Montag, 2. Oktober 2017
Kollege Hebo hat mich in der Toscana auf diese bodenständige, sympathische Werbung für das Wallis und Schweizer Tradition aufmerksam gemacht:
Tags: Clip, DJ Antoine, Jodel, jodeln, Musik, Valais, Video, Wallis, Youtube
Labels: Uncategorized
Samstag, 29. Juli 2017
Kürzlich hatte ich während eines Anfalls aus geistiger Umnachtung versucht, meinen Raspberry Pi 3 von Raspbian Jessy auf Raspbian Stretch zu „lüpfen“. Scheiss-Idee. Im Gegensatz zu Debian ist Raspbian Stretch leider noch nicht stabil genug, um auf einem produktiven Raspberry Pi zu laufen.
Nicht nur das, es war tatsächlich so, dass ich zwar seit wohl fünf Jahren hier in der Wohnung einen Raspberry Pi betreibe — und nicht wusste, dass man auf einfachste Weise eine Kopie einer sauber aufgesetzten Raspbian-Installation anfertigen kann.
Das Vorgehen ist im Internet mehrfach beschrieben; ich habe mich an den Artikel Back-up a Raspberry Pi SD card using a Mac gehalten.
Das Vorgehen:
# dd if=/dev/rdisk4 of=~/Desktop/emeidi-dashboard.img bs=1m
Fertig! Verbockt man sich in Zukunft den Raspberry Pi, schliesst man einfach wieder die SD-Karte an den Mac an und schreibt das Image zurück.
Dies funktioniert auch wieder auf der Kommandozeile mit dd (mit umgekehrten if– und of-Parametern), doch hier war ich zu Faul und habe stattdessen das quelloffene Etcher mit graphischer Oberfläche und Fortschrittsanzeige verwendet.
Übrigens: Nachdem ich das Image testhalber auf eine zweite SD-Karte zurückgeschrieben und verifiziert hatte, dass der Raspberry Pi 3 vom Backup bootet, habe ich das Image mit ZIP komprimiert und so eine Platzreduktion von 50 Prozent hingekriegt.
Tags: Backup, dd, Etcher, Raspberry Pi, Restore, RPi, RPi3, SD-Card, SD-Karten
Labels: Uncategorized
Montag, 8. Mai 2017
Am Samstag habe ich an einer Aussenstelle einen Ubiquiti EdgeRouter-X installiert und so konfiguriert, dass alle Konfigurationsanpassungen mittels TFTP auf einen Server geschrieben werden. So möchte ich alle Anpassungen rückverfolgen und im Notfall auch eine „last known good“-Konfiguration einspielen können.
Auf dem Router bin ich der Anleitung EdgeRouter – Manage the configuration file gefolgt und habe folgenden Befehl eingegeben:
# configure # set system config-management commit-archive location tftp://0.0.0.0/ # commit # save
Nun musste ich auf einem Debian-Server noch TFTP installieren und ein Verzeichnis freigeben, in welches die Textdateien mit der Konfiguration abgelegt werden (Versioniert nach Name des Gerätes und dem Datum und der Uhrzeit der Anpassung).
Das ging der Anleitung Ubuntu / Debian Linux: Install and Setup TFTPD Server folgend spielend leicht:
# apt-get install tftpd-hpa
Meine individualisierte Konfigurationsdatei unter /etc/default/tftpd-hpa liest sich folgendermassen:
TFTP_USERNAME="tftp" TFTP_DIRECTORY="/var/edgerouter" TFTP_ADDRESS="0.0.0.0:69" TFTP_OPTIONS="--verbose --secure --create"
Notabene: Die in tftpd allows connections, but times out transferring a file angegebenen Anpassungen an der Konfigurationsdatei waren nicht nötig.
Mit der Option --verbose loggt der TFTP-Server schön brav — und vor allem ausführlich(er) — nach /var/log/syslog:
... May 8 19:37:46 SERVER systemd[1]: Starting LSB: HPA's tftp server... May 8 19:37:46 SERVER tftpd-hpa[10636]: Starting HPA's tftpd: in.tftpd. May 8 19:37:46 SERVER systemd[1]: Started LSB: HPA's tftp server. May 8 19:38:15 SERVER in.tftpd[10999]: WRQ from 0.0.0.111 filename test.txt May 8 19:38:25 SERVER in.tftpd[11009]: RRQ from 0.0.0.111 filename test.txt ...
Quelle: [syslinux] logging location of tftpd-hpa
Ein Fallstrick gibt es aber: Schreitet man zum Test, sollte man beachten, dass der Client und der Server direkt miteinander kommunizieren können, sprich dass kein NAT-Router zwischen den beiden Geräten steht. Grund: TFTP verwendet UDP, was über NAT nicht auf anhieb funktioniert.
Ich bis mir deswegen sicherlich eine halbe Stunde lang die Zähne aus, weil ich von meinem Mac mini aus Dateien hin- und herkopieren wollte, es aber nicht klappte. Die Verbindung konnte ich zwar herstellen, doch Dateioperationen waren nicht möglich:
$ tftp 0.0.0.0 tftp> get test.txt Transfer timed out.
Der Grund: Der Mac mini kommuniziert per OpenVPN mit dem entfernten Netzwerk, und der OpenVPN-Router verwendet NAT.
Erst nachdem ich von Servern im selben Subnetz aus versuchte, Verbindungen herzustellen, realisierte ich, dass der Server seit langem funktionierte.
Labels: Uncategorized
Donnerstag, 2. März 2017
Mein neues OSS-Webmail RainLoop (eindeutig besser als RoundCube) versteht auch .vcf!
Die Option, einen Export aus Apples Contacts im .vcf-Format einzulesen, ist auf den ersten Blick etwas in der Oberfläche versteckt. Sie findet sich nicht etwa unter Einstellungen, sondern im Kontakt-Tool selber:
Dort wählt man aus dem „Hamburger“-Menu die Option „Import (csv, vcf, vCard)“ aus:
Der Upload und das Parsen meiner 935 KB grossen .vcf-Datei benötigte ungefähr 60 Sekunden, und dann standen alle Kontakte wie vom lokalen Desktop-Client her gewohnt zur Verfügung.
Das Beste: Da ich unter meinem RainLoop-Hauptaccount fünf Mailkonten vereine (sprich: mittels einem Login erhalte ich Zugriff auf gleich fünf meiner Mailkonten), standen die Kontakte unter jedem Mailkonto zur Verfügung. Der von mir befürchtete fünffache Export erübrigte sich.
Wichtig: Wer wie ich die Apple Contacts mit Photos angereichert hat, muss diese zuerst entfernen, sonst gibt es Probleme mit dem Parser von RainLoop (nach dem langwierigen Upload der 19.2 MB grossen .vcf-Datei). Zuerst markiert man in Contacts alle Einträge und legt diese mittels Drag & Drop in einen lokalen Ordner ab. Anschliessend wendet man mein auf GitHub gehostetes Python-Script auf die Datei an und erhält nun eine deutlich kleinere .vcf-Datei, welche auch mit RainLoop kompatibel ist.
Tags: Address Book, Apple, Apple Address Book, Apple Contacts, Contacts, Import, Importieren, RainLoop, RoundCube, vCard, vcf, Webmail
Labels: Uncategorized
Mittwoch, 11. Januar 2017
Heute morgen machte auf Facebook ein Artikel zu einer Tweet-Serie eines US-Veteranen die Runde. Ich las die ersten paar Tweets, fand es dann aber zu dämlich, den in Kleinstteile aufgespaltenen Erguss zu Ende zu lesen.
Leute, wenn ihr viel zu sagen habt, verfasst einen Blog-Artikel, himmelheiland!
Der geistigen Gesundheit meiner Mitmenschen wegen habe ich den ganzen Text zu einem grossen Ganzen zusammenkopiert:
I need to rant because I’m fucking tired of this „bubble“ thing. I doubt many folks are gonna read this because it’s 3 am, but The first thing you should know about me is that I grew up in white poverty in Central Texas. My father is a lifelong car mechanic my mother has worked minimum wage jobs all her life, and my stepfather was junior enlisted in the Army. None of them have a college degree. None of them really stressed the importance of education to me, either. We were dirt poor. We lived in trailer parks all over Central Texas and were on welfare. I have been around „blue collar“ folks my whole life. Hell, „blue collar“ is a step up from my childhood experience. My family is poor and white and uneducated. Prime Trump audience. And I’m here to tell you that these folks–my people–don’t need your condescending conservative asses speaking for our „values“ because the truth is that 1) you don’t give a fuck about us and 2) we are not worthy of romanticizing. I am sick and fucking tired of impoverished white Americans being used as a political cudgel by rich Republicans against blacks against women, against Muslims, against Jews and LGBTQ folks and everyone else Republican politicians point to and say „See that? They’re to blame for your struggle. You’re hurting because of them.“ And the rhetorical device most often used for this is „the bubble“ and every buzzword that goes with it: Hollywood, elitist, liberal, communist, professor, etc. etc. fucking etc. Republicans have gotten a shit ton of mileage from impoverished and „blue collar“ white folks by claiming the people in power live in some „bubble“ in Washington and are „out of touch“ with real Americans. Tonight, @MeghanMcCain, the daughter of a U.S. senator someone who has enjoyed extraordinary privilege in her life took it upon herself to claim that, somehow, Meryl Streep’s speech is propagating some bullshit Hollywood-East Coast liberal „bubble“ and that „real Americans“ (she implied) this would vote for Trump as a backlash against elitism. Never-fucking-mind that Trump has gold-plated fixtures in every mansion he owns or that he got his start from his daddy’s seed money or that he wouldn’t piss on a poor white person if they were burning alive. Never mind all that because we’re supposed to believe that Donald fucking Trump is „one of the regular folks“. That he understands them. And you know what? They’re right. Trump understands these people because he knows they’re fucking morons. Yes, morons. These hicks and rednecks and „oh gawd, I’m just a good ole boy“ dumb-fucking morons who couldn’t differentiate between their ass and a hole in the ground who are so willfully fucking stupid that it’s a ceaseless wonder they manage to remind themselves to breathe. Trump knows these people. He knows that he can say and do and promise whatever the fuck he wants as long as he validates their insecurities and gives them a leader of „strength“ to follow, which means posturing like some silver-back gorilla at every perceived slight. He is the canvass upon which they project all their insecurities. These fucking morons who are afraid of blacks and empowered women and Latinos and receive welfare and Medicaid even while they rant against „government handouts“. And you, @MeghanMcCain, and all your conservative friends want us to believe that the „bubble“ is liberals on both coasts, not these white Americans who insulate themselves into an enormous social echo chamber, repeating the same stupid „facts“ and fears and conspiracy theories to each other and are buying into Trump only because he validates their racism, sexism, homophobia, xenophobia, and all the rest of it. You want us you, @MeghanMcCain, privileged white daughter of a U.S. senator who used her daddy’s connections to get this far ahead, want us to „step outside the bubble“ and enable this vicious hatred against our black friends, our Muslim and Jewish friends, our LGBTQ friends ..and all the women in our lives who, at this very moment, are scrambling to get IUDs because they may lose their right to privacy you want us to not act so „elitist“ and validate this bullshit? Well, I’ll you this much: there is no romance or gravitas to these people. You know what you call a bigoted moronic white person in a blue collar job? You call them a fucking bigoted moron. Because they are. And speaking as someone who is from this background–among the impoverished whites of Central Texas–you sure as hell don’t placate their violent hatred and give them any more encouragement to be hateful and violent. I seriously need to ask you this Do you have no honor, @MeghanMcCain? No integrity? Have you lost your fucking mind? Because from where I’m standing, you’re either pandering to these hateful white assholes to gain political clout–and god forbid Twitter RTs–or you really do believe all this shit. If it’s the former, you’re a fucking disgusting person for exploiting this hatred for your own gain. If it’s the latter, you’re a fucking disgusting person for perpetuating this bullshit fallacy: using hatred–vicious, deadly hatred–under the claim that liberals–not education, not the 1%, not the criminal behavior of the Republican Party–but LIBERALS are to blame for poor white misery. There are white Americans who have never known a life other than living paycheck-to-paycheck. They don’t have any friends of color. They believe women belong in the home. They think Islam is evil. They think Jews killed Jesus and will burn in hell. And you, @MeghanMcCain claim that I–a liberal on the East Coast who grew up a poor white kid in Central Texas–live in a bubble now and didn’t back then?Shame on you, @MeghanMcCain, and every Republican and journalist and pundit who makes the absurd fucking claim that the problem isn’t the guy in the White House enabling white supremacism, who pledged to have a Muslim registry, who encourages violence but that liberals aren’t being nice enough to vicious racists who would just as soon see me die for having sex with a black woman or for praying to Allah or escorting a friend to an abortion clinic. I say again, @MeghanMcCain, have you lost your fucking mind? I do not live in a bubble. Meryl Streep does not live in a bubble. And the folks of the East Coast–in which every race, religion gender identity, sexuality, ethnicity, etc. swirl around each other on a daily basis, live amongst each other, fight and love and work and play with other and challenge each other to the point where when someone’s an asshole, it isn’t because of their identity it’s because that individual is an asshole none of us live in a bubble. So, if you are, indeed, just exploiting white rage to pad your Twitter account and sell books and slots on networks, I say with all sincerity: fuck you. Or if you really do believe this may I suggest you, @MeghanMcCain, go live in these poor white areas and then tell me those aren’t „bubbles“. Until then, please keep your bullshit hot takes–borne out of your privileged, elitist, well-connected white existence–to yourself.
Quelle: 11:56 PM – 8 Jan 2017
Tags: Bubble, Donald Trump, Trump, USA
Labels: Uncategorized
Sonntag, 13. November 2016
Der Politwissenschaftler Mark Blythe hat am Tag nach den Präsidentschaftswahlen anlässlich eines Seminars am Watson Institute for International and Public Affairs an der Brown University in Providence, Rhode Island, USA, seinen Kommentar zur angeblichen Unvorhersehbarkeit Trumps Wahl und eine Prognose auf die kommenden Monate und Jahre gegeben. Prognosethemen sind unter anderem das Verfassungsreferendum in Italien, die Front National in Frankreich, die AfD in Deutschland sowie die angespannte Lage im Baltikum. Mark erläutert auch aus wirtschaftspolitischer Geschichte, wie wir an diesem Punkt in der Geschichte angekommen sind: Eine Kritik an den Auswirkungen des ungebremsten Neoliberalismus seit 1985. Kurz:
So … They’re [losers of globalisation] a bit fed up with. So they’ve decided if they get any possible opportunity, whether this is Brexit, or the Italian constitutional referendum or anything […] to basically give the elites notice: „We’ve had enough of this!“ And that’s what this is.
Ich habe mir erlaubt, zwei von Marks Monologen zurechtzuschneiden und auf YouTube hochzuladen — ich empfinde beide Ausschnitte als äusserst sehenswert:
Quelle: Mark Blyth and Wendy Schiller – Election 2016: What Happened and Why?
Jonathan Pie liest — analog zu Mark Blyth — der nur noch auf dem Papier „demokratischen“ Partei gehörig die Leviten:
Tags: Demokratie, Donald Trump, Jonathan Pie, Kapitalismus, Mark Blyth, Neoliberalismus, Trump, USA, Wahlen, Youtube
Labels: Uncategorized
Sonntag, 28. August 2016
Der Nachteil der Verwendung von Asuswrt-Merlin auf meinem Asus RT-AC66U-Router ist das latent vorhandene Gefrickel. Ich kann es kaum erwarten, bis mein Turris Omnia ankommt!
So musste ich vor einigen Monaten bemerken, dass das Web-Interface meines Routers aus dem Internet zugänglich ist, egal, ob ich diese Option im Web-GUI des Routers nun aktiviere oder deaktiviere. Das Interface läuft auf Port 8443 und ist nur mit HTTPS erreichbar (mit einem selber signierten Zertifikat).
Ich griff deshalb kurzerhand zu iptables, um diesen sicherheitsmässigen Fahrlässigkeit den Garaus zu machen: Ich loggte mich per SSH auf den Router ein und fand zuerst einmal das WAN-Interface heraus:
$ ifconfig
...
eth0 Link encap:Ethernet HWaddr XX:XX:XX:XX:XX:XX
inet addr:85.X.X.X Bcast:85.X.X.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:662731029 errors:0 dropped:0 overruns:0 frame:0
TX packets:536190886 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:871096761 (830.7 MiB) TX bytes:4294213359 (3.9 GiB)
Interrupt:4 Base address:0x2000
...
Soso, eth0 also, da dies das einzige Interface mit einer öffentlichen IP war.
Folgender iptables-Befehl killt alle aus dem WAN stammenden Anfragen auf Port 8443:
# iptables -A INPUT -i eth0 -p tcp --destination-port 8443 -j REJECT # iptables -A INPUT -i eth0 -p tcp --destination-port 22 -j REJECT
Wieso ich REJECT und nicht (wie ursprünglich konfiguriert) DROP gewählt habe? Drop versus Reject
Um sicherzugehen, dass die iptables auch wirklich nützen, habe ich mich dann des Tools NetRenderer bedient. In der Adresszeile des Web-Tools gebe ich
https://85.X.X.X:8443/
ein und warte, bis mir ein Timeout angezeigt wird. Wird stattdessen ein Zertifikat-Fehler angezeigt, weiss ich, dass die Verbindung (leider) immer noch möglich ist.
Auf StatusCake habe ich mir einen Check auf dieselbe URL eingerichtet, welcher mich alarmiert, sollte die Verbindung plötzlich wieder möglich sein (bspw. auf Grund eines Reboots). Dies war heute der Fall, nachdem die Regel 57 Tage und 9 Stunden gehalten hatte.
Himmelarsch, Port 22 (SSH) war auch die ganze Zeit über offen!
$ nmap -F 85.X.X.X 22/tcp filtered ssh 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 8443/tcp filtered https-alt
Tags: Admin, Administration, Asus, Asuswrt-Merlin, DD-WRT, GUI, HTTPS, iptables, LAN, RT-AC66U, Security, Sicherheit, WAN, Web-GUI
Labels: Uncategorized
Donnerstag, 23. Juni 2016
Comodo bietet kostenlose S/MIME-Zertifikate an, die die Authentizität einer E-Mail-Adresse belegen.
Heute habe ich bemerkt, dass mein letztes Jahr im Mai erstelltes Zertifikat abgelaufen ist, weshalb ich mich daran gemacht habe, ein neues Zertifikat zu lösen.
Leider gab es auf der Homepage des Produkts ein Stolperstein: Klicke ich (heute am 23. Juni 2016) auf den Button Sign Up, erhalte ich einen HTTP 400er zu Gesicht:
Diesen Fehler umgeht man, indem man die anzuspringende URL etwas kürzt und auf einer Seite landet, die dem Design nach noch aus dem letzten Jahrhundert zu stammen scheint:
Application for Secure Email Certificate
Nachdem man die Angaben wahrheitsgetreu ausgefüllt hat (das Revocation-Passwort sicher ablegen; es könnte ein ungerades Mal nützlich erscheinen), erhält man nach wenigen Minuten ein E-Mail, welches einen Link enthält, mit welchem man die Datei CollectCCC.p7s herunterladen kann.
Nach einem Doppelklick wird die Datei in die OS X Keychain eingelesen. Ich wähle dazu die Login-Keychain. Soweit so gut.
Um das Zertifikat in Mail.app unter iOS zu installieren und zu verwenden, muss man es im Format .p12 aus der Keychain exportieren. Hierzu öffnet man unter OS X die Keychain.app und selektiert unter Category „Certificates“:
Nun müssen folgende drei Elemente ausgewählt werden, damit das Zertifikat sauber mit allen Elementen aus der Keychain exportiert und in die iOS Profiles importiert werden kann:
Damit der Export des Private Keys klappt, wird man ganz am Schluss noch nach dem OS X Login-Passwort gefragt:
Anschliessend mailt man sich die soeben erstellte Datei auf die eigene E-Mail-Adresse, öffnet das E-Mail in Mail.app und klickt auf die .p12-Datei. Jetzt wählt man Install, gibt den iPhone-PIN ein und danach das Passwort, mit welchem man den Zertifikatbaum geschützt hat. Schlussendlich taucht das Zertifikat unter Profiles auf. Wenn man das Zertifikat nachträglich noch einmal anschauen möchte, findet man es unter Settings > General > Profiles.
Damit nun ausgehende E-Mails signiert (oder gar verschlüsselt) werden können, muss das Zertifikat noch mit dem betreffenden Mail-Account verknüpft werden: Settings > Mail, Contacts, Calendars > %Name des Mail-Accounts% > Account > Advanced:
S/MIME aktiviert man, Sign aktiviert man auch, wobei unterhalb des Schalters unter „CERTIFICATES“ das soeben aufgeführte Zertifikat aufgeführt sein und links mit einem Gutzeichen versehen sein sollte.
Tags: Comodo, Export, iOS, Keychain, Mail.app, p12, p7s, S/MIME
Labels: Uncategorized
Mario Aeby, geboren am 25. September 1980 in Bern, Schweiz
Ein Weblog über IT (Linux, OSS, Apple), Heim-Automation; mein mittlerweile abgeschlossenes Geschichtsstudium; Erkenntnisse aus meiner aktuellen Tätigkeit in der Informationssicherheit, meine Erfahrungen als IT-Berater, IT-Auditor, Web-Developer und IT-Supporter; die Schweiz, den Kanton Bern, meine ursprüngliche und auch wieder aktuelle Wohngemeinde Neuenegg, meine vorherige Wohngemeinde Bern, über lokale, regionale und globale Politik; meine Reisetätigkeit und Erfahrungen mit anderen Kulturen; und zu Guter letzt auch das Älter werden.
Alle in diesem Blog gemachten Aussagen und Meinungen sind persönlich und nicht als Ansichten meines aktuellen und/oder meiner bisherigen Arbeitgeber zu verstehen.
 |
You are currently browsing the archives for the Uncategorized category.