Svens Netzblog

Heute, vor der Datenbank-Systeme 1-Klausur, der Professor hält seine Einführungsrede:

Prof.: [...] und natürlich sind keine Unterlagen erlaubt mit der Ausnahme eines Wörterbuches für nicht-muttersprachliche Studenten.

Christian (zu mir gewandt): Und was wäre mit einem Wörterbuch "Deutsch->SQL, SQL->Deutsch"?

Dieser Eintrag ist vornehmlich dazu da, anderen die vielen Flüche zu ersparen, die ich ausgestoßen habe, als ich versuchte, freeradius-1.1.0 so zu konfigurieren, das er mehrere LDAP-Server abfragt.

Wenn man also folgendes in seiner radius.conf hat:

[...]
modules {
   [...]
   ldap server1 {
     server = "server1.domain"
     [...]
   }
   ldap server2 {
     server = "server2.domain"
     [...]
   }
   [...]
}
[...]
authorize {
   [...]
   server1
   server2
   [...]
}
[...]

Dann sieht es in der authenticate-Sektion dann später so aus:

authenticate {
   [...]
   Auth-Type server1 {
      server1
   }
   Auth-Type server2 {
      server2
   }
   [...]
   Auth-Type LDAP {
   }
   [...]
}

Der leere Auth-Type für LDAP ist nötig, weil sich der freeradius sonst beim Initialisieren über sein Fehlen beschwert.

In den ganzen Dokumentation, die ich gefunden habe, sah das aber so aus:

authenticate {
   [...]
   Auth-Type LDAP {
      server1
      server2
   }
   [...]
}  

Das funktioniert aber nicht, freeradius beschwert sich dann, das es den Auth-Type "server1" bzw "server2" nicht finden kann (je nach Server, auf dem der User gefunden wurde).

Nachdem ich dieses Rätsel gelöst habe, wird es jetzt nächste Woche für mich spannend, ob ich sowohl die normale Authentifikation gegen das userPassword im LDAP (für das Modem/ISDN-Dialin) als auch den Zugriff auf das Klartext-Passwort (in einem anderen Attribut, für EAP-CHAP/EAP-MSCHAPv2) gleichzeitig hinbekomme.

Mist.

Eigentlich wollte ich mir heute eine Fertigpizza einwerfen (keinen Bock auf Selbstproduktion von Essen), aber als ich gerade das Gefrierfach öffnete, wurde ich stutzig, denn a) es ging viel zu leicht auf, b) die dort lagerndes Gel-Packs waren innen flüssig und c) die Pizza hatte nicht die erwartete steinharte Konsistenz.

Scheinbar hatte ich beim Befüllen das Fach nicht korrekt geschlossen, so daß es seit Donnerstag komplett abgetaut war und die Pizza damit ungenießwar wurde.

Also doch das Essen selbst zusammenpuzzeln.

Oder besser gesagt: Gar kein Zufall mehr. Oder anders gesagt: keine Entropie mehr übrig.

Nachdem ich mich jetzt schon länger wunderte, warum die Mails über meinen neuen Server nur tröpfelten und warum zwischen 8 und 9 gar kein Mailverkehr mehr aufgezeichnet wurde, bin ich dem Ganzen auf die Spur bekommen: OpenVPN und vor allem Exim saugen so stark am Entropie-Pool des Linux-Kernels, dass dieser sehr oft leer ist, was zur Folge hat, das alles Cryptographische nicht mehr richtig funktioniert.

Der Kernel bezieht einen seine Entropie aus Interrupts, die nicht vorhersagbar sind, z.B. von Maus und Tastatur. Ein Server im Rack hat aber selten Maus und Tastatur angeschlossen, also fällt diese Quelle weg. Dann werden die IRQs von Festplatten- und Floppy-Kontrollern ausgewertet, aber Floppy ist auch nicht und die Entropie vom IDE-Kontroller reicht nicht aus, um den Pool entsprechend gefüllt zu halten.

Was ist also zu tun?

Es gibt mehrere Lösungen, die beste davon ist natürlich ein Hardware-RNG (Random Number Generator), wie ihn manche Chipsätze anbieten, nur leider gibt es den bei mir auch nicht.

Dann kann man das Rauschen am Mikrofon-Eingang einer Soundkarte benutzen, aber eine Soundkarte ist auch nicht vorhanden.

Als weiteres kann man einfach künstliche IDE-Interrupts erzeugen, wie es z.B. regen-entropy.sh aus dem Debian-Exim-Wiki macht, allerdings erzeugt es eine recht hohe Last auf dem Server und ist nur als Notlösung zu betrachten.

Ich habe dagegen einen anderen, allerdings nicht weniger kritisch zu betrachtenden Work-Around implementiert, in dem ich SA_SAMPLE_RANDOM dem request_irq()-Call im vom Server benutzen Netzkarten-Treiber (e100 bei mir) hinzugefügt habe.

Natürlich bin ich mir bewußt, das ich damit eine Entropie-Quelle anzapfe, die von aussen kontrolliert werden kann, so daß hierbei die Zufälligkeit der Werte aus /dev/random negativ beeinflußt werden könnte, allerdings ist ein denkbarer Angriff hieraus doch eher theoretischer Natur, so daß ich den Vorteil, den ich daraus ziehen kann, höher bewerte als das dadurch mögliche Angriffmuster.

Das es derzeit in Deutschland recht kalt ist, dürfte für die meistne ja nichts Neues sein.

Und da ich es Leid war, jeden Morgen den Eiskratzer zu schwingen, habe ich meine natürliche Faulheit überwunden und gestern die Isolierfolie vor meine Windschutzscheibe geklemmt.

Das hat auch gut funktioniert, keine Eisschicht auf der Scheibe.

Trotzdem hatte ich keine freie Sicht, denn diesmal war die Eisschicht auf der Innenseite (welche noch dümmer freizukratzen ist, als die Außenseite).

Gnarf.

So nach und nach sehe ich Land bei meiner Migration.

Mittlerweile habe ich die OpenVPN-Tunnel am Laufen, den INN vom alten auf den neuen Server umgezogen und die Feed-Partner informiert, dass sie doch bitte die Einstellungen anpassen mögen. Desweiteren ist auch die Exim-Konfiguration und die Mails sowie Usenet-Artikel laufen hübsch zwischen dem Server und meinem Heim-Server über den Tunnel hin und her.

Damit führe ich auch gleich neue Mail-Adressen für mich ein, ab sofort bin ich über sven@svenhartge.de zu erreichen (die alten Adressen behalten natürlich ihre Gültigkeit).

Leider fallen mit dem alten Server auch die "echten" IP-Adressen für meinen Heim-Server sowie für meinen Laptop weg, welche ich mir via OpenVPN auf den jeweiligen Rechner geroutet hatte. Dieses Setup war schon desöfteren sehr praktisch, vor allem, wenn man mit dem Laptop tief hinter irgendwelchen NATs saß und mit einem einfachen Handgriff dann einfach jeden Traffic über den Tunnel routen konnte und somit keine Einschränkungen bzgl. der möglichen Verbindungen mehr hatte (sofern der Tunnel überhaupt zustande kam, natürlich).

Mal schauen, was sich da basteln läßt.

Um den Umstieg vom alten auf den neuen Server so einfach wie möglich zu machen, habe ich auf der alten Maschinen mittels mod_rewrite dafür gesorgt, das alle URLs passend auf den neuen Server umgeschrieben werden.

Das wird natürlich nur so lange Bestand haben, wie der alte Server läuft, daher sollte jeder, der einen Feed von meiner Seite bezieht, diesen auf die neue URL umstellen.

Da ich dafür gesorgt habe, das die Pfade gleich bleiben, ist es ausreichend, einfach das "sven.formvision.de" in der URL durch "www.svenhartge.de" zu ersetzen. (Natürlich kann man auch einfach den korrekten URL von der Webseite neu importieren.)

So.

Und wenn ich nichts übersehen habe, dann ist der erste Teil der alten Installation korrekt auf dem neuen Server angekommen. Sollte irgendwo etwas nicht ganz passen, dann schreibt einen Kommentar oder mailt mir direkt.

Jetzt fehlt "nur" noch die OpenVPN-Installation, INN2 und der Mailserver und ich bin fertig mit der Migration.

Nachdem der Server, auf dem dieses Blog um Zeitpunkt dieses Eintrages liegt in Bälde nicht mehr existieren wird, ziehen meine Webseiten um und zwar auf meinen eigenen Server.

Nachdem Root-Server ja mittlerweile "nichts" mehr kosten, habe ich bei Strato (Danke für deinen aufschlussreichen Test, Marc.) zugeschlagen und das derzeitige Angebot genutzt.

In Zukunft gibt es dann mein Geschreibsel unter http://www.svenhartge.de zu lesen.

Die alte Leier, meine Stimme ist nur unwesentlich besser geworden.

Immerhin höre ich mich heute so an, als wäre ich im Stimmbruch, was gegenüber gestern, wo ich nahezu gar kein Wort sprechen konnte, ein Fortschritt ist.

Gestern noch hat es so ausgesehen, als könnte ich heute wieder an meinen Arbeitsplatz zurückkehren, aber leider ist dem nicht so.

Während sich meine allgemeine Gesundheit über Nacht weiter verbessert hat, ist meine Stimme heute komplett weg, selbst normales Flüstern gelingt mir nur mit Mühen.

Zum jetzigen Zeitpunkt fühlen sich meine Stimmbänder so an, als wie wenn sich dort ein dicker Belag befinden würde, mehr als ein leises Krächzen bekomme ich gerade nicht heraus.

Mal abwarten, was morgen wird.

Eigentlich wollte ich letzte Woche Samstag noch ein paar Dinge an der Seite hier verbessern, ein paar aufgelaufene Einträge veröffentlich, etc., aber es kam anders.

Zuerst war ich gegen 18:00 Uhr noch kurz etwas einkaufen (Studentenwitze bitte woanders tätigen, danke), hatte mir danach lecker Nudeln mit Käsesauce gemacht und entspannte gerade auf meiner Couch, als ich einen leichten Druck im Hals beim Schlucken bemerkte, aber mir nichts weiter dabei dachte.

Gegen 19:00 Uhr waren aus diesem leichten Druck deutlichere Beschwerden geworden und eine kurze Temperaturerhebung ergab 37,1°. Lösungsansatz: Heiße Milch mit Honig gemacht, Flasche mit Gurgellösung aus der Hausapotheke ins Bad verfrachtet, 23:00 Uhr anstatt 03:00 Uhr als Termin für's Bett ins Auge gefaßt.

Um 20:00 Uhr dagegen war eine deutliche Rötung des Rachens zu vernehmen, meine Termperatur mittlerweile auf 37,8° angestiegen und meine Nase begann zu laufen. Super. Also die normale Gurgellösung wieder weggepackt, Subcutin ins Bad verfrachtet, Aspirin in die Küche gestellt und auch gleich eine genommen. Wie gut, das ich noch genug Nasenspray im Haus habe, sonst wäre ich vermutlich wahnsinnig geworden. (Auch wenn ich das Zeug wegen dem Jojo-Effekt des Wirkstoffes nicht mag, aber es hilft zumindest, so daß man wieder gut durchatmen kann. Die Abgewöhnungsphase nervt halt etwas.)

Spätestend gegen 21:00 Uhr habe ich dann eingesehen, das es keinen Zweck mehr hat, habe mir Wadenwickel vorbereitet und bin dann damit ins Bett gekrochen, Temperatur irgendwo gegen 38,x°.

Die Nacht war dann irgendwie ... komisch, ich bin alle 2-3 Stunden nach einem komischen Traum aufgewacht, um dann nach einem Blick auf die Uhr wieder einzupennen.

Für den Sonntag erwartete ich eigentlich, komplett hinüber zu sein, aber überraschenderweise war dies nicht der Fall. Bis auf ein wenig Halsschmerzen und einem "Grundrauschen" an Mattigkeit fühlte ich mich recht gut, wenngleich ich natürlich keine Bäume ausreißen konnte. Auch an wirkliche Arbeit war nicht zu denken, dazu war mein Hirn doch etwas zu sehr benebelt, aber ansonsten ging es mir gut, auch die Temperatur baumelte zwischen 37,2° und 37,0° hin und her. Trotzdem hatte ich beschlossen, das es besser wäre Montag und Dienstag frei zu nehmen.

Der Montag und der heutige Dienstag waren soweit auch OK, ich würde sagen 8/10 Punkten, allerdings ist mir die Erkältung, wie bei mir üblich, ein klein wenig auf die Stimme geschlagen, so daß ich mich derzeit anhöre wie ein Rocksänger nach 7 durchzechten Nächten (aber angeblich sollen Frauen eine solche Stimme ja sexy finden).

So wie es jetzt aussieht, werde ich morgen wieder an meinen Arbeitsplatz zurückkehren, sollte sich keine unerwartete Verschlechterung andeuten.

Heute, erster Arbeitstag.

Immerhin war heute in sog. "Anreisetag", wodurch kaum Studenten auf dem Campus waren, so daß der Ausfall keine Veranstaltungen gestört hat.

Da sind wir also, im neuen Jahr.

Möge es (je nach dem persönlichen letzten Jahr) erfolgreicher, besser, schöner, wärmer, kälter, trcokener, feuchter, dunkler, heller, finanziell ausgeglichener und sorgenfreier werden, als das abgelaufene.