sysadmin

Coooool!

BlackDog ist ein PowerPC-Rechner mit 64 MB Speicher und 512 MB Flash-Disc in einem Mini-Gehäuse das man in jeden PC mit Windows oder Linux in den USB-Port stöpseln kann. Dort übernimmt dann der PowerPC-Prozessor die Tastatur, die Maus und den Bildschirm und startet sein Debian Linux, dessen Desktop man dann auf dem PC sieht.

Das Teil läuft nur aus der USB Stromversorgung und hat noch zusätzlich eine biometrische Zugangssicherung per Fingerabdruck. Wow. Schöne kleine Hackerkiste für unterwegs, man muss nur einen Wirtsrechner vorfinden.

Und es ist komplett in der Architektur offen und hackbar - es gibt sogar einen Hack-Wettbewerb um interessante Anwendungen dazu zu entwickeln. Wobei mir schon klar wäre was ich draufpacken würde - all die notwendigen Netzwerktools. Ich glaube ich muss mal in der Firma den Chef motivieren das wir dringend mal gucken müssen was man mit so einem Teil machen kann. So einen heftigen haben wollen Reflex hatte ich schon lange nicht mehr.

Oracle Cluster File System 2 für Linux

Das Oracle Cluster File System könnte schon eine nette Alternative zu GFS und Coda sein - jedenfalls wenn das hier wirklich passiert:

Der für den Linux-Kernel 2.6 verantwortliche Linux-Entwickler Andrew Morton will das Oracle Cluster File System in der Version 2 möglichst bald in den offiziellen Linux-Kernel aufnehmen. Schon Linux 2.6.14 könnte das OCFS 2 enthalten und wäre dann die erste Cluster-Komponente im offiziellen Linux-Kernel.

Den bisherige Clusterfilesysteme kranken gerade unter der fehlenden Integration - meist kann man sie eben nicht in jeder Kernelversion benutzen. Für mich interessant ist natürlich noch wie selbstständig die Knoten wirklich sind und ob es auch beim Oracle Cluster Filesystem einen single point of failure gibt, wie in es z.B. der Lockingdaemon bei OpenGFS ist. Bisher waren wir in der Firma nicht sehr erfolgreich in der Evaluierung von Clusterfilessystemen, eigentlich waren alle irgendwie dämlich ...

The Hidden Boot Code of the Xbox

In The Hidden Boot Code of the Xbox schreiben die X-Box-Linux-Programmierer wie der Sicherheitscode der X-Box aufgebaut ist und wie Microsoft in 512 Byte Code gleich 3 Fehler eingebaut hat. Lots of kindergarten security mistakes. - wie Bruce Schneier es nennt.

Schön ist auch das Fazit des Artikels:

So with the first version of the MCPX, Microsoft was too naive and apparently did not understand basic security concepts. After they had learnt their lesson, they designed a pretty good system with the second version of the MCPX - but the implementation still contained at least three security holes (Visor, MIST, TEA). They were too fast releasing a new version of the MCPX, spending a lot of money in trashing tons of already manufactured MCPX chips and manufacturing updated ones, apparently without any further code audit which should have revealed the security holes.

512 bytes is a very small amount of code (it fits on a single sheet of paper!), compared to the megabytes of code contained in software like Windows, Internet Explorer or Internet Information Server. Three bugs within these 512 bytes compromised the security completely - a bunch of hackers found them within days after first looking at the code. Why hasn't Microsoft Corp. been able to do the same? Why?

Genau. Wieso kriegt Microsoft sowas nicht hin? Wieso fällt gerade Microsoft immer wieder bei Security dermaßen auf die Schnauze? Und kommt mir jetzt nicht mit der albernen Ausrede das die Bugs bei Microsoft nur deshalb so schnell gefunden werden weil das so viele User benutzen - das sind hier banalste Grundlagenkenntnisse die erforderlich wären. Das ist einfach nur schlampig.

Und nun, Herr McBride?

Shit hits Fan für SCO:

A: There was a release of SCO LinuxWare release 7.1.2 that included the Linux kernel personality and SCO Linux-release 7.1.3 included the Linux kernel personality. At first when it first shipped it did include the Linux kernel packages which were subsequently removed.

Find ich schon irgendwie passend, wenn SCO erwischt wird das es selber den Linux-Kernel - der ja immerhin unter GPL steht - in ihren Produkten zumindestens zeitweilig benutzt und mit ihnen ausgeliefert haben. Könnte mit ein Grund sein, warum sie jetzt versuchen die GPL als unamerikanisch und nicht verfassungskonform zu denunzieren

Man reiche Darl McBride die Frog Pills

denn jetzt dreht er völlig ab:

Im Einzelnen zählt McBride zehn Punkte auf, die für SCO und gegen Linux sprechen. So sei der OpenServer wesentlich preiswerter als Linux-Systeme, die mit versteckten Jahreslizenzen arbeiten, habe einen überlegenen Kernel und biete wesentlich höhere Sicherheit als Linux-Systeme, bei denen Sicherheitslücken wochenlang offen bleiben würden. Mehrfach betont McBride, dass seine Firma Eigentümer von Unix ist und aus diesem Grunde höheres Vertrauen bei der Kundschaft besitze. Außerdem sorge SCO als Eigentümer dafür, dass es keine Absplitterungen inkompatibler Systemvarianten gebe.

Selten einen so kompakten Block von Bullshit gesehen

man lernt doch nie aus

Ich hab ja bisher gedacht ich würde die meisten Tricks von ssh drauf haben. Aber ich bin dann doch mal über einen gestolpert, der banal und simpel ist, mir aber noch nicht bekannt war: die Option ProxyCommand. Mit dieser Option kann man für einen angegebenen Host einen Tunnel definieren der aufgebaut wird, bevor die eigentliche Verbindung gemacht wird. Mit dem Programm nc (Netcat) auf dem Rechner eins vor dem Zielsystem kann man sich damit wunderbar durch eine Kette von Firewalls tunneln, vor allem wenn man mit Auth-Forwarding arbeitet. Einfach in der .ssh/config einen Bereich ähnlich diesem einbauen:


 Host safe
 Protocol 2
 User me
 HostName 192.168.0.42
 ProxyCommand ssh door nc -q 0 safe 22

Hier wird jetzt einfach bei ssh safe intern mittels ssh door eine Verbindung zum Rechner door aufgebaut und dann dort eine Netcat-Verbindung zum ssh-Daemon auf dem eigentlichen Zielrechner safe erstellt. Das ganze kann man auch über mehrere ssh Hops wunderbar nutzen um dann direkt zwischen zwei Systemen durch eine Kette von Firewalls Files zu transportieren. ssh ist schon genial, wenns das nicht gäbe müsste man es glatt erfinden

(in meinem Fall brauchte ich das für darcs - das kann nämlich nur über ssh Repositories pushen)

Ciscos Kundenpasswörter sind weg - das ist so peinlich, das tut schon richtig weh. Oha. Und das Cisco.

Django, Apache and FCGI

In Django, lighttpd and FCGI, second take I described a method how to run Django with FCGI behind a lighttpd installation. I did run the Django FCGIs as standalone servers so that you can run them under different users than the webserver. This document will give you the needed information to do the same with Apache 1.3.

Update: I maintain my descriptions now in my trac system. See the Apache+FCGI description for Django.

Update: I changed from using unix sockets to using tcp sockets in the description. The reason is that unix sockets need write access from both processes - webserver and FCGI server - and that's a bit hard to setup right, sometimes. tcp sockets are only a tad bit slower but much easier to set up.

First the main question some might ask: why Apache 1.3? The answer is simple: many people still have Apache 1.3 running as their main server and can't easily upgrade to Apache 2.0 - for example if they run large codebases in mod perl or mod python they will run into troubles with migrating because Apache 2.0 will require mod perl2 or mod python2 and both are not fully compatible with older versions. And even though lighttpd is a fantastic webserver, if you already run Apache 1.3 there might just not be the need for another webserver.

So what do you need - besides the python and django stuff - for Apache 1.3 with FastCGI? Just the mod rewrite module and mod fastcgi module installed, that's all. Both should come with your systems distribution. You will still need all the python stuff I listed in the lighttpd article.

mod_fastcgi is a bit quirky in it's installation, I had to play a bit around with it. There are a few pitfalls I can think of:

  • the specification of the socket can't be an absolute path but must be a relative path with respect to the FastCgiIpcDir
  • the specification of the FCGI itself (even though it's purely virtual) must be in a fully qualified form with respect to the document root you want to use. If you use a relative path, it will be relative to the document root of the default virtual host - and that's most surely not the document root you will use if you want to set up a virtual host with the FCGI.
  • the FCGI itself can't be defined within a virtual host - it must be defined in the main server config. That's where the relative addressing problem comes into play.
  • the socket file must be both readable and writeable by the FCGI user and the Apache user. Usually you do this by changing the socket file to group writeable and changing the group of that socket file to a group where both the user and the apache are members of.

Now here is the config snippet you have to add to your httpd.conf. I use the same directories as with the lighttpd sample, you most surely will have to adapt that to your situation.


 FastCgiExternalServer /home/gb/work/myproject/publichtml/admin.fcgi -host 127.0.0.1:8000
FastCgiExternalServer /home/gb/work/myproject/publichtml/main.fcgi -host 127.0.0.1:8001

 <VirtualHost *> ServerAdmin gb@bofh.ms
 Servername www.example.com
 ErrorLog /home/gb/work/myproject/logs/django-error.log
 CustomLog /home/gb/work/myproject/logs/django-access.log combined
 DocumentRoot /home/gb/work/myproject/public_html
 RewriteEngine On
 RewriteRule ^(/admin/.)$ /admin.fcgi$1 [L]
 RewriteRule ^(/main/.)$ /main.fcgi$1 [L]
 </VirtualHost> ```

You have to allow the webserver write access to the logs directory, so you might want to use a different location for them - possibly in `/var/log/apache/ `or whereever your apache puts it's logs. The FastCgiExternalServer directives must be outside of the virtual host definitions, but must point to files within the virtual hosts document root. But those files needn't (and probably shouldn't) exist in the filesystem, they are purely virtual. The given setup reflects the setup I did for the lighttpd scenario.

Now restart your apache, start your django-fcgi.py and you should be able to access your django application. Keep in mind to copy the admin_media files over to the document root, otherwise your admin will look very ugly.

django-fcgi.py --settings=myproject.settings.main --host=127.0.0.1 --port=8000 --daemon django-fcgi.py --settings=myproject.settings.admin --host=127.0.0.1 --port=8001 --daemon


Have fun.

Das Äquivalent zum Apple FileSafe unter Linux: Automatically mount dm-crypt encrypted home with pam_mount. Gerade für Notebooks sehr sinnvoll, aber auch bei Arbeitsplatzrechnern von Administratoren (wegen der vielen sicherheitsrelevanten Files die sich so im Homeverzeichnis ansammeln).

Wer sich mal mit grösserer Erlang-Software beschäftigen möchte und einen Jabber-Server ausprobieren will, für den ist vielleicht ejabberd interessant - ein Jabber-Server der all die netten Features von Erlang ausnutzt um zum Beispiel einfaches Clustering und gute Datenverteilung zu bieten.

Und noch einer Linux-auf-Mac Story. Diesmal ein iBook und Gentoo. Für eine kleine und preiswerte Linux-Kiste für Unterwegs ganz brauchbar.

Die Linux on an Apple Powerbook HOWTO liefert genau das was ich bräuchte, wenn ich mein 12" Powerbook auf Linux umstellen wollen würde - der Autor benutzt sogar genau mein Modell. Und nein, noch will ich nicht umsteigen

(Un)trusted platform Apple?

Da es gerade modern ist zu erklären das man switched, wenn Apple TPA - oder wie auch immer das Zeugs dann in Zukunft heissen mag - einsetzt: erstmal abwarten. Angucken was Apple macht und wie - Gerüchte gibts vorher immer.

Wenn dann tatsächlich TPA drin ist: Linux kann auch ein brauchbares System sein, auch wenn die Oberflächen ziemlich krank sind (wobei aktuelle XFCE-Versionen garnicht mal so übel aussehen) und wenn in Apple-Hardware eh kein PPC mehr drin steckt und man Linux draufpackt: da kann man auch sein Notebook bei IBM kaufen. Die haben nette Geräte die auch ganz hervorragend unter Linux funktionieren.

Und last but not least: nur weil neue Apple-Hardware anders ist verändert sich die schon gekaufte Hardware nicht - und die hält Apple-typisch meist ein paar Jahre länger. Und unter Linux wird mancher Mac sogar schneller als unter OS X

Zerospan scheint eine P2P-Software mit Verschlüsselung und Integration von Bonjour (ex-Rendevouz, ex-Zeroconf) zu sein. So richtig schlau werd ich nicht draus, denn der Download enhält keine Doku und das Wiki mit der Doku ist zur Zeit kaputt, daher mal geblogmarked um es mir später mal anzugucken.

Novell will SCO an den Kragen

Und ihre Betrachtungen über die Rechtslage würden - wenn sie denn vor Gericht Bestand haben - SCO wirklich eine empfindliche Schlappe verpassen.

Der ganze SCO-Linux-Film ist ja recht spannend, aber ganz ehrlich: die Längen zwischen den Actionszenen sind doch ein bischen übertriebn

Vom Umgang mit Security

Unter ISS geht gegen Veröffentlichung des Vortrags über Cisco-Schwachstellen vor findet man eine Beschreibung wie sich Cisco und ISS Sicherheit vorstellen: massive Eingriffe in die Äusserungsrechte eines Vortragenden auf der Black-Hat-Konferenz. Ok, der war Ex-Mitarbeiter von ISS und hat wohl Informationen genutzt die er nicht veröffentlichen sollte - aber genau diese hirnrissige Geheimniskrämerei ist es ja, die Sicherheit unterminiert - denn das die Angreifer dieses Wissen früher oder später erlangen ist garantiert - wenn Sicherheitslücken existieren, werden sie früher oder später gefunden. Findet Sie jemand der darüber öffentlich berichtet, kann man sich wenigstens dagegen wehren und Gegenmaßnahmen einleiten. Wird die Veröffentlichung unterdrückt, ist der Leidtragende letztendlich der Endanwender - der keine Möglichkeit bekommt sich überhaupt abzusichern - und sei es im Notfall durch Wechsel zu einem anderen Routerhersteller.

Von daher ist es in der Tat so: weder ISS noch Cisco machen damit ein gutes Bild in der Öffentlichkeit. Im Gegenteil, deren Zensurversuche sind eigentlich nur noch ein Argument bei zukünftigen Produktentscheidungen sich gegen Cisco zu entscheiden - denn man kann deren Sicherheitsaussagen ja ganz offensichtlich nicht trauen.

Sysadmins Day

Lisa9 zeigt wie man anständig einem Sysadmin huldigt! Sogar DAU-tauglich mit bebilderter Anleitung

Linux-VServer ist ein Kernel-Patch und ein Satz Utilities die es ermöglichen auf einer Basismaschine eine Reihe von virtuellen Linux-Kisten laufen zu haben deren Resourcen stark gegeneinander abgeschottet sind. chroot on steroids, oder am ehesten mit BSD Jails zu vergleichen. Interessant für Hosting-Projekte bei denen virtuelle Rootserver gefordert sind. Ist sogar in der aktuellen Debian drin.

Tor Network Status liefert eine Übersicht über Exit-Nodes im tor Netzwerk mit Trafficangaben, erlaubten Ports und IP-Daten. Nett. (gefunden über den Rabenhorst)

Django, lighttpd and FCGI, second take

In my first take at this stuff I gave a sample on how to run django projects behind lighttpd with simple FCGI scripts integrated with the server. I will elaborate a bit on this stuff, with a way to combine lighttpd and Django that gives much more flexibility in distributing Django applications over machines. This is especially important if you expect high loads on your servers. Of course you should make use of the Django caching middleware, but there are times when even that is not enough and the only solution is to throw more hardware at the problem.

Update: I maintain my descriptions now in my trac system. See the lighty+FCGI description for Django.

Caveat: since Django is very new software, I don't have production experiences with it. So this is more from a theoretical standpoint, incorporating knowledge I gained with running production systems for several larger portals. In the end it doesn't matter much what your software is - it only matters how you can distribute it over your server farm.

To follow this documentation, you will need the following packages and files installed on your system:

  • [Django][2] itself - currently fetched from SVN. Follow the setup instructions or use python setup.py install .
  • [Flup][3] - a package of different ways to run WSGI applications. I use the threaded WSGIServer in this documentation.
  • [lighttpd][4] itself of course. You need to compile at least the fastcgi, the rewrite and the accesslog module, usually they are compiled with the system.
  • [Eunuchs][5] - only needed if you are using Python 2.3, because Flup uses socketpair in the preforked servers and that is only available starting with Python 2.4
  • [django-fcgi.py][6] - my FCGI server script, might some day be part of the Django distribution, but for now just fetch it here. Put this script somewhere in your $PATH, for example /usr/local/bin and make it executable.
  • If the above doesn't work for any reason (maybe your system doesn't support socketpair and so can't use the preforked server), you can fetch [django-fcgi-threaded.py][7] - an alternative that uses the threading server with all it's problems. I use it for example on Mac OS X for development.

Before we start, let's talk a bit about server architecture, python and heavy load. The still preferred Installation of Django is behind Apache2 with mod python2. mod python2 is a quite powerfull extension to Apache that integrates a full Python interpreter (or even many interpreters with distinguished namespaces) into the Apache process. This allows Python to control many aspects of the server. But it has a drawback: if the only use is to pass on requests from users to the application, it's quite an overkill: every Apache process or thread will incorporate a full python interpreter with stack, heap and all loaded modules. Apache processes get a bit fat that way.

Another drawback: Apache is one of the most flexible servers out there, but it's a resource hog when compared to small servers like lighttpd. And - due to the architecture of Apache modules - mod_python will run the full application in the security context of the web server. Two things you don't often like with production environments.

So a natural approach is to use lighter HTTP servers and put your application behind those - using the HTTP server itself only for media serving, and using FastCGI to pass on requests from the user to your application. Sometimes you put that small HTTP server behind an Apache front that only uses mod proxy (either directly or via mod rewrite) to proxy requests to your applications webserver - and believe it or not, this is actually a lot faster than serving the application with Apache directly!

The second pitfall is Python itself. Python has a quite nice threading library. So it would be ideal to build your application as a threaded server - because threads use much less resources than processes. But this will bite you, because of one special feature of Python: the GIL. The dreaded global interpreter lock. This isn't an issue if your application is 100% Python - the GIL only kicks in when internal functions are used, or when C extensions are used. Too bad that allmost all DBAPI libraries use at least some database client code that makes use of a C extension - you start a SQL command and the threading will be disabled until the call returns. No multiple queries running ...

So the better option is to use some forking server, because that way the GIL won't kick in. This allows a forking server to make efficient use of multiple processors in your machine - and so be much faster in the long run, despite the overhead of processes vs. threads.

For this documentation I take a three-layer-approach for distributing the software: the front will be your trusted Apache, just proxying all stuff out to your project specific lighttpd. The lighttpd will have access to your projects document root and wil pass on special requests to your FCGI server. The FCGI server itself will be able to run on a different machine, if that's needed for load distribution. It will use a preforked server because of the threading problem in Python and will be able to make use of multiprocessor machines.

I won't talk much about the first layer, because you can easily set that up yourself. Just proxy stuff out to the machine where your lighttpd is running (in my case usually the Apache runs on different machines than the applications). Look it up in the mod_proxy documentation, usually it's just ProxyPass and ProxyPassReverse.

The second layer is more interesting. lighttpd is a bit weird in the configuration of FCGI stuff - you need FCGI scripts in the filesystem and need to hook those up to your FCGI server process. The FCGI scripts actually don't need to contain any content - they just need to be in the file system.

So we start with your Django project directory. Just put a directory public html in there. That's the place where you put your media files, for example the admin media directory. This directory will be the document root for your project server. Be sure only to put files in there that don't contain private data - private data like configs and modules better stay in places not accessible by the webserver. Next set up a lighttpd config file. You only will use the rewrite and the fastcgi modules. No need to keep an access log, that one will be written by your first layer, your apache server. In my case the project is in /home/gb/work/myproject - you will need to change that to your own situation. Store the following content as /home/gb/work/myproject/lighttpd.conf


 server.modules = ( "mod_rewrite", "mod_fastcgi" )
 server.document-root = "/home/gb/work/myproject/public_html"
 server.indexfiles = ( "index.html", "index.htm" )
 server.port = 8000
 server.bind = "127.0.0.1"
 server.errorlog = "/home/gb/work/myproject/error.log"

fastcgi.server = (
"/main.fcgi" => (
"main" => (
"socket" => "/home/gb/work/myproject/main.socket"
 )
 ),
"/admin.fcgi" => (
"admin" => (
"socket" => "/home/gb/work/myproject/admin.socket"
 )
 )
 )

url.rewrite = (
"^(/admin/.*)$" => "/admin.fcgi$1",
"^(/polls/.*)$" => "/main.fcgi$1"
 )

mimetype.assign = (
".pdf" => "application/pdf",
".sig" => "application/pgp-signature",
".spl" => "application/futuresplash",
".class" => "application/octet-stream",
".ps" => "application/postscript",
".torrent" => "application/x-bittorrent",
".dvi" => "application/x-dvi",
".gz" => "application/x-gzip",
".pac" => "application/x-ns-proxy-autoconfig",
".swf" => "application/x-shockwave-flash",
".tar.gz" => "application/x-tgz",
".tgz" => "application/x-tgz",
".tar" => "application/x-tar",
".zip" => "application/zip",
".mp3" => "audio/mpeg",
".m3u" => "audio/x-mpegurl",
".wma" => "audio/x-ms-wma",
".wax" => "audio/x-ms-wax",
".ogg" => "audio/x-wav",
".wav" => "audio/x-wav",
".gif" => "image/gif",
".jpg" => "image/jpeg",
".jpeg" => "image/jpeg",
".png" => "image/png",
".xbm" => "image/x-xbitmap",
".xpm" => "image/x-xpixmap",
".xwd" => "image/x-xwindowdump",
".css" => "text/css",
".html" => "text/html",
".htm" => "text/html",
".js" => "text/javascript",
".asc" => "text/plain",
".c" => "text/plain",
".conf" => "text/plain",
".text" => "text/plain",
".txt" => "text/plain",
".dtd" => "text/xml",
".xml" => "text/xml",
".mpeg" => "video/mpeg",
".mpg" => "video/mpeg",
".mov" => "video/quicktime",
".qt" => "video/quicktime",
".avi" => "video/x-msvideo",
".asf" => "video/x-ms-asf",
".asx" => "video/x-ms-asf",
".wmv" => "video/x-ms-wmv"
 )

I bind the lighttpd only to the localhost interface because in my test setting the lighttpd runs on the same host as the Apache server. In multi server settings you will bind to the public interface of your lighttpd servers, of course. The FCGI scripts communicate via sockets in this setting, because in this test setting I only use one server for everything. If your machines would be distributed, you would use the "host" and "port" settings instead of the "socket" setting to connect to FCGI servers on different machines. And you would add multiple entries for the "main" stuff, to distribute the load of the application over several machines. Look it up in the lighttpd documentation what options you will have.

I set up two FCGI servers for this - one for the admin settings and one for the main settings. All applications will be redirected through the main settings FCGI and all admin requests will be routed to the admin server. That's done with the two rewrite rules - you will need to add a rewrite rule for every application you are using.

Since lighttpd needs the FCGI scripts to exist to pass along the PATH_INFO to the FastCGI, you will need to touch the following files: /home/gb/work/myprojectg/public_html/admin.fcgi ``/home/gb/work/myprojectg/public_html/main.fcgi

They don't need to contain any code, they just need to be listed in the directory. Starting with lighttpd 1.3.16 (at the time of this writing only in svn) you will be able to run without the stub files for the .fcgi - you just add "check-local" => "disable" to the two FCGI settings. Then the local files are not needed. So if you want to extend this config file, you just have to keep some very basic rules in mind:

  • every settings file needs it's own .fcgi handler
  • every .fcgi needs to be touched in the filesystem - this might go away in a future version of lighttpd, but for now it is needed
  • load distribution is done on .fcgi level - add multiple servers or sockets to distribute the load over several FCGI servers
  • every application needs a rewrite rule that connects the application with the .fcgi handler

Now we have to start the FCGI servers. That's actually quite simple, just use the provided django-fcgi.py script as follows:


 django-fcgi.py --settings=myproject.work.main
 --socket=/home/gb/work/myproject/main.socket
 --minspare=5 --maxspare=10 --maxchildren=100
 --daemon

django-fcgi.py --settings=myproject.work.admin
 --socket=/home/gb/work/myproject/admin.socket
 --maxspare=2 --daemon

Those two commands will start two FCGI server processes that use the given sockets to communicate. The admin server will only use two processes - this is because often the admin server isn't the server with the many hits, that's the main server. So the main server get's a higher-than-default setting for spare processes and maximum child processes. Of course this is just an example - tune it to your needs.

The last step is to start your lighttpd with your configuration file: lighttpd -f /home/gb/work/myproject/lighttpd.conf

That's it. If you now access either the lighttpd directly at http://localhost:8000/polls/ or through your front apache, you should see your application output. At least if everything went right and I didn't make too much errors.

es gibt Tage da hasst mein Computer mich

Zum Beispiel wenn ich mit Flup spiele und statt des threaded Servers einen forked Server nehmen will. Und feststelle, das der dann aber die Funktion socketpair benötigt. Die aber dummerweise nur ab Python 2.4 verfügbar ist, welches zwar auf Debian Sarge da ist, aber dafür gibts in der Debian Sarge für Python 2.4 keinen Psycopg - welcher wiederum Voraussetzung für Django und PostgreSQL ist, weshalb ich mich überhaupt ja nur mit FastCGI beschäftige. PsycoPG selber installieren macht keinen Spaß, da man dafür nicht nur die PostgreSQL Header braucht, die normal installiert werden, sondern auch ein paar interne Header - also im Prinzip einen Build-Tree. Und dann braucht man noch die egenix-mx-base Header, die man nur für Python 2.3 kriegt, also müsste man das auch selber installieren. Backports aus der nächsten Debian geht auch nicht, da die gerade auf PostgreSQL 8.0 umbauen und Sarge ja noch 7.4 benutzt und ich nicht gleich das ganze System upgraden wollte. Und so dreht man sich im Kreis und kommt sich leicht verarscht vor vor lauter Abhängigkeiten und Versionskonflikten.

Und was macht man also als Lösung, weil der threaded Server dummerweise nur Segfaults im Psycopg produziert? Man nimmt den threaded Server, verbietet ihm das threaden und startet ihn über den spawn-fcgi vom lighttpd, oder direkt vom lighttpd. Was aber irgendwie auch wieder dämlich ist, da dann immer pro FCGI-Server 3 Threads rumgammeln, von denen 2 nur in der Prozessliste stehen und nix zu tun haben. Und das alles nur weil mod python2 (was für Django gebraucht wird) Apache2 voraussetzt, der wiederum mod perl2 voraussetzt, welches inkompatibel zum alten mod perl ist, weshalb bei mir eine ganze Reihe von meinen Sites nicht mehr laufen würden, würde ich auf Apache2 umstellen. Was ich eh nicht will, weil Apache2 mit mod python arschlangsam ist. Und schon wieder verarscht worden. Ich hätte mir echt einen sinnvolleren Beruf suchen sollen.

Wer nix kapiert hat: macht nix, ist Technik, ist nicht wichtig, wollte das einfach nur mal gesagt haben.

Running Django with FCGI and lighttpd

Diese Dokumentation ist für einen grösseren Kreis als nur .de gedacht, daher das ganze in Neuwestfälisch Englisch. Sorry. Update: I maintain the actually descriptions now in my trac system. See the FCGI+lighty description for Django. There are different ways to run Django on your machine. One way is only for development: use the django-admin.py runserver command as documented in the tutorial. The builtin server isn't good for production use, though. The other option is running it with mod_python. This is currently the preferred method to run Django. This posting is here to document a third way: running Django behind lighttpd with FCGI.

First you need to install the needed packages. Fetch them from their respective download address and install them or use preinstalled packages if your system provides those. You will need the following stuff:

  • [Django][2] itself - currently fetched from SVN. Follow the setup instructions or use python setup.py install .
  • [Flup][3] - a package of different ways to run WSGI applications. I use the threaded WSGIServer in this documentation.
  • [lighttpd][4] itself of course. You need to compile at least the fastcgi, the rewrite and the accesslog module, usually they are compiled with the system.

First after installing ligthttpd you need to create a lighttpd config file. The configfile given here is tailored after my own paths - you will need to change them to your own situation. This config file activates a server on port 8000 on localhost - just like the runserver command would do. But this server is a production quality server with multiple FCGI processes spawned and a very fast media delivery.


 # lighttpd configuration file
 #
 ############ Options you really have to take care of ####################

server.modules = ( "mod_rewrite", "mod_fastcgi", "mod_accesslog" )

server.document-root = "/home/gb/public_html/"
 server.indexfiles = ( "index.html", "index.htm", "default.htm" )

 these settings attch the server to the same ip and port as runserver would do

server.errorlog = "/home/gb/log/lighttpd-error.log"
 accesslog.filename = "/home/gb/log/lighttpd-access.log"

fastcgi.server = (
"/myproject-admin.fcgi" => (
"admin" => (
"socket" => "/tmp/myproject-admin.socket",
"bin-path" => "/home/gb/public_html/myproject-admin.fcgi",
"min-procs" => 1,
"max-procs" => 1
 )
 ),
"/myproject.fcgi" => (
"polls" => (
"socket" => "/tmp/myproject.socket",
"bin-path" => "/home/gb/public_html/myproject.fcgi"
 )
 )
 )

url.rewrite = (
"^(/admin/.*)$" => "/myproject-admin.fcgi$1",
"^(/polls/.*)$" => "/myproject.fcgi$1"
 )

This config file will start only one FCGI handler for your admin stuff and the default number of handlers (each one multithreaded!) for your own site. You can finetune these settings with the usual ligthttpd FCGI settings, even make use of external FCGI spawning and offloading of FCGI processes to a distributed FCGI cluster! Admin media files need to go into your lighttpd document root.

The config works by translating all standard URLs to be handled by the FCGI script for each settings file - to add more applications to the system you would only duplicate the rewrite rule for the /polls/ line and change that to choices or whatever your module is named. The next step would be to create the .fcgi scripts. Here are the two I am using:


 #!/bin/sh
 # this is myproject.fcgi - put it into your docroot

export DJANGOSETTINGSMODULE=myprojects.settings.main

/home/gb/bin/django-fcgi.py


 #!/bin/sh
 # this is myproject-admin.fcgi - put it into your docroot

export DJANGOSETTINGSMODULE=myprojects.settings.admin

/home/gb/bin/django-fcgi.py

These two files only make use of a django-fcgi.py script. This is not part of the Django distribution (not yet - maybe they will incorporate it) and it's source is given here:


 #!/usr/bin/python2.3

def main():
 from flup.server.fcgi import WSGIServer
 from django.core.handlers.wsgi import WSGIHandler
 WSGIServer(WSGIHandler()).run()

if name == 'main':
 main()

As you can see it's rather simple. It uses the threaded WSGIServer from the fcgi-module, but you could as easily use the forked server - but as the lighttpd already does preforking, I think there isn't much use with forking at the FCGI level. This script should be somewhere in your path or just reference it with fully qualified path as I do. Now you have all parts togehter. I put my lighttpd config into /home/gb/etc/lighttpd.conf , the .fcgi scripts into /home/gb/public_html and the django-fcgi.py into /home/gb/bin . Then I can start the whole mess with /usr/local/sbin/lighttpd -f etc/lighttpd.conf . This starts the server, preforkes all FCGI handlers and detaches from the tty to become a proper daemon. The nice thing: this will not run under some special system account but under your normal user account, so your own file restrictions apply. lighttpd+FCGI is quite powerfull and should give you a very nice and very fast option for running Django applications. Problems:

  • under heavy load some FCGI processes segfault. I first suspected the fcgi library, but after a bit of fiddling (core debugging) I found out it's actually the psycopg on my system that segfaults. So you might have more luck (unless you run Debian Sarge, too)

  • Performance behind a front apache isn't what I would have expected. A lighttpd with front apache and 5 backend FCGI processes only achieves 36 requests per second on my machine while the django-admin.py runserver achieves 45 requests per second! (still faster than mod_python via apache2: only 27 requests per second) Updates:

  • the separation of the two FCGI scripts didn't work right. Now I don't match only on the .fcgi extension but on the script name, that way /admin/ really uses the myproject-admin.fcgi and /polls/ really uses the myproject.fcgi.

  • I have [another document online][6] that goes into more details with regard to load distribution

Apache modauthtkt ist ein Framework für Single-Signon in Apache-basierten Lösungen über Technikgrenzen (CGI, mod_perl und was sonst noch so existiert) hinweg. Müsste ich mir mal angucken, könnte für mich interessant sein.

SCO stolpert über die eigenen Füsse

Zumindestens scheint es so wenn es eine eMail über No 'smoking gun' in Linux code gibt.

The e-mail, which was sent to SCO Group CEO Darl McBride by a senior vice president at the company, forwards on an e-mail from a SCO engineer. In the Aug. 13, 2002, e-mail, engineer Michael Davidson said "At the end, we had found absolutely nothing ie (sic) no evidence of any copyright infringement whatsoever."

Die Mail ist schon länger bekannt, aber jetzt erst veröffentlicht worden - vorher war sie als Teil der Gerichtsunterlagen noch unter Verschluss. Schon peinlich für SCO wenn so nach und nach die ganzen traurigen Details zum Vorschein kommen. Vor allem peinlich: SCO argumentiert mit dem gleichen Consultant der wohl hier nix gefunden hat aber vorher mal behauptet hat es gäbe gleichen Code. Irgendwie sollte SCO mal so langsam die Argumentation auf die Reihe bringen, sonst bringts das ganze Gelüge und Erpressen auf Dauer nicht ...

Kaum mit sauberen Mitteln

kann die Übergabe der .net Registrator an VeriSign abgegangen sein, wenn man sich ansieht wie ICANN unter VeriSigns Knute ist:

VeriSign kann ab 1. Januar 2007 nach Belieben die Preise der .net-Adressen erhöhen. Außerdem sicherte ihnen die Internet Corporation for Assigned Names and Numbers (ICANN) eine automatische Verlängerung der Laufzeit nach sechs Jahren zu.

Wer jetzt noch glaubt das da kein Geld geflossen ist, dem verkaufe ich gerne ne Waschmaschine mit Gummibandantrieb ...

Microsoft liebt SpyWare

Jedenfalls klassifiziert Microsoft diese jetzt anders:

Demnach empfiehlt das Programm seit dem Update von Ende März, verschiedene als mäßig gefährlich klassifizierte Claria-Produkte ebenso wie solche der Spywareschmieden WhenU und 180solutions zu ignorieren.

Sorry, aber Nachrichten aufpoppende Hintergrundprogramme sind grundsätzlich abzulehnen, dabei interessiert mich auch nicht die Bohne welche Samtpfotenargumentationen die Hersteller dieses Mülls sich einfallen lassen.

Sorry, aber ein Hersteller von Betriebssystemsoftware der mit einer Anti-Spyware-Prüfung solchen Schrott nicht als zu deinstallieren vorschlägt ist schlichtweg unglaubwürdig.

macminicolo Mac Mini colocation - eigene Mac Mini in Datacenter aufstellen. Gibts sowas auch in Deutschland?

Plash: the Principle of Least Authority shell

Interessantes Konzept: Plash ist eine Shell die Programmen eine Library unterschiebt über die alle Zugriffe auf das Filesystem schicken. Dadurch kann man kontrollieren welche Funktionen ein Programm wirklich ausführen darf. Das dient diesmal nicht dem Schutz vor Aktivitäten des Benutzers, sondern dem Schutz des Benutzers vor Aktivitäten des Programms. Gerade wenn man Programme installiert die man nicht kennt kann man unter Umständen sich Trojaner einfangen - Plash hilft da, indem man explizit nur die Bereiche der Platte für das Programm freischaltet, die dieses auch braucht.

Dazu werden alle Zugriffe auf das Dateisystem intern über einen eigenen Miniserver geroutet - das eigentliche Programm wird unter einem frisch allozierten Benutzer in einem eigenen chroot-Jail ausgeführt, hat also gar keine Chance irgendwas ausserhalb zu machen das nicht explizit erlaubt wird.

Sehr interessantes Konzept, vor allem für Systemadministratoren. Funktioniert leider (erwartungsgemäß) nicht mit grsecurity zusammen - klar, grsecurity soll ja gerade einige der in Plash verwendeten Tricks genau verhindern helfen. In diesem Fall scheitert es an der Anforderung von executable Stack.

Boot KNOPPIX from an USB Memory Stick - vielleicht eine Alternative zu spblinux, speziell mit der c't-Knoppix-Variante?

SPB-Linux ist ein sehr kleines Linux das man von einem USB-Memory-Stick booten kann und mit diversen Erweiterungen (X, Mozilla, XFCE Desktop) aufgewertet werden kann. Müsste man auch relativ leicht um diverse Systemadmin-Tools erweitern können.

Spyce ist ein Webframework in Python mit verdammt guter Performance: eine einfache Seite mit einem Template hinterlegt bringt auf meiner Kiste über 90 Hits pro Sekunde (Spyce über mod_python in den Apache integriert, Memory-Cache). Take that, PHP!

Manchmal treibt mich DarwinPorts zur Verzweiflung

Zum Beispiel wenn ich ghc (einen Haskell-Compiler) installieren will, aber der als erstes mal Perl 5.8 installieren will. Als ob ich unter Tiger nicht schon ein durchaus brauchbares Perl 5.8.6 auf der Platte hätte, nein, die DarwinPorts wollen eigene Versionen davon. Und dann hab ich je nach Pfadeinstellung mal das Apple-Perl oder eben das von DarwinPorts aktiv. Ziemlich dämlich - ich finde da müssten in die DarwinPorts Pseudopakete rein, die dann auf die vorinstallierten Versionen von Apple verweisen.

Das macht ganz besonders dann Probleme, wenn man selber auch Pakete so von Hand installiert. Denn dann wird teilweise das über den Pfad erreichbare Perl genommen - und mit aktiven DarwinPorts ist das halt das dort. Was aber absolut nicht der gewünschte Effekt ist - schliesslich ist das Perl in diesem Fall nur deshalb reingekommen, weil der Port für ghc eine build-dependency hat. Ich will aber garnicht das DarwinPorts Perl benutzen ...

Aus dem gleichen Grund sind die ganzen Python und Ruby Module in DarwinPorts IMHO unbrauchbar: sie ziehen automatisch eine neue Installation von Python und Ruby nach sich und nutzen nicht die vorinstallierte Version. Selten dämlich ...

Im Ergebnis kann man DarwinPorts auf einer OS X Kiste nur für gut isolierte Tools benutzen - was aber irgendwie schade ist, denn die Idee und die Umsetzung an sich ist ziemlich klasse. Nur wird halt zu wenig Rücksicht auf die schon installierten Sachen genommen.

ghc hab ich übrigens einfach über das Binary-Paket von haskell.org installiert. Da steht zwar das sei für 10.3, tuts aber auch mit 10.4 - jedenfalls das was ich damit mache. Und erspart mir das ganze Zeugs zu builden.

SSL-VPN mit Browsersteuerung

Kollege hat ein ziemlich geniales Teil gefunden: SSL Explorer, ein kleiner https-Server der mit einem Java-Applet im Browser zusammen ein VPN realisiert. Und zwar werden beim Appletstart (der bestätigt werden muss, da das Applet zusätzliche Fähigkeiten braucht) Tunnelverbindungen über https aufgebaut und darüber dann diverse Anwendungen integriert. Zum Beispiel kann man dann per Klick auf einen Link eine VNC-Verbindung zu einem internen Server aufbauen, oder über Webformulare im lokalen Windows-Netz browsen, Files transferieren oder z.B. per SSH auf Linux-Server hinter der Firewall zugreifen. Und das ganze funktioniert mit einem einfachen Java-fähigen Webbrowser - ich habs zum Beispiel mit dem Safari getestet, klappt problemlos. Ganz ohne extra zu installierende Client-Software. Ideal für Roaming-User die nicht immer ein eigenes Gerät mit dabei haben.

Achso, und das ganze ist dann auch noch unter der GPL.

Hardened-PHP project

Keine Ahnung wie gut das wirklich ist, aber das Hardened-PHP Projekt klingt schon mal ganz nett. Gerade durch die hohe Verbreitung von PHP für Webanwendungen ist es ein zentraler Einbruchsweg in Server. Sollte ich mir mal auf die ToDo-Liste schreiben.

Quengelköppe und Open Source

IT-Entscheider fordern in einem offenen Brief mehr Konzentration auf die ihnen wichtigen Bereiche:

In einem offenen Brief an "die" Open-Source-Community haben IT-Entscheider aus verschiedenen Bereichen dazu aufgefordert, sich mehr an den tatsächlichen Bedürfnissen von Nutzern aus dem Unternehmensbereich zu orientieren.

Ich finds ja immer wieder faszinierend mit welcher Dreistigkeit manche Menschen Forderungen an freiwillige Arbeit stellen, um dann diese für eigene Zwecke zu nutzen. Die einen fordern die Abschaffung der GPL, weil ihnen die Bedingungen nicht passen, die nächsten fordern die Konzentration auf den Desktop, weil sie halt was als Alternative zu Microsoft wollen, andere fordern mehr Konzentration auf Hochleistungsserver, weil ihnen SUN-Maschinen mit Solaris oder IBM-Server mit AIX zu teuer sind.

Komischerweise höre ich aber immer nur in offenen Briefen irgendwelche Forderungen - es wäre aber wesentlich sinnvoller schlicht und einfach das entsprechende Projekt finanziell und mit Manpower zu unterstützen. Aber das wäre ja eigene Leistung, das will man ja gerade vermeiden. Dazu passen dann auch Forderungen nach besserem Support und bessere Dokumentation - beides Sachen, die Firmen ohne weiteres selber auf die Beine stellen könnten. Aber man ist sich da zu fein zu.

Sorry, aber für mich klingen solche offenen Briefe an Open Source Entwickler immer wie quengelige kleine Kinder, die unbedingt ein Eis wollen.

Sorry, Leute, aber so läuft das nicht. Ein grosser Teil der Open Source Community besteht eben noch aus Hackern und begeisterten Amateuren und Fricklern. Das produziert oftmals grosse Scheisse und immer wieder mal geniale Lösungen. Und es produziert eben nur das, wozu die Leute Lust haben - wenn Dokumentation schreiben für jemanden langweilig und nervig ist, wird er seine Freizeit nunmal nicht darauf verwenden.

You have an itch? Scratch it. Yourself.

Shit hits Fan

Denn der Scharfe Internet-Explorer-Exploit der jetzt veröffentlicht wurde sollte selbst Microsoft klarmachen das ihre Haltung zum jüngsten Loch im IE ein bischen extrem blauäugig war. Sie hätten wohl doch besser statt eines simplen Advisories gleich einen Patch rausgeben sollen. Am besten einen Patch der gleich den ganzen IE beseitigt ...

Microsoft lernts nie

Fehler im Internet Explorer mit ungewissen Folgen:

Microsoft kann laut Bernhard Müller von SEC Consult zwar ebenfalls die Abstürze nachvollziehen, sieht aber keine Gefahr, dass fremder Code zur Ausführung kommen könnte. Deshalb wolle Microsoft zwar demnächst die Behandlung von COM-Objekten robuster gestalten, aber kein Sicherheits-Update herausgeben.

Es geht um einen Crash der harten Art - in direktem Maschinencode. Jeder der nur rudimentäre Ahnung von sowas hat weiss, das es sich dabei um ein potentielles Einfallstor für Schadcode handelt - passend gesetzte Daten für den Crash und man hat unter Umständen einen Durchmarsch in das System. Aber Microsoft sieht keine Gefahr ...

Wer mal wieder lachen will ...

Study Shows Windows Beats Linux on Security - diesmal hat sich Microsoft die gewünschten Ergebnisse von der Firma Wipro gekauft. Genauso hanebüchen wie frühere Versuche in die gleiche Richtung. Enthält dann so Perlen wie:

“We already know how to secure a Windows-based solution and keep it running smoothly,” says Stephen Shaffer, the airline’s director of software systems. “With Linux, we had to rely on consultants to tell us if our system was secure. With Windows, we can depend on Microsoft to inform us of and provide any necessary updates.”

Sorry, aber jetzt mal ganz ernsthaft: wenn mir mein IT-Leiter erzählt das er sich bei der Sicherheit seiner Systeme auf Microsoft verlässt, wär das für mich ein Grund den Typen schnellstmöglich zu feuern

WordPress 1.5.1.3

WordPress 1.5.1.3 hat einen wichtigen Security-Fix. Also mindestens das xmlrpc.php aus dem Release übernehmen.

CardSystems Exposes 40 Million Identities

Bruce Schneier mit einigen Überlegungen und möglichen Forderungen zum kürzlichen Sicherheitsdebakel bei einem grossen amerikanischen Kreditkartenauthorisierer. Scheinbar hätten die Daten überhaupt nicht auf deren System gewesen sein dürfen - aufgrund der hohen Ansprüche die Kreditkartenunternehmen (zumindestens in den Unterlagen) an Authorisierer stellen, müsste eigentlich Card Systems rausfliegen bei Mastercard und Visacard.

Microsofts Allmachtsphantasien

Microsoft will Sender ID erzwingen:

Nun will Microsoft das System offenbar im Alleingang durchsetzen, denn demnächst sollen alle E-Mails an Hotmail-Nutzer, die ohne Sender ID kommen, für die Hotmail-Nutzer sichtbar markiert und damit als potenzieller Spam ausgewiesen werden.

Toll. Ganz grosse Strategie. Die Workinggroup wurde aufgelöst weil es keine Einigung geben konnte weil die Patentsituation bei Sender-ID nicht gelöst wurde von Microsoft - und jetzt will Microsoft das ganze einfach mal wieder erzwingen.

Ich denke aber mal das in diesem Fall Microsoft sich ins eigene Fleisch schneidet: es gibt längst deutlich bessere Webmaildienste, die auch deutlich besser in der Netzgemeinde mitspielen. Hotmail hat lange nicht mehr die Bedeutung die es noch vor dem Verkauf an Microsoft mal hatte. Von daher ist meine Prognose das sich nicht sonderlich viele von diesem Schritt beeindrucken lassen. Leidtragende sind eh die Hotmail-User und evtl. deren Korrespondenten, die eben auf einem dann noch minderwertigeren Maildienst hocken als sowieso schon ...

OXlook - Open-XChange verbindet sich mit Outlook - geblogmarkt für die Firma. Don't ask ...

Wieder eine gefärbte Studie von Microsoft

Studie: Sicherheitsupdates bei Windows kostengünstiger als bei Open Source - nichts neues, nur eine weitere von Microsoft bezahlte und daher im Ergebnis vorher festgelegte Studie ohne jeden Wert. Interessant an den Studien ist nur der Name des jeweiligen Unternehmens was die Studie macht - das kann man dann auf die Korruptionsliste schreiben und sich merken, falls man selber mal irgendwelche Aussagen mit gefälschten und gefärbten Studien untermauern muss ...

Ansonsten? Naja, die Standardfehler halt. Erstmal keine wirklichen Belege, sondern eine nicht näher spezifizierte Liste von Unternehmen die gefragt wurden was sie dazu meinen (im Gegensatz zu Erhebung von harten Fakten). Und natürlich die Gleichsetzung von Red Hat mit Linux - was an sich schon grober Unfug ist.

Aus persönlicher Erfahrung mit beiden Systemen kann ich sagen das unsere Debian GNU/Linux Systeme wesentlich einfacher auf aktuellem Stand zu halten sind und damit beim Patchen wesentlich billiger sind als die Windows-Kisten. Und das obwohl beide dazu ihre integrierten Update-Mechanismen über das Netz nutzen (und für unsere Windows-Systeme sogar Betankungsplätze und interne Update-Server existieren). Aber mich fragt man für so eine Studie ja auch nicht - ich würd ja nicht ins von Microsoft bezahlte Bild passen ...

Tunnelblick - GUI for OpenVPN on the Mac

Tunnelblick ist eine grafische Benutzeroberfläche für OpenVPN auf dem Mac. Das schöne: die neuesten Installer kommen gleich mit OpenVPN zusammen. Wer also bei sich OpenVPN als Infrastruktur laufen hat und auch Macs reinhängen muss – das ist jetzt einfach wie nie zuvor. Und anbetracht der Tatsache das OpenVPN eine der nettesten Open Source VPN Lösungen ist, lohnt es sich sogar da mal reinzugucken wenn man noch am Überlegen ist auf welche VPN-Lösung man setzen will.

ICANN als Erfüllungsgehilfe für VeriSign-Monopolansprüche

Bei Heise: .net-Registry: And the winner is ... VeriSign!. Ja, genau der Laden der sich mit dem Wildcard-A-Record auf .com und .net so beliebt hat und der immer wieder sich dadurch hervorgetan hat das er sich nicht an Absprachen hielt und vorpreschte bevor ICANN oder andere zentrale Gremien auch nur eine Basis für das geschaffen haben wo sie vorpreschten (zum Beispiel bei den internationalen Domains) und dadurch immer wieder Probleme gemacht hat, genau der Laden der sich garnicht für eine demokratischere Regulierung des Internet interessiert und sowieso nur auf Monopolkurs ist, genau der Laden bekommt vom ICANN den Zuschlag. Kein Wunder - die Konkurrenten waren keine amerikanischen Unternehmen und wie ICANN zu nicht-amerikanischen Bestrebungen (und eventueller Mehrbeteiligung der Internet-Nutzer) steht hat man ja bei der Demontage der regionalen gewählten Vertreter gesehen.

VS Vertraulich nfD und Outlook?

Laut Heise: cryptovision sichert Bundeswehr-Mails - ein Grund war, das deren Plugin mit Outlook und Notes zusammen arbeitet. Hallo? Die wollen vertrauliche und eingeschränkte Informationen über ein Cryptoplugin verschlüsseln, aber benutzen dann Outlook? Da können die sich doch das Verschlüsseln auch sparen, der nächste Wurm schickt den Inhalt des Eingangskorbes doch eh in alle Welt ...

Teufelsgrinsen

Systemupgrade auf simon.bofh.ms

Da ich irgendwo eine Debian 3.0 auf 3.1 upgraden muss um mal damit Erfahrungen für die Firma zu sammeln, nehme ich einfach meinen eigenen Server. Kann also sein das hier in der nächsten Zeit einiges durcheinander geht oder einem Sachen um die Ohren fliegen. You have been warned

Systemupgrade simon.bofh.ms Part 2

Ok, der Systemupgrade ist im Prinzip durch. Verluste soweit nur das Mailinglistensystem - allerdings das auch hauptsächlich weil ich einfach kein Interesse mehr daran habe es zu betreiben. Im Prinzip war es komplett aktualisiert, ich habs dann einfach nur rausgeworfen weil ich mit dem Teil nichts weiter machen will - war nur eine Liste drin. Und auch sonst ist hauptsächlich alter Schrott rausgeflogen.

Allerdings muss ich nach zwei Systemupgrades sagen, das ich nicht so wirklich begeistert vom Upgrade dieses mal bin - es zeigt sich schon das Problem des extrem langen Release-Zyklus. Der erste Upgrade lief noch ziemlich problemlos durch - die betreffende Maschine war aber auch eine Maschine die schon auf Sarge lief, nur halt auf einer alten Version aus Testing und nicht die aktuelle Stable. Der Upgrade machte keinerlei Probleme.

Der zweite Upgrade war aber eben simon.bofh.ms - einer Maschine die in weiten Teilen noch auf Stable war, mit einer ganzen Reihe von Backports (selbst gemachte und aus dem Netz). Letzteres ist natürlich das eigentliche Problem - weil die Releasezyklen sehr lang sind, ist es oft mals notwendig sich selber Pakete zu installieren. Der Debian-Upgrade-Mechanismus sollte damit trotzdem klar kommen. Die Realität zeigt aber das Pakete aus Backports sich oftmals eben auf Zwischenstände beziehen in denen Bugs in Testing-Paketen drin sind oder einfach Besonderheiten die nicht berücksichtigt wurden. Dadurch waren eine ganze Reihe von Paketupgrades sehr hakelig und ich möchte das keinem normalen User zumuten das durchzumachen.

Highlight der ganzen Probleme war der PostgreSQL-Upgrade, der zwar alles sauber durchführte, aber dann wegen einer veralteten Option in der Config nicht startete. Die Meldungen waren aber so kryptisch, das selbst ich nicht auf Anhieb erkennen konnte was es war - erst wühlen in den Logs und gucken in den Scripts bestätigte mir das der Upgrade sauber war und wirklich nur der Start geklemmt hat.

Allerdings muss ich trotzdem sagen das der Upgrade einer Maschine mit teilweise bis zu 3 Jahre alten Programmversionen erstaunlich gut ging und 99% der Pakete völlig problemlos aktualisiert wurden - selbst so Sachen wie meine recht exotische Exim4-Installation (ein selbstgemachter Backport mit Besonderheiten) lief recht problemlos durch - es waren allerdings schon manuele Fixes nötig, aber die hatte ich selber verbrochen. Der Apache und das ganze PHP-Geraffel lief völlig problemlos, auch die MySQL-Datenbank lief auf Anhieb. Und man sollte auch beachten das der ganze Upgrade - obwohl von mir als suboptimal beschrieben - nur 1:45 Stunden gebraucht hat. Und das meisste davon war warten auf das Auspacken der Pakete ...

Nunja, in den nächsten Tagen wird sich zeigen was sonst noch alles kaputt gegangen ist und welche der ganzen Scripte nicht mehr laufen, die ich bisher übersehen habe

Debian GNU/Linux 3.1 released - wow. Hat ja lange genug gedauert

PGP Corporation stört PGP Freeware Mirror

Beim rabenhorst gefunden: PGP Corporation stört PGP Freeware Mirror. Ich finds immer wieder zum Kotzen wenn ich mir angucke was aus dem alten PGP Projekt mitlerweile für ein kommerzieller Mist geworden ist. PGP war mal der Antritt überhaupt brauchbare Kryptographie für Normalbürger verfügbar zu machen -und zu Zeiten der PGP 2 Versionen auch durchaus offen verfügbar (bis Version 2.3 unter GPL). Auch genau dem Grund habe ich die PGP-Portierungen nach DOS damals überhaupt gemacht. Und jetzt schlägt die PGP Corporation um sich und geht gegen freie Mirror der Freeware-Versionen vor. Ein guter Beleg dafür warum man besser kein Energie in Projekte steckt die Firmen gehören sondern lieber gleich in Freeware mit free wie in free speech steckt ...

Von daher: benutzt gnupg. Da ist auch der Code besser - ich erinnere mich noch mit Grausen an den Pseudo-Objektorientierten Code in PGP 5, das Zeugs zu reparieren war nicht wirklich unterhaltsam.

Übrigens war der Changelog zur DOS-Version von PGP 5 (nach unten scrollen) mein erstes Weblog, sozusagen - und das hat schon im Oktober 97 angefangen. Schlag ich jetzt Dave Winer?