Sollte also keinen Ärger machen, oder? Falsch gedacht. Meine Vermutung war nun, dass bei der Deinstallation des Moduls etwas schief gelaufen war, sodass mein Apache nicht die libssl des Systems nutzte, sondern die von Google. Und die hatte noch den Heartbleed Fehler und war ungefixt.

Also habe ich mich kurzerhand dazu entschlossen, meinen Webserver komplett neu zu installieren. Das hat mich zwar einige Minuten Downtime und etwas Nerven gekostet, aber dafür wurde ich mit einem erfolgreichen Ergebnis belohnt: Tatsächlich hat die Apache Neuinstallation etwas genützt und die Heartbleed Lücke ist geschlossen.

Heartbleed success

Offenbar lag es tatsächlich am SPDY-Modul, das noch irgendwo veränderte Einstellungen hinterlassen hatte. Die Kiste läuft nun wieder und ich kann wieder ruhig schlafen ;)

Ein dickes “Danke!” an alle, die mich bei meinem Problem unterstützt haben :)

Jetzt müssen noch verbliebene Risiken beseitigt werden. Passwörter ändern, Keys austauschen… und so. Das kann sich aber noch etwas ziehen…

OpenSSL Heartbleed – auch der Raspberry Pi blutet – FIX inside

Permalink OYOX

Man kommt nicht umhin, vom schwerwiegenden OpenSSL Fehler zu hören. So gut wie alle Medien berichten über die Lücke, darum werde ich hier nur die nötigsten Infos ergänzen: wie kann ich den Raspberry Pi wieder absichern.

Dazu müssen 2-3 Dinge beachtet werden:
1. Die fehlerhafte OpenSSL Version muss ein Update erfahren.
2. Alle vergebenen Zertifikate müssen erneuert werden.
3. (wenn zutreffend) Webseiten-Passworte ändern.

Viele Infos habe ich von diesen Seiten entnommen: https://www.digitalocean.com/ (englisch) und http://www.hackerway.ch/ (englisch)

1. Update
Da für Debian der Fix schon verfügbar ist, reicht folgender Befehl:

sudo apt-get update && sudo apt-get dist-upgrade

Ob das OpenSSL-Update erfolgreich eingespielt wurde, könnt ihr mittels folgendem Befehl testen:

dpkg -l | grep "openssl"

Es sollte folgendes in etwa anzeigen:
ii  openssl                            1.0.1e-2+deb7u6               amd64        Secure Socket Layer (SSL) binary and related cryptographic tools
u6 ist dabei entscheidend.

2. Zertifikate erneuern

Somit wäre schon mal der Angriffspunkt beseitigt. Da die Zertifikate jedoch noch unsicher sind, müssen diese im nächsten Schritt als ungültig gekennzeichnet und neue erzeugt werden.

Da ich auf oYoX 2 Anleitungen zum Thema SSL veröffentlicht habe ( A OpenVPN in Verbindung mit Android und Raspberry Pi und B SSL verschlüsselte Verbindung zum Raspberry Pi (Lighttpd) ), ist es nun notwendig den entsprechenden Zertifikat-Austausch vorzunehmen. Solltet ihr sowohl lighttpd als auch VPN nutzen, dann einfach beide Wege durchführen.

A
Die Zertifikate für VPN können wir nicht einfach ersetzen, sondern müssen diese vorher für ungültig erklären / widerrufen:

cd /etc/openvpn/easy-rsa
sudo su
./revoke-full client1

client1 steht für den Namen, welchen wir vergeben haben.

Folgende Ausgabe sollte zu sehen sein:

Using configuration from /etc/openvpn/easy-rsa/2.0/openssl-1.0.0.cnf
Revoking Certificate 03.
Data Base Updated
Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.0.cnf
client1.crt: C = NL, ST = ZH, L = City, O = Name, OU =, CN = client1, name = client1, emailAddress = openvpn@example.org
error 23 at 0 depth lookup:certificate revoked

Error 23 heißt, die Verifizierung/Überprüfung des zurück gerufenen Zertifikats schlägt fehl (was wir ja erreichen möchten).

Die “index.txt” Datei im Schlüssel-Verzeichnis wird dabei erneuert.
Man sieht ein “R” (für revoked = widerrufen) in der ersten Spalte von links für den Benutzer “client1“, wenn die folgenden Befehle ausgeführt werden:

cat keys/index.txt

Wir erneuern für alle Fälle nochmal komplett das Server-Zertifikat

cd /etc/openvpn/easy-rsa

source vars
./clean-all
./pkitool --initca
ln -s openssl-1.0.0.cnf openssl.cnf

Jetzt zitiere ich Jan:

Wir können nun die Komponenten für die Verschlüsselung des OpenVPN Zugangs generieren. Nach der Eingabe des ersten Kommandos wird man nach dem Land als Abkürzung gefragt (DE = Deutschland; AT = Österreich; CH = Schweiz). Alle weiteren Angaben können einfach bestätigt werden, da sie für OpenVPN nicht relevant sind. Dasselbe gilt bei dem zweiten und dritten Kommando, wobei wir dort am Ende mit Y zwei mal bestätigen müssen.
Quelle: http://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installieren/

./build-ca OpenVPN
./build-key-server server
./build-key client1neu

Der folgende Befehl kann etwas dauern, habt Geduld.

./build-dh
exit

Da unsere “raspberrypi.ovpn” Datei ebenfalls gelöscht wurde, müssen wir diese erneut erstellen:

sudo su
cd /etc/openvpn/easy-rsa/keys
nano raspberrypi.ovpn

hier einfügen:

dev tun
client
proto udp
remote RASPBERRY-PI-IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1neu.crt
key client1neu.key
comp-lzo
verb 3

Beachtet den neuen Zertifikat-Namen und die Zeile “remote RASPBERRY-PI-IP 1194
cert client1neu.crt
key client1neu.key

 

Jetzt erstellen wir uns wieder ein Archiv mit den Client-Zertifikaten, welche wir im Fall dieser Anleitung auf das Android-Gerät spielen (bzw. die alten Zertifikate dort durch diese austauschen):

tar czf openvpn-keys-neu.tgz ca.crt client1neu.crt client1neu.csr client1neu.key raspberrypi.ovpn
mv openvpn-keys-neu.tgz /home/pi
chown pi:pi /home/pi/openvpn-keys-neu.tgz
exit

sudo /etc/init.d/openvpn restart

 

B
Folgender Befehl reicht (sofern ihr die Anleitung genau befolgt habt) – er ersetzt einfach das alte Zertifikat durch ein neues:

cd /etc/lighttpd && sudo openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes

 

 

Jetzt noch den Raspberry Pi neu starten:

sudo reboot -h

Heartbleed: Sicherheitswarnung von Mozilla bzgl. Persona und Firefox Accounts

Permalink Sören Hentzschel

In den letzten Tagen hat vor allem ein Thema die IT-Medien dominiert: Heartbleed. Auch Mozilla hat eine Sicherheitswarnung bezüglich seiner Dienste Persona und Firefox Accounts veröffentlicht. Zwar gebe es keine Anzeichen dafür, dass Nutzerdaten kompromittiert worden sind, Nutzer sind mit einer Änderung ihres Passwortes aber dennoch nicht schlecht beraten.

Bei Heartbleed handelt es sich um eine kritische Sicherheitslücke in OpenSSL und eines der gravierendsten Sicherheitsprobleme in der Geschichte des Internets, von welcher zahlreiche Webseiten im Web betroffen sind oder zumindest waren. Angreifern ist es aufgrund dieser Sicherheitslücke möglich, bis zu 64 KByte des Hauptspeichers auszulesen, worüber Zugriff auf Serverzertifikate und Passwörter erlangt werden kann. Besonders verheerend wird es, wenn es sich bewahrheitet, dass diese offensichtlich bereits seit zwei Jahren existierende Sicherheitslücke seit mindestens November 2013 aktiv ausgenutzt wird. Spätestens aber seit dem Bekanntwerden der Sicherheitslücke am vergangenen Montag muss davon ausgegangen werden.

Auch Mozilla hat eine Sicherheitswarnung bezüglich seiner Dienste Persona und Firefox Accounts veröffentlicht. Die meisten Server dieser beiden Mozilla-Dienste laufen über die Amazon Web Services (AWS) und deren Elastic Load Balancers (ELB) waren bis zur Schließung der Sicherheitslücke am 8. April anfällig gegen Heartbleed.

Mozilla schreibt in seinem Sicherheitsblog, dass es kein Anzeichen dafür gibt, dass einer der von Mozilla genutzten Server oder Nutzerdaten kompromittiert worden seien, aber da die Heartbleed-Attacke kaum Spuren hinterlässt, kann nicht mit Sicherheit gesagt werden, ob Heartbleed-Angriffe gegen Mozillas Infrastruktur getätigt worden sind oder nicht. Mozilla nehme die Sicherheitslücke aber sehr ernst und arbeite daran, dies schnell festzustellen.

Nachdem Amazon seine ELB-Instanzen aktualisiert hat, um die Schwachstelle zu schließen, hat Mozilla neue TLS-Schlüssel für alle Dienste generiert und alle möglicherweise offengelegte Schlüssel und Zertifikate für ungültig erklärt. Neue Sessions mit Persona oder Firefox Accounts sind damit nicht verwundbar gegenüber Heartbleed. Persona-Nutzer wurden im Rahmen der Sicherheitsmaßnahmen durch Mozilla automatisch abgemeldet und müssen sich erneut einloggen.

Als zusätzliche Sicherheitsmaßnahme empfiehlt Mozilla, die Passwörter für Persona und Firefox Accounts zu ändern. Sowohl für Persona als auch für Firefox Accounts führt eine Änderung des Passwortes dazu, dass man sich auf allen Geräten neu anmelden muss. Die Firefox-Synchronisation findet erst wieder nach einer erneuten Anmeldung statt. Nutzern, welche dasselbe Passwort für mehrere Dienste verwenden, wird nahegelegt, das Passwort auf allen diesen Diensten zu ändern.

10. April 2014

mkelfs – Kickstart-Trees für Enterprise Linux komfortabel erstellen

Permalink /var/pub/chris_blog

Download PDF

Die letzten Tage habe ich mich verstärkt mit Kickstart unter Spacewalk und Red Hat Satellite beschäftigt und nach einer Möglichkeit gesucht, komfortabel Kickstart Trees für CentOS zu erstellen.

Ich bin dabei zufällig auf einen Blog-Artikel gestoßen, der hierfür ein brauchbares Skript liefert. Das hat mich dazu inspiriert, hierfür ein komfortableres Python-Skript zu entwickeln.

Nach einigen Stunden ist dabei eine kleine Anwendung entstanden, mit welcher komfortabel Trees für sämtliche Enterprise Linux-ähnliche Distributionen (z.B. CentOS, Fedora, Scientific Linux) erstellt werden können: mkelfs. :)

Das Tool erlaubt die Angabe von speziellen Mirrors, Release-Versionen und Architekturen. Die benötigten Ordner-Strukturen werden automatisch angelegt und die Dateien mittels wget heruntergeladen.

Das Skript kann auf Github heruntergeladen werden.

Beispiele

Anbei einige Beispiele:

$ mkelfs.py --release 6.5 --arch x86_64

Lädt die Kickstart-Dateien für CentOS 6.5 x86_64 vom Standard-Mirror herunter. Die Dateien werden unterhalb /var/satellite/kickstart_tree gespeichert.

$ mkelfs.py --release 4.1 --arch i386 --target /var/museum/ks --mirror http://vault.centos.org

Lädt die Kickstart-Dateien für das angestaubte CentOS-Release 4.1 i386 vom CentOS Vault-Mirror herunter. Die Dateien werden unterhalb /var/museum/ks gespeichert.

$ mkelfs.py -r 6.4 -a x86_64 -m http://www.nic.funet.fi/pub/Linux/INSTALL/scientific -o scientific -fq

Lädt die Dateien für das Scientific Linux-Release 6.4 x86_64 vom Standard-Mirror herunter. Bereits existierende Dateien werden überschrieben und zusätzliche Ausgaben werden unterdrückt.

$ mkelfs.py -f -r 20 -a i386 -m http://mirror.digitalnova.at/fedora/linux -o fedora

Lädt 32-bit Kickstart-Dateien für das Fedora-Release 20 von einem österreichschichen Mirror herunter.

Das war übrigens mein erstes Python-Tool – wenn also jemand Verbesserungsvorschläge hat, bin ich dafür stets empfänglich. :)

Download PDF

Condoleezza Rice bei Dropbox

Permalink onli blogging

Eine Bush-Kriegerin für einen Posten bei Dropbox zu verpflichten ist schon ziemlich absurd. Entweder haben sie bei Dropbox völlig danebengelegen, was für Boykott-Reaktionen das auslösen würde - oder das ist ein kalkulierter Schritt, um sich von der Technikgemeinde zu lösen und sich mit einem bekannten Politikergesicht der Allgemeinheit anzunähern.

Und doch, selbst wenn es kalkuliert wäre - ich kann mir nicht vorstellen, dass das funktioniert. Es ist die eine Sache, einen Kriegsbefürwörter und Folterer in gesellschaftlich herausragende Stellung zu heben. Das geht im allgemeinen politischen Irrsinn unter. Doch jemanden, der dafür sorgte, dass UN-Mitarbeiter abgehört werden, in Verbindung mit den eigenen privaten Daten bringen? Jemanden, der ganz allgemein Teil der Bush-Regierung war, unter der die NSA ihre Abhörmaßnahmen massiv erweiterte?

Nein, ganz sicher ist das keine gute Idee. Die Bush-Regierung wird zurecht international als kriegsverbrecherisches Unrechtsregime angesehen, und kein Teil dieser Regierung sollte irgendwelche Kontrolle über wichtige Internetdienste ausüben können.

Ich habe mir zuerst ein Konto bei SpiderOak (verschlüsselte Dropbox) angelegt (Referral-Link). Macht soweit einen guten Eindruck, und ist vom Modell sowieso eine bessere Alternative. Die anderen Alternativen sind Box (mehr Speicher) und Wuala (verschlüsselt, mehr Speicher, in der Schweiz) (Referral-Link).

Edit: Jetzt habe ich noch copy.com entdeckt, unverschlüsselt, aber 15 (mit Referral-Link 20) GB Speicherplatz. Wirkt neu, aber auch nicht schlechter als die anderen.

Vielleicht hätte Ubuntu One doch im Markt bleiben sollen. Denn so richtig gut ist das alles nicht, da keiner der Clients frei ist, was meine lokale encfs-Verschlüsselung im Grunde aushebelt. Wird wohl Zeit, dass ich meinen nicht bei mir stehenden Heimserver für das Offsite-Backup auspacke. Vielleicht mit SparkleShare? Oder doch OwnCloud? Was für Alternativen unter Linux gibt es sonst noch?

Jasper

Permalink Invictus deus ex machina

Wenn eine Software auf den Namen Jasper hört, dann klingt das irgendwie ein bisschen nach Jarvis aus dem Film Iron Man. Und genau dies bietet die Jasper. Die Steuerung des Rechners mittels der Stimme. Dabei bietet Jasper die Möglichkeit auf Kommandos zu reagieren oder informiert den Nutzer wenn bestimmte Ereignisse eingetreten sind.

Technisch setzt Jasper dabei unter anderem auf die Projekte Pocketsphinx und Phonetisaurus auf. Bevorzugt entwickelt wurde Jasper dabei für Rechner wie den Raspberry Pi, wie man im Video sehen kann. Die Autoren der Software sind die Priceton-Studenten Shubhro Saha und Charlie Marsh. Als Programmiersprache kam Python zum Einsatz. Jasper verfügt eine API mit welcher man eigene Erweiterungen für das System schreiben kann.

Jasper ist freie Software und unter der MIT-Lizenz lizenziert. Die offizielle Webseite ist unter jasperproject.github.io zu finden. Auch der Quelltext ist auf GitHub verfügbar.

9. April 2014

Linux: Automatisches Blacklisting mit IP-Tables

Permalink Pirates Of Art

Heute möchte ich Euch eine Möglichkeit zeigen, wie Ihr mit Hilfe einer externen Blacklist, automatisch IP-Adressen sperren könnt um z.B. DDOS-Attacken zu verringern.
 
Ich verwende hierzu die Blacklist www.infiltrated.net von Jesus Oquendo. Die Blacklist wird von ihm akribisch gepflegt und aktualisiert.
 
Vorab der Hinweis, dass Ihr hiermit potentielle Besucher aussperren könntet. Vor allem wenn Ihr Besucher aus dem ostasiatischen Bereich habt, da diese häufig betroffen sind.


Das benötigte Verzeichnis, lege ich hier als Beispiel unter “/var” an. Wo Ihr es schlussendlich verwendet, spielt keine Rolle.
 
Anlegen des Verzeichnisses, in dem der ganze Vorgang abläuft:
sudo mkdir /var/iptables-blacklist/
 
Skript anlegen:
vim /var/iptables-blacklist/firewall-blacklist
 
iptables
 
Hier das Skript zum kopieren:

#!/bin/bash

###############################################
# RSB Blacklisting mit IP-Tables #
###############################################

rm blacklisted*
wget http://www.infiltrated.net/blacklisted
sed '1,2d' blacklisted > blacklisted2
ufw reload

sleep 5

while read line
do
iptables -A INPUT -s $line -j DROP
done

#wc -l blacklisted

 
 
Erläuterung der einzelnen Befehle:

# Entfernung der alten Listen
rm blacklisted*

# Herunterladen der aktuellen Liste
wget http://www.infiltrated.net/blacklisted

# Entfernen der ersten beiden Zeilen aus der Download-Liste
sed '1,2d' blacklisted > blacklisted2

# Reload von IPTables und somit löschen der alten Regeln
ufw reload

# Kurze Wartezeit, da ich teilweise das Problem hatte, dass der Reload noch nicht abgeschlossen war, bevor das Skript weiter abgearbeitet wurde
sleep 5

# Einlesen der neuen Liste und erstellen der Regeln
while read line
do
iptables -A INPUT -s $line -j DROP
done

# Optionale Anzeige, wieviel IP's sich in der Liste befinden
#wc -l blacklisted

 
 
Skript ausführbar machen:
sudo chmod 755 /var/iptables-blacklist/firewall-blacklist
 
 
CronJob zur automatischen Ausführung einrichten:
 
Wir oft Ihr das Skript ausführt, bleibt jedem selbst überlassen. Ich persönlich finde, einmal am Tag reicht. Weitere Informationen zum einrichten von CronJobs findet Ihr in meinem Artikel Linux Skript via CronJob ausführen
 
vim /etc/crontab

#iptables blacklist
00 4 * * * root /var/www/iptables-blacklist/firewall-blacklist

Cron-Daemon neu laden
sudo /etc/init.d/cron reload
 
 
Fazit:
Ich hatte früher öfter mal Probleme mit DDOS-Attacken aus verschiedenen Netzen. Seit dem ich dies von vorne herein blocke hab ich Ruhe.
 
Nochmal der Hinweis, dass es hier durchaus passieren kann, dass man unbeabsichtigt potentielle Besucher aussperrt.
 
Bitte daran denken, solltet Ihr den Server oder iptables/ufw neu starten, werden die Einträge gelöscht und Ihr müsst das Skript von Hand ausführen oder bis zum nächsten automatischen Durchlauf warten.
 
Alles klar ....
 
Euer RSB
 
 

Kurztipp: Importierte RPM GPG-Keys auflisten

Permalink /var/pub/chris_blog

Download PDF

Manchmal ist es interessant zu wissen, welche RPM GPG-Keys schon importiert wurden. Hier hilft das folgende Kommando:

# rpm -qa --qf '%{VERSION}-%{RELEASE} %{SUMMARY}\n' gpg-pubkey\*
c105b9de-4e0fd3a3 gpg(CentOS-6 Key (CentOS 6 Official Signing Key) <centos-6-key@centos.org>)
0608b895-4bd22942 gpg(EPEL (6) <epel@fedoraproject.org>)
863a853d-4f55f54d gpg(Spacewalk <spacewalk-devel@redhat.com>)
66fd4949-4803fe57 gpg(VMware, Inc. -- Linux Packaging Key -- <linux-packages@vmware.com>)

Das Kommando listet alle Pakete auf, die mit der Zeichenkette gpg-pubkey beginnen – für jedes Paket werden neben der Version und dem Release auch eine Zusammenfassung ausgegeben. In dieser ist häufig ein sachdienlicher Hinweis auf das YUM-Repository enthalten.

Download PDF

Xfce: Mittleklick auf Titelleiste deaktivieren

Permalink debinux

Wieder ein kleiner Patch für die Xfce Desktop-Umgebung (alter Beitrag zum Window-Tiling).
In diesem Artikel möchte ich beschreiben, wie im Quell-Code Xfwms (Der Fenster-Manager Xfces), der Mittelklick auf die Titelleiste zum verstecken von Fenstern deaktiviert wird.
Für viele sicherlich ein nützliches Feature, keine Frage, mich stört es aber sehr. Zum Beispiel dann, wenn ich im Firefox einen Tab per Mittelkick schließen möchte, mich aber verklicke und die Titelleiste erwische.
Die besagte Taste zu deaktivieren, ist für mich keine Option.

Der Artikel bezieht sich auf alle gängigen Debian-Versionen sowie nahe Derivate.

Zuerst erstelle ich ein Verzeichnis für den Quell-Code, wechsle hinein und lade das Quell-Paket herunter:

1
2
mkdir ~/build && cd ~/build
apt-get source -y xfwm4

Jetzt die entsprechende Datei öffnen, die es zu Ändern gilt:

1
nano xfwm4-*/src/events.c

In Nano mit STRG+W nach folgendem String suchen, der sich etwa in Zeile 768 befindet:

1
else if (ev->button == Button2)

Hier ist folgene Bedingung zu finden:

1
2
3
4
5
6
7
8
9
10
11
[...]
    if (ev->button == Button1)
    {
        button1Action (c, ev);
    }
    else if (ev->button == Button2)
    {
        clientLower (c, None);
    }
    else if (ev->button == Button3)
[...]

Folgende Änderung nehme ich vor. Der Aufruf von “clientLower” wird deaktiviert:

1
2
3
4
5
6
7
8
9
10
11
[...]
    if (ev->button == Button1)
    {
        button1Action (c, ev);
    }
    else if (ev->button == Button2)
    {
        /* clientLower (c, None); */
    }
    else if (ev->button == Button3)
[...]

Speichern, den Editor verlassen und zur Installation…

Schnell noch um die Abhängigkeiten kümmern:

1
sudo apt-get build-dep xfwm4

Und mit der Konfiguration starten:

1
2
cd xfwm4-*
./configure --prefix=/usr

Klappte das fehlerfrei, geht es wie gewohnt weiter. Zuerst verschiebe ich noch die alte Binary des xfwm4 (ja, das geht auch im laufenden Betrieb):

1
2
3
sudo mv /usr/bin/xfwm4 /usr/bin/xfwm4_bak
make
sudo make install

Nach einer Ab- und Anmeldung sollte der Patch auch schon wirksam sein.
Das Original kann natürlich auch gewohnt via “apt-get” wiederhergestellt werden:

1
sudo apt-get install --reinstall xfwm4

Die Heartbleed OpenSSL Lücke und dieser Blog [Gelöst!]

Permalink thomas-leister.de

Hi,

natürlich habe auch ich meine Server gestern Mittag auf den neuesten Stand gebracht, um die gefixte OpenSSL Version zu bekommen. Nach dem Update wurden alle Dienste (Webserver, Mailserver, …) neu gestartet. Ein wenig später musste ich allerdings feststellen, dass mir sämtliche Heartbleed Checks zurückgeben, dass mein Server immer noch bluten würde. Sowohl der Test bei filippo.io, als auch der unter possible.lv. Das Heartbleed Check Perl Script gibt mir auch ein “BAD” zurück:

…ssl received type=22 ver=0×302 ht=0×2 size=54
…ssl received type=22 ver=0×302 ht=0xb size=1468
…ssl received type=22 ver=0×302 ht=0xc size=777
…ssl received type=22 ver=0×302 ht=0xe size=0
…send heartbeat#1
…ssl received type=24 ver=302 size=16384
BAD! got 16384 bytes back instead of 3 (vulnerable)

Und jetzt? Nach dem Fehler suchen!

Zuerst habe ich überprüft, ob tatsächlich die aktuellen Versionen von openssl und libssl installiert sind. Wie man das zuverlässig überprüfen kann, steht in diesem ServerFault Beitrag. Wie erwartet hatte ich die aktuelle Software.

Der nächste Schritt war dann ein Neustart des kompletten Servers – aber auch das hat das Problem nicht behoben. Alle Tests haben wieder gewarnt.

Hin und wieder meldet mir der Test auf filippo.io aber auch ein “not affected”:

Heartbleed… beim nächsten Check wird aber wieder gewarnt. Ich weiß nicht wie zuverlässig der Test läuft, aber wenn er immer hin und her springt, spricht das nicht besonders für seine Zuverlässigkeit. Also habe ich mich auf das Perl Script konzentriert. Hier hat sich nie etwas geändert. Immer wurde mir “BAD” zurückgegeben. 16384 Bytes statt 3 erwarteten Bytes seien zurückgegeben worden. Aber wieso 16384 Bytes? Ich dachte, es seien 64 kBytes, die zurückgegeben werden, wenn der Angriff erfolgreich ist? Oder bin ich da falsch informiert und es sind bis zu 64 kBytes, die aus dem RAM ausgelesen werden können? Jedenfalls gibt das Perl Script eine Warnung aus, wenn es mehr als 3 Bytes sind. Und es sind mehr als 3 Bytes.

Ich konnte das Rätsel bisher nicht lösen. Die Software ist zu 100% aktuell, der Server wurde inzwischen 4 Mal neu gestartet. Auch jeder Service einzeln. Neben den bereits erwähnten Checks habe ich auch den Qualys SSL Labs Check verwendet – der warnt auch.

Nun sitze ich da und habe keine Ahnung was ich noch tun kann. Hat jemand von euch einen Tipp? Oder sind da noch mehr Serveradmins, die das Problem kennen?

Der Server läuft übrigens mit Ubuntu 12.04 (Precise) LTS.

Update:

Das Problem ist inzwischen gelöst :) Es lag wahrscheinlich an Resten des SPDY Moduls.

Video als Hintergrundbild mit HTML5 und CSS

Permalink bejonet

Ich bin neulich auf der Suche nach interessanten WordPress-Themes auf mehrere Seiten geraten, wo als Hintergrund der Internetseite ein Video eingespielt wurde.

Da ich mich als Webdesigner mit einem kleinen Nebengewerbe selbstständig gemacht habe, sauge ich solche Sachen natürlich auf wie ein trockener Schwamm und habe mich gleich darauf schlau gemacht, wie man so etwas bewerkstelligen kann. Hier sind meine Ergebnisse.

Video konvertieren

Als erstes muss man das künftige Hintergrundvideo konvertieren, damit es im Internet auch abgespielt werden kann. Da nicht alle Browser das gleiche Format unterstützen, ist es sogar sinnvoll, das Video gleich in mehreren Formaten bereitzuhalten. Schnell und komfortabel geht es mit ffmpeg bzw. avconv.

ffmpeg -i input.mp4 -b 200k -vcodec libx264 -an -g 30 -s 640x360 output.mp4
ffmpeg -i input.mp4 -b 200k -vcodec libvpx -an -f webm -g 30 -s 640x360 output.webm
ffmpeg -i input.mp4 -b 200k -vcodec libtheora -an -g 30 -s 640x360 output.ogv

Die Flagge -an löscht die Audiospur heraus. Dadurch ist später auf der Internetseite kein Ton zu hören.

HTML-Code

Das Video wird anschließend in die HTML-Seite eingesetzt. Dadurch wird der HTML5-Code für Videos verwendet. Das anschließende div wird später erklärt.

Da nicht jeder Browser alle Videoformate unterstützt, sollte man mehrere verschiedene Codecs angeben. Eine Übersicht, welcher Browser-Engine welche Formate unterstützt, gibt es in der englischen Wikipedia.

<video id="video_background" preload="auto" autoplay="true" loop="loop" muted="muted" volume="0"> 
   <source src="ju52.webm" type="video/webm"> 
   <source src="ju52.mp4" type="video/mp4"> 
   <source src="ju52.ogv" type="video/ogg ogv">
Video not supported </video>

<div id="video_pattern"></div>

CSS-Code

Das Video wird an der oberen linken Ecke ausgerichtet (

top: 0px; left: 0px;
 ) und automatisch auf die Fenstergröße skaliert, ohne dass das Seitenverhältnis verändert wird (
min-width: 100%; min-height: 100%; width: auto; height: auto;
 )

Außerdem habe ich eine PNG-Datei als Pattern über das Video gelegt (daher die zusätzliche div mit der ID video_pattern). Diese kann man auch weglassen, wenn man möchte.

#video_background {
	position: absolute;
	top: 0px;
	right: 0px;
	min-width: 100%;
	min-height: 100%;
	width: auto;
	height: auto;
	z-index: -1000;
	overflow: hidden;
}
#video_pattern {
	background-image: url(./pattern.png);
	position: fixed;
	opacity: 0.5;
	left: 0px;
	top: 0px;
	width: 100%;
	height: 100%;
	z-index: -1;
}

 Beispielseite

Für die Beispielseite habe ich das schon aus dem Video-Entwacklungs-Beitrag bekannte Video der Ju 52 verwendet.

zur Beispielseite →

videobackground

Links

Quelle, QuelleVideos verkleinern, Webdesign für kleine Firmen

Mozilla startet Verzeichnis für Firefox SocialAPI-Erweiterungen

Permalink Sören Hentzschel

Mit der SocialAPI bietet Mozilla eine Sammlung praktischer Möglichkeiten für Drittanbieter, Firefox um Features wie beispielsweise Nachrichten-Feeds, Sharing oder Benachrichtigungen zu erweitern. Mozilla hat nun ein Online-Verzeichnis mit einer Übersicht bestehender SocialAPI-Erweiterungen gestartet, über welches diese auch aktiviert werden können.

SocialAPI-Erweiterungen werden anders als klassische Erweiterungen nicht in Form einer XPI-Datei installiert, aus diesem Grund findet man auch keine SocialAPI-Erweiterungen auf Mozillas Add-on-Webseite. Bislang haben Anbieter solcher Erweiterungen die Aktivierung immer über eine eigene Webseite angeboten. Für Nutzer macht es das schwierig, neue SocialAPI-Erweiterungen zu entdecken. Abhilfe kann hier das neue Mozilla-Verzeichnis für SocialAPI-Erweiterungen schaffen.

Aktuell finden sich dort SocialAPI-Erweiterungen von acht Anbietern: Facebook (Facebook hat die SocialAPI-Erweiterung Messenger für Firefox eingestellt, bietet aber weiterhin eine SocialAPI-Erweiterung für das Teilen von Webseiten an), Pocket, Delicious, Saavn, Sphere, Cliqz, Mixi und Weibo. Weitere sind im Kommen.

8. April 2014

Remapping Keys: Einzelne Tasten neu zuordnen

Permalink debinux

Als kleines Cheat-Sheet angedacht, doch etwas länger geworden.
Daher verzichte ich auf eine lange Einleitung und lege sofort los…

Keycodes herausfinden – starten und beliebige Taste drücken.
Es öffnet sich ein kleines Fenster, das im Anschluss wieder geschlossen werden kann:

1
xev | grep keycode

“showkey” zeigt häufig falsche Werte an, daher entschied ich mich für “xev”.

Momentane Konfiguration der Keycodes mit symbolischer Bezeichnung:

1
xmodmap -pke

Gültige symbolische Bezeichnungen für XModmap:
http://wiki.linuxquestions.org/wiki/List_of_Keysyms_Recognised_by_Xmodmap

Beispiel – Numpad “Minus”-Zeichen zu “Entf” abändern

Ich starte “xev | grep keycode” und finde den Keycode zur Taste “Minus” auf dem Numpad heraus:

state 0×10, keycode 82 (keysym 0xffad, KP_Subtract), same_screen YES

Die Taste “Minus” entspricht also Keycode 82.

Entweder schaue ich nun direkt im Wiki nach der symbolischen Bezeichnung für “Entf” oder lese es selber aus.
Dazu starte ich erst einmal wieder “xev | grep keycode” und drücke die Taste “Entf”:

state 0×10, keycode 119 (keysym 0xffff, Delete), same_screen YES,

Die Taste “Entf” entspricht also Keycode 119.
Nun kann ich “xmodmap -pke” starten und nach Keycode 119 suchen:

keycode 119 = Delete NoSymbol Delete

Anschließend obigen Wert dem Keycode 82 zuweisen:

1
xmodmap -e 'keycode 82 = Delete NoSymbol Delete'

Änderungen dauerhaft speichern

Anstatt die komplette Ausgabe zu speichern, empfiehlt es sich, nur Änderungen abzulegen.
Dazu werden die Keycodes in die Datei “~/.Xmodmap” geschrieben und beim Login ausgelesen:

1
nano ~/.Xmodmap

Der Inhalt entspricht dem Wert des Parameters “-e”, für das obige Beispiel also etwa:

1
keycode 82 = Delete NoSymbol Delete

Änderungen rückgängig machen

Hierzu folgenden Befehl ausführen:

1
setxkbmap

7. April 2014

Top 5 freier Lernsoftware

Permalink thomas-leister.de

- Ein Gastbeitrag von Dennis -

Gerade an der Hochschule wird es schwieriger einen Überblick über seine Aufzeichnungen und Lernmaterialien zu behalten. Vor allem wenn die Universitäten technologisch immer noch in der Hand der großen Konzerne, wie Apple und Microsoft sind und den Studierenden die Handhabe der kostenpflichtigen Software auch noch verordnet wird.

Auch wenn oben eine “Top X”-Liste angekündigt wurde, werden es hier lediglich die Programme sein, die ich ausprobiert und für gut befunden habe. Jeder darf sich also gerne sein eigenes Bild machen und es unten in den Kommentaren mit in die Diskussion einbringen.

Parley (Vokabelprogramm)

Ein übliches Vokabelprogramm das sich jedoch ordentlich einstellen lässt: Soll Groß-/Kleinschreibung beachtet werden? Soll trotz kleinem Rechtschreibfehler, die Vokabel als richtig beantwortet gelten? Kein Problem. Zudem lassen sich auch dadurch  wunderbar Fremdwörter lernen, wie sie manchmal in der Biologie benutzt werden.

Freemind (Mind-Maps)

Ist ein Mindmapping-Tool das vor allem für eher künstlerische und grafisch angesprochene Personen zufrieden stellt. Ihr könnt die ganze Mindmap dazu noch plattformunabhängig als HTML exportieren oder auf eure Website stellen. Die Maps werden grundsätzlich in XML gespeichert, damit theoretisch auch andere Programme mit den Maps etwas anfangen können. Vor allem für die schnelle Strukturierung eurer Hausarbeiten ist Freemind geeignet.

Zim (Offline-Wiki)

Gerade für das Studierendenleben ist eine ordentliche Organisation von bereits Gelerntem unabdingbar. Allein wenn man Lektüren zusammenfasst, muss man Struktur hinein bringen. Jeder kennt das MediaWiki, was die Software für Wikipedia und andere Wikis bildet. So etwas jedoch lokal, offline und plattformübergreifend aufzusetzen ist schwierig. Genau das macht Zim. Die Seiten und Unterseiten werden in .txt-Dateien und zudem in einer Ordnerstruktur angelegt. Somit ist ein einfaches Zippen oder auch Hochladen in die OwnCloud möglich. Durch das .txt-Format ist auch die editierbarkeit ohne Zim gewährleistet. Zu lokalen Dateien kann man zudem auch verlinken. Zim ist dazu nicht nötig (nur komfortabler) um die .txt-Dateien zu bearbeiten.

FlashCard (Lernkasten)

Ein wirklich sehr kleines niedliches Tool um das Lernen von Theorien oder sonstigem Wissen, was mehr als eine Zeile (siehe Parley) benötigt, zu vereinfachen. Derzeit kenne ich nur das AUR (Arch User Repository) als Quelle.

RedNoteBook (Tagebuch)

Nun ein Tagebuch zu führen kann auch helfen. Dort könnt ihr verzeichnen, wie weit ihr mit bestimmten Themen seid und euch selber immer wieder anfeuern. So bleiben Erfolge besser im Gedächtnis und ihr entgeht so ein Stück der Prokrastination (Aufschieben von Verpflichtungen/Tätigkeiten). Dazu kommt, dass ihr mit dem Schreiben an sich eure “Schreibe” (also eure Fähigkeit Text zu verfassen) übt. Das kann bei Aufsätzen oder ähnlichem nicht schlecht sein.

6. April 2014

SSD-Trim in Ubuntu 14.04

Permalink Michael Koflers Blog

Eine Neuerung in Ubuntu 14.04 besteht darin, dass für manche SSDs einmal wöchentlich die TRIM-Funktion ausgeführt wird. Hier wird erklärt, wie diese Funktion unter Ubuntu realisiert wurde.

Solid State Disks bewahren ihre hohe Geschwindigkeit nur dann, wenn frei gegebenen Datenblöcke regelmäßig konsolidiert werden. Dieser Vorgang wird TRIM bezeichnet. Die Details sind in der Wikipedia nachzulesen.

Unter Linux gibt es zwei Möglichkeiten, die SSD-TRIM-Funktion zu aktivieren. Eine Variante besteht darin, in /etc/fstab bzw. bei mount für alle ext-Dateisysteme die zusätzliche Option discard anzugeben. Damit werden frei werdende Datenblöcke sofort an die SSD gemeldet. Das verlangsamt aber die Geschwindigkeit der SSD gerade dann, wenn dies nicht gewünscht wird, nämlich beim Auftreten hoher I/O-Aktivität.

Alternativ kann man auch in regelmäßigen Abständen, z.B. einmal wöchentlich, das Kommando fstrim ausführen. Damit wird gewissermaßen ein globales Aufräumen initiiert; während der Zeit -- oft sind es nur wenige Sekunden -- läuft die SSD allerdings spürbar langsamer. Wenn das Aufräumen aber z.B. in der Nacht stattfindet, stört dies kaum.

Implementierung unter Ubuntu

Die Ubuntu-Entwickler haben sich für die zweite Variante entschieden. Das Verzeichnis /etc/cron.weekly enthält dazu die neue Datei fstrim, die wiederum das Script fstrim-all ausführt.

Das Script /sbin/fstrim-all durchläuft alle momentan aktiven Dateisysteme, stellt fest, ob sich diese auf einer SSD befinden, und führt für diese dann fstrim aus. Standardmäßig werden dabei nur SSDs der Hersteller Intel und Samsung berücksichtigt. Die man-Seite begründet diese Einschränkung damit, dass es bei SSDs anderen Hersteller offenbar zu Datenverlusten kommen kann, wenn unglücklicherweise gerade während des SSD-TRIMs viele I/O-Operationen stattfinden (Launchpad-Bug-Report).

Wenn Sie sich sicher sind, dass Sie von diesem Problem nicht betroffen sind, können Sie in /etc/cron.weekly/fstrim die Option --no-model-check einbauen. In diesem Fall wird das SSD-TRIM für alle SSDs durchgeführt, also unabhängig vom Hersteller.

Auf meiner Testmaschine mit einer Samsung SSD funktioniert der SSD-TRIM bisher ohne Probleme. Geschwindigkeitsveränderungen habe ich keine festgestellt -- aber das war auch nicht zu erwarten. Die Folgen eines fehlenden SSD-TRIM werden in der Regel erst nach Monaten spürbar, und sie sind bei modernen SSDs ohnedies oft vernachlässigbar. Dennoch ist es erfreulich, dass sich Ubuntu nun automatisch um das SSD-TRIM kümmert.

Das falsche Spiel von OkCupid um Medien-Aufmerksamkeit

Permalink Sören Hentzschel

Am 24. März hatte Mozilla JavaScript-Erfinder und Mozilla-Gründer Brendan Eich zum neuen CEO der Corporation ernannt. Aufgrund des öffentlichen Drucks war Eich bereits wenige Tage später wieder zurückgetreten. Einen nicht unwesentlichen Anteil an den Ereignissen hatte OkCupid – welche Eichs Spende von vor vielen Jahren benutzt haben, um selbst Aufmerksamkeit in den Medien zu erhalten.

Im Jahr 2008 hatte Brendan 1.000 Dollar zur Unterstützung von Proposition 8 (Prop 8) gespendet, einem Antrag auf Änderung der kalifornischen Verfassung um Ehen unter Gleichgeschlechtlichen zu verbieten. Damit hat Eich eine Einstellung vertreten, wie sie 52 Prozent seiner wahlberechtigten kalifornischen Mitbürger zu diesem Zeitpunkt (bei knapp 80 Prozent Wahlbeteiligung) vertreten haben. Diese Spende von vor sechs Jahren hat schließlich zu einer so heftigen öffentlichen Debatte geführt, dass sich Eich wenige Tage später gezwungen sah zurückzutreten, um weiteren Schaden von Mozilla abzuwenden.

Den Medien war es durch ihre sehr einseitige Berichterstattung gelungen so viele Missverständnisse zu schaffen und damit immer weiteres Öl ins Feuer zu gießen, dass ein riesiger Druck auf Brendan Eich und damit auch auf Mozilla aufgebaut worden war. So war vom Rücktritt dreier Verwaltungsratsmitglieder die Rede, wobei der Eindruck vermittelt worden war, als hätte dies in Zusammenhang mit Eichs damaliger Spende gestanden. Dabei standen der Abschied von Gary Kovacs und Ellen Siminoff bereits längst mit dem Zeitpunkt der Findung eines neuen CEO fest, John Lilly hatte den Verwaltungsrat zwar aufgrund von Zweifeln an Eichs Führungsqualitäten verlassen, nicht aber aufgrund besagter Spende und bereits bevor dies ein erneutes Thema in den Medien war – erneut, weil das Thema eigentlich schon im Jahr 2011 Thema in den Medien war. Auch hatten sich die Medien auf Tweets von Mozilla-Mitarbeitern gestürzt, welche um den Rücktritt Eichs gebeten hatten – weniger als zehn Mitarbeiter von insgesamt knapp 1.000 Mitarbeitern, welche Eich zudem nicht einmal persönlich kannten und für die Mozilla Foundation arbeiten, während Eich CEO der Mozilla Corporation sein sollte.

Viel Öl ins Feuer gegossen und damit Anteil an der ganzen Sache hatte dabei OkCupid. Mit den Worten Mozilla’s new CEO, Brendan Eich, is an opponent of equal rights for gay couples. We would therefore prefer that our users not use Mozilla software to access OkCupid hatte man Firefox-Nutzer nur aufgrund der Tatsache ausgeschlossen, dass Eich vor sechs Jahren diese Spende getätigt hatte und zum neuen CEO von Mozilla ernannt worden war. Eine Maßnahme, welche OkCupid sehr viel Medien-Aufmerksamkeit gebracht hat. Grundsätzlich stehen natürlich jeder Webseite aus beliebigen Gründen beliebige Maßnahmen zu, nur lohnt es sich in diesem Fall einen genaueren Blick darauf zu werfen.

Nochmal zusammengefasst: OkCupid boykottiert Firefox-Nutzer und schadet dem Ruf von Mozilla, weil der neu ernannte Mozilla-Chef die homosexuelle Ehe ablehnt. OkCupid, gegründet von Sam Yagan. Eben jenem Sam Yagan, der 2004 mit 500 Dollar einen ebenfalls nicht ganz kleinen Betrag zur Unterstützung von Chris Cannon gespendet hatte. Chris Cannon, welcher von der Human Rights Campaign eine 0%-Bewertung bezüglich der Unterstützung für Rechte der Homosexuellen erhalten hatte. Chris Cannon, welcher mit Nein zum Schutz vor Job-Diskriminierung aufgrund der sexuellen Orientierung abgestimmt hatte. Chris Cannon, welcher für den Verbot der Adoption für Homosexuelle abgestimmt hatte. Chris Cannon, welcher ganz genauso ausschließlich die Ehe zwischen Mann und Frau unterstützt.  Chris Cannon, der – auch wenn es jetzt ein anderes Thema ist – für alle denkbaren Einschränkungen bezüglich Abtreibung gestimmt hat.

Fassen wir also zusammen: Unterstützt der Gründer von OkCupid so jemanden finanziell, dann ist das also in Ordnung und kein Grund OkCupid zu boykottieren. Unterstützt hingegen der Gründer von Mozilla Proposition 8, wo es “nur” um die homosexuelle Ehe geht, dann ist das nach Ansicht von OkCpuid ein Grund um Mozilla zu boykottieren. An dieser Stelle braucht man nur noch 1 und 1 zusammenzuzählen um zu erkennen, was wirklich hinter dem Boykott von OkCupid steckte: eine intrigante Kampagne um Aufmerksamkeit in den Medien zu erhalten. OkCupid hatte in den letzten Tagen mit Sicherheit einen sehr starken Anstieg der Besucherzahlen. Davon ist auszugehen.

Typographie lernen mit Type:Rider

Permalink deesaster.org

Im aktuellen Humble Bundle befindet sich ein Spiel namens Type:Rider. Da es sich nicht um ein simples Geschicklichkeitsspiel handelt, will ich etwas mehr dazu schreiben.

In Type:Rider versucht man mit zwei rollenden Kreise (als Anlehnung an einen umgekippten Doppelpunkt) sich seinen Weg durch die einzelnen Levels zu bahnen. Effektiv kann man nur mit den Pfeiltasten rollen und mit der Leertaste hüpfen. Dies ist also alles andere als besonders. Besonders ist aber der Levelaufbau.

Type:Rider-Titel Hintergrundinformationen

Jedes Level besteht aus vier Abschnitten und beschäftigt sich mit einer bestimmten Epoche der Typographie. Von den ersten Höhlenmalereien über die Hieroglyphen zum Buchdruck, der Typenradschreibmaschine und dem Internet. Jedes Level ist dabei nach einer bekannten Schriftart benannt. Es fängt mit Gothic und Garamond an, später trifft man natürlich auch Times und Helvetica und alles findet in Pixel seinen Abschluss.

Gutenberg Baskerville

Die Level sind dabei nicht mit Wiesen und Wäldern angehäuft, wie man das von anderen Geschichlichkeitsspielen gewohnt ist, sondern werden entweder komplett nur aus Buchstaben der jeweiligen Schriftart oder aus bekannten Objekten der jeweiligen Epoche dargestellt. So muss man beispielsweise über die Leitung eines Morseapparates springen oder mit der Type einer Schreibmaschine eine Kugel werfen. Die Macher haben sich dabei ein sehr schönes und abwechslungsreiches Leveldesign ausgedacht. Ebenso unterlegt die Musik das Spielgeschehen sehr gut.

Offset-Druck Metropolis

In jedem Level muss man die einzelnen Buchstaben von A-Z aufsammeln. Zusätzlich gibt es versteckt noch ein Kaufmanns-Und & zu finden. Daneben kann man mehrere Sterne einsammeln, die jeweils einzelne Informationen zu der Epoche beschreiben. So lernt man etwas über die verschiedenen Druckverfahren oder auch die wichtigen Leute hinter den Schriften oder Erfindungen.

Wer sich für Typographie interessiert und am besten noch gerne spielt, ist mit Type:Rider gut beraten. Alternativ kann man auch sein Kind spielen lassen und führt sich nur die Hintergrundinformationen später alleine zu Gemüte. Finanziert wurde das Spiel im Übrigen vom europäischen Kultursender arte.

Schnee Space Invaders

Das Spiel gibt es im Humble Bundle für Windows, MacOS X, Linux und Android. Bei mit unter Linux ist es leider nur auf Englisch verfügbar, angeblich gibt es das Spiel aber auch in Deutsch, was vor allem für die zahlreichen Hintergrundinformationen hilfreich wäre.

Wochenrückblick 14/2014

Permalink deesaster.org

Der Wochenrückblick lässt das Geschehen der vergangenen Woche rund um Ubuntu, Linux und Open Source Revue passieren.

Rund um Ubuntu

Dash-Online-Suche per Standard ausgeschaltet

Im September 2012 führte Canonical die Amazon-Shopping-Linse in die Unity-Suche ein, die alle Suchanfragen auch über den Canonical-Server an Amazon weiterleitet. Die Kritik war damals sehr groß und es hat zwei Jahre gedauert, bis die standardmäßige Aktivierung wieder deaktiviert werden soll.

Mehr Informationen gibt es im Ikhaya-Artikel.

Weitere Quellen: OMG! Ubuntu!, Golem

Ubuntu One beendet seinen Dienst

Canonicals Onlinespeicherdienst Ubuntu One und den Musikdienst Ubuntu One Music Store stellen ab sofort bzw. ab Juni 2014 ihren Dienst ein. Bereits seit Anfang April kann man keine Musik mehr kaufen oder Speicherplatz mieten. Die aktuellen Nutzer werden an vergleichbare Angebote wie Dropbox oder Google Drive verwiesen.

Mehr Informationen gibt es im Ikhaya-Artikel.

Weitere Quellen: OMG! Ubuntu!, Pro-Linux, heise open, Golem, Linux-Magazin

Offizielles Xubuntu-Wallpaper vorgestellt

Das neue Xubuntu-Wallpaper für Trusty Tahr wurde hochgeladen und präsentiert endlich wieder die bekannte Xfce-Maus. Der Stil orientiert sich dabei an dem neuen Origami-Design des Ubuntu-Wallpers, was vor kurzem vorgestellt wurde.

Quelle: OMG! Ubuntu!

Ubuntu Online Summit im Juni

Jono Bacon hat in seinem Blog den Termin für den ersten Ubuntu Online Summit vorgestellt. Vom 10. bis 12. Juni 2014 findet die Veranstaltung wieder online via Google Hangout statt, soll aber nicht so stark auf Entwicklerthemen zielen wie der Ubuntu Developer Summit.

Neues rund um Linux

GEMA-Alternative C3S startet durch

Die Cultural Commons Collecting Society, kurz C3S, ist nun eine eingetragene europäische Genossenschaft. Wenn die Anmeldung beim Deutsches Patent- und Markenamt noch klappt, kann die Musikverwertungsgesellschaft ihren Betrieb aufnehmen. Die C3S bildet dabei eine Alternative zur GEMA, sodass Künstler auch einzelne Werke, die unter freien Lizenzen (wie Creative Commons) liegen, verwerten können.

Quellen: Pro-Linux, heise open, Linux -Magazin

Spielen unter Linux

Humble Bundle: PC and Android 9

Ein neues Humble Bundle bietet sechs Spiele für Linux, MacOS X, Windows und Android, darunter das Point&Click-Adventure „Broken Sword 2“, das Rollenspiel „Ravensword: Shadowlands“, die Physiksimulation „Bridge Constructor“, das Puzzlespiel “Type:Rider“, das Tower-Defense-Spiel „Kingdom Rush“ und das RPG „Knight of Pen and Paper“. Das Spielepack gibt es wieder DRM-frei und zum Selbstbestimmungspreis.

Mehr Informationen gibt es im Blog-Artikel.

Weitere Quellen: Pro-Linux

System Shock 2 für Linux

15 Jahren nach der Erstveröffentlichung unter Windows steht das sci-Fi-Actionrollenspiel „System Shock 2“ nun für Linux über Steam zum Download bereit. Es handelt sich dabei aber um keine native Portierung, sondern es wird Wine als Wrapper eingesetzt.

Quelle: Pro-Linux

Neue Unreal-Engine für Linux

Spieleschmiede Epic hat angekündigt, dass die neue Version ihrer Unreal Engine 4 auch unter SteamOS und anderen Linux-Distributionen laufen wird. Nach der CryEngine bietet somit ein zweites großes Entwicklerstudio ihre Spiele-Engine für Linux an.

Quellen: heise open, Golem

Hardware und Mobiles

Minnow Board Max von Intel

Eine weitere Open-Source-Platine will den Markt erobern. Intel stellte das Minnowboard Max vor, einem Mini-Computer mit 1GHz-Atom-Prozessor und integrierter Intel-HD-Grafik. Die Platine soll dabei nur 99 Euro kosten und unterstützt derzeit die Systeme Debian, Yocto und Android 4.4.

Quellen: Golem, heise open, Pro-Linux

Offener Grafiktreiber für den Raspberry Pi

Für den Minirechner Raspberry Pi, in dessen Inneren eine Videocore-IV-GPU von Broadcom werkelt, verfügt nun über einen freien Grafiktreiber, der von Simon Hall entwickelt wurde. Der Treiber muss aktuell noch manuell in den Linux-Kernel einkompiliert werden, demnächst sollen aber die gängigen Distributionen wie Raspbian diesen direkt integrieren.

Quelle: Golem, heise open

Sailfish OS für Nexus 4

Jolla hat ihr mobiles Betriebssystem Sailfish OS auf das Nexus 4 portiert und bietet Images zum Download an. Zusätzlich arbeitet man auch an einer Portierung für das Nexus 7 und das Samsung Galaxy S3. Derzeit bietet die Portierung aber noch nicht alle Funktionen der Geräte ab, so scheint selbst ein Telefonieren nicht möglich zu sein und auch Kamera, GPS und Bluetooth funktionieren nicht.

Quelle: heise open

freiesMagazin 04/2014 erschienen

Permalink deesaster.org

freiesMagazin 04/2014 Titelseite

Heute ist die Aprilausgabe von freiesMagazin erschienen und bringt viele spannende Artikel aus den Bereichen Linux und Open Source mit.

Inhalt der Ausgabe 04/2014

  • Der März im Kernelrückblick
  • Hidden in Plain Sight: Netzlaufwerke ausspähsicher nutzen
  • Kurztipp: Heimcontainer oder Datentresor ohne TrueCrypt
  • Ein Blick auf Octave 3.8
  • Neues von Redis
  • Äquivalente Windows-Programme unter Linux – Teil 5: Internet-Programme (1)
  • Ein Einstieg in LIRC mit inputlirc
  • Im Test: PocketBook Touch 622
  • PyLadies Vienna – Interview mit Floor Drees
  • Rezension: Linux-Kommandoreferenz
  • Rezension: Kanban in der IT
  • Rezension: Raspberry Pi programmieren mit Python
  • Leserbriefe und Veranstaltungen

Downloads

Unter der Adresse http://freiesmagazin.de/mobil/ findet man immer die aktuelle und alle bisher erschienenen HTML- und EPUB-Ausgaben. Auf der Magazin-Seite können die letzten drei Ausgaben von freiesMagazin abgerufen werden, ältere Ausgaben findet man im Archiv.

Kontakt

Wer jeden Monat an die neue Ausgabe erinnert werden will, kann auch den RSS-Feed abonnieren. Leserbriefe mit Lob, Kritik, Anregungen oder Fragen und neue Artikelvorschläge können an die Redaktion geschickt werden.

elementary OS: Erste Einblicke der neuen Version Isis im Video

Permalink Softwareperlen

Die Entwickler von elementary OS haben in der Vergangenheit viel Lob für ihre Distribution bekommen, da sie in den Augen vieler einer der am schicksten aussehenden Distributionen sind. Zwar kann man viele Anleihen von Mac OS X nicht verneinen und in Augen mancher durchaus ein Kritikpunkt, da weniger eigene Ideen dabei sind, dennoch sieht es für mich sehr aufgeräumt und gelungen aus.

Aktuell gibt es die Version Luna zum Download, gestern Abend veröffentlichte man aber ein neues Video der aktuellen Entwicklungsversion Isis und zeigt das aktuelle Design und einige der wichtigsten Programme rund um die Desktopumgebung Pantheon. Die Version wird auf Ubuntu 14.04 mit dem Kernel 3.13 basieren, allerdings gibt es bisher noch keine Möglichkeit die Version selbst auszuprobieren, eine Beta wird es aber sicher in der nächsten Zeit geben.

Ubuntu One wird eingestellt

Permalink bejonet

ubuntu_one-featuredIn einem Blogeintrag wurde es bereits angekündigt und heute wurden die Benutzer per E-Mail informiert: Der Ubuntu One Fileservice wird am 1. Juni 2014 eingestellt.

Die Konkurrenz um den Markt für kostenlosen Speicherplatz sei zu groß geworden um noch effektiv am „Freien Speicherplatz-Krieg“ mitzuwirken. Die notwendigen Investitionen wären so hoch gewesen, dass man sich entschlossen habe, diese lieber in das Betriebssystem zu stecken.

Von der Einstellung ist auch der Ubuntu One Music Store betroffen. Wir Nutzer haben nach der Schließung noch 2 weitere Monate Zeit, unsere Daten zu sichern (Stichtag ist der 31. Juli). Danach werden alle Dateien automatisch gelöscht. Bereits entrichtete Gebühren für erweiterten Speicherplatz werden erstattet und zwar als würde das Abo bereits heute enden (effektiv läuft es aber bis 1. Juni plus die zwei Monate).

Gleichzeitig, und das finde ich wirklich toll, wird der Code des Cloud Services als Open-Source Software freigegeben. Das ermöglicht es, einen persönlichen Onlinespeicher einzurichten. Und seien wir ehrlich: eine eigene Cloud ist erstens viel sicherer und zweitens viel günstiger.

Ich muss zugeben, dass ich das wirklich sehr schade finde. Anfangs war ich ehrlich gesagt ein bisschen skeptisch, was die neue Ausrichtung von Canonical bezüglich Ubuntu betraf. Es ist ja immer ein bisschen fragwürdig, wenn eine Firma sein Geschäftsmodell in eine scheinbar komplett andere Richtung auslenkt. Doch dann konnte man mit Ubuntu One richtig schöne Sachen machen, z.B. seine Kontakte aus Thunderbird synchronisieren oder die Notizen aus Tomboy.

Leider wurde dieser Service dann auch recht bald eingestellt, wodurch Ubuntu One „nur noch“ durch 5 GB kostenlosen Speicherplatz und eine Streaming-App überzeugen konnte.

Ubuntu One hatte das Potential, ein richtig gutes Allround-Paket zu werden. Vielleicht hätte durch mehr Marketing der Backup-Service mit Déjà Dub besser geklappt und mehr Leute dazu bewegt, auch Speicherplatz zu erwerben. Aber das kann ich von hier aus nicht richtig beurteilen.

Was meint ihr dazu, habt ihr Ubuntu One oder den Ubuntu One Music Store benutzt?

Debian Wheezy auf dem Raspberry Pi installieren

Permalink Unerklärliches am Rande

Seit etwa einem Jahr nutze ich einen Raspberry Pi um mir damit Filme und Serien anzuschauen.Läuft ganz gut und mit OpenElec etwas flüssiger in der Menüführung als Raspbmc.Wenn weitere Dienste laufen wird das Filmvergnügen leider ein wenig ausgebremst weshalb ich mir ein zweites Gerät zugelegt habe.Auf dem neuen Raspberry Pi soll nun Debian seine Dienste verrichten und mir als Pyload Server und digitales Tor zu meiner Bude via sshd dienen.

Ich habe keine Lust den Pi mit Monitor und Tastatur zu schmücken, deshalb wird das System als Image auf eine SD Karte geschrieben und gut ist.

Die Debian Version für den Pi nennt sich Raspbian und läßt sich auf der Homepage des Projekts downloaden.

Eine Variante von Debian für den Pi nennt sich Raspbian und läßt sich auf der Homepage des Projekts downloaden.

1. Image auf die SD Karte schreiben, Pi starten

Die Blocksize war in der offiziellen Anleitung leider falsch angegeben.

root@debian:/home/ms/Downloads# dd bs=1M if=2014-01-07-wheezy-raspbian.img of=/dev/mmcblk0
root@debian:/home/ms/Downloads# sync

Pi vom Stromnetz trennen, Karte einstecken. Wenn nur eine rote LED leuchtet ist etwas schief gegangen
Nun dem Pi ein wenig Zeit zum booten geben und per nmap nach neuen Geräten suchen

ms@debian:~$ nmap -sP 192.168.0/24

2. Initiale Konfiguration

Per SSH einloggen, Konfiguration ausführen

#default password raspberry
ms@debian:~/Downloads$ ssh pi@192.168.0.110
pi@raspberrypi ~ $ sudo raspi-config

Erstmal Vim und Screen installieren

pi@raspberrypi ~ $ sudo su
root@raspberrypi:/home/pi# apt-get update
root@raspberrypi:/home/pi# apt-get install vim screen

Swap anpassen

root@raspipy:/home/pi# echo "CONF_SWAPSIZE=512" > /etc/dphys-swapfile
root@raspipy:/home/pi# dphys-swapfile setup
want /var/swap=512MByte, checking existing: deleting wrong size file (104857600), generating swapfile ... of 512MBytes
root@raspipy:/home/pi# dphys-swapfile swapon

3. NFS Freigaben einrichten

Ich nutze für Dateifreigaben nur noch nfs, das ist schneller als Samba und man hält sich den M$ Mist aus dem Netz. Mußte den Daemon ein wenig anpassen (Kernel Version 3.10 vom 2014-01-07).

NEED_STATD auf YES setzen in /etc/init.d/nfs-common
Einmal alles bezüglich NFS neustarten oder rebooten.

Die Shares einrichten und mounten (die uninteressanten Dinge aus fstab habe ich entfernt):

root@raspipy:/home/pi# cat /etc/fstab
192.168.0.50:/media_movies /media/nfs_movies nfs auto,rw 0 0 
192.168.0.50:/media_serien /media/nfs_serien nfs auto,rw 0 0
192.168.0.50:/downloads /media/downloads nfs auto,rw 0 0
root@raspipy:/home/pi# mkdir /media/nfs_movies
root@raspipy:/home/pi# mkdir /media/nfs_serien
root@raspipy:/home/pi# mkdir /media/downloads
root@raspipy:/home/pi# mount -a

Das wars soweit mit der Einrichtung von Debian. Ich habe zusätzlich den Port 22 am Router auf den Pi weitergeleitet und in /etc/ssh/sshd_config Logins mit Passwort verboten. Demnächst gehts weiter mit der Einrichtung von Pyload oder was Anderem wenn es mir nicht taugt :).

5. April 2014

Oracle JRE über Spacewalk, Red Hat Satellite und SUSE Manager verteilen und sauber installieren

Permalink /var/pub/chris_blog

Download PDF

Zur Ausführung von Java-Anwendungen stehen prinzipiell mehrere OpenJDK-Versionen unter Enterprise Linux zur Verfügung. Für die meisten Anwendungen ist das auch i.d.R. ausreichend, manchmal muss es aber doch die proprietäre Version von Oracle sein (z.B. aufgrund Support-Matrizen von kommerzieller Drittanbieter-Software).

Auf der JRE-Webseite gibt es neben Tarballs auch RPM-Pakete zum Download.

Wird das RPM-Paket mithilfe von Spacewalk, Red Hat Spacewalk oder SUSE Manager über einen eigenen Software-Kanal verbreitet, ergibt sich hier das Paketduplikat jre. Soll das Paket anschließend installiert werden, werden Pakete aus den RHEL- / Scientific Linux- bzw. CentOS-Kanälen bevorzugt.

Abhilfe schafft hier das folgende Kommando, welches alle YUM-Repositories außer dem eigenen (hier mychannel) deaktiviert und anschließend das Paket installiert:

# yum --disablerepo="*" --enablerepo="mychannel" install jre

Alternativ kann diese Ausnahmeregel auch fest in der YUM-Konfiguration verankert werden:

# vi /etc/yum/pluginconf.d/rhnplugin.conf
...
[rhel-x86_64-server-6]
exclude=java-1.?.0-openjdk java-1.?.0-gcj

ESC ZZ

Der Name des Kanals muss natürlich je nach Distribution angepasst werden – anbei einige Beispiele:

Kanal Beschreibung
rhel-x86_64-server-6 RHEL 6 x86_64 Basiskanal
centos6-base-x86_64 CentOS 6 x86_64 Basiskanal
centos6-updates-x86_64 CentOS 6 x86_64 Update-Kanal

Wenn man nicht weiß, in welchen Kanälen sich Pakete befinden, die jre-Pakete zur Verfügung stellen, hilft das folgenden Kommando:

# yum whatprovides jre|grep -i Repo|sort -u
Repo        : centos6-base-x86_64
Repo        : centos6-updates-x86_64

Nach der Installation fällt jedoch auf, dass sich Java-Anwendungen nicht ausführen lassen. Ein Blick auf die Ausgabe des folgenden Kommandos verrät, dass eine Bibliothek fehlt:

# ldd $(which java)
        linux-vdso.so.1 =>  (0x00007fff677ff000)
        libpthread.so.0 => /lib64/libpthread.so.0 (0x0000003e68800000)
        libjli.so => not found
        libdl.so.2 => /lib64/libdl.so.2 (0x0000003e68c00000)
        libc.so.6 => /lib64/libc.so.6 (0x0000003e68400000)
        /lib64/ld-linux-x86-64.so.2 (0x0000003e68000000)

Mithilfe von find hat sich schnell herausgestellt, dass die Bibliothek zwar Bestandteil des RPM-Pakets war, aber nicht in den Standardpfaden (wie z.B. /usr/lib) liegt. Somit muss eine Konfigurationsdatei mit dem Pfad erstellt und der Bibliothekencache erneuert werden, damit die Datei auch gefunden wird.

# echo "/usr/java/jre1.7.0_51/lib/amd64/jli" > /etc/ld.so.conf.d/oracle-jre.conf
# ldconfig -p|head -n1
438 libs found in cache `/etc/ld.so.cache'
# ldconfig ; ldconfig -p|head -n1
439 libs found in cache `/etc/ld.so.cache'

Wichtig sind die Ausgaben der beiden letzten Kommandos – wie zweifelsfrei ersichtlich ist, wurde die Bibliothek erkannt und zum Cache hinzugefügt.

Nun sollte dem Ausführen von Java nichts mehr im Wege stehen:

# java -version
java version "1.7.0_51"
Java(TM) SE Runtime Environment (build 1.7.0_51-b13)
Java HotSpot(TM) 64-Bit Server VM (build 24.51-b03, mixed mode)

:)

Download PDF