Datenhaufen zu IT und Elektronik.
Ich habe ja vor kurzer Zeit etwas über die ZFS Datensicherung meines Notebook geschrieben und dass auf diesem ein FreeBSD 10.1 werkelt… Genauer:
kernel@errorlap:~ % freebsd-version 10.1-RELEASE-p3
Nun sind inzwischen einige Fragen zur Konfiguration bei mir angekommen, inkl. der Bitte ein paar Sätze dazu zu schreiben. Also, ich schreibe 🙂
Seit gestern fällt es irgendwie auf… Da rattert wieder etwas über die Systeme 😀
Probiert werden die User:
– root
– admin
– mail
– Alphanetworks
– MANAGER
– test
– Factory
– vodafone
– telecomadmin
– draytek
– super
– FIELD
– ADVMAIL
– WP
– HELLO
– citel
– SPOOLMAN
– comcast
– wlseuser
– OPERATOR
– PCUSER
– MGR
– patrol
– netadmin
– anonymous
– craft
– websecadm
– netman
– MD110
– supervisor
– tiger
– manuf
– PBX
– NETWORK
– MDaemon
– readonly
– davox
– scout
– blank
– coress
– usw. usw. usw…..
Spannenderweise mit immer neuen Adressen aus verschiedenen großen Netzen. Im groben lässt es sich „eindampfen“ auf:
– 117.253.0.0/16
– 109.161.236.0/22
– 189.51.16.0/20
Hier und da noch etwas verteiltes… Indien, Brasilien, Italien, wenn man dem WHOIS trauen kann 😛 Was da wieder los ist? Dann wird wohl bald wieder mehr Spam kommen, hm?
Ich wünsche in jedem Fall ein paar klebrige Finger!
Jan 11 11:42:53 ssh-honeypot sshd[21822]: Invalid user MANAGER from 182.74.23.34 Jan 11 11:42:53 ssh-honeypot sshd[21822]: input_userauth_request: invalid user MANAGER [preauth] Jan 11 11:42:56 ssh-honeypot sshd[21822]: Failed password for invalid user MANAGER from 182.74.23.34 port 2657 ssh2 Jan 11 11:42:58 ssh-honeypot sshd[21822]: Failed password for invalid user MANAGER from 182.74.23.34 port 2657 ssh2 Jan 11 11:43:01 ssh-honeypot sshd[21822]: Failed password for invalid user MANAGER from 182.74.23.34 port 2657 ssh2 Jan 11 11:43:03 ssh-honeypot sshd[21822]: Failed password for invalid user MANAGER from 182.74.23.34 port 2657 ssh2 Jan 11 11:43:05 ssh-honeypot sshd[21822]: Failed password for invalid user MANAGER from 182.74.23.34 port 2657 ssh2 Jan 11 11:43:08 ssh-honeypot sshd[21822]: Failed password for invalid user MANAGER from 182.74.23.34 port 2657 ssh2
Ich räume gerade etwas auf und da finde ich einen Merker für das IPv6 Buch von Jens Link…. Eigentlich etwas dass ich mir in den „Schrank“ stellen wollte. Leider scheint es noch immer nicht kaufbar 🙁 So als einfaches „Einsteigerbüchlein“ schien es mir perfekt. Schade… Werde es dann wohl mal aus meiner Merkliste löschen.
http://www.amazon.de/IPv6-Planung-Umstieg-Jens-Link/dp/3937514899
Komisch, oder?
So long…
Mal etwas ganz anderes…. Keine Ahnung was ihr so zwischen den Feiertagen macht, ich repariere kaputte Abwasserrohre. Mit Vorliebe hinter der Dusche!
Nein, Scherz! Zumindest zum Teil… Irgendwas machte seit kurzem hinter der Dusche meiner Kinder „Probleme“. Irgendwo in der Wand war etwas undicht. Zwischen den Feiertagen hatte ich Zeit, so zumindest die Einschätzung meiner Frau 😛
Also habe ich alles auf gestemmt und ganz zuletzt das Problem gefunden. Das Abwasserrohr vom Waschbecken war dort undicht. Getauscht und jetzt muss ich wohl eine neue Dusche bauen, TOP.
Es will nicht zufällig jemand helfen?
Als kleiner Postfix Tipp am Rande…. Wenn man gerade mit seinen TLS Einstellungen „herumspielt“, kann es helfen die groben Informationen für jede E-Mail nicht immer aus dem Logfile sammeln zu müssen.
Postfix bietet die schnelle Möglichkeit, genau diese Informationen einfach mit in den Mail Header zu packen.
Folgende Konfigurationserweiterung ist dafür nötig:
/etc/postfix/main.cf: smtpd_tls_received_header = yes
Ab diesem Moment finden sich Informationen wie die unten stehende in eingehenden E-Mails.
So long….
Received: from mx01.domain.de (mx01.domain.de [1.2.3.4])
(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by smtp.kernel-error.de (Postfix) with ESMTPS id 245478112D9
for <kernel-error@kernel-error.com>; Wed, 17 Dec 2014 05:15:10 +0100 (CET)
Kex exchange basierend auf EECDH (diese elliptischen Kurven nach DH Diffie-Hellmann), sollte ja inzwischen ein alter Hut sein. Ich gehe also mal von einer aktivieten und funktionsfähigen Konfiguration aus (irgendwo habe ich das wohl auch schon mal beschrieben).
Im Standard läuft dieses nun bei 1024bit also EECDH mit ca. 128bit (smtpd_tls_eecdh_grade=strong). Möchte man alles auf 2048bit EECDH mit ca. 192bit aufbohren… Was ca. die doppelte „Sicherheit“ zu EECDH mit 128bit bedeutet, dann ist folgendes zu erledigen.
Zuerst benötigen für eine große prime group:
$ cd /etc/postfix $ openssl dhparam -out dh_2048.tmp 2048 && mv dh_2048.tmp dh_2048.pem $ chmod 644 dh_2048.pem
Dann Postifix mitteilen, dass er sie bitte nutzten soll (ist kein Typo, gehört zur Option „smtpd_tls_dh1024_param_file„).
/etc/postfix/main.cf:
smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem
Nun wechselt smtpd_tls_eecdh_grade von strong zu ultra und ich setzte noch die zu verwendende „Kurve“ fest.
/etc/postfix/main.cf:
smtpd_tls_eecdh_grade = ultra
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve = secp384r1
Diese Aktion könne nicht ganz Schmerzfrei sein 🙂 Für privat und mein Testsystem sicher zu verantworten. Manche MSA (Mail SUbmission Agent) könnten damit Probleme bekommen. Hat also jemand ein Problem mit E-Mail zu senden, bitte melden 😀
So long….
Wer bei seinem Debian TLS_FALLBACK_SCSV im Apache nutzen möchte, muss im Grunde nur auf eine OpenSSL Version >=1.0.1j wechseln.
Einen direkten Backport gibt es dafür leider nicht, also selbst übersetzten. Dazu nutzt man einfachsten direkt den „Debian-Weg“.
Vorbereiten fürs Kompilieren:
$ cd /usr/src $ apt-get install build-essential fakeroot $ apt-get build-dep openssl
Herunterladen der aktuellen Version:
$ wget http://ftp.de.debian.org/debian/pool/main/o/openssl/openssl_1.0.1j-1.dsc $ wget http://ftp.de.debian.org/debian/pool/main/o/openssl/openssl_1.0.1j.orig.tar.gz $ wget http://ftp.de.debian.org/debian/pool/main/o/openssl/openssl_1.0.1j-1.debian.tar.xz
Auspacken des Archives und mit den Patchen „verknüpfen“:
$ dpkg-source -x openssl_1.0.1j-1.dsc
Ins neue Verzeichnis wechseln:
$ cd openssl-1.0.1j
Kompilieren und deb Pakete erstellen:
$ dpkg-buildpackage -us -uc -rfakeroot
Die neuen Pakete installieren:
$ cd .. $ dpkg -i libssl1.0.0_1.0.1j-1_amd64.deb libssl1.0.0-dbg_1.0.1j-1_amd64.deb libssl-dev_1.0.1j-1_amd64.deb libssl-doc_1.0.1j-1_all.deb openssl_1.0.1j-1_amd64.deb
Kontrolle der Version:
$ openssl version OpenSSL 1.0.1j 15 Oct 2014
ACHTUNG… Ab diesem Moment ist man natürlich selbst dafür verantwortlich Pachte zu installieren 😀
So long…..
Selbstverständlich profitieren damit alle Anwendungen, die auf OpenSSL aufbauen, so auch Postfix, Dovecot usw:
$ openssl s_client -connect smtp.kernel-error.de:465 -fallback_scsv -no_tls1_2 CONNECTED(00000003) 140410198378152:error:1407743E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert inappropriate fallback:s23_clnt.c:770: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 215 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE ---
U-P-D-A-T-E
Denkt an die Updates 😀
$ openssl version OpenSSL 1.0.1k 8 Jan 2015
Man was war heute ein fauler Tag… und es war wunderbar. Es passiert mir einfach viel zu selten, dass ich mal so einen richtig faulen und sinnfreien Tag habe 🙂
Spät aufgestanden, Frühstück war vorbereitet, Internet von Level3 gefunden, die Katze mit einem Foto geweckt (er hasst das :-P), für Autohaus die Reifendaten eingesammelt, etwas vorm Schallplattenspieler herumgelegen, den Hund sowie mich bewegt, ein Upgrade am FreeNAS gefahren und noch rsync vom Ampache (über eine viel zu langsame Internetverbindung) angeworfen.
Tja Leute…. Jetzt gleich noch Tatort und Bier, dann schön schlafen. Morgen ist ja wieder arbeiten angesagt!
Vielleicht ist es ganz gut, dass man nicht SO viele faule Tage hat. Am Ende wird einem nur Langweilig!
Die im Standard voreingestellten Optionen vom Entropy sind bei Sabayon nicht ganz optimal, zumindest wenn man hinter einem normalen Internetanschluss sitzt.
Um nun die Downloadgeschwindigkeit etwas zu erhöhen gibt es ein paar Dinge, die man tun kann.
Als erstes sollte man, den für seinen Standort, besten Spiegelserver herausfinden. Dieses erledigt folgender Aufruf:
$ sudo equo repo mirrorsort sabayon-weekly
Voreingestellt für den gleichzeitigen Download sollte 3 sein. Ab einem normalen A-DSL Anschluss darf man diese Zahl gerne auf 10 ändern.
$ sudo vi /etc/entropy/client.conf multifetch = 10
Oft ist der eigentliche Unterschied zwischen zwei Paketen, bei einem Upgrade, eher gering. Daher macht es Sinn sich auch nur diesen Unterschied herunter zu laden:
$ sudo vi /etc/entropy/client.conf packages-delta = enable
So, viel Spaß!
Meine Wetterstation hat aufgegeben 🙁 OK, wirklich interessant war für mich immer nur Luftfeuchtigkeit und Temperatur draußen. Diese Aufgabe sollte doch von meinem Raspberry Pi erfüllt werden können, oder? Dann hätte ich die Daten zusätzlich direkt in meinem Cacti!
Ich setzte dabei auf den DHT22 / AM2302. Über Amazon war dieser für 2€ schnell bestellt. Ein 4,7kΩ Widerstand hatte ich selbstverständlich noch. Das eigentliche Schaltbild ist nicht weiter der Rede wert, ich habe da ein Bild für euch weiter unten…
Zur Software…
Nötig ist git für wiringPi und lol_dht22
Erstmal eine root Konsole auf dem Raspberry Pi öffnen:
$ sudo /bin/bash
Alle Tools für git installieren:
$ apt-get install git-core
Dann einen clone von wiringPi ziehen und kompilieren:
$ git clone git://git.drogon.net/wiringPi $ cd wiringPi $ ./build $ cd ..
Jetzt noch schnell lol_dht22, dieses Programm liest den eigentlichen Sensor aus.
$ git clone https://github.com/technion/lol_dht22 $ cd lol_dht22 $ ./configure $ make
Damit sollte sich bereits der Sensor auslesen lassen:
$ ./loldht 7 Raspberry Pi wiringPi DHT22 reader www.lolware.net Data not good, skip Humidity = 73.90 % Temperature = 9.30 *C
Perfekt 😀 Nun benötige ich natürlich nur die beiden Zahlen. Daher habe ich den Code etwas angepasst. So bekomme ich jetzt nur noch die beiden Werte beim Aufruf:
$ /lol_dht22/loldht 7 73.90 9.30
Diese sammle ich nun per Bash-Script über einen Cron-Job ein und lege sie in zwei Files.
$ crontab -l * * * * * /var/scripts/getsensor.sh
Hier das vom Cron aufgerufene Script:
$ cat /var/scripts/getsensor.sh
#!/bin/bash
/lol_dht22/loldht 7 > /home/pi/both.txt
while [ ! -s "/home/pi/both.txt" ]
do
sleep 5
/lol_dht22/loldht 7 > /home/pi/both.txt
done
sed '2d' /home/pi/both.txt > /home/pi/humid.txt
sed '1d' /home/pi/both.txt > /home/pi/temp.txt
Damit liegen nun immer die aktuellen Werte für Temperatur und Luftfeuchtigkeit in den beiden Textfiles unter /home/pi.
Jetzt sollen diesen Daten natürlich noch per snmp abgerufen werden können, damit ich sie in Cacti einbinden kann. Also zuerst snmp auf dem Raspberry Pi installieren:
$ apt-get install snmp snmpd
Unter „Pass-through“ MIB extension command lege ich nun zwei weitere an, für Temperatur und Luftfeuchtigkeit:
pass .1.3.6.1.2.1.25.1.8.2 /bin/sh /usr/local/bin/temp pass .1.3.6.1.2.1.25.1.8.1 /bin/sh /usr/local/bin/humid
Wird nun per snmp diese OID abgefragt, wird das zugehörige Script ausgeführt:
$ cat /usr/local/bin/temp #!/bin/bash echo .1.3.6.1.2.1.25.1.8.2 echo gauge cat /home/pi/temp.txt
$ cat /usr/local/bin/humid #!/bin/bash echo .1.3.6.1.2.1.25.1.8.1 echo gauge cat /home/pi/humid.txt
Als kleiner Test:
$ snmpget -c public -v1 errorpi .1.3.6.1.2.1.25.1.8.1 iso.3.6.1.2.1.25.1.8.1 = Gauge32: 76 $ snmpget -c public -v1 errorpi .1.3.6.1.2.1.25.1.8.2 iso.3.6.1.2.1.25.1.8.2 = Gauge32: 9
Dieses lässt sich nun im Cacti einbinden und so aufzeichnen. Ok, etwas von hinten durch die Brust ins Auge… Sicher optimiere ich dieses noch 😀
Ach ja, wer es braucht… Die Template-Exports für Cacti sind hier: cacti-temp.tar.gz
Und wohin mit dem Teil? Diese Frage hat mich etwas beschäftigt. Ich wollte es draußen haben, denn ich brauche ja die Daten von draußen 😀 Dafür muss es geschützt vor Wasser sein. Um die Luftfeuchtigkeit messen zu können darf es denn noch nicht komplett verschlossen sein. Ebenfalls sollte es an einer Stelle hängen, an welcher es nicht zu schlecht aussieht und vor allem, an welcher es nicht zerstört wird.
Ich habe einfach ein Rohr genommen, den Sensor dort mit etwas Silikon „eingeklebt“ und das Rohr an einer Seite mit einem Deckel verschlossen. So sollte kein Wasser an den Sensor laufen können. Angebracht habe ich dieses Rohr an meinem Pfosten der Satellitenschüssel. Dort oben „steht“ die Luft eher selten und es kommt niemand ran. Zusätzlich fällt es dort nicht weiter auf.
Mal abwarten wie es sich dort oben macht. Vielleicht hänge ich es später noch mal um! Sobald sich die eigentliche Position gefestigt hat, wird dann auch der Raspberry PI ordentlich verstaut ;-P
© 2025 -=Kernel-Error=-
Theme von Anders Norén — Hoch ↑
