Linux, Adminzeugs

Es gibt Provider wie Onstage, bei denen stellt man seinen Server hin und es läuft. Jahrelang. Sehr super.

Und es gibt Provider, die nach einem Rackbesitzerwechsel nach der Maxime "Im Zweifel abdrehen" handeln. Und dann gleich beide Uplinks im Rack abdrehen. Die um 19 Uhr keine Techniker mehr im Interxion haben. Die dann für eine Technikerstunde 300 Euro verlangen, unabhängig davon, ob sie den Ausfall selbst verschuldet haben.

Und es gibt Firewall-Appliances, die mal eben den Dienst verweigern, nachdem der Uplink weg war und rebooted werden müssen.
Ich hab so Firewall-Appliances nie wirklich gemocht und mich schon ein paarmal mit Vorkommnissen dieser Art in meiner Ansicht bestätigt gefühlt.
Sind eh nur aufgebohrte Linux- oder BSD-Rechner.

Der Scheiss-Provider von oben und so Appliances gehören beide an den gleichen Ort: in die Tonne

Mal eben in der Konsole nachsehen, was Squid grad so tut, ohne grosses pipapo dahinter? Squidview nehmen.

Brauchen wir da ne neue Elektroinstallation oder war da jemand am Sicherungskasten sehr nervös? 43 Klicks auf "OK" waren nötig

The following message to zensiert@zensiert.com was undeliverable.
The reason for the problem:
5.1.0 - Unknown address error 571-'sorry, sender address has invalid format (#5.7.1 - chkuser)'

Und warum?
Darum:
Absenderadresse: SRS0=lo/LGK=26=zensiert.at=zen.siert@srs.bis.eu.blackberry.com

Erklärung vom Qmailtoaster Wiki:
In Blackberry's case they're using a spam firewall that uses the slash character (/) in the sending email
address when messages are sent from the Blackberry device, regardless of the reply-to address.

Und die bleibt dann in den Mailheadern drin und stösst dem Spamfilter sauer auf. Super gemacht, RIM!
Als gäbe es nicht tausend andere Möglichkeiten, sowas zu realisieren...
Und wegen RIM passen sicher tausende Admins ihre Spam-Filter an. Grossartiger Schwachsinn.

Besonders der da:


Ist ein HP LJ 3600N.

Die CUPS-Testseite vom Linux-Rechner (hpijs-Treiber) war in 2s draussen, in 600 DPI Farbe wohlgemerkt.
Konfiguration unter Linux und Mac war in wenigen Minuten und ohne Treiberinstallation abgeschlossen, Uschis XP installiert grad den Treiber.

Cooles Teil, gefällt mir schon jetzt besser als der alte Minolta. Nun noch bissi mit SNMP herumspielen und Zeugs wie Tonerstand usw abfragen

Daneben steht übrigens mein Router, eine unkaputtbare IBM Intellistation E Pro mit Pentium 2, 9 GB SCSI-Platte
(soll durch ne leisere Solid State Disk ersetzt werden) und 512 MB RAM mit CentOS 5.

Nagut, jetzt noch den Müll wegräumen...

Nach langer Zeit wars jetzt mal wieder soweit: Server, Kabel, schrauben und schleppen, patchen und planen. Siedelung etlicher Server in ein Rechenzentrum. Diesmal nicht ins IX im 21., sondern ins UPC-RZ im 10.
Gefällt mir recht gut dort, es ist sauber und aufgeräumt, die Temperatur passt und der Service auch. Allerdings könnten sie sich mal einen Portier leisten, der 24/7 da ist, damit man auch ausserhalb der Geschäftszeiten seine Serverlieferungen durch den Lieferanteneingang bekommt.
Und eigentlich hätt ich gern ein ganzes Rack statt einem halben gehabt. Aber das hier ist trotzdem mal ein guter Anfang:


Unsere kleine Farm

Update 21.10.:
Der Rest der Server ist gestern gekommen:

Bei meinem Lieblings-Händler DiTech gibts jetzt auch Solid state disks. Coole Sache für Firewalls und in der 32GB-Variante auch schon leistbar. Die nächste Firewall wird sowas drin haben.

Meine Digicam, eine Canon Digital Ixus, nimmt recht gute Videos auf, die fürs Blog aber zu gross sind (ca. 100 MB/Minute). Mencoder macht das Zeugs schnell kleiner:
mencoder video_gross.avi -ovc lavc -oac lavc -lavcopts acodec=mp2 -o video_klein.avi
Unterschied:
-rwxr-xr-x 1 ff users 242459030 22. Mai 14:39 mvi_0594.avi
-rw-rw-r-- 1 ff users 16900882 16. Aug 17:37 mvi_0594-klein.avi

Riesiger Unterschied bei trotzdem vernünftiger Bildqualität.

Nachdem KDE4 auf Fedora9 nicht besonders gut gelungen ist und mir Gnome nach ein paar Wochen auf die Nerven ging, hab ich mir mal XFCE angeschaut. Klein, schlank, stark. Gefällt mir super.

Mitunter lässt sich Thunderbird am Mac nicht dazu überreden, Attachments, die man mit Doppelklick öffnen will, NICHT am Desktop, sondern im eingestellten Download-Ordner zu sepichern. Auch ändern des Download-Ordners in Safari hilft nichts.

Was in diesem Fall hilft ist, sich Camino von http://caminobrowser.org/ herunterzuladen, Camino zu starten und dort den Download-Ordner einzustellen. Dürfte irgendwas in der Mozilla-Registry ändern.

Was mir beim neuen Firefox 3 tierisch auf die Nerven geht, ist die gesprächige Url-Eingabezeile (urlbar), die bei der Url-Eingabe Bookmarks und vorher besuchte Seiten vorschlägt. Hallo Datenschutz?

Abhilfe:

about: config in die Url-Eingabezeile eingeben, Abfrage bestätigen und folgende Werte ändern:
browser.urlbar.maxRichResults auf 0
browser.urlbar.search.chunkSize auf 0

Fertig.

Ich hab ihn zwar nicht persönlich gekannt, aber durch Mike viel von ihm gehört. Und dank seiner Grosszügigkeit darf der exception dort stehen, wo er steht. Danke, Armin!

In der OTRS-Doku und in den meisten anderen Dokumenten zum Thema "Installation von OTRS unter Fedora,Centos,RHEL" liest man immer wieder etwas wie "Selinux deaktivieren". Was soll der Scheiss? EIn wesentliches Sicherheitsfeature für ein Ticketsystem abdrehen? Nix da! So gehts mit SELinux:

Vorgehensweise:

-auditd installieren und starten
-setroubleshootd installieren und starten
-nach Auftauchen des ersten Permission-Fehlers

(z.B.:
[Sun Apr 22 14:32:07 2007] [error] Permission denied at /opt/otrs//Kernel/System/Log.pm line 79.)
nach dem ersten Aufruf von http://localhost/otrs/Installer.pl

mittels
audit2allow -m otrs -l -i var/log/audit/audit.log
eine policy generieren lassen. Diese dann mit

checkmodule -M -m -o otrs.mod otrs.te; semodule_package -o otrs.pp -m otrs.mod; semodule -i otrs.pp

compilieren und aktivieren.

Danach mit der Installationsprozedur wie in der OTRS-Doku beschrieben weitermachen und Fehler für Fehler in der Policy beheben.

Meine schaut bisher wie folgt aus und erhebt noch keinen Anspruch auf Vollständigkeit. Aber wie mans vervollständigt, steht ja oben.

module otrs 1.0;

require {
class shm associate;
type httpd_t;
type initrc_t;
role system_r;
};
allow httpd_t initrc_t:shm associate;
require {
class shm { unix_read unix_write };
type httpd_t;
type initrc_t;
role system_r;
};
allow httpd_t initrc_t:shm { unix_read unix_write };
require {
class file write;
class shm getattr;
type httpd_sys_script_exec_t;
type httpd_t;
type initrc_t;
role system_r;
};

allow httpd_t httpd_sys_script_exec_t:file write;
allow httpd_t initrc_t:shm getattr;

require {
class shm read;
type httpd_t;
type initrc_t;
role system_r;
};

allow httpd_t initrc_t:shm read;

require {
class file read;
type httpd_t;
type tmpfs_t;
role system_r;
};

allow httpd_t tmpfs_t:file read;

require {
class shm write;
type httpd_t;
type initrc_t;
role system_r;
};

allow httpd_t initrc_t:shm write;

require {
class file write;
type httpd_t;
type tmpfs_t;
role system_r;
};

allow httpd_t tmpfs_t:file write;

require {
class dir write;
type httpd_sys_script_exec_t;
type httpd_t;
role system_r;
};

allow httpd_t httpd_sys_script_exec_t:dir write;

require {
class dir add_name;
type httpd_sys_script_exec_t;
type httpd_t;
role system_r;
};

allow httpd_t httpd_sys_script_exec_t:dir add_name;
require {
class file create;
type httpd_sys_script_exec_t;
type httpd_t;
role system_r;
};

allow httpd_t httpd_sys_script_exec_t:file create;

Jetzt, dank Core2Duo und 2 GB RAM daheim auch Windows unter Xen. Fantastisch. Siehe Screenshots:

Printershares unter Samba mit automatischer Treiberinstallation einrichten: jo, geht so:

Die Backslashes vor den Slashes (\)bitte entfernen.

Samba-Globals einrichten:

printcap name = \/etc\/printcap
printcap = cups
load printers = yes
printing = cups

shares einrichten:

[printers]
comment = All Printers
path = \/var\/spool\/samba
browseable = yes
# Set public = yes to allow user 'guest account' to print
guest ok = yes
printable = yes
public = yes
# show add printer wizard = yes
printer admin = root franz administrator
read only = yes

[print$]
path = \/etc\/samba\/drivers
browseable = yes
read only = yes
write list = root franz administrator
guest ok = yes
public = yes

nun ftp://ftp.cups.org/pub/cups/windows/cups-samba-1.1.16.tar.gz
herunterladen, entpacken und
sh cups-samba.install ausführen.
anschliessend noch einen installer-bug beheben:
cp -a \/usr\/share\/drivers\/cups.hlp \/usr\/share\/cups\/drivers\/

nun unter cups alle drucker einrichten, die über samba geshared werden sollen,
unter cups im admin-interface anlegen. ppds kopieren, testdrucken, usw.

nun der finale schritt: als root mit cupsaddsmb die von windows benötigten treiberdateien erstellen lassen:

cupsaddsmb -H 10.0.1.33 -a -v