jump to navigation

Microsoft Certified Professional January 22, 2008

Posted by Tobias Scherbaum in : Me, Myself and I, Sysadmin , add a comment

Ja - ich hab das mal gemacht … Christian wollte mir das nicht glauben, also suchte ich vorhin eine halbe Ewigkeit nach der Seite, auf der man online die Zertifizierung überprüfen kann, hier findet man sie. Wer mich nun “überprüfen” mag, Transcript ID ist 706439 und der Zugangscode tscherb05. In Anbetracht der Tatsache, dass das bald schon drei Jahre her ist, können wir das als Jugendsünde durchgehen lassen - nicht? ;)

Und wie kamen wir darauf? Ich hatte mich doch genervt gezeigt, dass sich Vista immer in den Energiesparmodus setzt, anstelle den Rechner auszuschalten (Systemsteuerung, Energieoptionen, Netzschalter, Netzschalter im Startmenü). Gut, ich hab ja damals auch die Windows XP Prüfung gemacht, ich kann das ja nicht wissen :P

Gentoo Hardened mit Mailman January 11, 2008

Posted by Tobias Scherbaum in : Sysadmin , add a comment

Für alle ebenfalls Leidgeplagten - die eigentlich kurzen, aber anfänglich schmerzhaften Schritte ;)

Kurz zu den Vorbedingungen: Es wird Gentoo genutzt, dazu ein Hardened-Kernel, die GRsecurity Optionen sind aktiviert und TPE wollen wir auch nutzen … und dazu darf es Mailman sein.
CONFIG_GRKERNSEC_TPE=y
# CONFIG_GRKERNSEC_TPE_ALL is not set
CONFIG_GRKERNSEC_TPE_INVERT=y
CONFIG_GRKERNSEC_TPE_GID=2000
Zunächst brauchen wir eine neue Gruppe, dieser dann alle Benutzer hinzugefügt werden, für die die Einschränkungen der TPE nicht gelten sollen. In diesem Fall die Benutzer apache und mailman. Vorzugsweise installiert wird die aktuelle Mailman-Version 2.1.9-r2. Revision 2 bevorzugt, da in dieser “korrekte” Installationspfade genutzt werden (im Gegensatz zur Installation unter /usr/local/mailman zuvor) und auch eine Separation von Anwendungsbinaries (/usr)und den Anwendungsdaten (/var) stattfindet.

Um es dann noch ganz bequem zu gestalten erfolgt die Einbindung in Postfix gemäß Anleitung. Zunächst muss dem Mailman Postfix als zu nutzender Mailserver-”Typ”bekannt gemacht werden. An der Stelle zeigt sich eine weitere Verbesserung der Revision 2 des Gentoo Ebuilds - die Konfiguration erfolgt in /etc/mailman, so das bei späteren Updates der Schutz von Konfigurationsdateien greift und Aktualisierungen per etc-update oder (so nicht auf nem Server genutzt) etc-proposals erfolgen können.
/etc/mailman/mm_cfg.py
MTA = ‘Postfix’
Mailman legt beim Erstellen neuer Listen gleich ein passendes Alias-File an, das nur noch in Postfix eingebunden werden will:
/etc/postfix/main.cf
alias_maps = hash:/etc/mail/aliases, hash:/var/lib/mailman/data/aliases

Abschliessend wollen die Verzeichnisse {bin,cgi-bin,mail} noch den Besitzer wechseln - root darf es sein, dann klappts auch mitm Mailen. Zusätzlich müssen noch die Schreibrechte für die Gruppe weg.
cd /usr/lib/mailman
chown root {bin,cgi-bin,mail}
chmod g-w {bin,cgi-bin,mail}
(Fast) fertig - eigentlich ganz einfach …

… nur noch ein Problem bleibt vorerst:

grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/korean/c/_koco.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/korean/c/_koco.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: more alerts, logging disabled for 10 seconds
To be continued …

etc-proposals-1.4.1 and cyrus-imapd-2.3.11 January 2, 2008

Posted by Tobias Scherbaum in : Gentoo, Sysadmin , 1 comment so far

Just a few hours after I added etc-proposals to the tree, a bug with initializing the internal DB was discovered and reported. After adding upstream dev Bjoern Michaelsen to that bugreport a fixed 1.4.1 was released within a couple of hours, thanks for your fast response Bjoern :) We need to meet at one of the next Gentoo User-Meetings in Hamburg for sure ;)

While being quite productive today I also finally managed to commit Cyrus 2.3.11 (cyrus-imapd, cyrus-imap-admin and cyrus-imap-dev that is) which was a few days due, I was waiting for the UOA Patches (covering the autosieve and autocreate USE-Flags) and forgot to check if they were available … gladly someone mentioned that the patches were released on the corresponding bug report.

Fingerabdrücke - diesmal in Echt November 29, 2007

Posted by Tobias Scherbaum in : Aktuelles, Sysadmin , add a comment

Nachdem ich im Rahmen der Einrichtung der Fingerabdruckscanner ja schon das zweifelhafte Vergnügen hatte, den ein oder anderen Fingerabdruck “testhalber” zu hinterlassen, hab ich heute das System mal vollständig getestet - aus Kundensicht. Einmal Links, einmal Rechts -  mal schauen ob der Reisepass noch bis Jahresende fertig wird :)

Google hat uns nicht mehr lieb! November 29, 2007

Posted by Tobias Scherbaum in : Aktuelles, Sysadmin , add a comment

Etwas verdutzt schauten wir heute Vormittag, als uns ein Kollege nach dem anderen mitteilte, dass es Google Leid tun würde. Ja was denn? Also selbst geschaut - und siehe da: Google tut es Leid. Und zwar dass man hinter unserer Verbindung Computerviren und/oder Spyware vermutet. Nun gut, der ein oder andere Nutzer (multipliziert mit dem Faktor 1000) nutzt diese Verbindung, aber daran kanns ja nun wirklich nicht allein liegen. Uwe schreibt noch ein wenig mehr zu diesem Phänomen …

OpenLDAP und der lpk-Patch September 30, 2007

Posted by Tobias Scherbaum in : Sysadmin, libexec.de , add a comment

Ein wenig Zeit habe ich am Wochenende mit OpenLDAP und insbesondere dem lpk-Patch verbracht. Dieser erlaubt es SSH PublicKeys direkt im Verzeichnis abzulegen und mit einer weiteren kleinen Erweiterung lässt sich ebenfalls im LDAP festhalten, ob sich ein Benutzer an einer Maschine per SSH anmelden darf.

Da Gentoo die einzige mir bekannte Distribution ist, die den lpk-Patch direkt integriert und zugleich Gentoos aktueller LDAP-Guide ein wenig veraltet ist, kam Markus  auf die Idee das ganze doch einfach mal zu dokumentieren - mache ich auch, nachdem ich mir das noch ein wenig mehr angeschaut und einige weitere Rechner “LDAPifiziert” habe :)

TING 2007.0-r2 August 21, 2007

Posted by Tobias Scherbaum in : Me, Myself and I, Sysadmin, libexec.de , add a comment

-r2 beinhaltet einen Fix zum Booten von via JMicron-Chipsatz angeschlossenen CD-ROM Laufwerken und steht seit heute auch in einer 64bit-Version für AMD64 und Intel EM64T-kompatible Prozessoren bereit. Wie immer hier.

Regexp-Spicker August 21, 2007

Posted by Tobias Scherbaum in : Sysadmin, libexec.de , add a comment

Selfnote: Ausdrucken!

TING 2007.0-r1 August 19, 2007

Posted by Tobias Scherbaum in : Me, Myself and I, Sysadmin, libexec.de , 1 comment so far

Nachdem im Gentoo Forum das Problem auftrat, dass aktuelle Hardware nicht zu aktueller Gentoo ReleaseCD passt, habe ich mal “eben” eine neue Revision von TING aufgelegt. Diese kommt nun mit Kernel 2.6.22-gentoo-r2 daher und unterstützt unter anderem auch Netzwerkchips die den atl1 Treiber benötigen.

Was ist TING?

TING ist das, was früher mal Gentoos universelle InstallationsCDs waren - Ziel und Zweck: Installation eines Basissystems ohne Netzwerkverbindung. Während Gentoos Release Engineering für diese Installationsart nur noch die LiveCD für x86 und AMD64 anbietet, soll TING diese Lücke schliessen. Netter Nebeneffekt ist, dass man recht unkompliziert und schnell neue Scheiben mit neuen Kernel-Versionen erstellen kann - so denn ein Bedarf gegeben ist.

Warum TING?

TING steht für “This Is Not Gentoo” und soll verdeutlichen, dass mit TING zwar die (netzwerklose) Installation eines Gentoo Systems möglich ist (TING enthält die “offiziellen” Stages und Snapshots), die CD aber in keiner weise mit Gentoo und insbesondere Gentoos Release Engineering Team in Verbindung steht. Support für Probleme mit den TING CDs gibt es folglich auch nicht von Gentoo, dafür von mir ;) Probleme mit dem Booten der CD, Verbesserungsvorschläge o.ä. sollten daher zwingend zu mir gelangen und nicht in Gentoos Bugzilla eingestellt werden!

Wo bekomme ich TING her?

Wie immer steht TING zum Download bereit.

studiVZ August 1, 2007

Posted by Tobias Scherbaum in : Me, Myself and I, Ohne Worte, Spam , add a comment

Mehr aus akadamischen Gründen heraus (passt ja zu “studi”VZ …) hab ich mich dort mal angemeldet, die Erläuterungen im Registrierungsprozess sprechen jedenfalls nicht unbedingt für die heutigen Studenten …

 ”Vorname (nicht Nachname)”

Da wo Vorname steht schreibt man seinen Vornamen rein, da wo Nachname steht den Nachnamen - nach Möglichkeit nicht anders herum …

Die Zustellung der Email kann bis zu 24 Stunden dauern. Außerdem landet die erste Email häufig im Spam Ordner.

Rein technisch gesehen würde mich interessieren, warum die erste Email “häufig” im Spam-Ordner landet … im Regelfall sollte man davon ausgehen, dass nach Klassifizierung einer ersten Mail diese von einem Bayes-Filter “gelernt” wird (womöglich bei entsprechender Klassifizierung auch noch vollautomatisch), womit die zweite Mail mit noch größerer Wahrscheinlichkeit als Spam klassifiziert werden wird.

Während ich diesen Eintrag geschrieben habe, ist die Registrierungsmail noch nicht angekommen - auch nicht im “Spam-Ordner” ;)