christianbaer.me

Posts

Thu, 05 Oct 2023 22:49:24 +0000

Root-less Podman als Docker-Alternative unter Debian

Thu, 05 Oct 2023 22:49:24 +0000

Ich habe in den letzten Tagen ein Bisschen mit podman rumgespielt. podman positioniert sich als drop-in-Alternative zu Docker und ermöglicht es, Container auch als nicht root-User zu nutzen. Primär für mich habe ich mal aufgeschrieben, wie ich das alles aufgesetzt habe.

Als OS habe ich ein aktuelles Debian genutzt.

Podman installieren

sudo apt install podman podman-compose

Um container starten zu können, wenn der User nicht eingeloggt ist bzw. die Container weiter laufen zu lassen, wenn der User sich ausloggt, muss linger aktiviert werden.

sudo loginctl enable-linger ${USER}

Falls es möglich sein soll, Container bzw. Dienste auf privilegierten Ports (unter 1024) hören zu lassen (z.B. für einen Samba-Server), können wir das folgendermaßen aktivieren.

echo "net.ipv4.ip_unprivileged_port_start=80" | sudo tee -a /etc/sysctl.d/podman-privileged-ports.conf
sudo sysctl --load /etc/sysctl.d/podman-privileged-ports.conf

Damit sind die Grundvoraussetzungen gegeben. Alles Weitere wird als nicht-root User ausgeführt.

Podman root-less nutzen

Die nötigen Verzeichnisse anlegen:

mkdir -p ${HOME}/docker
mkdir -p ${HOME}/.config/systemd/user
mkdir -p ${HOME}/.config/containers

docker.io als Container-Registry hinzufügen:

cp /etc/containers/registries.conf ${HOME}/.config/containers/
echo "
[registries.search]
registries = ['docker.io']" | tee -a ${HOME}/.config/containers/registries.conf

Yacht-Container aufsetzen

Yacht ist ein Verwaltungstool für Docker und bietet auch schon rudimentären Support für podman. Da podman standardmäßig ohne Daemon im Hintergrund arbeitet, müssen wir zunächst einen userspezifischen socket starten. Ebenfalls ist es bei podman deshalb nmotwendig, systemd zum (neu)-starten der Container zu benutzen. Im Folgenden setze ich einen Yacht-Container auf lasse ihn über systemd beim booten starten.

Podman-socket starten

systemctl --user enable --now podman.socket

Der Socket ist jetzt verfügbar unter /var/run/user/$(id -u)/podman/podman.sock.

Yacht Container starten

podman volume create yacht
podman run -v /var/run/user/$(id -u)/podman/podman.sock:/var/run/docker.sock -v yacht:/config -p 8000:8000 --name yacht -d ghcr.io/selfhostedpro/yacht:latest

systemd-Service für Yacht erstellen, damit der Container beim Booten gestartet wird

podman generate systemd --new --name --files yacht
mv container-yacht.service ${HOME}/.config/systemd/user/
systemctl --user enable --now container-yacht.service

docker compose

docker compose kann einfach durch podman-compose ersetzt werden. ein podman-compose up -d pulled die notwendigen images und startet den Container.

Was ich noch nicht zum Laufen bekommen habe, sind builds aus einem git-Repo über eine docker-compose.yml wie z.B.

version: '3'

services:
 cbme:
 image: christianbaer.me
 container_name: christianbaer_me
 build:
 context: https://github.com/chrisb86/christianbaer.me.git

Home Assistant: Benutzer-Authentication mit Authelia und LDAP

Sat, 10 Jun 2023 10:12:24 +0000

Ich setze be mir zu Hause zur Authentifizierung und als Lösung für SSO (Single Sign On) Authelia ein. Als Backend zur Verwaltung der User kommt dabei LLDAP als abgespeckter LDAP-Server zum Einsatz.

Ich versuche, möglichst alle Dienste, die ich selbst betreibe damit zu Verknüpfen, damit ich nicht an 1000 Stellen viele verschiedene Accounts habe, sondern eben nur eine Instanz, die sich sowohl um Authentifizierung, als auch Berechtigungen kümmert.

Wo immer es geht, versuche ich Authelia einzubinden. Bei Dingen, wo dies mangels (befähigtem) Webfrontend nicht klappt, kommt dann eben LDAP zum Einsatz (z.B. bei E-Mail).

Um das Thema Home Assistant habe ich mich hierbei lane gedrückt. Es war zwar möglich, Home Assistant per OAuth mit Authelia zu verheiraten, das spielte aber bei Nutzung der mobile App nicht richtig zusammen. Die genauen Symptome weiß ich jetzt schon gar nicht mehr.

Die Nutzung von Authentifizierung per LDAP war auch irgendwie hacky, da man erst ein mal die LDAP-Tools in Home Assistant reinbekommen muss, um mit dem Server sprechen zu können. Das war also auch nichts, was mich irgendwie weiter brachte.

Vor ein paar Wochen bin ich dan über den Post Home Assistant Command Line Authentication for Authelia von Kevin O’Connor gestoßen. Er nutzt einfach die Authelia-API selbst, um die User zu authentifizieren. Hierfür ist nur curl notwendig und das ist bei Home Assistant dabei.

Seine Lösung scherte sich nicht um Gruppen-Berechtigungen, weshalb ich auf seiner Grundlage ein wenig weiter gebaut habe.

Unter homeassistant-auth-authelia findest Du jetzt ein Script, welches genau das tut. Es erwartet beim Aufruf die Authelia-, und Home Assistant-URLs, sowie optional eine Gruppe, die Berechtigt sein soll, Home Assistant zu nutzen. Der eingegebene Username und das Passwort für von Home Assistant als Umgegungsvariable gesetzt und das Script kann darauf zugreifen.

In die configuration.yaml tragen wir nun einfach folgendes ein:

homeassistant:
 auth_providers:
 - type: command_line
 command: /config/bin/auth_authelia.sh
 args:
 ["https://auth.example.com", "https://homeassistant.example.com", "homeassistant_users"]
 meta: true
 - type: homeassistant

Das erste Argument ist die Authelia-URL, das zweite Argument ist die Home Assistant-URL und das dritte Argument ist die Gruppe, die Zugriff auf Home Assistant haben soll. Wird die Gruppe weggelassen, schaut das Script eben nur auf Username und Passwort.

Wenn das Script nach /config/bin/auth_authelia.sh kopiert wurde, kann Home Assistant neu gestartet werden und alles sollte laufen.

Single Sign On habe ich mit dieser Lösung zwar noch nicht, ich nutze aber ohne zusätzliche Abhängigkeiten in Home Assistant letztendlich meinen LDAP-Server als Authentifizierungs-Backend und kann den Zugriff auf eine bestimmte Gruppe einschränken.

Lokale Verzeichnisse eines FreeBSD-Servers in einer bhyve-VM mounten

Fri, 05 May 2023 15:13:08 +0000

Ich versuche mich gerade in der Nutzung von bhyve als Virtualisierungslösung unter FreeBSD, um eine Alternative zu Proxmox zu haben.

Unter Proxmox betreibe ich z.B. meinen Docker-Host als virtuelle Maschine mit Alpine Linux. Ein Verzeichnis meines Storage-Servers (eigentlich eine FreeBSD-VM) mounte ich über NFS und erstelle regelmäßig Backups der Docker-Daten darauf. Zur Laufzeit liegen alle Daten in der VM. Dies ist notwendig, da insbesondere Datenbanken nicht (gut) funktionieren, wenn ihre Daten auf einem NFS-Share liegen.

Als ich dabei war, dieses Setup unter FreeBSD mit bhyve nachzubauen, bin ich über eine wesentlich elegantere und stressfreiere Methode gestoßen, um Daten in virtuellen Maschinen verfügbar zu machen.

Unter FreeBSD funktiniert das Bereitstellen von geteilten Verzeichnissen seit FreebSD 13.0 über VirtIO-9p (aka VirtFS). So kann man einfach ein lokales Verzeichnis für eine VM verfügbar machen und dieses dann darin mounten.

Zur Verwaltung meiner VMs nutze ich vm-bhyve. Zur (sehr einfachen) Installation gibt es viele Anleitungen, weshalb ich jetzt hier nicht darauf eingehen werde.

Ich habe eine VM names docker01. Diese stoppe ich erst mal mit sudo vm stop docker.

Über sudo vm config docker öffne ich nun die Konfigurationsdatei für die VM.

loader="grub"
cpu=4
memory="4096M"
network0_type="virtio-net"
network0_switch="dmz"
disk0_type="virtio-blk"
disk0_name="disk0.img"
grub_install0="linux /boot/vmlinuz-virt initrd=/boot/initramfs-virt alpine_dev=cdrom:iso9660 modules=loop,squashfs,sd-mod,usb-storage,sr-mod"
grub_install1="initrd /boot/initramfs-virt"
grub_run0="linux /boot/vmlinuz-virt root=/dev/vda3 modules=ext4"
grub_run1="initrd /boot/initramfs-virt"
uuid="5c93bf9d-eb53-11ed-b2ae-ac1f6b6337b0"
network0_mac="58:9c:fc:0f:c7:5b"

Mit folgenden Optionen kann man nun einen 9p-Share hinzufügen:

disk1_type="virtio-9p"
disk1_name="sharename=/path/to/share"
disk1_dev="custom"

sharename (als Wort) muss nun durch einen Namen ersetzt werden, welchen wir in der VM ansprechen wollen. Der Pfad dahinter, dann entsprechend durch das Verzeichnis, welches wir teilen wollen.

In meinem Fall füge ich also Folgendes ein:

disk1_type="virtio-9p"
disk1_name="docker=/mnt/dozer/docker-backup"
disk1_dev="custom"

Wenn weitere Shares hinzugefügt werden sollen, muss die Disk-Nummer entsprechend erhöht werden (disk2_type usw…).

Wenn die Datei gespeichert ist, können wir über ein sudo vm start docker die VM wieder hochfahren.

In der VM erstellen wir ein Verzeichnis zum Mounten des Shares z.B. mit mkdir -p /mnt/docker und können dann anschließend über mount -t 9p -o trans=virtio docker /mnt/docker den Share einbinden.

Wenn alles soweit geklappt hat und die Daten da sind, können wir docker /mnt/docker 9p trans=virtio,rw 0 0 in die /etc/fstab einfügen, um das Verzeichnis zukünftig direkt beim Booten zu starten.

Das alles ist auf jeden Fall schon mal wesentlich einfacher, als alles über NFS zu machen und sich über Firewallregeln, Berechtigungen usw. Gedanken zu machen. Ob ich darauf jetzt Datenbanken betreiben kann, oder nur NFS aus meinem vorherigen Setup ersetzen kann, muss ich noch ausprobieren.

Ich bin auf jeden Fall froh, dass FreeBSD jetzt für mich nicht nur durch Jails, sondern auch mit virtuellen Maschinen nutzbar ist. Für mich ist und bleibt FreeBSD auf dem Server das Betriebssystem der Wahl.

Hugo-Site mit nginx über Docker hosten

Fri, 27 Jan 2023 10:34:08 +0000

Ich habe in den letzten Monaten viele meiner Services auf Docker migriert, da in einigen Bereichen die Administration wesentlich einfacher und schneller machbar ist, als es mit einem baremetal FreeBSD-System und selbst administrierter Software der Fall wäre.

Meine Webseite betreibe ich, nach wie vor, mit Hugo. Als reverse Proxy setze ich traefik ein.

Ich stand also vor der Herausforderung, meine Webseite aus den Hugo-Sourcen zu rendern und diese dann über einen Webserver zur Verfügung zu stellen, den ich hinter traefik hängen kann. Bisher habe ich das Rendern immer auf meinem MacBook erledigt, und die fertige Seite per rsync in mein nginx-Verzeichnis geschoben.

Da ich diesen Prozess auch vereinfachen wollte, begann ich damit, meine Hugo-Quellen jetzt in einem git-Repository zu pflegen.

Da die Dateien jetzt einfach clonebar sind, gestaltet sicher der Prozess des Hostings ziemlich simpel.

Wir brauchen ein Dockerfile, sowie eine docker-compose.yaml.

Im Dockerfile beschreiben wir, wie das Image gebaut werden soll. In der docker-compose.yaml wird es gebaut, daraus ein Container erstellt und dieser in die restliche Infrastruktur eingebunden.

Dockerfile

FROM alpine as build

## Set some variables
ARG HUGO_VERSION=0.110.0
ARG GITHUB_USER=chrisb86
ARG GITHUB_REPOSITORY=christianbaer.me

## Download Hugo from github
ADD https://github.com/gohugoio/hugo/releases/download/v${HUGO_VERSION}/hugo_${HUGO_VERSION}_Linux-64bit.tar.gz /hugo.tar.gz
RUN tar -zxvf hugo.tar.gz

## Install git for gitInfo support in Hugo 
RUN apk add --no-cache git

## Copy site sources to /site
COPY ./ /site
WORKDIR /site

# Cache Bust upon new commits
ADD https://api.github.com/repos/${GITHUB_USER}/${GITHUB_REPOSITORY}/git/refs/heads/master /.git-hashref

## Run Hugo
RUN /hugo --gc --enableGitInfo

## Copy rendered site to nginx image
FROM nginxinc/nginx-unprivileged
COPY --from=build /site/public /usr/share/nginx/html

## Expose port 8080 to docker
EXPOSE 8080

Im Dockerfile definieren wir, dass wir ein alpine-Image nutzen und setzen die zu nutzende Hugo-Version sowie GitHub-User und -Repository.

Anschließend laden wir die spezifizierte Hugo-Version von GitHub herunter und entpacken sie. Um die –gitInfo-Option in Hugo nutzen zu können, installieren wir noch git über die Paketverwaltung.

Die Vorbereitungen sind soweit erst mal abgeschlossen.

Damit Docker nicht die ggf. Schon gecachten Site-Quellen nutzt, sondern die aktuellsten, fügen wir dem Image über ADDnoch eine Datei von GitHub hinzu, die sich bei einem neuen Commit auf jeden Fall geändert hat.

Im nächsten Schritte lassen wir Hugo die Webseite rendern.

Als letztes nutzen wir ein nginx-unprivileged-Image und kopieren die gerenderte Webseite von /site/public in die Webroot unter /share/nginx_html von wo aus sie unter dem Port 8080 angeboten wird.

Diesen öffnen wir aus dem Image heraus.

Wenn hier eine andere Seite genutzt werden soll, muss nur die URL zum git-Repository geändert werden.

docker-compose.yaml

version: '3'

services:
 cbme:
 image: christianbaer.me
 container_name: christianbaer_me
 build:
 context: https://github.com/chrisb86/christianbaer.me.git
 networks:
 - proxy
 labels:
 - traefik.enable=true
 - traefik.http.routers.cbme.rule=Host(`christianbaer.me`)
 - traefik.http.routers.cbme.entrypoints=https
 - traefik.http.routers.cbme.tls.certresolver=inwx
 - traefik.http.routers.cbme.middlewares=secured@file
 - traefik.http.routers.cbme.tls.options=modern@file
 - traefik.http.services.cbme.loadbalancer.server.port=8080
 - traefik.docker.network=proxy

networks:
 proxy:
 external: true

In der docker-compose.yaml definieren wir einen Service für unser Image. Über die build-context sagen wir docker-compose, welches git-Repository als Grundlage für den Container dienen soll. Das darin befindliche Dockerfile wird dann automatisch ausgeführt.

Die networks- und label-Parts binden das Image in mein traefik-Netzwerk ein, sorgen dafür, dass es über TLS unter https://christianbaer.me erreichbar ist und kümmern sich um die Zertifikate. Falls ein anderer Proxy genutzt wird, kann der Teil entsprechend weggelassen und stattdessen der Port 8080 ganz klassisch nach deinen Bedürfnissen exposed werden.

Alles in allem ist das alles viel einfacher, als gedacht. Ich schreibe jetzt einfach einen Beitrag, committe ihn zu git und baue über docker-compose up -d --build in ein paar Sekunden das Image neu. Um alles andere kümmert sich Docker.

Raspberry Pi als universelle Zigbee-Bridge in Homekit konfigurieren

Mon, 12 Apr 2021 17:31:20 +0200

Wie im letzten Post beschrieben, habe ich mir aus einem alten Raspberry Pi 3 mit dem RaspBee II-Modul eine universelle Zigbee-Bridge gebaut, die ich über Homebridge und das entsprechende Plugin in HomeKit einbinde.

Screenshot der macOS Home-App

Im Folgenden will ich nun die notwendigen Schritte beschreiben, da sie - zumindest mir - nicht von Anfang an klar waren. Der Post ist recht lang, die Umsetzung dauert aber nur ca. 15 Minuten.

Sowohl für Homebridge, als auch für deCONZ gibt es eigene Distributionen, die ihr jeweiliges Projekt vorkonfiguriert mitbringen. Theoretisch ist es auch möglich, in diesen Systemen das jeweils andere Projekt nach zu installieren. Da ich jeweils verschiedene Dinge in der Umsetzung nicht mochte und gerne weiß, was warum wie funktioniert, habe ich mich dazu entschieden, auf einem frischen Raspbian Lite einfach alles von Hand zu konfigurieren. So habe ich alles unter Kontrolle und kann einfacher Anpassungen vornehmen.

Im folgende gehe ich davon aus, dass wir auf einem jungfräulichen Raspbian Buster Lite arbeiten, welches online ist. Der Hostname, den ich gewählt habe lautet “homebridge.local” und ich werde auf Ihn im weiteren Text verweisen. Ersetze ihn an den entsprechenden Stellen durch den Hostnamen oder die IP deines Systems.

Foto eines RaspBee-Moduls im Raspberry Pi

RaspBee-Modul einbauen

Das Einstecken des Moduls ist recht simpel. Es muss an ganz den Rand der Stiftleiste auf der von den USB-Ports abgewandten Seite eingesteckt werden. dresden elektronik hat hierzu eine bebilderte Anleitung veröffentlicht.

Falls ein Lüfter genutzt werden soll, der eigentlich ebenfalls an die ersten beiden Pins angeschlossen wird, bietet es sich an, hierfür die Pins 14 und 17 zu nutzen. Der Pin 17 bietet statt 5 V zwar nur 3,3 V und der Lüfter dreht dadurch langsamer, aber er kann wenigstens weiter genutzt werden. Die Pin-Belegung ist hier dokumentiert.

Zugriffsrechte für serielle Schnittstelle aktivieren

Da in aktuellen Raspbian-Versionen die serielle Schnittstelle nicht ohne Weiteres nutzbar ist, müssen wir zunächst die benötigten Zugriffsrechte setzen.

Dies geschieht über sudo raspi-config. Dort wählen wir aus dem Menü Interface Options → Serial Port und beantworten die Frage, ob die Login Shell über die serielle Schnittstelle verfügbar sein soll mit nein und die Frage, ob Hardware am seriellen Port aktiviert werden soll, mit ja.

Schneller geht es mit sudo raspi-config nonint do_serial 1.

Nach einem Neustart sind die GPIO-Pins aktiviert und das Modul für das Betriebssystem ansprechbar.

Updaten

Zu allererst bringen wir das Basissystem und die Hardware mal auf den aktuellen Stand.

Firmware

Je nachdem, wie lange der Raspberry Pi schon in der Schublade lag, macht es Sinn, die aktuellen Firmware-Updates zu installieren.

sudo rpi-update

Raspbian

Anschließend wird der Pi neu gebootet und wir können anschließend Raspian aktualisieren.

sudo apt update
sudo apt upgrade

IPv6 für apt deaktivieren

Da ich mit den Pis häufiger mal Probleme in Zusammenhang mit apt und IPv6 hatte, weise ich apt an, künftig nur noch über IPv4 zu connecten.

echo 'Acquire::ForceIPv4 "true";' | sudo tee -a /etc/apt/apt.conf.d/99disable-ipv6

deCONZ installieren

Wenn alles auf dem aktuellen Stand und das RaspBee-Modul verbaut ist, können wir damit beginnen, deCONZ und die Phoscon App zu installieren.

dresden elektronik betreibt ein eigenes Repository für die ganze Software. Wir werden dieses also einbinden, um die Software installieren zu können

GPG-Key importieren

Als erstes importieren wir den GPG-Key

wget -O - http://phoscon.de/apt/deconz.pub.key | sudo apt-key add -

Repository hinzufügen

Als nächsten fügen wir das Repository zu apt hinzu und aktualisieren die Paketquellen.

echo 'deb http://phoscon.de/apt/deconz $(lsb_release -cs) main' | sudo tee -a /etc/apt/sources.list.d/deconz.list
sudo apt update

deCONZ installieren

Wenn das alles erledigt ist, können wir die Software installieren.

sudo apt install deconz

Port für deCONZ ändern

Standardmäßig hört die Phoscon App auf den Port 80. Da ich gegebenenfalls noch andere Dienste auf dem Pi betreiben und diese hinter einen nginx-Proxy hängen möchte, ändere ich den Port auf 8080.

Dies erreichen wir, in dem wir den systemd-Aufruf für deCONZ überschreiben. Dies könnten wir entweder direkt im Service-File machen, oder die Möglichkeit von systemd nutzen, einen Override zu konfigurieren.

Ich wähle letztere Variante, da das erstens die elegantere Möglichkeit ist und zweitens auch erhalten bleibt, wenn ein Software-Update das normale Service-File überschreibt.

Mit einem sudo systemctl edit deconz öffnen wir einen Editor, welcher die benötigte Verzeichnis-Struktur und die override.conf erstellt. In diesen Editor fügen wir dann Folgendes ein

[Service]
ExecStart=/usr/bin/deCONZ -platform minimal --http-port=8080

Wenn Du einen andere Port nutzen möchtest, ersetze 8080 entsprechend durch Deine Wunschkonfiguration.

Über sudo systemctl daemon-reload weisen wir den Daemon an, die Konfiguration neu einzulesen.

deCONZ aktivieren und starten

Wenn das alles erledigt ist, können wir den deCONZ-Dienst aktivieren und starten.

sudo systemctl enable deconz
sudo systemctl start deconz

Homebridge installieren

node.js installieren

Homebridge ist eine Node.js-Software, die zur Verwaltung der Plugins auf NPM setzt. Wir beginnen also damit, erst mal das offizielle Node.js-Repository hinzuzufügen und die Paketquellen zu aktualisieren.

curl -sL https://deb.nodesource.com/setup_14.x | sudo bash -
sudo apt update

node.js und benötigte Abhängigkeiten installieren

Nun können wir Node.js installieren. Des Weiteren benötigen wir ein paar Pakete, um die jeweiligen Homebridge-Plugins zu bauen.

sudo apt install -y nodejs gcc g++ make python net-tools

Homebridge installieren

Jetzt ist das System bereit, um Homebridge, sowie das Webfrontend und das Hue-Plugin zu installieren, welches wir nutzen, um Homebridge mit der deCONZ-Bridge zu verbinden. Dies läuft jetzt alles über NPM.

sudo npm install -g --unsafe-perm homebridge homebridge-config-ui-x homebridge-hue

Homebridge Service einrichten

Homebridge bringt ein kleines Tool mit, welches es auf einfachste Art und Weise ermöglicht, Homebridge als systemd-Service zu konfigurieren und hierfür einen eigenen User anzulegen.

sudo hb-service install --user homebridge

Wenn das erledigt ist, legen wir auch für Homebridge einen Override an. Für eine reibungslose Funktion ist es sinnvoll, Homebridge erst nach deCONZ zu starten. Ansonsten versucht Homebridge, deCONZ zu erreichen, bekommt keine Rückmeldung und die gekoppelten Zigbee-Geräte sind erst nach einem erneuten Neustart von Homebridge verfügbar. Das umgehen wir jetzt einfach.

Wir starten also wieder über sudo systemctl edit homebridge den Editor und fügen Folgendes ein

[Install]
After=syslog.target network-online.target deconz.target

Von nun an wird Homebridge erst gestartet, wenn deCONZ gestartet wurde und alles sollte geschmeidig durchlaufen.

Zum Abschluss lassen wir die Service-Files neu einlesen und restarten Homebridge noch mal.

sudo systemctl daemon-reload
sudo systemctl restart homebridge

Homebridge ist jetzt auf dem Port 8581 erreichbar. Der Defaultaccount heißt admin und das Passwort lautet ebenfalls admin. Das sollte später in den Einstellungen geändert werden.

Homebridge konfigurieren und beide Systeme verheiraten

Homebridge vorbereiten

Die Konfiguration von Homebridge erfolgt über die Datei /var/lib/homebridge/config.json. Diese kann entweder direkt auf der Shell oder eben auch über das Webinterface bearbeitet werden.

Wir Fügen erst ein mal folgenden Code hinzu, um das Hue-Plugin in Betrieb zu nehmen.

 "platforms": [
 {
 "name": "Hue",
 "anyOn": true,
 "effects": true,
 "hosts": [
 "homebridge.local:8080"
 ],
 "lights": true,
 "nativeHomeKitLights": true,
 "nativeHomeKitSensors": true,
 "resource": true,
 "sensors": false,
 "platform": "Hue"
 }
 ]

Dies bringt Homebridge bei, zu welcher Bridge sie sich verbinden soll und welche Geräte an HomeKit weitergereicht werden sollen. So betreibe ich die Homebridge als Hue-Bridge-Ersatz und bin bisher zufrieden.

Im nächsten Schritt müssen wir dann nach einen User-Account auf der Bridge erstellen, damit Homebridge sich damit verbinden kann.

deCONZ unlocken

Als erstes öffnen wir hierfür die Phoscon App unter http://homebridge.local:8080 und vergeben einen Namen sowie ein Login-Passwort für das Gateway.

Den Dialog zum Hinzufügen von Lampen können wir erst ein mal überspringen.

Wenn wir jetzt in Phoscon eingeloggt sind, klicken wir in der Sidebar auf Gateway. Dort haben wir die Möglichkeit, ggf. Die Firmware des Moduls, sowie die Phoscon App zu aktualisieren.

Wir klicken unten auf Erweitert und anschließend auf den Button Authenticate App.

Screenshot der Phoscon App

Dies gibt uns nun 60 Sekunden Zeit, uns durch Homebridge einen API-Zugang erstellen zu lassen.

Zugangsdaten erstellen und in die Konfiguration einfügen

Wir loggen uns also in Homebridge unter http://homebridge.local:8581 ein und klicken auf das ⏻-Symbol, um Homebridge neu zu starten.

Im Log auf dem Dashboard können wir nun verfolgen, wie Homebridge die Konfiguration und alle Plugins lädt.

Irgendwann meldet die Software, dass ein neuer User angelegt wurde und wie die Zugangsdaten lauten.

[4/14/2021, 3:14:40 PM] [Hue] Phoscon-GW: dresden elektronik deCONZ gateway v2.10.4, api v1.16.0
[4/14/2021, 3:14:40 PM] [Hue] Phoscon-GW: created user - please edit config.json and restart homebridge
 "platforms": [
 {
 "platform": "Hue",
 "users": {
 "00212EFFFF06F00E": "5A03564876"
 }
 }
 ]

Diesen Codeschnipsel kopieren wir nun in unsere Homebridge-Konfiguration.

Die Komplette Konfiguration könnte nun so aussehen.

{
 "bridge": {
 "name": "Homebridge A7F6",
 "username": "0E:FA:B7:84:A7:F6",
 "port": 51775,
 "pin": "119-28-333"
 },
 "accessories": [],
 "platforms": [
 {
 "name": "Config",
 "port": 8581,
 "platform": "config"
 },
 {
 "name": "Hue",
 "anyOn": true,
 "effects": true,
 "hosts": [
 "homebridge.local:8080"
 ],
 "users": {
 "00212EFFFF06F00E": "5A03564876"
 }
 "lights": true,
 "nativeHomeKitLights": true,
 "nativeHomeKitSensors": true,
 "resource": true,
 "sensors": false,
 "platform": "Hue"
 }
 ]
}

Homebridge in HomeKit einbinden

Das Einbinden der Homebridge in HomeKit könnte einfacher nicht sein.

Sowohl auf dem Homebridge-Dashboard, als auch im Logfile bietet Homebridge uns einen QR-Code an, den wir, wie bei jedem anderen HomeKit-Gerät, mit der Home-App scannen und so importieren können.

Das war’s schon

Nun können wir damit beginnen allerlei Zigbee-Geräte in Phoscon zu pairen. Gegebenenfalls ist ein Neustart von Homebridge notwendig, damit sie in HomeKit erscheinen.

Zigbee als Brückentechnologie im Smarthome mit RaspBee und Homebridge

Mon, 12 Apr 2021 10:19:08 +0000

Ich habe in den letzten Monaten damit begonnen, zu Hause ein Bisschen mit Smart-Home-Geräten und HomeKit zu experimentieren.

Auslöser war der Wunsch die Beleuchtung an meinem Schreibtisch ein wenig besser steuern zu können um für “casual Computing”, Arbeiten und Videocalls unterschiedliche Beleuchtungssituationen zu haben, die bis zum Tageslichtsprektrum reichen.

Eingezogen sind somit die ersten drei Philips Hue-Birnen, sowie die dazugehörige Hue-Bridge.

Im nächsten Schritt wollte ich das ganze auch über einen physischen Schalter steuerbar machen. Ich habe mir also einen Hue Button und den “Zauberwürfel” von Aqara zugelegt. Den Hue Button konnte ich erwartungsgemäß ziemlich einfach einbinden. Gehapert hat es dann aber am Aqara-Würfel. Dieser benötigt nämlich die Aqara-Bridge, was mir vorher nicht so klar war.

Da ich keine Lust hatte, mir jetzt auch noch eine Aqara-Bridge ins Haus zu holen, welche wohl auch noch einen Cloud-Zwang mit sich zu bringen scheint, machte ich mich auf die Suche nach Alternativen.

Relativ schnell stieß ich auf den RaspBee II von dresden elektronik. Dies ist ein kleines Modul, welches auf den GPIO-Port des Raspberry Pi gesteckt wird und ihm ermöglicht, Zigbee zu sprechen, was das Protokoll ist, dass die meisten Smart-Home-Bridges nutzen, um mit ihren Geräten zu kommunizieren. Die Technik des RaspBee gibt es als ConBee auch noch in Form eines USB-Sticks, der dann auch an “normalen” PCs genutzt werden kann.

Da ich noch einen ungenutzten Raspberry Pi in der Schublade liegen hatte, dachte ich mir, ich probiere das einfach mal aus. Das Modul kostet die Hälfte der Aqara-Bridge und hat sich dann schon quasi gelohnt. Die Hue Bridge kann ich auch wieder abstoßen und mir hoffentlich zukünftig auch den Kauf von weiteren Bridges sparen.

Aber zuerst mal noch ein kleiner und oberflächlicher Ausritt zu Zigbee.

Zigbee ist ein Mesh-Netzwerk. Das bedeutet, alle Zigbee-Geräte untereinander schließen sich zusammen und können (soweit sie dauerhaft am Strom hängen) Signale dorthin weiterleiten, wo sie hin sollen. So kann eine Birne auch sehr weit von der Bridge entfernt sein, wenn zwischendurch noch genug andere Geräte eingebunden sind, die die Wegstrecken verkürzen. Eine strategisch platzierte Zigbee-Steckdose oder Birne im Obergeschoss reichen meist schon aus, um das Erdgeschoss mit dem Dachgeschoss zu verbinden.

Das Problem aktuell ist jedoch, dass die meisten Hersteller ihre eigenen Bridges an den Start bringen und diese jeweils voneinander unabhängige Zigbee-Netzwerke aufbauen. Dann meshed Hue mit Hue, Aqara mit Aqara usw. Und der ganze schöne Vorteil von Zigbee ist dem Vendor-LockIn zum Opfer gefallen.

Mit Thread ist eine auf diesen Bausteinen aufbauende Technologie im Anmarsch, die ähnlich funktioniert und Herstellerunabhängigkeit und ein Leben ohne Bridges verspricht. Hier braucht man dann nur noch einen Thread-fähigen Border-Router wie z.B. den HomePod mini und alle Geräte können über ihn meshen. Die Anzahl an Thread-fähigen Geräten wächst langsam und viele Geräte mit Zigbee und Bluetooth sind zumindest hardwareseitig wohl auch schon Thread-fähig.

Bis alles mit Thread realisierbar ist, bleibt Zigbee aber die Brückentechnologie (pun intended).

Nun zurück zum RaspBee II. Das Modul ermöglicht es nun, mit dem Raspberry Pi eine Zigbee-Bridge aufzubauen, die mit Geräten unterschiedlichster Hersteller spricht. Ich habe jetzt zum Beispiel meine Hue-Geräte, sowie den Aqara-Schalterwürfel eingebunden. Ebenso wäre es möglich, Bosch- oder IKEA-Geräte mit einzubinden.

Der Vorteil liegt nun darin, dass ich nur noch eine Bridge habe. Und wie durch ein Wunder sprechen auf ein mal auch alle Geräte miteinander und ich habe ein einziges wunderbar großes Zigbee-Netz.

Um das zu realisieren, gibt es für den RaspBee II die deCONZ-Software. Diese ist quasi die Steuerungsschicht, über die der Raspberry Pi mit den Zigbee-Geräten sprechen kann. Verwaltet wird dies entweder über die Shell, oder über die Phoscon App. Diese ist ein Webinterface, die es ermöglicht, über den Browser Geräte zu pairen, Firmware-Updates einzuspielen, Räume und Szenen anzulegen und eben alles zu machen, was man mit der Hue Bridge auch machen kann.

Mit einer Homebridge und einem entsprechenden Plugin lässt sich das ganze auch in Apples HomeKit einbinden und dann alles schön automatisieren und über den Mac, iOS-Geräte oder eben Siri, steuern.

Da die Installationsanleitung mit ein paar Tipps, um das ganze ein Bisschen weniger fehleranfällig zu machen, hier den Rahmen sprengen würde, kommt diese im nächsten Post.

caldav2todoist - Todoist mit Siri ohne IFTTT

Wed, 23 Sep 2020 21:31:20 +0200

Ich bin langjähriger Nutzer von Todoist und versuche möglichst viele Dinge (mit meiner Nextcloud) selbst zu hosten.

Zusätzlich bin ich voll im Apple-Ökosystem zu Hause und genieße es, Aufgaben über Siri in meine Watch, mein iPhone oder auch im Auto über CarPlay zu diktieren.

Der von Todoist empfohlene Weg, Siri und Todoist zu verbinden, sieht vor, dass die Aufgaben in einer Reminders-Liste landen und man den Dienst IFTTT nutzt, um diese dann in Todoist erstellen zu lassen.

Das hat vor ein paar Jahren mal eine Zeit lang mehr oder weniger funktioniert. Mindestens seit einem Jahr aber bei mir nicht mehr, und wenn, nicht zuverlässig. Zudem ist IFTTT eben wieder ein externer Dienst, den ich mit in die Kette nehmen muss und der Zugriff auf meine Daten hat.

Ich überlegte also schon die ganze Zeit, wie ich das Thema anders lösen kann und war auch schon auf der Suche nach einem anderen Todolisten-Dienst.

Gestern habe ich mir dann mal angeschaut, wie man mit curl CalDAV-Server abfragen und die Todoist-API bedienen kann. Nach ein Bisschen rumprobieren ist es mir dann gelungen, und caldav2todoist ist entstanden.

Dieses Script läuft in /bin/sh und hat keine externen Abhängigkeiten (curl und uuidgen sollten auf allen modernen Systemen ja vorhanden sein).

Es ruft von einem CalDAV-Kalender die Tasks ab, die seit dem letzten Abruf erstellt wurden. Diese werden in einer Datei zwischengespeichert und dann Stück für Stück in die Todoist-Inbox gepusht. Falls das fehlschlägt, bleiben sie gespeichert und sind beim nächsten Aufruf noch mal dran.

Dieses Script läuft bei mir jetzt minütlich per cron und mein Problem ist gelöst.

Nebenbei habe ich noch einen Bug in nextcloud bzw. der Tasks-App gefunden. Wenn man diese nutzt, um über das Webinterface eine Aufgabe zu erstellen, werden diese mit der Zeitzone des Servers für das CREATED-Feld und alle anderen zeitrelevanten Dinge gespeichert. Wenn man sie anders, wie in meinem Fall über Siri oder die Reminders-App direkt, erstellt, wird UTC als Zeitzone benutzt, was auch RFC 4791 fordert.

Dadurch fallen bei caldav2todoist Tasks durchs Raster oder werden doppelt erstellt, da ich immer von UTC ausgehe.

Es stellt sich heraus, dass die Tasks-App für nextcloud einfach noch nicht mit Zeitzonen umgehen kann.

OpenVPN on demand mit iOS

Sun, 28 Jun 2020 17:00:11 +0200

Ich war für meine VPN-Lösung jahrelang Nutzer von IPSec, da dies zuerst von der Fritz!Box und dann die letzten Jahre vom EdgeRouter und zuletzt vom USG direkt unterstützt wurde.

Diverse Gründe haben mich aber in den letzten Wochen zum Umstieg auf einen DIY-Router mit OPNsense bewegt.

Da IPSec irgendwie immer eine Krücke ist und OpenVPN direkt von OPNsense unterstützt wird und viele Vorteile bringt, habe ich mich entschlossen, mit dem Router auch den VPN-Server zu wechseln.

Wenn man diesen in OPNsense einrichtet und einen User inkl. Zertifikaten etc. anlegt, gibt es die Möglichkeit, das entsprechende ovpn-File zur Konfiuration der Clients direkt aus OPNsense herunter zu laden.

Wie ich hier beschrieben habe, nutzte ich mit IPsec die Möglichkeit, unter iOS eine VPN-Verbindung aufzubauen, wenn ich mich außerhalb vertrauenswürdiger WLANs bewegte. So einen einfachen Konfigurator gibt es für OpenVPN leider nicht. Auch der offizielle OpenVPN-Client für iOS bietet diese Konfigurationsmöglichkeiten nicht.

Durch Zufall bin ich dann aber über Passepartout, einen alternativen iOS-OpenVPN-Client, gestoßen. Dieser bietet genau die Möglichkeiten, die gesucht habe.

Ich kann vertrauenswürdige WLANs definieren, angeben, ob das Mobilfunknetz mit oder ohne VPN genutzt werden soll und einfach mein Configfile aus OPNsense importieren. Und er ist Open Source.

Ich habe ihn jetzt ein paar Wochen im Einsatz und muss sagen, er macht was er soll und ich bin sehr zufrieden.

iocage VNET-Jails Unter FreeBSD in VLANs Betreiben

Sun, 07 Jun 2020 12:16:03 +0200

Ich habe einige Zeit damit verbracht, iocage VNET Jails und VLANs unter einen Hut zu bekommen. Da ich erfolgreich war, möchte ich meinen Weg hier dokumentieren.

Zuerst ein mal ein paar Infos zu meinem Setup.

Das ungetaggte Management-Netz hat das IP-Netz 192.168.1.1/24.

Zusätzlich gibt es mehrere getaggte VLANS:

LAN 10.0.3.12/24 (VLAN 30)
IoT 10.0.4.12/24 (VLAN 40)
Guest 10.0.5.12/24 (VLAN 50)
VOIP 10.0.6.12/24 (VLAN 60)
DMZ 10.0.7.12/24 (VLAN 70)

Der Server verfügt über zwei NICs (igb0 und igb1).

Das Ziel ist, dass igb0 im Management-Netz hängt und z.B. der SSH-Server des Hosts darüber verfügbar ist. Das über den Switch schon das richtige Netz ankommt, ist hier nichts großartig zu konfigurieren.

igb1 soll als Interface für die iocage-Jails dienen. Der Port ist auf dem Switch als Trunk konfiguriert. Hier kommen also alle VLANs getagged an. Für die Jails möchte ich jeweils konfigurieren können, in welchem VLAN und dementsprechend auch welchem IP-Netz sie betrieben werden, um z.B. den Webserver in der DMZ und den Samba-Server im normalen LAN erreichbar zu machen.

Hierfür ist es zunächst notwendig, erst mal alles in der /etc/rc.conf zu konfigurieren. Später konfigurieren wir noch die Jails.

/etc/rc.conf

Als erstes setzen wir für den Host den Defaultrouter und den Nameserver aus dem untagged Management-Netz.

defaultrouter="192.168.1.1"
nameserver="192.168.1.1"

Als nächstes konfigurieren wir igb0 (welche im Management-Netz hängt) und vergeben hier eine IP (192.168.1.12).

ifconfig_igb0="inet 192.168.1.12/24 -rxcsum -rxcsum6 -txcsum -txcsum6 -lro -tso -vlanhwtso description Management"

Der Host ist nun regulär über 192.168.1.12 erreichbar, solange man im Management-Netz hängt, oder entsprechende Firewall-Regeln gesetzt hat. Bis hierhin erst mal nichts besonderes.

Widmen wir uns nun also igb1.

Zuerst konfigurieren wir das Interface, bringen es hoch, aber vergeben keine IP.

ifconfig_igb1="up -lro -tso4 -tso6 -vlanhwtso"

Im nächsten schritt definieren wir, welche VLANs wir auf der NIC sprechen wollen. Die Namen sind prinzipiell frei wählbar, eine einheitliche Namensgebung vereinfacht aber die Übersicht.

vlans_igb1="vlan30 vlan40 vlan50 vlan60 vlan70"

Jetzt müssen wir für jedes eben angelegt Netz noch definieren, in welches VLAN es gehört, welche IP das Interface erhalten soll (auch hier vergebe ich einfach die 12 in allen Netzen um es übersichtlich zu haben) und können noch eine Beschreibung eintragen, die z.B. von ifconfig ausgegeben wird.

create_args_vlan30="vlan 30"
ifconfig_vlan30="inet 10.0.3.12/24"
ifconfig_vlan30_descr="LAN (VLAN 30)"

create_args_vlan40="vlan 40"
ifconfig_vlan40="inet 10.0.4.12/24"
ifconfig_vlan40_descr="IoT (VLAN 40)"

create_args_vlan50="vlan 50"
ifconfig_vlan50="inet 10.0.5.12/24"
ifconfig_vlan50_descr="Guest (VLAN 50)"

create_args_vlan60="vlan 60"
ifconfig_vlan60="inet 10.0.6.12/24"
ifconfig_vlan60_descr="VOIP (VLAN 60)"

create_args_vlan70="vlan 70"
ifconfig_vlan70="inet 10.0.7.12/24"
ifconfig_vlan70_descr="DMZ (VLAN 70)"

Da iocage mit den Interfaces alleine noch nichts anfangen kann, müssen wir jetzt für jedes VLAN noch eine Bridge anlegen, welche dann später von den Jails genutzt wird. Auch hier gilt wieder: Einheitliche Namen erleichtern die Übersicht.

cloned_interfaces="bridge30 bridge40 bridge50 bridge60 bridge70"
ifconfig_bridge30="up addm vlan30"
ifconfig_bridge40="up addm vlan40"
ifconfig_bridge50="up addm vlan50"
ifconfig_bridge60="up addm vlan60"
ifconfig_bridge70="up addm vlan70"

Nach einem Reboot ist unsere Konfiguration geladen und aktiv.

iocage Jails konfigurieren

Zu guterletzt müssen wir iocage noch beibringen, die Bridges zu nutzen. Das eben angesprochene Szenario, Webserver in der DMZ und Samba-Server im LAN würden wir wie folgt realisieren.

iocage set interfaces=vnet0:bridge30 samba
iocage set interfaces=vnet0:bridge70 www

Da iocage standardmäßig die Nameserver aus der /etc/resolv.conf des Hosts an die Jails weitergibt, und diese dann aus der Jail nicht erreichbar sind, da sie ja in einem anderen Netz liegen, ist noch ein Bisschen Handarbeit notwendig.

iocage set defaultrouter="10.0.3.1" resolver="10.0.3.1" samba
iocage set defaultrouter="10.0.7.1" resolver="10.0.7.1" www

Somit haben wir für die Jail das entsprechende Gateway und den Resolver des VLANs gesetzt und die Kommunikation sollte funktionieren.

Wenn die Jails neugestartet wurden, sind sie im richtigen Netz. Auf dem selben Weg können wir nun auch alle anderen Jails zu allen anderen VLANs hinzufügen.

Linkaggregation mit LACP

Wenn wir jetzt aber statt einer einzelnen NIC für die Jails gerne mehrere NICs bündeln würden, um die Bandbreite zu erhöhen, können wir das auch mit minimalen Änderungen tun.

Ich habe im Server noch eine andere Karte em0 stecken und möchte diese für das Management-Netz nutzen. So habe ich igb0 und igb1 frei, um sie über LACP zu bündeln und den Jails zur Verfüfung zu stellen.

Zuerst konfigurieren wir em0 genau so, wie wir es oben mit igb0 gemacht haben.

ifconfig_em0="inet 192.168.1.12/24 -rxcsum -rxcsum6 -txcsum -txcsum6 -lro -tso -vlanhwtso description Management"

Als nächstes machen wir dem System _igb_0 und igb1 bekannt und bündeln diese im Interface lagg0.

ifconfig_igb0="up -lro -tso4 -tso6 -vlanhwtso"
ifconfig_igb1="up -lro -tso4 -tso6 -vlanhwtso"

Und zum Schluss definieren wir dann die VLANs statt auf igb1 eben auf lagg0.

cloned_interfaces="lagg0 bridge30 bridge40 bridge50 bridge60 bridge70"

ifconfig_lagg0="laggproto lacp laggport igb0 laggport igb1"

vlans_lagg0="vlan30 vlan40 vlan50 vlan60 vlan70"

An der Config der Jails müssen wir nichts ändern, da diese ja die bridges nutzen und wir in die Bridges die VLAN-Interfaces packen, und nicht die NICs direkt.

Den Jails steht jetzt die gebündlete Bandbreite von 2 GBit-Nics zur Verfügung. Jede Verbindung nutzt weiterhin nur eine NIC und kann somit maximal 1 GBit erreichen. Mehrere Verbindungen verteilen sich dann aber auf die Karten und können dann zusammen eben theoretisch 2 GBit erreichen. Man könnte dies auch noch mit zusätzlichen NICs erweitern, falls man sie hat und muss sie nur hochbringen und ins lagg0 packen.

Some zshrc tricks

Sun, 24 May 2020 22:53:40 +0200

Martin Tournoij hat in seinem Artikel Some zshrc tricks ein paar sehr hilfreiche Tipps für eine schöne und portable ZSH-Konfiguration niedergeschrieben. Ich habe einige davon direkt mal in meine dotfiles eingebaut.

Insbesondere die Tipps zum Aufräumen des $PATH (keine Duplikate, nur Pfade, die auch existieren) fand ich sehr hilfreich.

Usefull one line scripts for sed

Wed, 13 May 2020 09:46:19 +0200

Eric Pement pflegt eine Liste mit nützlichen Onelinern für sed. Wenn man also mal schauen möchte, was sed alles kann oder Tipps für einen konkreten Anwendungsfall braucht,lohnt sich ein Blick. Auch, wenn die letzte Aktualisierung vom 29. Dezember 2005 ist.

Ein Beispiel:

 # align all text flush right on a 79-column width
 sed -e :a -e 's/^.\{1,78\}$/ &/;ta' # set at 78 plus 1 space

Mac-Keyboard unter Linux benutzen

Tue, 12 May 2020 22:08:35 +0200

Ich habe häufiger das Problem, dass ich in virtuellen Linux-Maschinen, die ich in VirtualBox auf macOS ausführe kein vernünftiges Keyboard-Layout habe. Wenn man dann zum Beispiel ein @ eintippen möchte, passiert einfach nichts. Selbst dann, wenn man beim Setup ein Macintosh-Layout wählt.

Das Problem lässt sich aber recht leicht beheben, indem wir die XKB-Config anpassen.

Unter Ubuntu-basierten Distributionen erledigen wir das in der Datei /etc/default/keyboard. Einfach folgende Parameter einfügen, und die Tastatur funktioniert, wie sie soll.

XKBMODEL="macintosh"
XKBLAYOUT="ch"
XKBVARIANT="de_mac"
XKBOPTIONS="lv3:alt_switch"
BACKSPACE="guess"

jailer.sh endlich ordentlich dokumentiert

Sun, 10 May 2020 22:25:03 +0200

Ich habe in den letzten Tagen ein Bisschen am Code von jailer.sh geschraubt und einen umfangreichen sample-Flavour hinzugefügt.

Das ganz ist jetzt auch endlich mal ordentlich dokumentiert.

Wer also eine Möglichkeit sucht, iocage-Jails auf FreeBSD einfach zu maintainen und eine schicke Templating-Lösung á la ezjail mit moderner Grundlage zu haben, sollte sich das Ganze mal anschauen.

Pull requests, bug reports und feature requests sind gerne wilkommen :)

Meine Infrastruktur 2020

Sun, 03 May 2020 11:29:46 +0200

Ich hatte schon länger vor, mal etwas über meine Infrastruktur zu schreiben. Jetzt nutze ich die Zeit einfach mal.

Prinzipiell versuche ich, so viel es geht selbst zu betreiben, um nicht auf externe Dienste angewiesen zu sein, die mit meinen Daten Geld verdienen wollen. Zu diesem Zwecke betreibe ich aktuell vier Server an vier Standorten.

Ich betreibe die Dienste für mich, für Freunde, die Familie und befreundete Organisationen.

Die Server benenne ich nach den Companions von Doctor Who. Ich mag Doctor Who. Und viele der Comapnions. Und die Liste an Möglichen Namen ist auch sehr lang. Lasst uns also starten.

Meine Hosts

Aktuell betreibe ich donna, rory, rose und amy (und river als Gateway zu Hause). Auf allen Servern läuft FreeBSD auf einer ZFS-Konfiguration. Die Jails betreibe ich mit iocage und manage sie mit meine Script jailer.sh. Die Webserver laufen auf nginx und ich manage sie mit meinem Sccript ngineerx. Zum Monitoring setze ich auf allen Servern monit ein, was auch dafür sorgt, dass Dienste neu gestartet werden, falls sie mal Probleme machen sollten.

donna

donna steht bei uns im Keller. Er beinhaltet drei Unterschiedliche zpools. Zwei gemirrorte SSDs für das Betriebssystem und Daten, die flüchtig sein können (Caches etc), zwei gemirrorte SSDs für die Jails und Datenbanken etc, wo es auf Geschwingkeit ankommt und 6 ordinäre Festplatten in einem RAIDZ2, auf dem die großen Datenmengen Liegen, bei denen es nicht auf eine Sekunde ankommt.

Auf donna laufen aktuell 10 Jails:

gitea: Das ist der Gitea-Server, der meine Git-Repositories unter https://git.debilux.org/chbaer hostet
redis: Die redis-Datenbank als Cache für Gitea und Nextcloud
samba: Der Samba-Server, der im lokalen Netz die Daten zur Verfüfung stellt und als Backup-Target für TimeMachine dient.
sql: Die MariaDB-Datenbank, die von Nextcloud benutzt wird.
unbound: unbound als lokaler DNS-Server und Resolver für das heimische Netz.
plex: Der Plex-Server streamt Medien an Familie und Freunde.
rmbackup: Diese Jail zieht regelmäßig Backups von allen Servern mithilfe von rmbackup
sbbackup: sbbackup ist ein kleines Script, dass die Home-Directories auf donna regelmäßig offsite in eine Hetzner Storage-Box sichert.
tautulli: Tautulli ist ein Monitoring-Tool für den PLEX-Server.
www: nginx dient als reverse Proxy für Gitea, hostet die Nextcloud und stellt mir Zugriff auf Administrationsoberflächen zur Verfügung.

rose

rose ist ein ein Cloud-Server von Hetzner, der in Falkenstein betrieben wird.

Aktuell laufen auf rose 10 Jails:

ftp: Hier läuft ein PureFTPd als FTP-Server meine Webprojekte.
memcache: memached dient als Cache für Roundcube.
nsd: Hier läuft ein nsd als Master-Nameserver unter ns1.dblx.io
solr: Solr dient als Datenbank für die serverseitige Suche für den Dovocot-IMAP-Server
unifi: Der Controller für meine Unifi-Netzwerke. mail: Hier läuft opensmtpd als SMTP-Server und mx unter mx1.dblx.io, Dovecot als IMAP-Server mit sieve zur Filterung sowie rspamd als Spamfilter.
ns: Wie zu Hause auch, ein unbound-Server als DNS resolver für die Jails.
redis: Als Cache für rspamd und wallabag.
sql: MariaDB für die Webprojekte, sowie roundcube, FTP-Server, ttrss und wallabag.
www: nginx als reverse Proxy für den UniFi-Controller, sowie als Host für ttrss, wallabag, https://ip.dblx.io, https://christianbaer.me, Autoconfig für den Mail-Server und Seiten befreundeter Organisationen.

rory

rory ist ein ein Cloud-Server von Hetzner, der in Nürnberg betrieben wird.

Hier laufen nur zwei Jails:

nsd: nsd als secondary Nameserver unter ns2.dblx.io
smtpd: opensmtpd als Backup-MX unter mx2.dblx.io

amy

amy ist ein ein Cloud-Server von Hetzner, der in Helsinki betrieben wird.

Hier laufen nur zwei Jails:

nsd: nsd als dritter Nameserver unter ns3.dblx.io
smtpd: opensmtpd als Backup-MX unter mx3.dblx.io

river und Heimnetzwerk

river ist ein UniFi USG 4 Pro und Teil des UniFi-Setups, das ich zu Hause betreibe. Dazu gesellen sich noch 6 Access Points im Haus und im Garten, ein 24-Port PoE-Switch im Keller, ein 5-Port USW Flex Mini auf meinem Schreibtisch und eine Fritz-Box als SIP-Client für das Festnetztelefon, dass nie benutzt wird.

Das Netzwerk ist in verschiedene WLANs und VLANs für Management, LAN, Telefonie, Gäste und iOT-Geräte aufgeteilt.

Als ISP setzen wir auf die Telekom, welche uns eine 100 MBit-Leitung bei innogy angemietet hat. Durch diese Kombination haben wir zu Hause leider kein IPv6 mehr, aber knapp 95 MBit Downstream und 38 MBit Upstream, was mir dann ein Bisschen wichtiger war.

Erfahrungen

Alles in allem bin ich sehr zufrieden. Die Cloud-Hosts bei Hetzner sind vergleichsweise günstig für die Leistung. Das Setup bietet die notewendige Redundanz und die wirklich wichtigen Dienste sind auch zu Hause erreichbar, wenn das Internet mal nicht laufen sollte. Natürlcih könnte man die Cloud-Server noch auf mehrere Anbieter verteilen, um wirklich sicher zu gehen, aber der Aufwand rechtfertigt für mich den Nutzen nicht.

Bei meiner Softwareauswahl gehe ich gerne auf Nummer sicher und nehme gut abgehangene Software, die ein gewisses Security-Standing hat und habe wenig Lust auf Experimente, da der Kram ja in erster Linie laufen soll und ich meine Produktivsysteme vermissen würde, wenn sie nicht mehr da sind.

Von GitHub zu Gitea

Sat, 02 May 2020 23:35:23 +0200

Ich versuche, wo immer es nur geht, nicht auf externe Dienste angewiesen zu sein.

Einen Schritt, den ich schon seit längerer Zeit gehen wollte, ist meine Projekte von GitHub wegzubekommen, beziehungsweise einen eigenen Git-Server zu betreiben und GitHub nur noch als Mirror zu nutzen.

Vor ein paar Wochen bin ich dann auf Gitea gestoßen. Gitea ist ein offensichtlicher Clone von GitHub, in Go geschrieben und lässt sich dementsprechend als einfaches Binary ziemlich easy installieren.

Screenshot von Gitea

Ich habe es jetzt auf meinem Heimserver in eine Jail verfrachtet und einen nginx als Reverse-Proxy davor geschaltet.

Die Inbetriebnahme war schmerzfrei und es tut, was es soll. In den kommenden Wochen werde ich jetzt Stück für Stück meine Repos auf git.debilux.org/chbaer umziehen.

FreeBSD-Server mit Jails: Host-System vorbereiten

Mon, 15 Apr 2019 23:59:27 +0200

Da bei mir mal wieder das Neuaufsetzen eines Servers ansteht, dachte ich, ich dokumentiere das ganze mal. Als Betriebssystem kommt FreeBSD zum Einsatz. Das Basissystem soll möglichst schlank gehalten werden. Die einzelnen Dienste werden jeweils in eigenen Jails separiert. Beim Management der Jails kommt iocage zum Einsatz.

Zuerst installieren wir die aktuellste FreeBSD-Version. Bei mir ist das aktuell Version 12.0-RELEASE. Für die Installation habe ich das Memstick-Image benutzt. Der installer ist relativ selbst erklärend. Wichtig ist nur, dass wir für die Installation die Option ZFS im Partionierungsmenü nutzen.

System updaten

Nach der Installation booten wir in unser jungfräuliches System und updaten erst ein mal die Installation und die Ports auf das aktuellste Patchlevel.

freebsd-update fetch install
portsnap auto

Anschließend nehmen wir noch ein paar kleine Anpassungen vor.

Zeitsynchronisation aktivieren

Der Server synchronisiert beim Booten die Zeit mit deutschen Zeitservern.

sysrc ntpdate_enable="YES"
sysrc ntpdate_hosts="de.pool.ntp.org"

Bootdelay reduzieren

Die Wartezeit beim Booten wird auf drei Sekunden reduziert.

echo "autoboot_delay=3" >> /boot/loader.conf

System bleibt bei Shutwdown hängen, wenn root auf einem USB-Device liegt

Falls FreeBSD auf einem USB-Device installiert wurde, kann es sein, dass das System nach dem Shutdown hängen bleibt. Ein Reboot ist nur per Hardware-Taste möglich. Folgender Befehl fixt das.

echo "hw.usb.no_shutdown_wait=1" >> /etc/sysctl.conf
sysctl hw.usb.no_shutdown_wait=1

Anschließend starten wir das System noch mal neu.

User hinzufügen

Per default ist das Login mit root über SSH deaktiviert. Das ist auch sinnvoll. Wir werden uns also einen User zum Arbeiten erstellen und diesen in die Lage versetzen, root-Rechte zu erlangen.

Über adduser legen wir uns als erstes einen User an, mit welchem wir uns per SSH einloggen können.

adduser

Wir beantworten einfach die Fragen. Die angebotenen Standard-Optionen passen soweit. Hier muss nichts geändert werden. Wenn die Frage “Invite $USER into other groups?” kommt, geben wir zusätzlich noch die Gruppe wheel an. So gehört unser User zu den Administratoren. In einem weiteren Schritt werden wir doas installieren, damit wir dann auch root-Rechte erlangen können.

doas installieren

pkg install doas
echo "permit keepenv :wheel" > /usr/local/etc/doas.conf

Die Zeile permit keepenv :wheel sagt doas, dass alle Benutzer, welche der Gruppe wheel angehören, durch Eingabe ihres Passworts root werden können.

Jetzt sind wir in der Lage, uns per SSH mit dem Server zu verbinden und dann auch Dinge wie Copy und Paste zu nutzen, um die Configs zu erstellen.

Mit einem behrtzten doas -s gelangen wir nach Eingabe unseres Passworts in eine root-Shell.

Build-System einrichten

Ich bin ein großer Fan davon, die Programme nicht als Binärpakete zu installieren, sondern selbst aus den Ports zu bauen. So kann ich unnötige Funktionen deaktivieren und das Host-System schön schlank halten, da ich versuche, überflüssige Abhängigkeiten weitestgehend zu vermeiden.

Als erstes legen wir /etc/make.conf und /etc/src.conf an. In diesen Files habe ich ein paar Defaults konfiguriert, um z.B. immer die aktuelle OpenSSL-Version aus den Ports zu nehmen, X11-Funktionen zu deaktivieren, da wir ja auf einem Server sind usw.. /etc/src.conf kommt zum Einsatz, falls wir uns einen angepassten Kernel bauen wollen. Da VIMAGE mittlerweile im Standard-Kernel ist, besteht nicht mehr zwingend die Notwendigkeit dazu.

### /etc/make.conf

## Nearby mirror
MASTER_SITE_OVERRIDE="ftp://ftp.de.freebsd.org/pub/FreeBSD/ports/distfiles/"

## Build
MAKE_JOBS_NUMBER?=4
## Optimizations
CPUTYPE?=native
OPTIONS_SET=OPTIMIZED_CFLAGS CPUFLAGS

## Headless server options
WITHOUT_MODULES=sound ntfs linux

.if ${.CURDIR:M/usr/ports/*}
OPTIONS_SET+=CRYPTO GSSAPI_NONE IPV6 OPENSSL THREADS
OPTIONS_UNSET+=DEBUG DTRACE GSSAPI_BASE GSSAPI_HEIMDAL GSSAPI_MIT READLINE TEST TESTS X11 CUPS DOCS FONTCONFIG NLS X11 EXAMPLES
DEFAULT_VERSIONS+=ssl=openssl
.endif

## Disable sendmail!
NO_SENDMAIL=true

#ccache
WITH_CCACHE_BUILD=yes

CCACHE_UMASK=022
CCACHE_DIR=/var/cache/ccache
CCACHE_MAXSIZE=5G

### /etc/src.conf

WITH_CCACHE_BUILD=yes
WITHOUT_AMD=YES
WITHOUT_APM=YES
WITHOUT_ATF=YES
WITHOUT_ATM=YES
WITHOUT_AUTHPF=YES
WITHOUT_AUTOFS=YES
WITHOUT_BHYVE=YES
WITHOUT_BLUETOOTH=YES
WITHOUT_BOOTPARAMD=YES
WITHOUT_BOOTPD=YES
WITHOUT_BSNMP=YES
WITHOUT_CALENDAR=YES
WITH_CCACHE_BUILD=YES
WITHOUT_CCD=YES
WITH_CLANG_EXTRAS=YES
WITHOUT_CTM=YES
WITHOUT_CUSE=YES
WITHOUT_DEBUG_FILES=YES
WITHOUT_DMAGENT=YES
WITHOUT_FINGER=YES
WITHOUT_FLOPPY=YES
WITHOUT_GAMES=YES
WITHOUT_GPIB=YES
WITHOUT_GPIO=YES
WITH_GSSAPI=YES
WITHOUT_HTML=YES
WITHOUT_HYPERV=YES
WITHOUT_I4B=YES
WITHOUT_INETD=YES
WITHOUT_INFO=YES
WITHOUT_IPX=YES
WITHOUT_KERBEROS=YES
WITHOUT_KVM=YES
WITHOUT_LIB32=YES
WITHOUT_LPR=YES
WITHOUT_NCP=YES
WITHOUT_NDIS=YES
WITHOUT_NIS=YES
WITHOUT_PC_SYSINSTALL=YES
WITHOUT_PMC=YES
WITHOUT_PPP=YES
#WITHOUT_PROFILE=YES
WITHOUT_RADIUS_SUPPORT=YES
WITHOUT_RBOOTD=YES
WITHOUT_RCMDS=YES
WITHOUT_RCS=YES
WITHOUT_SENDMAIL=YES
WITHOUT_SHAREDOCS=YES
WITHOUT_SYSINSTALL=YES
WITHOUT_TALK=YES
WITHOUT_TCP_WRAPPERS=YES
WITHOUT_TESTS=YES
WITHOUT_TFTP=YES
WITHOUT_TIMED=YES
WITHOUT_WIRELESS=YES

ccache als Compiler-Cache

Viele Pakete, die wir bauen, werden in mehreren Jails und auf dem Host-System benötigt. Es bietet sich also an, die Kompilate zu cachen, um beim erneuten Bauen Zeit zu sparen. Hier kommt ccache zum Einsatz.

Die grundlegende Konfiguration haben wir bereits in /etc/make.conf und /etc/src.conf getätigt. Unter anderem ist /var/cache/ccache als Ort des Caches festgelegt.

Wir erstellen uns also hierfür erst mal ein ZFS-Dataset

zfs create zroot/var/cache
zfs create zroot/var/cache/ccache

Anschließend installieren wir ccache und portmaster.

pkg install ccache portmaster

portmaster macht es uns sehr viel einfacher, mit den Ports zu hantieren. Statt cd /usr/ports/sysutils/ccache && make install clean reicht jetzt ein portmaster sysutils/ccache, um ccache zu installieren. Ein portmaster -Bad aktualisiert z.B alle installierten Ports und erstellt hierbei keine Backup-Packages. die Manpages zu portmaster nennen noch viele weitere Optionen. Durch ccache wird jeder Compile-Vorgang, der schon mal ausgeführt wurde, beim nächsten mal wesentlich schneller vonstatten gehen.

Weitere nützliche Programme installieren

Wenn das alles geschafft ist, installiere ich immer noch ein paar weitere Programme, um mir die Arbeitsumgebung an meine Bedürfnisse anzupassen.

portmaster -Bd editors/vim-console net/mosh shells/zsh sysutils/tmux devel/git-lite net/rsync

Zu guter letzt setze ich mir dann noch ZSH als Shell, installiere meine dotfiles und alles ist so, wie ich es auf meinen Servern gerne habe.

Weitere sinnvolle Anpassungen

ssmtp

Ich finde es immer ganz praktisch, wenn mein Server mir Mails schicken kann, wenn irgend etwas nicht funktioniert. Hierfür nutze ich seit einiger Zeit ssmtp, ein Programm, welches Mails an einen externen Mailserver weiterreicht und von dort aus versendet.

portmaster -Bd mail/ssmtp

Konfiguriert wird ssmtp in /usr/local/etc/ssmtp/ssmtp.conf.

### /usr/local/etc/ssmtp/ssmtp.conf

root=admin@example.org
mailhub=mail.example.org:587
rewriteDomain=example.com
hostname=_HOSTNAME_
FromLineOverride=YES
UseTLS=YES
UseSTARTTLS=YES
AuthUser=ssmtp@example.org
AuthPass=SuperSecret-Passw0rd!
AuthMethod=LOGIN

Abschließend setzen wir ssmtp in der /etc/mail/mailer.conf als Standard und wir sind fertig.

### /etc/mail/mailer.conf

sendmail /usr/local/sbin/ssmtp
send-mail /usr/local/sbin/ssmtp
mailq /usr/local/sbin/ssmtp
newaliases /usr/local/sbin/ssmtp
hoststat /usr/bin/true
purgestat /usr/bin/true

Festplatten mit smartd überwachen

Zum Auslesend des SMART-Status meiner Festplatten nutze ich smartd aus den smartmontools.

portmaster -Bd sysutils/smartmontools
echo "DEVICESCAN -a -o on -S on -n standby,q -s (S/../.././02|L/../../6/03) -W 4,55,65 -m admin@example.org -M test" > /usr/local/etc/smartd.conf
sysrc smartd_enable="YES"

smartd prüft beim Starten jetzt alle Platten, die er finden kann und sendet eine Testmail an die definierte Adresse. Nebenbei erfährt man so nach einem Reboot auch, wann die Kiste wieder oben ist.

Jetzt ist der Server soweit erst ein mal eingerichtet. Diese Basiskonfiguration nutze ich für alle Systeme. Egal, ob er später ein Webserver, ein NAS, ein E-Mail-Server oder sonstwas werden soll. Die Absicherung mittels der Firewall pf und die Einrichtung von iocage werde ich in späteren Beiträgen erläutern.

A warm welcome to DNS

Sat, 13 Apr 2019 23:29:59 +0200

Wer eine gute Einführung zum Thema DNS sucht, sollte sich mal A warm welcome to DNS anschauen.

This series of documents attempts to provide a correct introduction to the Domain Name System as of 2018. The original RFCs remain the authoritative source of normative text, but this document tries to make this venerable protocol more accessible, while maintaining full alignment with all relevant and useful RFCs.

Das ganze Ding ist eine Gemeinschaftsarbeit und wird in einem GitHub-Repo maintained.

Shell Mistakes

Sat, 13 Apr 2019 23:15:10 +0200

Richard Kettlewell zeigt in seinem Beitrag Shell Mistakes einige sehr häufige Fehler auf, die Menschen in Shell-Scripts machen.

Der Artikel ist zwar von 2001, der Inhalt aber nach wie vor aktuell.

macOS: In unbekannten WLANs automatisch mit VPN verbinden

Sat, 13 Apr 2019 22:27:45 +0200

In meinem Beitrag zu iOS habe ich beschrieben, wie ich mein iPhone dazu bringe, sich in unbekannten WLANs automatisch mit meinem L2TP-VPN zu Hause zu verbinden, um unterwegs nie ungeschützt zu sein.

Für mein MacBook wollte ich schon länger eine ähnliche Funktion haben und habe viele Versuche unternommen, mir das irgendwie zurecht zu scripten. VPN Monitor, eine App, welche ich vor einigen Jahren mal gekauft habe, hat diese Funktion irgendwann in der Zwischenzeit erhalten.

VPN Monitor is a status bar application to monitor and automatically reconnect a dropped VPN connection. When additional VPN services are configured, VPN Monitor will use these services as a fallback option in case the VPN server is down.

Die App lebt in der Statusbar und sorgt dafür, dass immer eine VPN-Verbindung aufgebaut wird, wenn sie läuft. Bisher musste ich unterwegs daran denken, sie zu starten. Jetzt kann man sichere WLANs definieren. In Netzwerken, welche in dieser Whitelist aufgeführt werden, wird kein VPN-Tunnel aufgebaut. Ich habe sie jetzt also im Autostart, mein eigenes WLAN als Ausnahme hinzugefügt und bin zu Hause ohne VPN und in fremden Netzen eben mit Verbunden.

Man sollte beachten, dass die App keine Verbindungen blockt. Wenn man also, warum auch immer, nicht mit dem VPN verbunden ist, geht sämtlicher Traffic ungetunnelt über das jeweilige Netz. Hierfür habe ich mir eine umfangreiche Little Snitch-Config gebaut. Diese erläutere ich irgendwann mal in einem eigenen Beitrag.

Bisher tut VPN Monitor, was es soll, und ist auf jeden Fall eine Empfehlung wert. Für OpenVPN-Tunnel ist Tunnelblick eine sehr gute Alternative.

exiftool: Bilder in Unterordner sortieren, auch ohne EXIF-Tag

Mon, 18 Mar 2019 00:00:36 +0100

Wenn man Bilder mit exiftool automatisch in Ordner sortieren möchte, aber nicht alle Bilder ordentlich eingebettete Tags haben, kann man auch weitere Daten zur Ermittlung des Erstellungsdatums zu Rate ziehen.

Folgendes Kommando schaut zuerst nach einem Aufnahmedatum im EXIF-Tag und wählt das Dateierstellungsdatum, falls keines gefunden wird.

Anschließend wird die Datei in Unterordner nach Jahr und Monat abgelegt.

 exiftool '-directory<datetimeoriginal' '-directory<createdate' -d '%Y/%m' .

Ich poste das hier mal, damit ich es selbst nicht vergesse.

Bye Bye Wordpress

Sat, 02 Mar 2019 19:43:54 +0100

Nach 14 Jahren bloggen mit Wordpress läuft diese Seite ab heute mit Hugo.

Hugo ist ein Static Site Generator, welcher den Content der Seite in einem Verzeichnis auf der lokalen Festplatte verwaltet und daraus statische HTML-Seiten erstellt, welche jetzt auf dem Server liegen.

Das Blog braucht dementsprechend jetzt kein PHP und keine Datenbank mehr und öffnet von daher auch keine potentiellen Sicherheitslücken für Angreifer_innen.

Ich habe mich in den letzten Wochen in die Hugothematik eingelesen, dieses Theme hier erstellt und meine Daten von Wordpress importiert.

Der ganze Prozess hat mir viel Spaß gemacht und es scheint bisher alles zu laufen.

Falls Du das Blog per RSS-Feed liest, biege dein Abonnement auf den neuen Feed um.

iOS: In unbekannten WLANs automatisch mit VPN verbinden

Sat, 24 Mar 2018 12:21:59 +0000

Mit VPN-Verbindungens ist es, wie mit Backups. Meistens benötigt man sie, wenn man vorher nicht daran gedacht hat, sie zu erstellen.

Ich bin viel unterwegs und häufig in fremden oder offenen WLANs eingeloggt. Prinzipiell bin ich in solchen Situationen, wenn möglich, am Liebsten mit meinem heimischen VPN verbunden.

Lange Zeit nutzte ich ich nur aus einem einzigen Grund OpenVPN: Die iOS-App bietet eine Möglichkeit, das VPN anzuknipsen und iOS stellt die Verbindung immer wieder her, wenn sie abgebrochen wurde. Dies ist wenig elegant und OpenVPN relativ komplex. Ich hatte also keine Lust mehr darauf und musste bisher ja auch immer daran denken, das VPN auf dem iPhone explizit anzuschalten. Ich war also entweder nicht in WLANs oder dann selten in meinem VPN.

Nach der Umstellung auf meinen EdgeRouter und dem Switch auf L2TP als VPN-Standard las ich davon, dass man mit iOS-Profilen die Möglichkeit hat, WLANs zu whitelisten und bei allen anderen WLANs automatisch eine VPN-Verbindung aufzubauen. Nach einer Suche auf GitHub bin ich auf ein höchst praktisches Projekt von Kris Linquist gestoßen. iOS-VPN-Autoconnect bietet eine schlanke HTML-Seite, die ein paar Daten abfragt und lokal per JavaScript eine entsprechende Profildatei erstellt. Diese habe ich per AirDrop auf mein Telefon geabeamed und bin nun immer im VPN, wenn ich in einem anderen, als meinem heimischen WLAN eingeloggt bin. Das ist sehr simpel und funktioniert bisher zuverlässig.

Wenn es nicht funktionierte, lag es bisher an schlechten WLANs oder mangelnder Internetkonnektivität. In diesen fällen war aber immer das WLAN auch ohne VPN nicht wirklich nutzbar und ich bin auf LTE ausgewichen.

Telekom VDSL und Entertain mit DrayTek Vigor130 und Ubiquiti Edgerouter X

Fri, 23 Mar 2018 20:32:12 +0000

In letzter Zeit ging mir die Fritz!Box immer mehr auf die Nerven.

Nachdem mir Anfang des Jahres nach vielen Jahren meine 7390 verstorben ist, habe ich mir eine 7490 gekauft. Schmerzlich musste ich feststellen, dass AVM immer mehr funktionen streicht, die ich in meinem Setup aber dringend benötige.

Ich betreibe z.B. Jails auf einem FreeBSD-Server. Gegenüber dem Router haben alle Jails unterschiedliche IP-Adressen, aber die selbe MAC, da sie ja die selbe Netzwerkkarte benutzen. In aktuellen Fritz!OS-Versionen ist es nicht mehr möglich, für die Jails konsistente Portweiterleitungen einzurichten, da diese immer an die MAC-Adresse gekoppelt sind und die IP in der Firewall ständig geändert wird.

Ich habe mir dann kurzfristig noch eine EdgeRouter X (ERX) von Ubiquiti dazu geordert. Die Fritz!Box hat dann die Internetverbindung aufgebaut und sämtlichen Traffic einfach an den ERX durchgereicht. Inklusive doppeltem NAT und allen anderen Nachteilen, die diese Lösung mit sich bringt. Ich habe also den Entschluss gefasst, die Fritz!Box abzuschaffen und das ganze Netzwerksetup ein mal vernüftig aufzubauen.

Nach einiger Recherche setze ich jetzt folgende Hardware ein: • Mein VDSL-Modem ist ein DrayTek Vigor130 • Das Routing und den Aufbau der PPoE-Verbindung übernimmt der Ubiquiti EdgeRouter X. • Als WLAN-Accesspoint kommt ein Ubiquiti UniFi AP AC Lite zum Einsatz • Des Weiteren tun noch zwei Netgear GS108Ev3-Switches ihren Dienst.

Das Zielsetup zum Ersetzen der Fritz!Box war dann also folgendes.

Der Vigor130 soll als reines Modem zum Einsatz kommen. Der EdgeRouter soll die Internetverbindung vie Telekom VDSL aufbauen. Er soll sich um die VLANs kümmern, um Entertain nutzen zu können, DHCP anbieten, das IPv6-Subnet, das von der Telekom zugeteilt wird über Prefix-Delegation an die Clients im LAN verteilen, sowie einen L2TP-VPN-Server anbieten. Der Router soll DNS-Forwarding machen und hierfür die Nameserver nutzen, die die Telekom ihm zuweist.

Nach einegm Rumprobieren habe ich jetzt alles ans Laufen bekommen. Das Modem hängt an eth0 des ERX. Das Modem hat die IP 192.168.1.1.. eth0 des ERX hat die 192.168.1.2.. Das Interne Netz läuft als 192.168.178.0/24 und die restlichen Ethernet-Ports des ERX laufen im Switch-Modus alle auf dem selben Netz.

Das ich im Netz immer nur Teil-Lösungen gefunden habe, oder welche, die eher exotische Setups bedienen, dachte ich, ich teile meine Config mal mit Euch. Sie sollte fast Copy-Paste-fähig sein. Die einzigen Dinge, die Du ändern musst, sind deine VDSL-Zugangsdaten und den Preshared Key des VPN.

Über SSH kannst Du dann noch VPN-User hinzufügen.

configure
set vpn l2tp remote-access authentication local-users username <USERNAME> password <PASSWORD>
commit; save

Portweiterleitungen usw. lassen sich anschließend sehr gut über das Webinterface unter 192.168.178.1 einrichten.

Hier nun also die Config:

config.boot

firewall {
all-ping enable
broadcast-ping disable
ipv6-name IPv6_WAN_IN {
default-action drop
description "IPv6 packets from the Internet to LAN"
enable-default-log
rule 1 {
action accept
description "Allow established sessions"
state {
established enable
related enable
}
}
rule 2 {
action drop
state {
invalid enable
}
}
rule 5 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name IPv6_WAN_LOCAL {
default-action drop
description "IPv6 packets from the Internet to the router"
enable-default-log
rule 1 {
action accept
description "Allow established sessions"
log disable
state {
established enable
related enable
}
}
rule 2 {
action drop
log disable
state {
invalid enable
}
}
rule 5 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 110 {
action accept
description "Allow DHCPv6 packets"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_IN {
default-action drop
description "WAN inbound traffic forwarded to LAN"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_IPTV {
default-action drop
description "Telekom Entertain"
enable-default-log
rule 1 {
action accept
description "Allow IPTV Multicast UDP"
destination {
address 224.0.0.0/4
}
log disable
protocol udp
source {
}
}
rule 2 {
action accept
description "Allow IGMP"
log disable
protocol igmp
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
enable-default-log
rule 1 {
action accept
description "Allow Ping"
log disable
protocol icmp
}
rule 2 {
action accept
description "Allow Multicast"
destination {
address 224.0.0.0/4
}
log disable
protocol all
}
rule 7 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 8 {
action drop
description "Drop invalid state"
log enable
state {
invalid enable
}
}
rule 30 {
action accept
description IKE
destination {
port 500
}
log disable
protocol udp
}
rule 40 {
action accept
description ESP
log disable
protocol esp
}
rule 50 {
action accept
description NAT-T
destination {
port 4500
}
log disable
protocol udp
}
rule 60 {
action accept
description L2TP
destination {
port 1701
}
ipsec {
match-ipsec
}
log disable
protocol udp
}
}
options {
mss-clamp {
mss 1412
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.2/24
duplex auto
speed auto
vif 7 {
description "Internet (PPPoE)"
pppoe 0 {
default-route auto
dhcpv6-pd {
pd 0 {
interface eth1 {
no-dns
prefix-id 42
service slaac
}
interface switch0 {
host-address ::dead:beef
prefix-id :1
service slaac
}
prefix-length 56
}
prefix-only
rapid-commit enable
}
firewall {
in {
ipv6-name IPv6_WAN_IN
name WAN_IN
}
local {
ipv6-name IPv6_WAN_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
enable {
}
}
mtu 1492
name-server auto
## Hier PPPoE-Zugangsdaten ändern
password KENNWORT
user-id ANSCHLUSSKENNUNGZUGANGSNUMMER0001@t-online.de
}
}
vif 8 {
address dhcp
description "Telekom Entertain"
firewall {
local {
name WAN_IPTV
}
}
mtu 1500
}
}
ethernet eth1 {
description Local
duplex auto
ipv6 {
dup-addr-detect-transmits 1
}
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
description Local
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.178.1/24
description Local
mtu 1500
switch-port {
interface eth1 {
}
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
wan-interface pppoe0
}
protocols {
igmp-proxy {
interface eth0.8 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
whitelist 239.35.0.0/16
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.178.0/24 {
default-router 192.168.178.1
dns-server 192.168.178.1
lease 86400
start 192.168.178.100 {
stop 192.168.178.200
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1000
listen-on switch0
options listen-address=192.168.178.1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5001 {
description "Masquerade outgoing pppoe0"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5011 {
description "Webinterface Modem"
destination {
address 192.168.1.0/24
}
log disable
outbound-interface eth0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
login {
user ubnt {
authentication {
encrypted-password $6$KAQUivwa0C$tawQZnN4aM4CxmQo0RgfUQjij.YJ239CN.1B6yaPfin1jCZvsZ4kSVSlqEXurai5AQSX.XAMfC3rIVuKnmEpM1
plaintext-password ""
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat enable
}
static-host-mapping {
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Berlin
traffic-analysis {
dpi disable
export enable
}
}
vpn {
ipsec {
auto-firewall-nat-exclude disable
ipsec-interfaces {
interface pppoe0
}
}
l2tp {
remote-access {
authentication {
mode local
}
client-ip-pool {
start 192.168.178.85
stop 192.168.178.99
}
dns-servers {
server-1 192.168.178.1
}
idle 1800
ipsec-settings {
authentication {
mode pre-shared-secret
## Hier Preshared Secret festlegen
pre-shared-secret PRESHAREDSECRET
}
ike-lifetime 3600
lifetime 3600
}
mtu 1492
outside-address 0.0.0.0
}
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.0.5056246.180125.0954 */

FreeBSD-Server inkl. ezjail-Jails auf neue Version upgraden

Wed, 17 Aug 2016 23:32:08 +0000

Ich bin gerade dabei, einen FreeBSD-Server, der als Host für diverse ezjail-Jails dient, auf eine neue FreeBSD-Version upzugraden. Als Referenz für mich dokumentiere ich das ganze hier einfach mal.

Das System läuft aktuell auf 10.1 und wird auf 10.3 gehoben. Bei späteren Upgrades müssen die Versionsnummern entsprechend angepasst werden.

Als erstes bringen wir das aktuell installierte System auf den letzten Stand und aktualisieren die Ports.

freebsd-update fetch
freebsd-update install
portsnap fetch update

Im nächsten Schritt laden wir die neuen Systemfiles herunter, installieren den neuen Kernel und rebooten das System.

freebsd-update upgrade -r 10.3-RELEASE
freebsd-update install
shutdown -r now

Nach dem Reboot installieren wir die restlichen Systemfiles und rekompilieren alle installierten Ports. Anschließend starten wir den Server noch mal neu. Die Option -m DISABLE_VULNERABILITIES=yes setze ich, damit ich nicht mitten im Upgrade aufhören muss, falls bei einem Port Sicherheitslücken bekannt sind. Temporär damit hinter der Firewall zu leben erscheint mir sinnvoller, als ein gebrickter Server. ;)

freebsd-update install
portmaster -af -m DISABLE_VULNERABILITIES=yes
shutdown -r now

Nach dem Reboot ist der Server an sich auf 10.3. Nun müssen noch die ezjail-Jails upgegradet werden.

Hierfür laden und installieren wir zunächst die aktualisierten Files für die Basejail und starten anschließend ezjail neu.

ezjail-admin install -r 10.3-RELEASE
env UNAME_r=10.3-RELEASE ezjail-admin update -s 10.1-RELEASE -U
ezjail-admin update -P
service ezjail-admin restart

Jetzt müssen wir nur noch in jeder einzelnen Jail die Ports rekompilieren und einmal neustarten.

portmaster -af -m DISABLE_VULNERABILITIES=yes
service -R

Das war’s. Wenn keine Probleme auftreten und kann man damit in ner Stunde durch sein. Wenn mehrere Jails betrieben werden und viele Ports gebaut werden müssen, dauert es entsprechend länger.

Status einer SSH-Session an sudo weitergeben

Tue, 19 Apr 2016 11:16:04 +0000

Wenn man sich per SSH auf einen Rechner connected und anschließend mit ‘‘sudo’’ root-Rechte erlangt, kann man in dieser Session nicht feststellen, ob man per SSH verbunden ist, oder nicht. Ich brauchte dies z.B., um meinen Shell-Prompt in diesem Fall anders anzuzeigen.

Es ist aber sehr einfach, hier Abhilfe zu schaffen. Wir müssen sudo nur sagen, dass es die Variablen betreffend SSH im Environment halten soll.

Hierfür müssen wir nur folgende Zeile in die sudo-Config (/usr/local/etc/sudoers oder /etc/sudoers) eintragen:

Defaults env_keep += "SSH_TTY SSH_CONNECTION SSH_CLIENT"

Von nun an sind die drei Variablen auch in sudo-Sessions verfügbar.

Omnifocus, Todoist, Remember the Milk - Die Qual der Wahl der richtigen Todoliste

Thu, 04 Feb 2016 12:25:48 +0000

Todoist auf dem iPad mini

Andreas Lorenz beschreibt in seinem Beitrag “How to get the best out of Omnifocus – for PC Users” wie er als iOS-User, der dienstlich einen PC benutzt das Beste aus Omnifocus heraus holt und es auch ganz ohne eine fehlende Webapp oder einen Mac-Client nutzt.

Ich bin auch bis heute noch stark begeistert von Omnifocus. Mitte letzten Jahres habe ich nach 8 Jahren als pro-Member Remember the Milk den Rücken gekehrt und bin zu Omnifocus gewechselt. Beim Setup meines Systems habe ich mich ganz stark von Sven Fechner und seinen sehr ausführlichen Artikeln zu Omnifocus inspirieren lassen. Ich konnte mich jedoch mit der iOS-only-Lösung auf Arbeit nie so richtig anfreunden, auch wenn Die Apps für Mac, iOS und Apple Watch am schönsten und durchdachtetsten sind. Nur E-Mails weiterleiten oder Siri um Tasks anzulegen hat mich zu sehr eingeschränkt und ich hatte zu oft das Gefühl, nicht alles im Griff zu haben.

Nach drei Monaten Omnifocus bin ich dann zu Todoist gewechselt und hier bisher am glücklichsten, auch wenn mir hier ein paar Dinge fehlen und wieder andere etwas umständlich sind. Im Design der Apps, sowohl auf iOS, als auch im Web haben alle Elemente ziemlich viel Whitespace. Ich würde mir wünschen, mehr Content sehen zu können und alles etwas kompakter zu haben. Auch das Templating-System ist etwas umständlich und arbeitet mit wenig intuitiven CSV-Files. Die App für die Apple Watch hat leider (noch) keine Compliation und ist manchmal etwas lahm. Außerdem wäre es schön, Start-Dates für Tasks vergeben zu können.

Mit der Veröffentlichung der neuen Remember the Milk-App ging dann jetzt auch die neue Webapp online, die ich im letzten Jahr in der closed Beta intensiv im Einsatz hatte. Auch hier fehlen mir aber noch ein paar Dinge, die mich wieder zu einem Wechsel bewegen könnten. Eine App für die Apple Watch fehlt bisher und eine Möglichkeit verschachtelte Projekte anzulegen fehlt mir auch. Das Handling von Subtasks ist etwas hakelig, das macht Todoist besser. Dafür bietet RTM eine extrem mächtige Query Language um Filter zu erstellen und die Möglichkeit, auch ganze Tasklisten per E-Mail zu importieren.

Ich werde jetzt erst ein mal bei Todoist bleiben und die anderen Entwicklungen beobachten. Ein trusted System, dem man nicht traut, weil man das Gefühl hat, es nicht so nutzen zu können, wie man möchte, oder Angst hat, es nicht komplett zu durchschauen, macht eben einfach keinen Sinn.

Mehrere SSH-Connections zum selben Host beschleunigen

Sun, 31 Jan 2016 21:59:41 +0000

Manchmal kommt es vor, dass man mehrere SSH-Connections zum selben Host aufbauen muss, um z.B. gleichzeit etwas auszuführen und parallel dazu, die Logfiles zu sehen.

Bei jedem Verbindungsaufbau muss die Verbindung inkl. dem ganzen Overhead neu aufgebaut werden, was Zeit kostet und u.U. dazu führt, dass man Passwörter usw. erneut eingeben muss.

SSH bietet die Möglichkeit, in solchen Fällen die bestehende Verbindung einfach erneut zu benutzen.

Füge folgendes in die .ssh/config ein:

Host *
ControlMaster auto
ControlPath ~/.ssh/control-%h-%p-%r
ControlPersist 600

Host * sorgt dafür, dass die folgenden Bedingungen auf alle Verbindungen angewandt werden. Wenn Du statt dem * einen Hostnamen (z.B. github.com) angibst, beziehen sich die Settings nur auf die Verbindungen zu eben jenem.

ControlMaster auto sorgt dafür, dass bestehende Connections automatisch verwendet werden.

ControlPath ~/.ssh/control-%h-%p-%r legt für jede Verbindung einen Control-Socket unter ~/.ssh an. Diesen Pfad kannst Du frei wählen. Er muss jedoch bereits existieren.

ControlPersist 600 hält die Verbindung für 10 Minuten offen, nachdem die erste Verbindung (der Master) geschlossen wurde. Ohne diese Option werden alle Connections gekappt, sobald der Master geschlossen wird.

In der Manpage zu ssh_config gibt es noch viele weitere Optionen und Konfigurationsbeispiele.

Hostnames und Usernames die man reservieren sollte

Sun, 31 Jan 2016 08:57:29 +0000

Wenn man im Internet Dienste anbietet, die es Menschen ermöglichen, sich selbst zu registrieren, macht es Sinn, von vorneherein einige Namen selbst zu reservieren oder die Reservierung dieser zu blocken.

Bei einigen gibt es Vorschriften, bei anderen Ratschläge aus RFCs und wieder andere sind aus anderen Gründen einfach sinnvoll. Insbesondere, wenn der Username am Ende zu einer automatisch generierten Subdomain oder E-Mail-Adresse führt, kann es hier ganz schnell zu ungewünschten Effekten kommen, die es gilt, zu vermeiden.

Geoffrey Thomas hat in seinem Blogbeitrag mal eine Liste solcher Namen erstellt und will diese weiterpflegen. Er erklärt auch, warum welche Einträge darin aufgenommen wurden.

Aktuell empfiehlt er folgende Namen zu blocken:

abuse
admin
administrator
autoconfig
broadcasthost
ftp
hostmaster
imap
info
is
isatap
it
localdomain
localhost
mail
mailer-daemon
marketing
mis
news
nobody
noc
noreply
no-reply
pop
pop3
postmaster
root
sales
security
smtp
ssladmin
ssladministrator
sslwebmaster
support
sysadmin
usenet
uucp
webmaster
wpad
www

Home-Office-Studie: Gut für Unternehmen, schlecht für Beschäftigte

Tue, 15 Dec 2015 07:12:21 +0000

Die Karrierebiebel berichtet über eine neue Studie der Standford University zum Thema Heimarbeit.

Zunächst einmal hatte das Arbeiten zuhause durchweg positive Auswirkungen auf die Beschäftigten und das Unternehmen: Die Heimarbeit steigerte die Leistung der Versuchsteilnehmer um stolze 13 Prozent. 9 Prozent davon ergaben sich allein dadurch, dass die Heimarbeiter mehr Zeit (pro Schicht) arbeiteten als sie tatsächlich mussten. Sie machten weniger und kürzer Pausen und waren auch seltener krank. 4 Prozent ergaben sich durch die gestiegene Konzentration - dank weniger Störquellen und -geräusche im Umfeld. Zudem berichteten die Heimarbeiter einhellig, sie seien zufriedener mit ihrer Arbeit. Aber lohnt sich Heimarbeit auch wirklich?

Die komplette Studie gibt es auch als PDF.

System-Monitoring mit Glances

Fri, 20 Nov 2015 20:01:03 +0000

Glances ist ein ziemlich schickes System-Monitoring-Tool für die Shell.

Es ist in Python geschrieben, für alle gängigen Betriebssysteme verfügbar und so eine Art (h)top auf Steroiden.

Es zeigt u.A. CPU- und Speicher-Auslastung, Load, Prozesse, Auslastung der Netzwerk-Interfaces, Disk I/O, Temperaturen und die Filesystembelegung an. So hat man alles auf einen Blick, was man sich sonst mit vielen verschiedenen Tools zusammen basteln müsste.

Es bietet eine API und kann die Daten z.B. an einen StatsD weitergeben oder per Web-Interface zugänglich machen. Den Source Code, Instruktionen zum Schreiben von Plugins, sowie Installationsanleitungen gibt’s auf GitHub.

Screenshot von Glances auf einem meiner Server

Ich habe Glances jetzt seit ein paar Tagen auf allen Servern und dem MacBook im Einsatz und mag es.

5 Punkte, die Du getrost von jeder PowerPoint-Folie streichen kannst

Fri, 20 Nov 2015 19:24:25 +0000

Andrea Jost beschreibt in ihrem Beitrag, welche Dinge man ruhig aus PowerPoint-Folien streichen sollte, um sie schlanker zu machen.

Der eigene Namen und das Logo
Die Kontaktdaten
Copy-Right-Vermerke
Seitenzahlen
Dateinamen

Ich kann alle Punkte voll unterstützen, und würde mir wünschen, ein paar Menschen würden die Tipps beherzigen.

Aus zwei mach eins. debilux.org ist umgezogen

Sun, 15 Nov 2015 11:52:52 +0000

Ich habe die Beiträge meines anderen Blogs jetzt hierhin umgezogen und Umleitungen für die alten Beiträge eingerichtet.

Irgendwie wurden beide nicht so regelmäßig gepflegt und hatten ähnliche Inhalte. Ich wollte jetzt konsolidieren und eben einfach nur noch eine Anlaufstelle bieten.

Alle, die debilux.org per RSS lesen, würde ich bitten, das Abonnement auf christianbaer.me umzubiegen. Irgendwann werde ich dann mit debilux.org etwas anderes anfangen. Und vielleicht gibt’s ja auch hin und wieder mal neue Beiträge ;)

Falls es mit irgendetwas Probleme geben sollte, würde ich mich über Hinweise freuen.

22 Produktivitätstipps und die dazu passenden Studien

Fri, 26 Sep 2014 11:16:23 +0000

Ich bin über das Toolblog auf einen Artikel gestoßen, welcher 22 Produktivitätstipps liefert.

Das tolle daran ist, dass er nicht als langweiliger Tipp-Listen-Post daher kommt. Die Tipps sind mit Infografiken garniert und dort, wo es welche gibt, sind die zugrundeliegenden wissenschaftlichen Studien mit verlinkt. So machen Die Tipps auch Spaß und Sinn.

Die Tipps beschäftigen sich unter anderem mit:

Der richtigen Temperatur zum Arbeiten
Zitronen als optimaler Geruch für die Arbeitsumgebung
Schlafmangel und seine Auswirkungen
Kaugummikauen
Frühaufstehen

Der Artikel ist auf jeden Fall mal einen Blick wert und die wissenschaftlichen Aspekte bieten bestimmt auch Munition beim Smalltalk. ;-)

Erkenntnisse einer menschlichen Laborratte

Fri, 26 Sep 2014 07:53:00 +0000

Graham Allcott hat sich ein Jahr lang mit seiner Aussage nach “extremen Produktivitätsexperimenten” beschäftigt. Über seine Erfahrungen schreibt er im Post Extreme Productivity: 10 key lessons from a human lab rat.

Besonders die Erkenntnis “Most email is meaningless noise” brachte mich zum schmunzeln und deckt sich so auch mit meinen Erfahrungen. Der Rest ist wohl in der konkreten Umsetzung nichts für den Alltag, kann aber bestimmt an der einen oder anderen Stelle zum Nachdenken anregen.

Das mache ich morgen: Die verschiedenen Arten der Prokrastination

Thu, 18 Sep 2014 12:37:07 +0000

Die Karrierebibel beschreibt in “Aufgeschoben: Und wie prokrastinieren Sie?” die verschiedenen Typen von Aufschieber_innen und ihre Gründe und bietet praktischerweise auch gleich Tipps an, wie man die Aufschieberitis bekämpfen kann.

Zumindest zeitweise konnte ich mich in einigen Rollen wiederfinden. Wie sieht es bei Dir aus?

"Eine gute Website bleibt ein Muss"

Thu, 18 Sep 2014 08:14:26 +0000

Anette Schwindt schreibt auf couragiert darüber, dass eine Webseite, gerade für NGOs ein Muss ist und soziale Netzwerke lediglich zusätzlich dazu eingesetzt werden sollten.

Sie nennt verschiedene Gründe. Auf der einen Seite hast Du bei der eigenen Website Kontrolle über Aussehen und Inhalt, zum anderen sorgt der regelmäßig neue Content dafür, dass Nutzer_innen einen Mehrwert in der Seite sehen. Auf der anderen Seite bist Du nicht von Downtimes, Inhaltefiltern und Restriktionen der sozialen Netzwerke abhängig und verlierst den Content nicht, wenn eines schließt oder Du die Präsenz dort einstellst.

Als erstes sollte die Seite stehen, anschließend solltest Du zielgruppenspezifisch schauen, welche Netzwerke Du mit welchen Inhalten deiner Seite bespielst.

Ich stimme ihr da vollumfänglich zu.

Notizen mit dem Dash/Plus-System

Wed, 17 Sep 2014 14:21:36 +0000

2008 muss es gewesen sein, als ich den Drang und die Notwendigkeit hatte, das erstellen meiner Notizen zu systematisieren. Auf der Suche nach einem praktikablen Systen, dass nicht auf das studieren ausgelegt ist, oder davon ausgeht, dass ich die Verwaltung meiner Todos analog mache, bin ich auf das Dash/Plus-System von Patrick Rhone gestoßen.

Patrick beschrieb es erstmals 2006 in Org-Fu Überpost – Productivity Whitepaper. Mittlerweile gibt es iPhone-Apps, die dieses System nutzen, Erweiterungen um Ideen oder Gedanken zu markieren und auch Mashups mit anderen System, wie dem Bullet Journal.

Basis eines jeden Items ist ein “-” (also das Minus-Zeichen, Dash). Dieses wird dann erweitert, je nachdem, ob es sich um eine erledigte, oder delegierte Aufgabe, eine Merkenswerte Information handelt etc.

(Dash): Undone Action Item — Individual items (action items and ideas) are marked with a dash preceding them. All items, no matter what they are, are therefore treated as items to be processed.
(Plus): Done Action Item — If the item is an action item (todo), when the item is complete, a vertical line is drawn through the “dash” thus making it resemble a “plus”. This makes the dashed items stand out quite well despite the fact that the same color pen or pencil may be used.
(Right Arrow): Waiting – (i.e. for another action) — Drawing an arrow pointing to the the item denotes that it is something that is waiting on another action to happen or deliverable.
(Left Arrow): Delegated — Drawing an arrow pointing to the left of the item denotes that it has been delegated (with a note to whom and the date) .
(Triangle): Data Point — Turning the dash into a triangle denotes a data point (a fact or figure you wish to remember for instance).
(Circle) — A circle around any of the above means that it has been carried forward, moved to another list or otherwise changed status – i.e. a “Waiting” item has now become an Action Item elsewhere (with a note about where that item has gone).

So ist es möglich, beim späteren Scannen der Notizen sehr schnell Aufgaben heraus zu filtern, und sich wieder in ein Thema einzulesen. Bei mir hat es sich jetzt seit ein paar Jahren bewährt. Die ToDos wandern nach der Besprechung, Konferenz oder wo ich auch immer gerade Notizen gemacht habe, in Remember the Milk und können nicht untergehen.

Wie hältst Du es mit den Notizen? Hast Du ein bestimmtes System? Führst Du sie digital oder analog? Ich freue mich darauf, von deinen Erfahrungen zu hören.

"How OmniFocus controls my life"

Wed, 17 Sep 2014 09:05:11 +0000

Daniel Schauenberger ist entwickler bei Etsy und beschreibt in How OmniFocus controls my life, wie er OmniFocus nutzt, um mit GTD sein Leben zu managen.

Das Setup ist recht umfangreich und beschreibt auf der einen Seite das tägliche und wöchentliche Review, auf der anderen Seite die Integration von GitHub und Jira in das System. Das System passt mit Sicherheit nicht auf alle, da er relativ wenige Inboxen hat. Eine Inspiration für eine eigene Umsetzung kann es aber allemal sein.

Auf jeden Fall ist es ein lesenswerter Post.

via SIMPLICITYBLISS

Amerikanische Firmen haben Angst vor dem dualen Ausbildungssystem

Wed, 17 Sep 2014 07:41:36 +0000

US-Präsident Barack Obama ist Fan des dualen Ausbildungssystems, wie wir es in Deutschland haben.

Er sieht es als Chance, die hohe Jugendarbeitslosigkeit zu bekämpfen doch der Import in die USA will nicht so recht gelingen. Firmen, die sich an der Initiative beteiligen, sind zumeist deutsche Firmen oder Töchter von diesen.

Das Wall Street Journal hat hierzu einen interessanten Bericht.

Das deutsche System ist relativ einzigartig auf der Welt. Ich habe schon mit Menschen aus Israel, Frankreich und Spanien darüber gesprochen und alle hatten den Eindruck, dass die Kombination aus sowohl fachlicher, als auch praktischer Ausbildung sehr viel Sinn ergibt. Außerhalb Deutschlands findet Ausbildung meist rein schulisch statt, und die Praxisphase erfolgt danach im Job oder Praktika.

Wie Du nach dem Urlaub wieder motiviert und produktiv wirst

Mon, 15 Sep 2014 07:42:39 +0000

Wir kennen das alle. Der Urlaub ist vorbei, die erste Arbeitswoche beginnt und Dir fällt es schwer, Dich wieder ans frühe Aufstehen und das Arbeiten an sich zu gewöhnen.

Leo Babauta hat sich auf seinem Blog der Thematik angenommen und in einem Artikel im Prinzip vier Tipps erarbeitet, um nach dem Urlaub wieder in Schwung zu kommen.

Get lots of rest.

Find a purpose, where you’re helping people.

Get the ball rolling with a very small task.

Ask someone to hold you accountable.

Wie sieht es bei Dir aus? Hast Du Probleme nach dem Urlaub wieder in den Alltag einzutauchen? Welche Tipps hast Du?

GTD-Einführung als kostenloses E-Book

Sun, 14 Sep 2014 17:38:48 +0000

Ralf Grabowski stellt auf seiner Homepage eine sehr gute und knappe Zusammenfassung zu “Getting Things Done” bereit.

Das kostenlose E-Book ist ein gelungener Einstieg in GTD und fasst auf 22 Seiten alles wichtige Zusammen. Ralf geht Sowohl auf die Methode als auch auf den Einsatz verschiedener Tools ein und nennt Beispiele. Vielen Dank dafür!

Inbox Zero: Den E-Mail-Eingang bezwingen

Thu, 11 Sep 2014 07:46:43 +0000

Das Prinzip Inbox Zero von Merlin Mann ist ein Klassiker und den Produktivitäts-Tipps und hilft mir nun schon seit eingen Jahren, die schier endlose E-Mail-Flut zu bewältigen. Es gliedert sich gut in Getting Things Done ein und ist eine Kombination aus einer simplen Ordnerstruktur und Verhaltensweisen.

Der Vortrag im Video erklärt die ganze Sache recht gut. In einem späteren Beitrag werde ich noch mal mein gesamtes System beschreiben. Dieser Post hier soll erst mal nur einen Einstieg darstellen.

Hast Du Tipps für den Umgang mit E-Mails? Wie sieht deine Struktur aus und was tust Du, um den Überblick zu behalten?

Verdeckte PR in Wikipedia – Das Weltwissen im Visier von Unternehmen

Wed, 10 Sep 2014 13:23:30 +0000

Die Otto-Brenner-Stiftung hat in einer Studie die Aktivitäten von Unternehmen in der Wikipedia untersucht.

Die Studie kommt zum Ergebnis, dass PR in der Wikipedia allgegenwärtig ist und untermauert dies mit verschiedenen Beispielen und Themenkomplexen. Gleichzeitig kommt die Studie zur Erkenntnis, dass die innere Struktur der Wikipedia aktuell nicht dazu geeignet ist, wirksam dagegen Vorzugehen, dass Unternehmen das freie Weltwissen für ihre PR-Zwecke nutzen.

Die Studie lässt sich bei der Stiftung kostenlos als Printversion bestellen, oder als PDF herunterladen.

Wie Du das Meiste aus Konferenzen heraus holst

Wed, 10 Sep 2014 08:13:00 +0000

An Konferenzen teilzunehmen, ohne Mehrwert daraus zu schöpfen, ist meist Zeit- und oft auch Geldverschwendung. Ob man einen Gewinn aus der Zeit zieht, hängt davon ab, mit welchen Zielen man an einer Konferenz teilnimmt.

Edge Conference at Google New York, Jeffrey Zeldmann, CC BY 2.0

HubSpot empfiehlt daher, sich vor einer Konferenz eine Checkliste anzulegen, um das Ziel nicht aus den Augen zu verlieren. Außerdem wird empfohlen, das Ziel im Zweifelsfall zu wechseln. Wenn Du mit dem Ziel des Lernens auf eine Konferenz fährst und merkst im Laufe der Zeit, dass Du in den angebotenen Talks nicht wirklich neues Wissen mitnehmen kannst, macht es Sinn, das Ziel zum beispiel auf das Netzwerken zu verlagern und nach den Talks mit den Speaker_innen in Kontakt zu kommen.

Der Artikel empfiehlt verschiedene Checklisten für verschiedene Ziele. Netzwerker_innen sollen zum Beispiel vor einer Konferenz folgende Dinge tun:

Erstelle eine Liste der Menschen, mit denen Du auf der Konferenz in Kontakt kommen möchtest.
Nimm mit den Menschen schon vorher online KOntakt auf und vereinbare konkrete Termine für Treffen.
Organisiere Dir Visitenkarten.

Außerdem wird darauf eingegangen, die gewonnen Informationen im Team zu teilen und allen verfügbar zumachen.

Wie hältst Du es auf Konferenzen? Wie bereitest Du dich vor und wie entscheidest Du, was Du auf einer Konferenz machst?

HumHub: Das Open-Source Social-Intranet zum Selberhosten

Tue, 09 Sep 2014 08:30:02 +0000

HumHub beschreibt sich selbst als “flexible Open Source Social Network Kit” und soll die Möglichkeit bieten, ein selbstgehostetes, soziales Intranet aufzusetzen.

Screenshot von HumHub

Es bietet die obligatorischen Status-Updates, die Möglichkeit, Dateien hochzuladen und Gruppen anzulegen. Des Weiteren ist es durch verschiedene Module erweiterbar.

Auf der Seite des Projektes gibt es die Möglichkeit, eine limitierte Test-Installation aufzusetzen. Ich habe es bisher nicht großartig getestet. Beim ersten Durchstöbern, wusste es jedoch zu gefallen. Von der Anmutung her erinnert es ein wenig an Facebook.

HumHub ist es definitiv Wert, es im Auge zu behalten. Vielleicht findet ist es ja eine Option, bei der nächsten Gelegenheit statt Wikis oder Foren, einfach mal eine HumHub-Installation einzusetzen.

Anzahl gescheiterter Bewerbungen aufgrund von schlechten Online-Profilen steigt

Mon, 08 Sep 2014 21:06:54 +0000

Dass Arbeitgeber_innen Potentielle Beschäftigte im Internet recherchieren und es im Bewerbungsprozess unvorteilhaft ist, wenn man auf Profilseiten in den sozialen Netzwerken mit Alkohol, Drogen oder Ähnlichem in Verbindung zu bringen ist, sollte mittlerweile hinlänglich bekannt sein. Trotzdem steigen laut einer aktuellen Umfrage unter Arbeitgebern die gescheiterten Bewerbungen, gerade wegen schlechten Online-Profilen, kontinuierlich.

Mit verantwortlich hierfür sind auch folgende, weniger bekannte, Ablehnungsgründe:

Die Bewerber_innen äußern sich abschätzig über ehemalige Arbeitgeber und/oder Kolleg_innen
Sie halten sich nicht an grammatikalische Regeln
Der Username ist unprofessionell

Wenn die Bewerbung auf fruchtbaren Boden stoßen soll, ist eine kontinuierliche Pflege der Profilseiten von hoher Bedeutung. Die Karrierebibel hat 15 Tipps für Bewerber_innen zusammen gefasst, die in der Online-Visitenkarte beherzigt werden sollten.

Welche Erfahrungen hast Du gemacht?

Gewerkschaftliche Gegenöffentlichkeit in Zeiten betrieblicher Vereinzelung

Mon, 08 Sep 2014 09:55:10 +0000

Der Wandel der Arbeitswelt stellt Gewerkschaften seit einigen Jahren vor größere Probleme. Betriebe werden immer kleinteiliger organisiert, Techniker_innen beginnen und beenden ihre Arbeitstage zu Hause und auch das Homeoffice erfreut sich größter Beliebtheit.

Das Zusammenkommen im Betrieb, das gemeinsame Austauschen über die Arbeit, über Bedürfnisse und die Schaffung einer gemeinsamen Belegschaftsidentität werden zunehmend schwieriger. Seit einiger Zeit nun nutzen Belegschaften, gewerkschaftlich Aktive und Betriebsräte daher Blogs und soziale Netzwerke für die Information, Schaffung von Transparenz und die Diskussion um eben diese Lücken zu schließen.

In der ver.di-Publik 5-2014 erschien der Artikel “Im Blog wird’s diskutiert”, welcher über erfolgreiche Beispiele von moderner basisdemokratischer Gegenöffentlichkeit aus der Dinestleistungsbranche berichtet und “Die Arbeitnehmer-Blogosphäre” beleuchtet das ganze Geschehen aus österreichischer Sicht und bietet noch viele weitere Informationen und Verweise.

Ich finde, dies ist ein sehr spannendes Feld. Die Gewerkschaften haben hier noch viel Potential nach oben und für die basisdemokratische Vernetzung ist es unumgänglich, die Menschen dort abzuholen, wo sie sich treffen. Im Internet.

Der Schreibtisch wird zum Fließband

Sun, 07 Sep 2014 14:51:43 +0000

Der Generator auf Bayern 2 spricht in der Sendung “Crowdwork: Vom Entstehen der digitalen Arbeiterklasse” über den Wandel der Arbeitswelt und der Umdeutung der Rollen in dieser.

Durch die Grenzenlose Verfügbarkeit von Arbeitskraft über das Internet werden Arbeitgeber zu Usern, die sich im Internet von Clickworkern Ergebnisse liefern lassen. Die Arbeitnehmer_innen hingegen erledigen simpelste Aufgaben, wie z.B. Adressrecherche und werden im Accord bezahlt. Heraus kommen extrem prkäre Arbeitsverheltnisse. Wenn das Ergebnis nicht gefällt, gibt’s auch keine Bezahlung.

Ein wirklich spannendes Radiofeature.

Dynamisches DNS bei INWX mit eigener Domain

Sun, 13 Oct 2013 20:29:55 +0000

Ich verwalte alle meine Domains bei InterNetWorX (welcher nebenbei erwähnt, ein ziemlich schnieker Domain-Registrar ist, den ich uneingeschränkt empfehlen kann).

Dieser bietet unter anderem eine API an, mit der ich Domaineinstellungen ändern kann. Da ich meinen Homeserver gerne von außen erreichen möchte, lag die Idee nahe, beides zu kombinieren.

Mit folgendem Script, welches ich auf Github gestellt habe, ist es mir möglich, die Nameservereinstellungen automatisch so anzupassen, so dass zum Beispiel http://homeserver.meinedomain.de immer auf meinen Server im heimischen Arbeitszimmer zeigt. So bin ich unabhängig von anderen Diensten und kann ihn eben auch mit meiner eigenen Domain nutzen. Nebenbei kostet mich das alles nichts extra, da die Funktion eben bei INWX eingebaut ist.

Das Script nsupdate.sh wird auf dem Server zu Hause stündlich per cron aufgerufen. Es liest dann die WAN-IP des Anschlusses aus und vergleicht sie mit der IP, die im Nameserver für die Subdomain hinterlegt ist. Wenn sich beide unterscheiden, trägt sie die aktuelle IP per XML-Voodo in den Nameserver ein.

#!/bin/bash
# Update a nameserver entry at inwx with the current WAN IP (DynDNS)
# Copyright 2013 Christian Busch
# http://github.com/chrisb86/
# Permission is hereby granted, free of charge, to any person obtaining
# a copy of this software and associated documentation files (the
# "Software"), to deal in the Software without restriction, including
# without limitation the rights to use, copy, modify, merge, publish,
# distribute, sublicense, and/or sell copies of the Software, and to
# permit persons to whom the Software is furnished to do so, subject to
# the following conditions:
# The above copyright notice and this permission notice shall be
# included in all copies or substantial portions of the Software.
# THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND,
# EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
# MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND
# NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE
# LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
# OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION
# WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
# from which site should we get your wan ip?
IP_CHECK_SITE=http://checkip.dyndns.org
source nsupdate.config
LOG=$0.log
NSLOOKUP=$(nslookup -sil $HOSTNAME - ns.inwx.de | tail -2 | head -1 | cut -d' ' -f2)
WAN_IP=`curl -s ${IP_CHECK_SITE}| grep -Eo '<[[:digit:]]{1,3}(.[[:digit:]]{1,3}){3}>'`
API_XML="nameserver.updateRecord
user
$INWX_USER
pass
$INWX_PASS
id
$INWX_DOMAIN_ID
content
$WAN_IP
"
if [ ! "$NSLOOKUP" == "$WAN_IP" ]; then
curl -silent -v -XPOST -H"Content-Type: application/xml" -d "$API_XML" https://api.domrobot.com/xmlrpc/
echo "$(date) - $HOSTNAME updated. Old IP: "$NSLOOKUP "New IP: "$WAN_IP >> $LOG
else
echo "$(date) - No update needed for $HOSTNAME. Current IP: "$NSLOOKUP >> $LOG
fi

Konfiguriert wird das ganze in der nsupdate.config. Diese liegt im selber Folder, wie das Script selbst. Hier werden die Zugangsdaten für INWX angegeben. Außerdem steht hier die Subdomain, die wir für DynDNS nutzen wollen und die ID, unter welcher die Domain bei INWX geführt wird.

# nsupdate.config
# Login credentials for the inwx admin interface
INWX_USER="USERNAME"
INWX_PASS="PASSWORD"
# The hostname that you want to update and it's ID from the inwx interface
# You get the ID when you edit the given nameserver entry and hover the save button.
HOSTNAME="subdomain.example.com"
INWX_DOMAIN_ID="123456789"

Diese Lösung läuft bei mir jetzt seit einigen Monaten sehr zuverlässig. Die Aktuelle Version findest Du immer auf meiner Github-Seite. Getestet habe ich es nur auf dem Mac und FreeBSD.

Selbstbau-NAS mit FreeBSD

Thu, 14 Feb 2013 16:13:38 +0000

Wie in Ausgabe 2 von skrupuloes zu hören war, hatte ich Probleme mit dem Speicherplatz auf meinem NAS. Die Synology Diskstation 211J hat nur Platz für zwei Platten, die ich aus Redundanzgründen gespiegelt habe. Ich hatte also effektiv 2 TB Platz. Da die Diskstation auch meine Boxee-Box, Raspberry Pi mit XBMC und diverse iDevices mit Mediendateien versorgt hat, war der Platz relativ schnell voll, wenn man die Time Machine-Backups für zwei MacBooks dazu rechnet. Es musste also etwas neues her.

Die fertigen Lösungen, die es auf dem Markt gibt waren mir alle zu unflexibel und mit Platz für mind. vier Festplatten auch relativ schnell relativ teuer. Ich entschied mich also, etwas selbst zu bauen.

Nach ein wenig Recherche entschied ich mich für folgende Komponenten:

Mainboard: ASUS C60M1-I
Gehäuse: Fractal Design Array R2
RAM: Corsair XMS3 PC-133 8GB (CL9)
Festplatten:
- Western Digital WD20EZRX Green 2TB
- 320 GB Hitachi 2,5" HDD aus MacBook Pro

Das Mainboard ist passivgekühlt, kommt mit einem AMD Fusion Dualcore mit 1GHz, Gigabit-LAN und 6 SATA-Ports. Dazu habe ich 8 GB RAM verbaut (man weiß ja nie…). Gespeichert wird auf vier 2 TB-Platten und einer 320 GB-Platte, die ich noch aus meinem MacBook rumliegen hatte. Das Gehäuse ist extra für den Einsatz als NAS entwickelt worden. Es kommt komplett mit einem großen Gehäuse-Lüfter, 300 W-Netzteil und bietet sowohl einen herausnehmbaren Festplattenkäfig für bis zu sechs Platten und die Möglichkeit, zusätzlich eine 2,5"-Platte zu verbauen.

Da ich aus Gründen der Datensicherheit gerne ZFS nutzen wollte, bin ich nun gezwungen, nicht mehr Linux zu benutzen. Da mir fertige NAS-Distributionen zu unflexibel sind, entschied ich mich, mal etwas neues zu wagen und jetzt läuft hier ein schickes FreeBSD.

Als Linux-Umsteiger war FreeBSD kurzzeitig ungewohnt, aber mittlerweile bin ich recht gut drin und lerne die diversen Vorzüge bezüglich Software-Verwaltung mit Ports, Konfigurationsdatein etc. zu schätzen.

Die vier großen Platten laufen als RAIDZ1 (vergleichbar mit RAID5) und bieten mir somit knapp 6 TB Speicherplatz und eine mögliche Wiederherstellung, falls eine Platte ausfällt. Wenn der Speicherplatz knapp wird, kann ich noch zwei weitere Platten verbauen und das RAID einfach erweitern. Die 2,5"-Platte nutze ich als Systemplatte und habe hierauf das BSD installiert.

Alles in allem habe ich jetzt für vergleichsweise wenig Geld ein kleines, Leistungsstarkes, stromsparendes und flexibel einsetzbares System, das auch noch Spaß beim Herumexperimentieren mit einem echten UNIX gibt ;-)

Analyse der Apache-Logs einer Wordpress-Multisite mit Piwik

Tue, 08 Jan 2013 11:02:58 +0000

Ich habe gestern meine diversen Projekte, die auf Wordpress laufen endlich mal in eine Multisite-Installation gepackt. Das heißt, alle Blogs sind weiterhin ganz normal erreichbar, ich muss aber nur noch eine Wordpressinstallation mit Plugins etc. pflegen und habe somit weniger Administrationsaufwand. Bisher habe ich die Nutzungszahlen der Seiten mit Piwik und dem dazugehörigen Javascript-Snippet getrackt. Das hat dort anscheinend auch ganz gut funktioniert. Es läuft aber auch nur dort, wo HTML-Code durch mich beeinflussbar ist.

Seit der Version 1.8 beherrscht Piwik jedoch auch das Parsen und Einlesen von Apache Logfiles und das wollte ich dann gestern auch mal ausprobieren.

Nach ein Bisschen rumprobieren ist mir ein Fehler bzw. unerwünschtes Verhalten aufgefallen. Vorher hatten alle Seiten einen eigenen Apache-vHost und entsprechend eigene Logs. Da jetzt alle Blogs unter einem einzigen vHost laufen, waren die Logs nicht mehr aussagefähig, da ja alle Seitenaufrufe an den selben Host gingen.

Apache beibringen, mehr bzw. anders zu loggen

Die Lösung lag also darin, Apache zu sagen, dass er anders loggen soll.

Hierfür nutze ich in der vHost-Datei unter /etc/apaches2/sites-avaliable/ die Definitionen LogFormat und CustomLog.

LogFormat "%{Host}i %h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" vhost_common
CustomLog "|/usr/sbin/rotatelogs /var/www/$DOMAIN/logs/access.%Y-%m-%d.log 86400" vhost_common

Mit Logformat sage ich, in welchem Format die Logs geschrieben werden sollen. Hierbei kommt dann sowas raus, wie z.B:

skrupuloes.de XXX.XXX.XXX.XXX - - [08/Jan/2013:11x:03:39 +0100] "GET /feed/podcast-mp3/ HTTP/1.1" 200 9964 "-" "PritTorrent/0.1"
skrupuloes.de XXX.XXX.XXX.XXX - - [08/Jan/2013:11:10:27 +0100] "GET /wp-content/uploads/sites/7/2012/09/coverart-300x274.jpg HTTP/1.1" 304 - "http://skrupuloes.de/ueber-skrupuloes/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.94 Safari/537.4"
skrupuloes.de XXX.XXX.XXX.XXX - - [08/Jan/2013:11:10:27 +0100] "GET /favicon.ico HTTP/1.1" 200 - "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.94 Safari/537.4"
debilux.org XXX.XXX.XXX.XXX - - [08/Jan/2013:11:10:31 +0100] "GET / HTTP/1.1" 200 14279 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.94 Safari/537.4"
debilux.org XXX.XXX.XXX.XXX - - [08/Jan/2013:11:10:33 +0100] "GET /2012/09/28/fuer-filevault-anderes-passwort-nutzen-als-fuer-systemaccount/ HTTP/1.1" 200 13658 "http://debilux.org/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.94 Safari/537.4"

%{Host}i ist hierbei dafür zuständig, dass auch die Domain mitgeloggt wird, über die der Zugriff erfolgte. Jetzt sind die Logs wieder aussagefähig.

Die CustomLog-Direktive sagt Apache, wie er die Logs in welche Files schreiben soll. Ich nutze hier rotatelogs, um die Files jeden Tag zu rotieren. Meine Logs sind dann zum Beispiel unter /var/www/$DOMAIN/logs/access.2013–01–07.log zu finden.

$DOMAIN steht hier für den Ordner, den ich für jede Domain unter /var/www/ habe. Diese beinhalten einen Ordner _“logs/”, in dem die Logs der jeweiligen Domain abgelegt werden. %Y-%m-%d wird Durch Jahr-Monat-Tag ersetzt. Jede Nacht um 0:00 Uhr wird ein neues Log angefangen und die Logs vom Vortag sind “fertig”.

Apache-Logs in Piwik einlesen

Der Parser für die Piwik-Logfiles liegt im Piwik-Verzeichnis unter /misc/log-analytics/import_logs.py. Man kann ihm viele Argumente mit auf den Weg geben und praktischerweise gleich mehrere Logfiles auf einmal zum Fraß vorwerfen. Da ich keine Lust hatte, großartige Configs zu schreiben, haben ich mir ein kleines Shellscript gebastelt.

#!/bin/bash
PATH_TO_PIWIK='/var/www/meine_domain/www/piwik' # e.g. /var/www/piwik
PIWIK_URL='https://meine_domain/piwik' # e.g. http://mysite.tld/piwik
WWWFOLDER='/var/www/'
# search logs
LOGDATE=`(date --date='1 days ago' '+%Y-%m-%d')`
LOGFILES=`(find $WWWFOLDER -iname access.$LOGDATE.log | grep "/logs/" | tr 'n' ' ')`
# import found logs to piwik
python $PATH_TO_PIWIK/misc/log-analytics/import_logs.py --url=$PIWIK_URL --recorders=4 --add-sites-new-hosts --show-progress $LOGFILES
# run Piwik Auto-Archiving
php5 $PATH_TO_PIWIK/misc/cron/archive.php --url=$PIWIK_URL

In den ersten drei Variablen sage ich dem Script, wo es Piwik findet, wie Piwik per URL zu erreichen ist und wo die Webseiten, respektive Logs liegen. $LOGDATE stellt fest, welches Datum gestern war (da sind ja die Logs schon “fertig”) und mit Logfiles suche ich dann in /var/www/ nach den Logs von gestern und ersetze in der Ausgabe Zeilenumbrüche durch Leerzeichen, damit ich sie an den Importer als Parameter weitergeben kann.

Anschließend lasse ich den Importer laufen. Er nutzt vier Threads und legt noch unbekannte Hosts automatisch in Piwik an (spart wieder Arbeit ;) ). Es gibt noch viele Parameter mehr, aber die könnt ihr Auch ja auch selbst anschauen.

Da es hier auch irgendwie reinpasst, lasse ich mit dem Piwik Auto-Archiving auch gleich noch die Datenbank aufräumen.

Das Script läuft bei mir jede Nacht als Cronjob, sodass ich jeden Morgen die Statistiken von gestern einsehen kann. Die sind jetzt zwar nicht mehr tagesaktuell, ich kann aber zum ersten Mal auch die Downloads unseres Podcasts, die nicht über die Seite gingen, tracken.

Six Clever Tricks for a Better To-Do List - by Dumb Little Man

Sat, 29 Sep 2012 19:06:43 +0000

Six Clever Tricks for a Better To-Do List - by Dumb Little Man.

When you fail to make headway with your to-do list, you might end up blaming yourself – but it’s probably not your fault.

To-do lists are great tools, but to be truly effective, you need to know a few tricks for making them work well.

Für FileVault anderes Passwort nutzen als für Systemaccount

Fri, 28 Sep 2012 08:55:15 +0000

Apples FileVault hat, mal abgesehen von den Sicherheitsbedenken die man prinzipiell gegenüber nichtoffener Kryptosoftware haben sollte, ein riesiges Problem.

Das Userpasswort entspricht dem Passwort zum Entschlüsseln der Festplatte.

Für Verschlüsselung nutze ich gerne Passwörter die an die 30 Zeichen lang sind, um ein einfaches Erraten so unwahrscheinlich wie möglich zu machen. Mein Userpasswort habe ich gerne etwas kürzer, da ich es öfter eingeben muss.

Apple stellt uns hier vor die Qual der Wahl. Bequemlichkeit oder Sicherheit? Es geht erst mal nur eins von beidem, da für die Verschlüsselung kein separates Passwort vergeben werden kann.

Über einen kleinen Umweg ist es aber doch möglich, ein langes Passwort als einzige Angriffsfläche zu setzen.

Hierfür sind zwei Verhaltensweisen von OS X bzw. FileVault ausschlaggebend.

Neue User werden automatisch berechtigt, mit ihrem Passwort die Festplatte zu entschlüsseln
Wird für einen bereits bestehenden User ein leeres Passwort gesetzt, wird ihm die Berechtigung zum entschlüsseln entzogen.

enn wir das beides kombinieren, tut sich folgender Weg auf. Wir legen einen neuen User mit einem sehr langen (sicheren) Passwort an. Dieser bekommt automatisch das Recht zum Entschlüsseln. Unserem eigenen User setzen wir kurzzeitig ein leeres Passwort und entziehen ihm diese Berechtigung. Wir können die Festplatte jetzt nur noch mit dem langen Passwort des neuen Users entschlüsseln. Wir werden dann als dieser User angemeldet, können uns wieder ausloggen und mit unserem “Arbeitsuser” wieder anmelden.

Ich arbeite mit dem Account chris. FileVault ist aktiviert und alles verschlüsselt.

Ich lege jetzt in den Systemeinstellungen den User leia an und vergebe ein sehr langes Passwort. Anschließend öffne ich das Terminal und tippe passwd ein. Ich werde nach dem aktuellen Passwort gefragt und anschließend zwei mal nach dem Neuen. Die Frage nach dem Neuen bestätige ich einfach mit Return ohne eine Eingabe zu machen. Mein Passwort ist jetzt leer und ich kann die Festplatte nicht mehr entschlüsseln.

Dann führe ich passwd noch mal aus, bestätige die Frage nach dem aktuellen Passwort mit Return, da es ja leer ist, und vergebe als neues Passwort jenes, welches ich vorher hatte.

Wenn ich jetzt neu starte, kann ich mich nur noch als leia mit dem langen Passwort anmelden. Voilá, Ziel erfüllt!

Time Machine Backups verschlüsselt über das Internet erstellen

Mon, 26 Dec 2011 23:43:21 +0000

An Tagen wie diesen (z.B. Weihnachten) stellt sich immer wieder ein Problem. Das NAS steht zu Hause, man selbst ist zum Beispiel bei seinen Eltern und das über Tage hinweg. Der paranoide Nerd hat dann immer wieder das gleiche Problem: Was ist mit den Backups. Was soll ich nur machen, wenn die Festplatte des MacBooks nach zwei Tagen abraucht?

Genau diesem (meinem) Problem habe ich mich über Weihnachten mal angenommen. Zu Hause steht meine Synology Disk Station. Sie ist im Netzwerk u.A. per AFP (Apple Filing Protocol) als Time Machine-Volume ansprechbar. SSH läuft, die Authentifizierung läuft schon seit Längerem über Keys und der SSH-Port ist über den Router freigegeben, welcher wiederum per DDNS erreichbar ist.

Ich habe also ein Script gebastelt, welches all diese Faktoren kombiniert und es mir ermöglicht, auf meine Disk Station per AFP zuzugreifen und Backups zu machen.

Das Script stellt eine Verbindung zum SSH-Server im NAS her, und Tunnelt den dortigen AFP-Port per SSH auf einen Port meines Rechners. Über diesen Port kann ich dann über eine verschlüsselte Verbindung auf mein NAS zugreifen. Der Tunnel bzw. der durch den Tunnel angebotene Service wird dem Betriebssystem per dns-sd bekannt gemacht, was dazu führt, dass es ihn “entdeckt” und im Finder aufführt, als wäre ich im heimischen Netzwerk.

Wird das Script noch mal aufgerufen, prüft es, ob schon ein Tunnel besteht. Wenn dies nicht der Fall ist, versucht es einen zu erstellen. Dadurch bietet es sich an, das Script per cron regelmäßig ausführen zu lassen um den Tunnel dauerhaft aufrecht zu erhalten.

Alles in allem ist das bisher eine sehr coole Sache :) Gigabyteweise Time Machine Backups mit 128kb Upstream machen jedoch keinen Spaß.

Ich habe das Projekt wie immer auf github gehostet und Pflege es auch dort. Über Anregungen und Commits würde ich mich freuen.

Anbei zusätzlich auch noch mal das aktuelle Listing des Codes.

#!/bin/sh
## CONFIG
REMOTEUSER="user" # The ssh user name on remote server
REMOTEHOST="remote.host.name" # The ssh user password on remote server
LABEL="DiskStation" # The label for the service, that's registered with dns-sd
## NO NEED TO EDIT BELOW THIS LINE
VERSION="2011-12-27"
VERBOSE=false
REMOTELOGIN="$REMOTEUSER@$REMOTEHOST"
createTunnel() {
# Create tunnel to port 548 on remote host and make it avaliable at port 12345 at localhost
# Also tunnel ssh for connection testing purposes
ssh -gNf
-L 12345:127.0.0.1:548
-L 19922:127.0.0.1:22
-C $REMOTELOGIN &
if [[ $? -eq 0 ]]; then
# Register AFP as service via dns-sd
dns-sd -R $LABEL _afpovertcp._tcp . 12345 > /dev/null &
if [ $VERBOSE = "true" ]; then echo Tunnel to $REMOTEHOST created successfully; fi
exit 0
else
if [ $VERBOSE = "true" ]; then echo An error occurred creating a tunnel to $REMOTEHOST RC was $?; fi
exit 1
fi
}
killTunnel() {
MYPID=`ps aux | egrep -w "$REMOTEHOST|dns-sd -R $LABEL" | grep -v egrep | awk '{print $2}'`
for i in $MYPID; do kill $i; done
echo All processes killed
}
help() {
echo "ssh-ds version $VERSION
ssh-ds is a small shell script that tunnels the AFP port of your disk station
(and propably every other NAS with AFP and SSH services running) over ssh to your client computer.
Put your settings in the config section in the script itself!
Options
-v, --verbose increase verbosity
-k, --kill kill all ssh-ds processes
-h, --help show this screen
"
exit 0
}
# Yippieeh, commandline parameters
while [ $# -gt 0 ]; do # Until you run out of parameters . . .
case "$1" in
-k|--kill)
killTunnel
exit 0
;;
-v|--verbose)
VERBOSE=true
;;
-h|--help)
help
;;
*)
;;
esac
shift # Check next set of parameters.
done
## Run the 'ls' command remotely. If it returns non-zero, create a new connection
ssh -q -p 19922 $REMOTEUSER@localhost ls > /dev/null
if [[ $? -ne 0 ]]; then
createTunnel
else
if [ $VERBOSE = "true" ]; then echo Tunnel to $REMOTEHOST is active; fi
fi

A very zombie holiday (Instructional video)

Mon, 26 Dec 2011 23:21:41 +0000

“An instructional video for ensuring a happy home during this zombie-infested holiday season.”

Aufruf an die gelangweilten Coder dieser Welt: Helft uns!

Wed, 14 Dec 2011 12:09:18 +0000

Ich habe ein Problem und weiß, dass es zumindest einigen anderen Menschen genau so geht.

Als politisch aktiver Mensch lerne ich ständig und überall auf der Welt Menschen kennen. Ihre Kontaktdaten wandern in mein Adressbuch und gesellen sich dort zu 700 anderen. Ich kann die Organisation angeben, kann auch Notizen hinzufügen und eintragen, wo sie wohnen oder arbeiten. So entsteht relativ schnell ein sehr unübersichtliches Netzwerk. Überblick bekomme ich nur, wenn ich mir alle Kontakte einzeln anschaue und versuche, irgendwelche Strukturen nachzuvollziehen. Das ist sehr mühselig und zeitaufwendig.

Wenn ich z.B. einen Kontakt Anja Musterfrau habe, weiß ich, dass sie in Pinneberg wohnt wohnt, wie ich sie erreichen kann und dass sie bei einer Altenpflegeeinrichtung arbeitet. Vielleicht erinnere ich mich auch noch daran, dass sie in Hamburg in einer Gruppe aktiv ist, die sich gegen Gentrifizierung engagiert. Dass sie beim DGB und in der Tierrechtsszene aktiv ist, vergesse ich aber immer.

Nun plane ich z.B. eine dreitägige Fahrt nach Hamburg und möchte dort einige Menschen treffen, um meine Netzwerke zu pflegen. Mir fehlt ein Überblick, mit wem ich mich in Hamburg treffen könnte. Welche Kontakte machen aufgrund meiner aktuell laufenden Projekte Sinn?

Oder ich möchte in den Gewerkschaften eine Kampagne initiieren, die zum Ziel hat, dass die eine Gesetzesinitiative gestartet wird, die eine Kenzeichnungsflicht für Lebensmittel fordert, die Vegetarier_innen ermöglicht, auf den ersten Blick zu sehen, ob tierische Bestandteile in einem Lebensmittel verwendet wurden. Wo habe ich in Deutschland Kontakte, die ich mit einspannen könnte?

Ihr seht, das ist alles nicht einfach. Was will ich also, um mir das alles zu vereinfachen und das Netzwerken systematischer betreiben zu können?

Ich möchte Kontakten mehrere Organisationen zuweisen können Bei Anja: z.B. Altenpflegeinrichtung Kunz, DGB, Recht auf Stadt, Animal Liberation Front

Ich möchte Kontakten mehrere Organisationen zuweisen können (bei Anja: z.B. Altenpflegeinrichtung Kunz, DGB, Recht auf Stadt, Animal Liberation Front)
Ich möchte Kontakte thematisch taggen können (bei Anja z.B. gewerkschaft, antifa, gentrification, tierrechte, altenpflege)
Ich möchte unabhängig von den Adressen im Adressbuch auch Orte hinzufügen können (Anja hat ihren politischen Wirkungskreis in Hamburg und nicht in Pinneberg, wo sie wohnt und arbeitet. Das muss ersichtlich sein.)
Die Kontakte lassen sich dann nach allen möglichen Kriterien filtern
Darstellung der Menschen pro Ort auf einer Karte
Verknüpfungd der Menschen in Mindmaps um Netzwerke darzustellen (und die Map dann auch als Overlay auf der Karte)
Ich kann Kontakten weitere Kontaktmöglichkeiten hinzufügen, die nicht in einer Standard-vCard vorhanden sind (JID, GPG-Key, in welchen IRC-Channels hängen die Menschen rum etc.)
All diese Informationen werden am Besten in den Kontakten im Adressbuch selbst gespeichert, um sie damit auch auf dem Exchange, LDAP, SyncML-Server liegen zu haben und um Kontakte nicht in zwei Systemen pflegen zu müssen
Sollte Plattformunabhängig funktionieren und vorhandene Standards nutzen

Ja, das ist ne ganze Menge und es gibt mit Sicherheit auch noch mehr denkbare Anwendungsfälle und Kriterien. Ich hoffe aber, ihr versteht, worauf ich hinaus will.

Zur möglichen Umsetzung habe ich mir auch schon ein paar Gedanken gemacht.

Eine denkbare Möglichkeit wäre es, das Notizfeld einer vCard zu nutzen. Die Informationen könnten dann strukturiert als XML-Tree gespeichert werden. Ein Nachteil ist jedoch die schlechte Lesbarkeit z.B. mit Smartphones.

Eine andere denkbare Möglichkeit wäre eine eigene Markup-Language (#tag, @ort, §organisation etc.), die eine einfache Lesbarkeit am Smartphone ermöglicht und sich trotzdem gut parsen lässt.

Wenn Ihr nun also Lust habt, mir und dem Rest der Menschheit etwas Gutes zu tun. Dann fangt an irgendetwas in diese Richtung zu coden. Jeder kleine Schritt ist besser, als die jetzige Situation.

Ich bin bereit dazu, mit Ideen und Kreativität meinen Teil dazu beizutragen. Ich stelle Webspace zur Verfügung und tue sonst alles was nötig ist, um zu unterstützen. Aber bitte helft uns!

Die Occupy-Bewegung in Deutschland - Problem oder Debattierclub?

Wed, 02 Nov 2011 10:54:23 +0000

Ausgehend vom “arabischen Frühling” sind zunächst in Spanien, dann in den USA, Israel und seit dem 15. Oktober weltweit Menschen auf die Straße gegangen und haben Plätze besetzt um ihren Forderungen Luft zu machen. In einigen arabischen Ländern konnten diese Menschen Regierungen stürzen. Ihr Antrieb war der Wunsch nach Demokratie, Gleichheit, der Kampf gegen Repression und Korruption.

In den USA haben es die Menschen satt, dass sie als unprivilegierte, Arme, Nichtkrankenversicherte darunter leiden müssen, dass die Reichen sich immer weiter bereichern und die Reformen im Rahmen der Krisen den “99%”, als die die Besetzer_innen sich begreifen, immer mehr Lasten aufbürden. Aus meiner Sicht betrachtet, finden die Occupys in den USA einen gewissen Zuspruch und werden für den Staat und die Exekutive langsam zu einem Problem. In Oakland sind die Proteste letzte Woche eskaliert, als die Polizei einem Demonstranten mit einem Tränengaskanister einen Schädelbruch geschossen hat.

Auch in Deutschland gibt es seit dem 15. Oktober regelmäßig Occupy-Demos in Berlin Hamburg und Frankfurt am Main. In Berlin gelang es schon mehrmals bei den Demonstrationen auf die Wiese vor dem Reichstag zu gelangen, in Frankfurt und Hamburg gibt es Protestcamps.

Das Camp vor der Europäischen Zentralbank in Frankfurt ist “genehmigt” und darauf ist man stolz. Es gibt eine Internetpräsenz, Podcasts aus dem Camp und sogar ein Intranet für die Orgamenschen selbst. In den arabischen Ländern rückte das Militär an, um die Camps zu räumen, es starben viele Menschen. Das Internet wurde abgeschaltet um die Proteste einzudämmen.

Ist das nicht aber irgendwie ein Zeichen dafür, dass der Aufstand der “99%” für die Handelnden in Politik und Wirtschaft kein Problem darstellt? Es stehen dort über 100 Zelte, es besteht ein beachtenswerte Infrastruktur und jeden Samstag demonstrieren fünf bis achttausend Menschen durch Frankfurt. Getan hat sich jedoch nichts. Weder hat die Politik auf die Bewegung Bezug genommen, noch hat sie versucht, die Proteste zu verhindern.

Die Forderungen der Menschen im Camp sind so unterschiedlich, wie die Menschen, die sich dort jeden Tag einfinden. Und das ist auch gut so. Muss nicht aber langsam mal ein Diskussionsprozess starten, wo das alles hinführen soll? Sind die Forderung, wie die nach einer Finanztransaktionssteuer, die Forderung, dem Finanzkapitalismus Fesseln anzulegen, nicht viel zu Kurz gedacht? Können wir die Banken dafür verantwortlich machen, dass sie die Möglichkeiten, die ihnen dieses System bietet nutzen? Ein System, das darauf ausgerichtet ist, dass die einen Menschen mehr haben, was zwangsläufig dazu führt, dass andere Menschen weniger haben. Ist nicht viel mehr das System das Problem?

Das recherchejournal zum aufstand veröffentlichte einen Brief aus Kairo, gerichtet an die Besetzungen in den USA.

Die Menschen in Oakland rufen für nächste Woche zu einem Generalstreik auf. Freilich fehlt der Bewegung in Deutschland noch die Macht, die Anerkennung um solche Forderungen und Aufrufe zu stellen. Sollte der Weg aber nicht in diese Richtung gehen?

Es bleibt abzuwarten, was in den USA nächste Woche geschieht. Und noch spannender wird die Entwicklung hier in Deutschland.

Wird die Occupy-Bewegung endlich zu einem Problem oder verkommt sie zu einem Debattierclub der die schöne Erfahrung einer neuen Art des Zusammenlebens macht aber von den “Mächtigen” ignoriert wird?

Umzug geglückt und neues Design

Sun, 23 Oct 2011 12:38:44 +0000

Das Blog ist heute umgezogen und wohnt jetzt auf meinem vServer. Es kann sein, dass es Zugriffsprobleme gibt, da die DNS-Server noch ein Bisschen zum Aktualisieren brauchen. In ein paar Stunden sollte aber wieder alles klappen.

Gleichzeitig habe ich ein neues Theme installiert. Es kommt jetzt Piha von Elmastudio zum Einsatz. Dieses grandiose Theme bietet endlich ein Responsive Layout, Custom Post Types und ein schickes Design obendrauf. So ist es auf mobilen Geräten genauso gut nutzbar, wie am Rechner und unterscheidet bei Posts zwischen Artikeln, Bildern, Gallerien etc.

Da ich versuche, so viele Dienste wie möglich selber zu hosten, gehen Bilder, die ich twittere nicht zu Twitpic oder Twitter sondern landen jetzt hier und ich habe die volle Kontrolle darüber. Möglich macht dies das Wordpress-Plugin Tweet Images.

Jetzt sieht es zumindest schon mal schön aus, die Bilder landen hier und ich bin glücklich. :)

Ob ich jetzt wieder mehr schreibe, weiß ich nicht. Das wird sich zeigen.

The Colour Clock - Zeit als Farbe

Fri, 18 Feb 2011 11:47:37 +0000

Screenshot von “The Colour Clock

The Colour Clock von Jack Hughes zeigt die aktuelle Uhrzeit als Hexdezimalfarbe an. Dadurch ändert sich der Hintergrund der Zeitanzeige jede Sekunde ein wenig.

Herunterladen kann man die Uhr als Mac OS Bildschirmschoner. Ich finde das Teil extrem stylish und habe es jetzt installiert.

Aus Backup-Script mit rsync und growl wird fabula-backup

Sun, 06 Feb 2011 09:48:38 +0000

In meinem Artikel “Mac: Inkrementelle Backups mit rsync und growl” habe ich letztens mein Backup-Script für den Mac veröffentlicht, welches mit rsync und growl bei mir Time Machine ersetzt und wesentlich mehr Möglichkeiten bietet.

Da ich jetzt noch ein Bisschen daran rumgeschraubt habe und auch für die Zukunft noch ein paar Dinge geplant sind, habe ich mich entschlossen, das Teil zu GitHub zu schieben.

Hier gibt’s jetzt immer die aktuellste Version mit der Möglichkeit des Downloads und der Mitarbeit. Wenn es großartige Änderungen gibt, werde ich über neue Versionen auch hier berichten.

Aktuell sind wir bei Version 0.7.1 und es hat sich Folgendes getan:

Anstatt alles in einer log-Datei pro Ausführung zu dokumentieren, nutzt das Script jetzt den Syslog und schreibt ein Error-log nur, wenn Fehler aufgetreten sind. Es ist jetzt also näher an den Standardmethoden von OS X dran und müllt die Festplatte nicht mit Logfiles zu ;)
Die growl-Notifications sind jetzt nur sticky, wenn Fehler aufgetreten sind. Ansonsten verschwinden alle Benachrichtigungen, nach der von Euch eingestellten Zeit.

Für die Zukunft geplant ist noch eine stärkere Linux-Kompatibilität und evt. eine Setup-Prozedur o. Ä.

Mac: Inkrementelle Backups mit rsync und growl

Sun, 30 Jan 2011 20:59:57 +0000

Screenshot von meinem Desktop mit growl

Ich bin seit ca. einem halben Jahr Mac-User und wirklich zufrieden mit OS X. Das Einzige, was mich stört, ist Time Machine.

Ich habe meinen Home-Folder verschlüsselt in einem FileVault und meine restlichen Daten auf einer separaten, mit Truecrypt verschlüsselten, Partition liegen. Time Machine ist relativ beschränkt, wenn es darum geht, die Backups anzupassen. Um mein Verschlüsseltes Home-Verzeichnis zu sichern, muss ich mich ausloggen, MacOS komprimiert den FileVault und schmeißt ihn dann auf das Backup-Medium. Die Sicherung des Truecrypt-Volumes ist gar nicht möglich.

Da dies für eine Backup-Strategie, welche automatisch im Hintergrund läuft, denkbar unpraktisch ist, musste eine andere Lösung her.

Ich habe also ein Bisschen gegoogelt und mir aus verschiedenen Backup-Scripts Anregungen geholt. Heraus kam ein Backup-Script, welches die Backups ähnlich anlegt, wie Time Machine.

Ich konfiguriere die Quell-Ordner, gebe das Ziel-Medium an und der Rest geschieht im Hintergrund. Da rsync in meiner Configuration nur neue und geänderte Dateien übertragen muss und nicht veränderte Dateien einfach verlinkt werden, geht das Backup relativ schnell und verbraucht sehr wenig Platz. Bei jedem Durchlauf wird ein neuer Ordner angelegt, welcher immer ein Vollbackup enthält. Wenn sich keine Dateien verändert haben, wird aber kein zusätzlicher Platz verbraucht.

Am Ende jedes Durchlaufs werde ich per growl benachrichtigt, dass das Backup gemacht wurde und ob es Fehler gab.

Alles in allem funktioniert jetzt alles so, wie ich es will. Das Script läuft stündlich per cron im Hintergrund und ich brauche mich um nichts zu kümmern. Trotzdem habe ich Gewissheit, dass alle meine Daten gesichert sind, falls etwas passiert.

Folgenden Code einfach in eine Textdatei packen, mit root-Rechten ausführen und glücklich sein :)

P.S.: Der Code funktioniert auf jedem System, af dem rsync läuft (Linux, Unix, Windows mit Cygwin). Hier muss dann aber unter Umständen auf die Benachrichtigungen verzichtet werden, wenn Ihr das Script nicht an des Benachrichtigungssystem Eures Betriebssystem anpassen wollt (z.B. notify-bin in Ubuntu).

#!/bin/bash
# --- Set backup parameters ---
# What local files/folders are we backing up (without trailin "/")?
SOURCES='/bin /private/etc /sbin /etc /usr /opt /Volumes/Macintosh/Library /Volumes/Macintosh/System /Volumes/Macintosh/Users/chris /Volumes/Macintosh/Applications /Volumes/Daten'
# What location shall we back up to (without trailin "/")?
DEST='/Volumes/Elements'
# Any non-valuable stuff to exclude by name/location (seperated by ",")?
EXCLUDE='.DS_Store,/.chris/,.Trash/,tmp/,LastPass/pipes/,log/,.log'
# --- Get some data and make some declarations ---
# What's the local hostname?
HOST=`hostname -fs`
# Get the date
DATE=`date "+%Y-%m-%d-%H%M%S"`
# Set the folder for backups for this host
BACKUPPATH="$DEST/Backup/$HOST"
# Where shall we write the error log?
ERRORS="$BACKUPPATH/errors-$DATE.log"
# --- Set Growl parameters ---
# What will this script be called in the Growl prefpane?
GROWLNAME="Backup of $HOST"
# And what app's icon will appear in Growl notifications?
APPICON="/Users/chris/bin/Time-Machine.icns"
# --- Do it! ---
# Check if $DEST is mounted. Otherwise quit script
DESTMOUNTED=`mount | grep "$DEST"`
if [ -z "$DESTMOUNTED" ]; then
/bin/growlnotify --name "$GROWLNAME" --image "$APPICON"
--message "$DEST is not mounted." "Ignoring scheduled backup"
exit 1
fi
PROCS=`ps -A -o "pid=,command="`
MYNAME="$0"
MYBASENAME=`basename $MYNAME`
MYPID=$$
# The next line works like so:
# * take the process list (for all users),
# * filter *in* processes named like this script (making sure we're on word boundaries),
# * filter *out* (-v) the one that *is* this script (by PID), and finally
# * filter *out* the grep commands themselves.
MERUNNING=`echo "$PROCS" | grep -E -e "b$MYBASENAMEb"
| grep -E -v "b$MYPIDb" | grep -v grep`
# Then, if anything's left (i.e. MERUNNING isn't a zero-length string...)
if [ ! -z "$MERUNNING" ]; then
/bin/growlnotify --name "$GROWLNAME" --image "$APPICON"
--message "Another backup seems to be in progress" "Ignoring scheduled backup"
exit 1
fi
EXPEXCLUDES=`eval "echo --exclude={$EXCLUDE} "`
STARTTIME=`date "+%Y-%m-%d %H:%M:%S"`
/bin/growlnotify --name "$GROWLNAME" --image "$APPICON" --message "Backup of $HOST has been startet at $STARTTIME"
echo "Backup of $HOST has been startet at $STARTTIME" >> $ERRORS
for D in $SOURCES; do
mkdir -p $BACKUPPATH/$DATE.inProgress$D
rsync -aH $EXPEXCLUDES --link-dest=$BACKUPPATH/current$D $D/ $BACKUPPATH/$DATE.inProgress$D 2>>"$ERRORS"
done
FINISHTIME=`date "+%Y-%m-%d %H:%M:%S"`
NUMERRORS=`awk '{x++}END{ print x}' $ERRORS`
NUMERRORS=$[$NUMERRORS-1]
/bin/growlnotify --name "$GROWLNAME" --image "$APPICON" -s
--message "Completed backup of $HOST at $FINISHTIME. There were $NUMERRORS errors." "$HOST has been backed up to $DEST."
echo "Completed backup of $HOST at $FINISHTIME. There were $NUMERRORS errors." >> $ERRORS
mv $BACKUPPATH/$DATE.inProgress $BACKUPPATH/$DATE
rm -f "$BACKUPPATH/current" && ln -nsf "$BACKUPPATH/$DATE/" "$BACKUPPATH/current"

Posteingang Null: Wie ich meine E-Mails bearbeite

Sat, 18 Sep 2010 10:10:05 +0000

Da ich relativ viele E-Mails erhalte brauchte ich irgendwie ein System um damit klar zu kommen. Vor einigen Jahren bin ich auf einen Vortrag von Merlin Mann gestoßen, in welchem er sein System Inbox Zero vorstellt.

Das System funktioniert für mich sehr gut und im Folgenden werde ich erläutern, wie ich es umsetze.

Meine E-Mails habe ich auf einem IMAP-Server liegen. Der Server hat 40 GB Platz und bietet daher genügend Ressourcen für ein großes E-Mail-Archiv. Ankommende E-Mails werden durch Sieve gefiltert.

Screenshot von Thunderbird welcher meine Ordnerstruktur zeigt

Auf dem Server habe ich folgende Ordnerstruktur angelegt:

Im Posteingang landen alle E-Mails, die nach dem Filtern übrig bleiben. Um diese kümmere ich mich immer, wenn ich den Eingang durchsehe.

Im Entwürfe-Ordner liegen evt. verfasste E-Mails, die noch nicht verschickt wurden. Sollte klar sein ;)

Der Gesendet-Ordner sollte auch klar sein.

Der Archiv-Ordner ist, wie der Name schon sagt, mein zentrales Archiv. In diesem Ordner landen alle E-Mails, die nicht gelöscht wurden.

Der Junk-Ordner enthält gelegentlich mal Spam.

Der Papierkorb enthält gelöschte E-Mails.

Der Ordner Buzz enthält die von Sieve weggefilterten eher unwichtigen E-Mails. Hier landet alles, was ich nicht im Laufe des Tages ständig im Blick haben will (Newsletter, Rechnungen, Bestellbestätigungen, Facebook etc.).

Die Ordner im Screenshot mit den** Ziffern** davor, sind Suchordner aus Thunderbird. Dazu komme ich später noch.

In den Posteingang schaue ich mehrmals am Tag und bearbeite alle E-Mails darin. Den Buzz-Ordner öffne ich meist erst, wenn ich Abends zu Hause bin und ein Bisschen Zeit habe.

Als E-Mail-Client nutze ich schon seit Jahren Thunderbird. Er wurde mit der zeit immer besser und bietet eine gute Anpassbarkeit durch Erweiterungen aber hat gleichzeitig ein sehr aufgeräumtes Interface.

Er bietet die Möglichkeit E-Mails mit “Schlagworten” zu versehen. Ich habe die voreingestellten Schlagworte gelöscht und mir die Schlagworte “Antworten”, “Zu erledigen”, “Wichtig” und “Warten” angelegt. Thunderbird nummeriert diese durch und man kann dann zum Beispiel die Taste 3 drücken um eine E-Mail als wichtig zu markieren. Des Weiteren bietet er die Möglichkeit, durch einen Druck auf die Taste A eine E-Mail ins Archiv zu verschieben. So ist es möglich, E-Mails in relativ kurzer Zeit durch zu arbeiten.

Wenn jetzt eine E-Mail ankommt, wird sie zuerst auf dem Server gefiltert.

Wenn auf sie kein Filter zutrifft, landet sie im Posteingang.

Wenn ich sie gelesen habe, kommt sie ins Archiv.

Wenn ich darauf antworten muss und das innerhalb von zwei Minuten erledigen kann, antworte ich sofort und schiebe die E-Mail ins Archiv.

Wenn eine Antwort länger dauern würde, wird sie mit dem Schlagwort “Antworten” versehen und kommt ins Archiv. Gleichzeitig lege ich mir einen Eintrag auf meiner ToDo-Liste an.

Das Gleiche gilt, wenn die E-Mail einen Arbeitsauftrag enthält. Sie wird dann jedoch mit “Zu erledigen” markiert.

Wenn eine E-Mail Informationen enthält, die kurzzeitig wichtig sind (z.B. für ein Telefonat, was ich führen muss) wird sie als “Wichtig” markiert.

Wenn ich eine E-Mail verschickt habe und auf eine Antwort warte, markiere ich die gesendete E-Mail als “Warten”.

Wenn sich der Status einer E-Mail ändert, weil ich z.B. einen Auftrag erledigt habe, dann löscht ein Druck auf die Taste 0 (Null) alle einer E-Mail zugewiesenen Schlagworte.

Mit diesem System bleibt der Posteingang übersichtlich und leer und ich habe trotzdem die Möglichkeit, mir anhand der Suchordner in Thunderbird die entsprechenden E-Mails auflisten zu lassen. Die Zahlen in den Namen der Suchordner erinnern mich an den entsprechenden Shortcuts zum zuweisen des Schlagworts.

Thunderbird legt normalerweise im Archiv-Ordner noch Jahresordner an in die E-Mails normalerweise sortiert werden. Um dieses Verhalten zu ändern gibt es die Erweiterung Message Archive Options.

Wenn ich unterwegs bin, greife ich entweder über das iPhone oder meinen Webmailer auf die E-Mails zu. Dadurch, dass die E-Mails und Ordner auf dem Server liegen, kann ich dann genau so arbeiten wie mit Thunderbird. Was nicht funktioniert, sind die Schlagworte aber das stört mich unterwegs nicht. Wenn ich z.B. am iPhone eine E-Mail aus dem Blickfeld haben möchte, schiebe ich sie erst mal in den Buzz-Ordner und kümmere mich zu Hause wieder darum.

Wahrscheinlich klingt das jetzt alles furchtbar kompliziert aber eigentlich ist es das überhaupt nicht. Wenn man sich die Routine des Durchsehens und Bearbeitens einmal angewöhnt hat geht sie relativ leicht von der Hand und durch die Shortcuts ist der Posteingang auch relativ schnell wieder leer. :)

fuck you very much

Mon, 06 Sep 2010 16:56:39 +0000

“fuck you is the new thank you”

fyvm ist derzeit eines meiner Lieblingsblogs. Pro Post gibt es ein Foto und einen Satz. Unterhält und regt manchmal zum nachdenken an.

Remember The Milk als Aufgabenverwaltung

Mon, 06 Sep 2010 16:52:30 +0000

Screenshot von Remember The Milk

RTM ist über den Browser von jedem Rechner aus erreichbar und bietet außerdem Apps für iPhone, Android und Blackberry an.

Eine Stärke von Remember The Milk ist das offene Konzept. Man wird nicht in irgendwelche Organisationssysteme gezwungen sondern kann sich anhand von Listen alles zusammen bauen, was man braucht.

Eine weitere Stärke sind die dynamischen Listen. Anhand von bestimmten Suchkriterien kann man sich hier verschiedenste Aufgaben dynamisch zusammen fassen lassen. Wo das praktisch ist, werde ich gleich noch zeigen.

Ansonsten kann man Aufgaben mit Tags versehen, Orte hinzufügen, an Andere delegieren und noch vieles mehr.

Die Standard-Liste nennt sich Eingang. Hier kommen alle Aufgaben rein, die entweder noch keiner Liste zugeordnet oder per E-Mail importiert wurden. Ich organisiere meine Aufgaben dann auf folgenden Listen: “Arbeit”, “Persönlich”, “Dieses Jahr” und “Irgendwann/Vielleicht”.

Zusätzlich lege ich “Smartlists” an, welche meine Aufgaben nach bestimmten Kriterien filtern und sie mir anzeigen. #heute, #morgen und #überfällig sollten selbsterklärend sein. @büro und @home unterscheiden Aufgaben nach Büro (dienstlich) und zu Hause. @einkaufen zeigt mir alle Dinge, die ich besorgen muss und @telefon sind alle Telefonate die ich führen muss. Wenn ich bei einer Aufgabe auf Zuarbeit bzw. auf Rückmeldung von Dritten angewiesen bin, erscheint sie in der Liste @warten.

Die Liste #dash zeigt alle Aufgaben, die bisher noch im Eingang liegen, und denen ich keinen Ort und keinen Zieltermin zugewiesen habe.

So habe ich immer alle Aufgaben im Blick und kann kontext- bzw. ortsabhängig genau das anzeigen lassen, was ich im Augenblick erledigen kann.

Anbei noch ein Listing der Suchkriterien meiner Smartlists:

#heute: due:heute OR dueBefore:Today OR (dueAfter:“today 0:00” AND dueBefore:“Now”) OR tag:“na”
#morgen: due:morgen
#überfällig: dueBefore:Today OR (dueAfter:“today 0:00” AND dueBefore:“Now”)
@büro: location:@büro AND NOT tag:@warten
@home: location:@home AND NOT tag:@warten
@einkaufen: tag:@einkaufen
@telefon: tag:@telefon or name:anrufen and not tag:@warten
@warten: tag:@warten
#dash: (dueBefore:today OR due:never OR isLocated:false OR list:Eingang) NOT (list:“Irgendwann/Vielleicht” OR list:“Dieses Jahr” OR list:"@einkaufen")

Ich denke, das Prinzip wird klar und sollte sich auch auf andere Aufgabenverwaltungen übertragen lassen. Ich kann RTM nur empfehlen und bin seit zwei Jahren vollends zufrieden damit.

Tagebuch führen für Nerds

Sat, 04 Sep 2010 09:58:35 +0000

Ich finde, es ist immer schön, wenn man sich zurück erinnern kann, was man vor ein paar Monaten, Jahren so gemacht hat. Das ruft Erinnerungen an schöne Momente zurück oder erinnert daran, dass man dieses oder jenes beim nächsten Mal anders machen wollte.

Für sowas eignet sich ein Tagebuch. Doch Tagebuch führen ist ja sowas von 1980. Man muss das Buch immer dabei haben, sitzt dann vor einer leeren Seite und verliert irgendwann die Lust zu schreiben.

Ich habe mir folgendermaßen Abhilfe geschaffen. Ich habe in einer einfachen Textdatei ein 80-Char-Diary gestartet, in welchem ich in 80 Zeichen meinen Tag zusammen fasste. Ein Eintrag für die Abendstunden war an jedem Tag auf meiner ToDo-Liste und so gewöhnte ich mich daran, dass jeden Tag zu schreiben.

Ich merkte in den letzten Wochen, dass mir 80 Zeichen nicht ausreichen und ich mehr schreiben will. Außerdem war es langweilig jedes Mal die Textdatei zu öffnen, zu schreiben, sie zu schließen.

Ich habe mir also ein kleines Bash-Script für dieses “Problem” geschrieben".

Wird das Script ohne Parameter aufgerufen, stellt es mir die Frage “Was ist heute passiert?”, ich tippe meinen Text ein und er wird automatisch an die Datei angehängt. Eine Linie dient hierbei als Anhaltspunkt für die alte 80-Zeichen-Grenze.

Der Parameter “-s” gibt aus, seit wievielen Tagen ich das Tagebuch schon führe. Über “-p” kann ich mir das Tagebuch in der Shell ausgeben lassen und über “-e” wird es mit dem Editor nano bearbeitet.

Ich komme damit bisher super klar und bin für Verbesserungsvorschläge offen.

Ihr könnt diary.sh als zip-File herunterladen oder Euch das Listing unten kopieren. In jedem Fall muss aber die Variable FILENAME noch an Speicherchort Eurer Datei angepasst werden.

#!/bin/sh
# /home/chris/bin/diary.sh
FILENAME="/media/daten/Ablage/diary"
COUNTDAYS=`cat $FILENAME | wc -l`
while [ $# -gt 0 ]; do # Until you run out of parameters . . .
case "$1" in
-e|--edit)
nano $FILENAME
exit 0
;;
-p|--print)
cat $FILENAME
exit 0
;;
-s|--status)
echo "Du führst das Tagebuch seit "$COUNTDAYS" Tagen."
exit 0
;;
*)
;;
esac
shift # Check next set of parameters.
done
echo "Du führst das Tagebuch seit "$COUNTDAYS" Tagen."
echo
echo "Was ist heute passiert?"
echo "--------------------------------------------------------------------------------"
read DIARYTEXT
echo `date +%y%m%d%a`" |"$DIARYTEXT >> $FILENAME

Bookshelf Porn

Mon, 23 Aug 2010 22:01:04 +0000

Ich liebe Bücher. Ich liebe es, sie zu lesen, zu fühlen und zu riechen. Ein Bücherregal ist für mich ein absolutes must-have in jedem Wohnzimmer und sagt so viel Persönliches über die Bewohner_innen aus.

Umso mehr freute ich mich, als ich vor ein paar Wochen auf Bookshelf Porn gestoßen bin.

A collection of all the best bookshelf photos for people who heart bookshelves.

Diese Seite macht nichts anderes als Fotos von Bücherregalen, Buchhandlungen und Bibliotheken zu posten und lädt zum träumen ein. Für Menschen wie mich eine absolute Bereicherung im Feedreader.

"Wie ich mein Leben regele" oder auch "Wer viel zu tun hat, kann viel vergessen..."

Thu, 19 Aug 2010 23:03:44 +0000

Ich bin in den letzten Jahren politisch immer aktiver geworden und habe immer mehr Verantwortungen übernommen. Zusammen mit einem Job in dem ich viel Unterwegs bin und ebenfalls sehr viel Verantwortung trage, brachte dies die Notwendigkeit mit sich, ein System zu finden, um alles geregelt zu bekommen.

Nachdem ich mich viel mit den Themen “Produktivität”, “Selbstmanagement” und “Lifehacking” beschäftigt, Bücher gelesen und einige Blogs abonniert hatte, habe ich mittlerweile ein recht verlässliches System gefunden, welches ich gerne nutze und welches mir hilft meine Aufgaben im Griff zu haben, meine Online- und Offline-Post zu bewältigen und ansonsten alles zu verwalten, was so in mein Leben tritt.

In den kommenden Tagen oder Wochen werde ich hier einfach mal niederschreiben, welche Erfahrungen ich gemacht habe und welche Wege ich für mich gefunden habe um mein Leben in den Griff zu bekommen.

Um Euch den Einstieg ins Thema zu erleichtern und die Wartezeit zu verkürzen, anbei mal ein paar Literaturtipps.

“Zen To Done” oder ZTD ist ein leicht zu erlerndes Selbstmanagement-System von Leo Babauta. Bei imgriff gibt es eine Artikel-Serie dazu und das auf deutsch übersetzte Buch zum Download. ZTD war das erste Buch, welches ich zum Thema gelesen habe. Es basiert auf auf dem System Getting Things Done und ist weniger restriktiv als dieses. Man kann sich die Dinge raussuchen, die einem passen und kann die Sache so langsam und einfach anlaufen lassen. Bei Orangetopic gibt es einen 25-teiligen Praxistest von Svenja, die sich der selben Aufgabe gestellt hat wie ich.

Das Buch “Gettings Things Done” oder die deutsche Version “Wie ich die Dinge geregelt kriege” von David Allen ist soetwas wie die Bibel für die “Lifehacker” weltweit. Viele Menschen finden “GTD” sehr aufwändig und scheitern an sich selbst, da sie nicht diszipliniert genug sind um alles umzusetzen. Ich habe es nach erst gelesen, nachdem ich ZTD schon ca. ein Jahr angewandt habe. Es ist wirklich komplexer als ZTD aber bot mir auch noch viele Denkansätze um “meinen eigenen Weg” weniger holprig zu gestalten.

Linktipps:

Ein Neuanfang

Sun, 11 Jul 2010 20:51:31 +0000

Als ich 2005 meine Ausbildung begann und alleine in eine neue Stadt zog, begann ich zu bloggen. chris-b-online lief damals unter dem Titel “Freie Software, Politik und der Wahnsinn des Alltags” und sollte alles beherbergen, was mich in meinem Leben bewegt. Mein Leben befand sich damals im Umbruch und es kamen immer mehr Interessensfelder hinzu. Ich lernte über das Netz interessante Menschen kennen und entwickelte mich in dieser Zeit auch selbst weiter. Irgendwann verkam das schreiben zur Pflicht und der Zwang zur Blockade. Mittlerweile ist der alte Blog zu einem Twitterarchiv verkommen. Gelegentlich schauen noch mal Menschen nach längst veralteten Tech-Artikeln aber wirklich etwas Neues geschieht dort nicht mehr.

Mein Leben befindet sich gerade wieder in einem Umbruch. Und deshalb wage ich einen Neuanfang. Hier auf debilux soll es nicht um Software gehen, nicht um polemische Kommentare des Zeitgeschehens, und auch nicht um Nebensächliches. Hier geht es um mich. debilux soll für mich ein Platz zum Denken sein. Ob das hier philosophisch wird oder nicht, müsst Ihr beurteilen. Mir geht es darum, meine Gedanken nieder zu schreiben und mich von Anderen zum Nachdenken anregen zu lassen. Die Politik wird mit Sicherheit in jeden Text einfließen, soll hier aber nicht Selbstzweck sein. Ich möchte denken, schreiben, reflektieren und lernen. Ihr seid recht herzlich dazu eingeladen, mich auf diesem Weg zu begleiten.