Ubuntuusers on Martins Schmierzettel

iortcw: Return to Castle Wolfenstein auf Debian spielen

Sat, 11 Apr 2026 22:28:40 +0200

Ich habe letztes Jahr bereits beschrieben, wie man Medal of Honor: Allied Assault unter Debian installieren (und spielen 😉) kann. Da mittlerweile Return to Castle Wolfenstein vom Index genommen (pdf) genommen wurde, möchte ich auch für dieses Spiel die Installation beschreiben. Diese Anleitung bezieht sich auf Debian Trixie.

Spieldaten

Iortcw ist zwar frei, die Grafiken und Sounds von RtCW sind es aber nicht. Um Return to Castle Wolfenstein spielen zu können, benötigt man also die Daten des Originalspiels. Ich habe das Spiel während eines Auslandsaufenthalts bei GOG gekauft. In Deutschland wird das Spiel leider (noch?) nicht vertrieben obwohl es nicht mehr auf dem Index ist, weil noch eine USK Alterseinstufung fehlt.

Debianquellen bearbeiten

Da man die unfreien Spieldaten benötigt, kann RtCW nicht über Debian main bereitgestellt werden, sondern befindet sich in contrib. Darum muss man sicher stellen, dass die contrib-Quellen eingebunden sind.

Wenn man das bisherige Format mit /etc/apt/sources.list nutzt, muss man sicherstellen, dass contrib enthalten ist. Die entsprechende Zeile sieht dann z.B. so aus:

deb https://deb.debian.org/debian trixie main contrib non-free-firmware

Nutzt man schon das neue deb822-Format kann man in die entsprechende Datei, z.B. /etc/apt/sources.list.d/debian.sources, bei Components: contrib hinzufügen. Das sieht dann z.B. so aus:

# Modernized from /etc/apt/sources.list
Types: deb
URIs: https://deb.debian.org/debian/
Suites: trixie
Components: main contrib non-free-firmware non-free
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Benötigte Pakete installieren

Nachdem man die Debianquellen bearbeitet hat, aktualisiert man die Quellen:

# apt update

Anschließend kann man die benötigten Pakete installieren:

# apt install game-data-packager rtcw lgogdownloader

Spieldaten paketieren

Die im vorigen Schritt installierten Pakete game-data-packager und lgogdownloader werden nun genutzt um die Spieldaten herunterzuladen.

Hat man lgogdownloader bisher noch nicht genutzt, muss man sich erst anmelden:

$ lgogdownloader --login

Danach werden Benutzername und Passwort abgefragt und man wird eingeloggt. Danach kann mit dem game-data-packager fortgefahren werden:

$ mkdir -p ~/Games/rtcw
$ cd ~/Games/rtcw
$ game-data-packager rtcw

Spieldaten installieren

Nachdem nun die Spieldaten paketiert sind, können diese installiert werden:

# apt install /home/<USER>/Games/rtcw/rtcw*.deb

Der Platzhalter <USER> ist natürlich durch den entsprechenden Benutzer zu ersetzen.

Spielen

Nun kann man Return to Castle Wolfenstein spielen und in Erinnerungen schwelgen, oder diese Spiele auch zum ersten Mal genießen. Fröhliches Nazi-Ballern. 😀

openMoHAA: Medal of Honor: Allied Assault auf Debian spielen

Wed, 13 Aug 2025 21:49:47 +0200

Kürzlich fiel mir auf, dass Medal of Honor: Allied Assault (MoHAA) vom Projekt OpenMoHAA als OpenSource Software (GPL-2.0) nachgebaut wurde. Mit dem kürzlich erschienenen Debian Trixie ist jetzt OpenMoHAA als Debianpaket verfügbar. Da ich MoHAA als Jugendlicher sehr gerne gespielt habe, möchte ich mir natürlich nicht die Gelegenheit entgehen lassen es unter Debian zu spielen.

Spieldaten

Der Nachbau von MoHAA ist zwar frei, die Grafiken und Sounds sind es aber nicht. Um OpenMoHAA spielen zu können, benötigt man also die Daten des Originalspiels. Da ich die Spiel-CD von früher nicht mehr zur Hand habe, habe ich mir MoHAA bei GOG gekauft.

Debianquellen bearbeiten

Da man die unfreien Spieldaten benötigt kann OpenMoHAA nicht über Debian main bereitgestellt werden, sondern befindet sich in contrib. Darum muss man sicher stellen, dass die contrib-Quellen eingebunden sind.

Wenn man das bisherige Format mit /etc/apt/sources.list nutzt, muss man sicherstellen, dass contrib enthalten ist. Die entsprechende Zeile sieht dann z.B. so aus:

deb https://deb.debian.org/debian trixie main contrib non-free-firmware

Nutzt man schon das neue deb822-Format kann man in die entsprechende Datei, z.B. /etc/apt/sources.list.d/debian.sources, bei Components: contrib hinzufügen. Das sieht dann z.B. so aus:

# Modernized from /etc/apt/sources.list
Types: deb
URIs: https://deb.debian.org/debian/
Suites: trixie
Components: main contrib non-free-firmware non-free
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Benötigte Pakete installieren

Nachdem man die Debianquellen bearbeitet hat, aktualisiert man die Quellen:

# apt update

Anschließend kann man die benötigten Pakete installieren:

# apt install game-data-packager openmohaa lgogdownloader

Spieldaten paketieren

Die im vorigen Schritt installierten Pakete game-data-packager und lgogdownloader werden nun genutzt um die Spieldaten herunterzuladen.

Hat man lgogdownloader bisher noch nicht genutzt, muss man sich erst anmelden:

$ lgogdownloader --login

Danach werden Benutzername und Passwort abgefragt und man wird eingeloggt. Danach kann mit dem game-data-packager fortgefahren werden:

$ mkdir -p ~/Games/mohaa
$ cd ~/Games/mohaa
$ game-data-packager mohaa

Spieldaten installieren

Nachdem nun die Spieldaten paketiert sind, können diese installiert werden:

# apt install /home/<USER>/Games/mohaa/mohaa*.deb

Der Platzhalter <USER> ist natürlich durch den entsprechenden Benutzer zu ersetzen.

Spielen

Nun kann man Medal of Honor: Allied Assault, sowie die Erweiterungen Spearhead und Breakthrough spielen und in Erinnerungen schwelgen, oder diese Spiele auch zum ersten Mal genießen. :)

Troubleshooting

Auflösung

Geht es um die Bildschirmauflösung, so merkt man dem Spiel das Alter an. 4:3 hat heute eigentlich kein Monitor mehr. Leider sind die Auswahlmöglichkeiten in den Spieloptionen fest einprogrammiert, deshalb muss man selbst in der Konfigurationsdatei ~/.openmohaa/main/configs/omconfig.cfg anpassen.

Entweder kann man den Parameter r_mode auf -2 setzen und die Zeilen r_customwidth und r_customheight entfernen. Dann sollte das Spiel mit der nativen Auflösung im Vollbild laufen.

Sollte das nicht wie gewünscht funktionieren, so muss man die Auflösung manuell angeben. Dazu muss man den Parameter r_mode auf -1 setzen und mit r_customwidth und r_customheight die gewünschte Auflösung eintragen, z.B.:

seta r_mode "-1"
seta r_customwidth "1920"
seta r_customheight "1080"

BTW

…es gibt auch Pakete namens rtcw und dhewm3 in Debian. Bei ersterem geht es um die Rückkehr zu einer Burg namens Wolfenstein (Return to Castle Wolfenstein) und bei zweitem um die dritte Version des Verhängnis. Diese Spiele lassen sich auch analog zu dem für OpenMoHAA beschriebenen Verfahren installieren. ;)

Update 2026-04-03

Ich habe zusätzlich zur Umschreibung des Namen von RtCW den vollen Namen angegeben, da Return to Castle Wolfenstein vom Index genommen (pdf) wurde.

System-Mails von Linux über XMPP empfangen (v2)

Sat, 06 May 2023 10:33:28 +0200

2017 beschrieb ich wie man System-Mails von Linux über XMPP empfangen kann. Da ich mittlerweile sendxmpp nicht mehr nutze, weil ich damit viele Probleme hatte und mir selbst die Alternative go-sendxmpp geschrieben habe möchte ich mein neues Setup vorstellen.

⚠️ Warnung ⚠️
Auch 2023 gilt: Es könnte sein, dass wichtige oder sensible Informationen in den Systemmails enthalten sind. Deshalb würde ich davon abraten diese über fremde Server zu senden.
Außerdem speichere ich das Passwort des XMPP-Kontos im Script, weshalb ich dazu rate einen dezidierten XMPP account dafür zu nutzen und nicht etwa den eigenen privaten account.

Diese Anleitung geht von einem Debiansystem aus, kann aber sicherlich auch für andere Distributionen adaptiert werden. Ich selbst habe dieses Setup mit Debian bookworm eingerichtet.

Go-sendxmpp kann man entweder selbst bauen, als binary herunterladen oder aus den repos einiger distros installieren. Ich habe es aus den Debian repos installiert, da go-sendxmpp ab bookworm in den Debian repos vorhanden ist.

Nun wird das script /usr/local/bin/mail2xmpp mit folgendem Inhalt angelegt:

#!/bin/bash                   
go-sendxmpp -u $user -p $password recipient@example.org

Dabei sind $user und $password durch Benutzer und Passwort des Kontos, das zum Versand verwendet wird, zu ersetzen und recipient@example.org durch die eigene Adresse, auf der man die Nachrichten erhalten will. Es ist natürlich auch möglich mehrere Zieladressen anzugeben.

Danach wird exim zum Eigentümer der Datei gemacht:

# chown Debian-exim:Debian-exim /usr/local/bin/mail2xmpp

Ebenso werden die Berechtigungen angepasst:

# chmod 700 /usr/local/bin/mail2xmpp

Um zu definieren wie die Mails zugestellt werden muss die Datei /etc/aliases bearbeitet werden, wobei $user natürlich anzupassen ist (ich nutze dafür meinen Hauptbenutzer, man kann aber natürlich auch extra einen Benutzer für diesen Zweck anlegen):

# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
root: $user
$user:,|/usr/local/bin/mail2xmpp

Damit die Systemmails per pipe weitergereicht werden können muss die Datei /etc/exim4/exim4.conf.localmacros ngelegt und diese Zeile eingetragen werden:

SYSTEM_ALIASES_PIPE_TRANSPORT = address_pipe

Anschließend werden die neuen Aliase eingelesen und exim4 neu gestartet:

# newaliases
# systemctl restart exim4.service

Abschließend wird noch getestet ob der Mailtransport über XMPP funktioniert:

$ echo "Das ist ein Test" | mail -s testmail root

Update 2023-05-06

Ein anonymer Kommentator (der Kommentar ist mittlerweile verschwunden. Wo ist er hin? Ich habe ihn wissentlich nicht gelöscht…) hat mich darauf hingewiesen, dass der Teil vor der pipe im script unnötig war und ich habe es dementsprechend angepasst.

Kurztipp: Zugriff auf WiFi captive portal bei Nutzung eines eigenen DNS (v2)

Fri, 31 Mar 2023 12:40:29 +0200

2019 habe ich hier beschrieben, wie man Zugriff auf ein captive portal bekommt wenn man einen eigenen DNS server (z.B. per DoT) nutzt. Mittlerweile habe ich ein tool gefunden, dass das deutlich komfortabler macht: captive browser.

Da ich statt Chrome Chromium aus den Debian repositories nutze, musste ich nach Ausführung der allgemeinen Installationshinweise in der Datei $(go env GOPATH)/src/github.com/FiloSottile/captive-browser/captive-browser-ubuntu-chrome.toml¹ in dieser Zeile lediglich google-chrome durch chromium ersetzen. Danach folgte ich den Anweisungen für Ubuntu.

Nun genügt es captive-browser aufzurufen und es öffnet sich ein chromium Fenster mit dem captive portal zur Anmeldung im WiFi und es ist nicht nötig die Datei /etc/resolv.conf zu editieren um kurzzeitig einen anderen DNS server zu nutzen.

Üblicherweise ~/go/src/github.com/FiloSottile/captive-browser/captive-browser-ubuntu-chrome.toml ↩︎

Youtubevideos oder -playlisten mit MPD abspielen

Sat, 04 Dec 2021 16:00:26 +0100

Manchmal möchte man ein Lied oder eine Playlist abspielen, die man nicht lokal in der mpd-Datenbank hat. Häufig findet man diese Lieder dann bei youtube. Da ich über meinen mpd mittels snapcast Musik gleichzeitig in mehreren Räumen abspielen kann möchte ich natürlich mpd auch für youtube nutzen.

Dazu habe ich mir ein kleines script geschrieben, welches das Lied oder die Playliste mit mpd abspielt.

Vorraussetzungen um das script nutzen zu können sind mpc und yt-dlp oder youtube-dl.

#! /bin/bash

# mpdpipe
# Copyright (C) 2021 Martin Dosch 
# 
# This program is free software: you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation, either version 3 of the License, or
# (at your option) any later version.
# 
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
# 
# You should have received a copy of the GNU General Public License
# along with this program.  If not, see <https://www.gnu.org/licenses/>.

ytdl=$(command -v yt-dlp)
if [[ -z "$ytdl" ]]
then
	ytdl=$(command -v youtube-dl)
	if [[ -z "$ytdl" ]]
	then
		echo "No youtube-dl found."
		exit
	fi
fi

mpc=$(command -v mpc)
if [[ -z "$mpc" ]]
then
	echo "No mpc found."
	exit
fi

get_song_url () {
	url=$("$ytdl" -qgf bestaudio "$1")
}

check_url () {
	regex='(https?|ftp|file)://[-A-Za-z0-9\+&@#/%?=~_|!:,.;]*[-A-Za-z0-9\+&@#/%=~_|]'
	if [[ ! $1 =~ $regex ]]
	then
		echo "$1 is not a valid URL."
		exit
	fi
}

show_help () {
	basename=$(command -v basename)
	if [[ -z "$basename" ]]
	then
		program="$0"
	else
		program=$($basename "$0")
	fi
	echo "Usage:"
	echo "$program url"
	echo "$program mpd_host url"
	exit
}

case $# in
	1)
		if [ "$1" = "help" ] || [ "$1" = "--help" ]
		then
			show_help
		fi
		if ! $mpc -q
		then
			echo "Couldn't connect to mpd."
			exit
		fi
		mpc_command="$mpc"
		input="$1"
		;;
	2)
		if ! $mpc -qh "$1"
		then
			echo "Couldn't connect to mpd at $1."
			exit
		fi
		mpc_command="$mpc -h $1"
		input="$2"
		;;
	*)
		echo "Invalid input."
		show_help
		;;
esac

check_url "$input"

$mpc_command clear
firstrun=1

for link in $("$ytdl" --flat-playlist --no-warnings -qg "$input")
do
	get_song_url "$link"
	if [ -n "$url" ]
	then
		$mpc_command add "$url"
		if [ $firstrun -eq 1 ]
		then
			$mpc_command play
			firstrun=0
		fi
	fi
done

Ich werde das script hier aktuell halten, aber für den Fall, dass ich es doch mal vergesse: Ich habe es auch auf salsa.debian.org veröffentlicht.

DNS over TLS in Debian

Sun, 31 Oct 2021 11:05:24 +0100

2017 schrieb ich über die Einrichtung von DNSCrypt in Debian, mittlerweile nutze ich aber DNS-over-TLS (DoT) mit einem eigenen server. Sowohl auf Server-, als auch auf Client-Seite nutze ich knot-resolver.

Einrichtung

Server

Zuerst muss das Paket knot-resolver installiert werden:

apt install knot-resolver

Danach muss /etc/knot-resolver/kresd.conf editiert werden:

net.listen('127.0.0.1', 53)
net.listen('IP4', 853, { kind = 'tls' })
net.listen('IP6', 853, { kind = 'tls' })
user('knot-resolver','knot-resolver')
cache.size = 2*GB

modules = {
  'view',
  'hints > iterate',
  'serve_stale < cache',
  'workarounds < iterate'
}

Statt IP4 und IP6 muss natürlich die IP-Adresse eingegeben werden, auf der der server über DoT erreichbar sein soll. Ggf. muss man natürlich auch noch den Port 853 in der firewall für Zugriffe von Außen freigeben.

Anschließend aktiviert man den server folgendermaßen:

systemctl enable --now kresd@{1..4}.service

Zugriff auf TLS-Zertifkate

Ohne weitere Konfiguration benutzt kresd selbstsignierte Zertifikate für DoT. Ich habe auf meinem server bereits Zertifikate von Let’s Encrypt und möchte diese auch für DoT nutzen. Um die Zertifikate für kresd erreichbar zu machen habe ich ein kleines Skript geschrieben:

cp /etc/letsencrypt/live/mdosch.de/privkey.pem /var/lib/knot-resolver
cp /etc/letsencrypt/live/mdosch.de/fullchain.pem /var/lib/knot-resolver
chown -R knot-resolver:knot-resolver /var/lib/knot-resolver 
chmod 700 /var/lib/knot-resolver
systemctl restart kresd@{1..4}.service

Die Pfade der Zertifikate sind natürlich anzupassen und das Skript muss nach dem Speichern ausführbar gemacht werden:

chmod +x /pfad/zum/script.sh

Damit das Skript auch ausgeführt wird wenn certbot die Zertifikate erneuert, lasse ich es mittels --renew-hook aufrufen.

Nun muss die Konfiguration abgeändert werden (Zeile 1) damit kresd die Zertifikate auch nutzt:

net.tls("/var/lib/knot-resolver/fullchain.pem", "/var/lib/knot-resolver/privkey.pem")
net.listen('127.0.0.1', 53)
net.listen('IP4', 853, { kind = 'tls' })
net.listen('IP6', 853, { kind = 'tls' })
user('knot-resolver','knot-resolver')
cache.size = 2*GB

modules = {    
  'view',                   
  'hints > iterate',         
  'serve_stale < cache',     
  'workarounds < iterate'
}

Danach muss kresd neu gestart werden:

systemctl restart kresd@{1..4}.service

Werbung und Tracking filtern

Ich möchte Werbung und Tracking direkt auf DNS-Ebene blocken und nutze dafür die Blocklisten von hBlock. Wenn man das hBlock-repo klont und dort make hosts ausführt erhält man u.a. eine Datei hosts_rpz.txt im Ordner dist. Diese Datei kann kresd einlesen und die dort gelisteten hosts bei DNS-Abfragen blockieren. Die Konfiguration muss folgendermaßen angepasst werden (Zeilen 13 und 16):

net.tls("/var/lib/knot-resolver/fullchain.pem", "/var/lib/knot-resolver/privkey.pem")
net.listen('127.0.0.1', 53)
net.listen('IP4', 853, { kind = 'tls' })
net.listen('IP6', 853, { kind = 'tls' })
user('knot-resolver','knot-resolver')
cache.size = 2*GB

modules = {    
  'view',                   
  'hints > iterate',         
  'serve_stale < cache',     
  'workarounds < iterate',
  'policy'
}

policy.add(policy.rpz(policy.DENY, '/pfad/zu/hosts_rpz.txt'))

Danach muss kresd wieder neu gestart werden:

systemctl restart kresd@{1..4}.service

Rekursives Blocken

Einige Trackingfirmen nutzen für ihre Kunden subdomains um die üblichen Schutzmaßnahmen zu umgehen, z.B. zn0lxkzethotizctx-bahn.siteintercept.qualtrics.com. Um den Schutz vor Tracking zu verbessern kann man auch rekursiv alle subdomains der domains in der Blockliste sperren.

Mit Hilfe von hBlock kann man eine Blockliste erstellen, die über wildcards auch die Subdomains umfasst:

hblock --output ./hosts_rpz.txt --header none --footer none --redirection '.' --template '%D CNAME %R\n*.%D CNAME %R' --comment ';' --filter-subdomains

Durch rekursives Blocken wird aber auch eine zufällig generierte subdomain in der Form <random>-dnsotls-ds.metric.gstatic.com geblockt, die bei Benutzung von DoT in Android genutzt wird. Um die resultierende Fehlermeldung in Android zu vermeiden wird diese subdomain gezielt erlaubt und folgendes in /etc/knot-resolver/kresd.conf eingetragen:

policy.add(policy.pattern(
	policy.PASS,
	'%w+%-dnsotls%-ds\006metric\007gstatic\003com\000$'
))

Client

Linux

Auf dem client muss ebenfalls das Paket knot-resolver installiert werden:

apt install knot-resolver

Die Konfiguration /etc/knot-resolver/kresd.conf gestaltet sich auf dem client recht simpel:

net.listen('127.0.0.1', 53, { kind = 'dns' })

modules = {
        'policy',
}

policy.add(policy.all(policy.TLS_FORWARD({
    {'5.181.50.75', hostname='mdosch.de'},
    {'2a03:4000:3f:1c8:8839:33ff:feba:fe4a', hostname='mdosch.de'},
})))

Die IPs und der hostname müssen natürlich gegen eure IPs und domain ausgetauscht werden.

Auch hier muss kresd aktiviert werden:

systemctl enable --now kresd@{1..4}.service

Anschließend muss man dem System mitteilen, den DNS-forwarder unter 127.0.0.1:53 zu nutzen. Das tut man indem man die Datei /etc/resolv.conf folgendermaßen editiert:

nameserver 127.0.0.1

Ggf. muss man noch den NetworkManager zähmen, damit dieser nicht die Datei /etc/resolv.conf überschreibt.

Android

Unter Android kann der DoT server folgendermaßen konfiguriert werden:

Einstellungen → Netzwerk & Internet → Erweitert → Privates DNS

Dort ist dann die domain, in meinem Fall z.B. mdosch.de, einzutragen.

Test

Zum testen kann man den Befehl dig aus dem Paket bind9-dnsutils nutzen. Mit z.B. dig debian.org bekommt man folgende Ausgabe:

dig debian.org      

; <<>> DiG 9.17.19-1-Debian <<>> debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13249
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.org.			IN	A

;; ANSWER SECTION:
debian.org.		280	IN	A	128.31.0.62
debian.org.		280	IN	A	130.89.148.77
debian.org.		280	IN	A	149.20.4.15

;; Query time: 240 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Sun Oct 31 11:00:57 CET 2021
;; MSG SIZE  rcvd: 87

Hier wurde die domain debian.org erfolgreich aufgelöst und die Zeile ;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) zeigt, dass der lokale DNS-forwarder benutzt wurde.

Man kann natürlich auch Webseiten, wie z.B. dnsleaktest.com, benutzen um zu sehen welche DNS-server benutzt werden.

Mit dig google-analytics.com kann getestet werden ob das Blocken von Werbung und Tracking auch funktioniert:

dig google-analytics.com

; <<>> DiG 9.17.19-1-Debian <<>> @127.0.0.1 google-analytics.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 19517
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;google-analytics.com.		IN	A

;; Query time: 220 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Sun Oct 31 11:03:38 CET 2021
;; MSG SIZE  rcvd: 49

Hier wurde google-analytics nicht aufgelöst (status: SERVFAIL), die Blockliste wird also genutzt.

Updates

2022-03-06: Abschnitt Rekursives Blocken hinzugefügt.

Xmpp-dns: XMPP SRV records abfragen und Verbindung testen

Thu, 09 Sep 2021 11:15:47 +0200

Da ich einen XMPP server betreibe muss ich manchmal Probleme mit s2s (server zu server Kommunikation) debuggen. Dazu gehört es auch, zu prüfen ob die SRV records im DNS richtig gesetzt sind und ob ein XMPP server auf diesen ports lauscht.

Da mir das Prüfen der SRV records mit dig und host und das Prüfen der Verbindung mit testssl.sh zu umständlich war habe ich mir ein kleines tool geschrieben: xmpp-dns.

Mit xmpp-dns kann man einfach die SRV records abfragen, die IP-Adressen auflösen, sich zu dem port verbinden, StartTLS und direktes TLS testen. Auch die Gültigkeit der Zertifikate wird geprüft.

Ich hoffe, dass das tool nicht nur für mich, sondern auch für andere Serverbetreiber nützlich ist.

Wayland desktop zu Kodi streamen

Sat, 21 Aug 2021 10:14:57 +0200

Ab und an möchte ich einfach meinen Desktop einfach auf den Fernseher streamen, z.B. weil ich einen Film bei einem Anbieter miete, für den es kein Kodi PlugIn gibt. Nach langem erfolglosen Probieren habe ich endlich einen Weg gefunden, der für mich bisher zuverlässig funktioniert.

Ich nutze dafür das Programm wf-recorder mit folgendem Aufruf:

wf-recorder -a --muxer="mpegts" -f "udp://192.168.178.55:8080"

192.198.178.55 ist dabei die IP meines Raspberry Pi mit Kodi. Auf dem Raspberry Pi habe ich eine Datei Receive-udp.strm mit diesem Inhalt:

#EXTINF:0,UDP Stream
udp://127.0.0.1:8080

Ich muss nun einfach im Kodi interface diese Datei öffnen und mein Desktop wird zu Kodi gestreamt.

Es kann passieren, dass kein audio übertragen wird. In diesem Fall kann man statt der Option -a direkt das pulseaudio interface angeben, z.B. so:

wf-recorder --audio="alsa_output.usb-Sennheiser_Communications_Sennheiser_USB_headset-00.analog-stereo.monitor" --muxer="mpegts" -f "udp://192.168.178.55:8080"

Die verfügbaren Quellen findet man mit pactl list sources|grep Name.

Great Invitations - Einfache Einladungen zu XMPP mit Prosody

Tue, 22 Jun 2021 16:33:01 +0200

Dieser Beitrag ist eine deutsche Übersetzung von Great Invitations (CC BY-SA 4.0). Mit wir o.ä. ist dementsprechend das Prosody-Team gemeint, welches diesen Artikel ursprünglich verfasst hat.

Es gibt derzeit zwei Arten von Servern im XMPP-Netzwerk: solche mit öffentlicher Registrierung und solche ohne.

Die Server, die eine Registrierung unterstützen, erlauben es in der Regel, Konten über das Web oder mit einem XMPP-Client (XEP-0077) zu erstellen. Das Problem ist, dass dies den Server für die ganze Welt öffnet.

Selbst wenn CAPTCHAs und andere Schutzmechanismen genutzt werden, wird selbst der sorgfältigste Administrator eines öffentlichen XMPP-Servers irgendwann feststellen, dass Spammer Konten auf seinem Server registrieren.

Die Alternative ist, die Registrierung zu deaktivieren und alle Konten manuell einzurichten. Dies funktioniert für einen privaten Server, bedeutet aber zusätzlichen Aufwand und zusätzliche Verantwortung des Administrators. In vielen Fällen bedeutet es auch, dass der Admin dafür verantwortlich ist, das Passwort des Benutzers zu generieren und einen Weg zu finden, es irgendwie sicher an den Benutzer zu senden.

Aber halt! Es gibt einen dritten Weg! Das Konzept von Internetdiensten, die nur für eingeladene Benutzer zugänglich sind, gibt es schon seit langer Zeit. Als Google Gmail auf den Markt brachte, war es bekanntlich nur möglich, sich per Einladung anzumelden. Heute hat Gmail über 1,5 Milliarden Nutzer! Vielleicht sind die Ambitionen als Prosody-Administrator nicht so hoch, aber es gibt einige eindeutige Vorteile für einen einladungsbasierten Registrierungsablauf:

Server-Administratoren können Einladungen erstellen und müssen niemals das Passwort eines anderen Benutzers generieren oder sehen.
Einladungs-Links nutzen natürlich den Server, von dem sie stammen, so dass der Benutzer nicht manuell einen Server in seinem Client auswählen muss (eine überraschend häufige Schwierigkeit für Leute, die mit dem Konzept von föderierten Messaging-Netzwerken nicht vertraut sind).
Benutzer-zu-Benutzer-Einladungen können vom Administrator aktiviert werden, was ein natürlicheres und vertrauensvolleres Wachstum ermöglicht als eine offene Registrierung.
Eingeladene Benutzer können die Person, die sie eingeladen hat, direkt in ihrer Kontaktliste finden, was eine weitere Hürde beseitigt, mit der sich Erstbenutzer normalerweise auseinandersetzen müssen.
Missbräuchliche Accounts (z.B. solche, die Spam versenden) können zu einem einladenden Benutzer zurückverfolgt werden, und dieser Benutzer kann daran gehindert werden, weitere Einladungen zu erstellen.

Die Erfahrung mit dem einladungsbasierten Registrierungsablauf, den wir für Snikket entwickelt haben, hat gezeigt, dass Einladungs-Links ein wirklich einfacher Weg sind, um Leute auf einem Server anzumelden, ohne offene Registrierung aktivieren zu müssen. Daher haben wir uns entschlossen, dies auf das weitere XMPP-Ökosystem zu übertragen.

Screenshot der neuen Prosody-Einladungsseite

Unser Ziel war es, die Einfachheit des Snikket-Registrierungsablaufs so weit wie möglich beizubehalten und gleichzeitig zu ermöglichen, mit anderen Clients auf so vielen Plattformen wie möglich zu arbeiten. Dies ist nicht so einfach, wie man vielleicht denkt!

Wie es funktioniert

Wir haben die Clients in drei Kategorien eingeteilt, basierend darauf, was sie unterstützen:

“Magischer” Installationslink - im Moment wird dies nur von einigen Apps im Google Play Store (Conversations und yaxim) unterstützt. Eine Anfrage wurde bei F-Droid eingereicht, um zu sehen, ob wir diese praktische Funktion auch auf FOSS-App-Stores ausweiten können.
xmpp: URIs mit Einladungs-Tokens (derzeit von Conversations, yaxim und Siskin unterstützt).
Manuelle Einrichtung von Konten

Die Funktion “magischer Link” bietet den nahtlosesten Ablauf. Der Benutzer folgt dem Link, um die App zu installieren, und das Invite-Token wird nach der Installation auf magische Weise von der App erkannt. Das heißt, der Ablauf ist kurz und reibungslos:

Der Ablauf für magische Installationslinks

Wenn dieser Ablauf nicht unterstützt wird, ist die nächste bevorzugte Option, dass der Benutzer den Einladungs-URI mit der von ihm gewählten App öffnet. Die Schwierigkeit dabei ist, dass der Client zuerst installiert werden muss, da der Browser sonst nicht weiß, wie er den URI behandeln soll. Das bedeutet, dass der Benutzer zum Herunterladen und Installieren des Clients umgeleitet wird und dann zurück auf die Einladungsseite gehen muss:

Der Ablauf der Einladungs-URIs

Wenn der Client keine Einladungs-URIs unterstützt, wird der Benutzer durch die Online-Registrierung seines Kontos geführt (Prosody validiert das Invite-Token) und muss dann nur noch seine Anmeldedaten in den Client eingeben, nachdem er ihn installiert hat:

Der Ablauf der manuellen Registrierung

Mit diesen drei Abläufen können wir einen Einladungslink in einen angemeldeten Benutzer überführen, egal für welche Plattform- und Client-Kombination sich der Benutzer entscheidet.

Daten über Clients werden in mod_register_apps gesammelt und können auch von Server-Administratoren konfiguriert werden (die vielleicht eine bestimmte Gruppe von Apps empfehlen wollen, die sie für die Verwendung auf ihrem Server unterstützen wollen).

Wie man es einrichtet

Alle Module befinden sich in unserem Community-Repository¹ und sollten mit Prosody 0.11 und trunk funktionieren.

Einfach einen Blick auf das Beispiel-Konfigurations-Snippet in mod_invites werfen, um loszulegen! Wenn man fertig ist, fügt man vielleicht noch mod_invites_api hinzu, um sich eine URL mit Lesezeichen zu erstellen, die auf Knopfdruck eine Einladung für ein neues Konto generieren kann.

Vieles davon ist sehr neu, daher freuen wir uns über Feedback. :)

Und nicht vergessen: Wer einen einfachen Prosody-Server für eine kleine Gruppe einrichten und Funktionen wie diese und mehr fertig konfiguriert haben möchte, sollte einen Blick auf Snikket werfen.

Die Zukunft

Es gibt viele Möglichkeiten, auf diesem System aufzubauen. Wir hoffen, dass mehr Clients Token-URIs implementieren, und vielleicht finden ein paar schlaue Leute sogar heraus, wie man den “magischen Link”-Ablauf auf weitere Plattformen ausweiten kann. Wir denken auch, dass die Einladungs-API, die es vertrauenswürdigen Dritten erlaubt, Einladungen für einen Server zu generieren, einige sehr interessante Einsatzmöglichkeiten bietet.

In der Zwischenzeit freuen wir uns auf Feedback und Beiträge und darauf, von den Erfolgsgeschichten beim Onboarding zu hören :)

Prosody Community Modules ↩︎

Jabber Email Header

Sun, 13 Jun 2021 12:34:05 +0200

Kürzlich stolperte ich in einer Email über den Jabber-ID Email Header und da XMPP (früher Jabber) mein Hauptmessenger ist, muss ich diesen header natürlich auch für meine ausgehenden Emails setzen.

Mit NeoMutt geht das ganz simpel:

my_hdr Jabber-ID: martin@mdosch.de

Nun möchte ich diesen header nicht nur senden, sondern auch die Chatadresse (Jabber-ID, kurz JID) von anderen, die diesen header setzen, direkt in der Leseansicht der Emails angezeigt bekommen. Das geht mit NeoMutt auch einfach mit der unignore Option in der Konfiguration:

unignore Jabber-ID

Damit sieht das bei mir dann so aus:

Im xmpp.org Wiki ist das Setzen des headers auch für andere Emailprogramme beschrieben. Wenn jemand weiß, wie man den header in einem Programm setzen kann, das noch nicht dort gelistet ist, bitte kommentieren. Ich pflege das dann im Wiki ein.

Emojipicker mit ibus-emoji

Thu, 03 Jun 2021 12:35:25 +0200

Ich nutze viele TUI¹-Programme, wie z.B. profanity, neomutt, newsboat, wo es nicht so ohne weiteres möglich ist emoji einzugeben. Jetzt wurde mir ibus emoji empfohlen und ich bin begeistert:

Ich kann über ein Tastenkürzel (konfigurierbar via ibus-setup) ibus aufrufen und dann entweder über Schlagworte das emoji suchen oder Space drücken und bekomme einen grafischen emoji picker.

Die Installation ist bei Debian denkbar einfach:

# apt install ibus-table-emoji

Ich habe auch ein kleine Beispielvideo angefertigt um ibus-emoji zu zeigen.

Text User Interface ↩︎

Anoxinon e.V. sammelt Spenden für ein FOSS-Projekt eurer Wahl

Sat, 31 Oct 2020 20:01:52 +0100

Anoxinon e.V. fragt in einer Umfrage bis zum 01.12.2020 nach 3 FOSS-Projekten, die unterstützt werden sollen. Danach wird es einen Spendenaufruf geben und das Projekt mit den meisten Stimmen erhält die Spenden + 500€ von Anoxinon.

Ich finde das eine tolle Idee und habe für folgende Projekte gestimmt:

Welchen Projekten habt ihr eure Stimme gegeben?

Kurztipp: XMPP server monitoring mit observe.jabber.network

Thu, 03 Sep 2020 12:02:47 +0200

Wer einen eigenen XMPP server betreibt sollte sich observe.jabber.network anschauen. Über den Dienst kann man seinen XMPP server überwachen lassen und bekommt eine Benachrichtigung wenn es Probleme mit dem XMPP server gibt oder wenn das Zertifikat bald abläuft.

XMPP Newsletter 10/2019

Mon, 07 Oct 2019 20:16:16 +0200

Der XMPP Newsletter ist in der Oktober 2019 Ausgabe erschienen. Dieses Mal gibt es auch zum ersten Mal eine deutsche Übersetzung.

Themen sind u.a.:

FOSDEM 2020
Modernisierung von XMPP
Peer-Networks
Hinweise auf Updates
- Clients
- Server
- Dienste

Debian: GRUB2 bei Vollverschlüsselung reparieren

Sat, 27 Jul 2019 09:41:15 +0200

Kürzlich hatte ich den seltenen Fall, dass mein Laptop nicht mehr booten wollte. Ich hatte die Vermutung, dass bei der Installation des Kernel-Updates etwas bei der Erstellung des initramfs oder des Updates von GRUB2 schief gegangen ist. Grandioserweise hatte ich einmal die Idee die Wartezeit bei GRUB2 auf 0 einzustellen, so dass es mir leider auch nicht möglich war einen anderen Kernel zu booten.

Ein USB-Stick mit grml wollte komischerweise auch nicht booten, obwohl USB-Boot im BIOS erlaubt war und das System auch von USB-Stick installiert wurde. Zum Glück lag noch ein Wechselgehäuse herum und ich konnte die Festplatte per USB an mein Netbook anschließen.

Damit ich mir das Vorgehen zur Rettung nicht wieder mühselig bei askubuntu und help.ubuntu.com zusammensuchen muss halte ich die Befehle, die mir zum Erfolg verhalfen, in meinem Schmierzettel fest. Das Setup der Vollverschlüsselung ist das Standardsetup mit LUKS/dm-crypt, das der Debian-Installer anlegt wenn man Verschlüsselung auswählt.

⚠️ Falls ihr auch mal in diese Situation kommt: Dass das Vorgehen bei mir geholfen hat heißt nicht, dass es allgemeingültig anwendbar ist! Die Befehle sind nicht ungefährlich also schaut vorher in die manpages der Befehle und denkt nach bevor ihr sie auf euren Datenträger los lasst!¹ Und: Backup! Backup! Backup!

Erst mal musste ich rausfinden welche device id meine Laptop-SSD in meinem Netbook bekommen hatte, dazu genügt der Aufruf von blkid als root (Alle weiteren Befehle werden als root ausgeführt). In der Ausgabe sah ich dann unter anderem die Partitionen meines Laptop-Systems:

/dev/sdb1: UUID="b9f4c6ab-48a8-4582-b6c7-8ff11e9f42f9" TYPE="ext2" PARTUUID="e091aba6-01"
/dev/sdb5: UUID="847dac14-3bfb-4f3b-9176-339c34c4ee14" TYPE="crypto_LUKS" PARTUUID="e091aba6-05"

/dev/sdb1 ist meine unverschlüsselte /boot-Partition und /dev/sdb5 mein verschlüsseltes /.

Die Partition wird entschlüsselt indem man folgenden Befehl und anschließend das Entschlüsselungspasswort eingibt:

cryptsetup luksOpen /dev/sdb5 laptop

Nach einigen Anleitungen sollten nun die entschlüsselten Partitionen bereits unter /dev/mapper/ aufzufinden zu sein, in meinem Fall musste ich aber erst noch nach LVM block devices scannen und diese aktivieren:

vgscan
vgchange -ay

Nun kann ich das / meines Laptops nach /mnt meines Netbooks mounten:

mount /dev/mapper/laptop-vg-root /mnt

Um GRUB neu auf /boot schreiben zu können musste ich natürlich /boot auch noch mounten:

mount /dev/sdb1 /mnt/boot

Anschließend konnte ich auf mein Laptop-System chrooten:

mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
chroot /mnt

Nun konnte ich in /etc/default/grub die unsinnige Wartezeit von 0 Sekunden auf 5 Sekunden hochsetzen und GRUB neu schreiben lassen, anschließend habe ich zur Sicherheit auch noch mal das initramfs neu erstellen lassen:

update-grub
update-initramfs -uk all

Nachdem ich die SSD wieder in meinen Laptop gesteckt habe booted auch dieser wieder problemlos. 😄

Die manpages der benutzten Programme:
↩︎

Kurztipp: Passwort eines XMPP-Kontos aus Conversations extrahieren (root)

Thu, 20 Jun 2019 14:50:38 +0200

Manchmal nutzen Leute keinen Passwortmanager und vergessen das Passwort ihres XMPP-Kontos. Conversations hat vor einigen Versionen die Möglichkeit entfernt sich das Passwort anzeigen zu lassen, aber sofern das Telefon gerooted ist kann man an die Datenbank kommen und das Passwort, z.B. mit sqlitebrowser, aus der sqlite-Datenbank auslesen:

$ adb shell "su -c 'cat /data/data/eu.siacs.conversations/databases/history'" > history && sqlitebrowser ./history

In sqlitebrowser kann man die Passwörter aller Konten dann im Reiter Daten durchsuchen einsehen.

TUI Programme

Thu, 06 Jun 2019 12:06:24 +0200

Seit einiger Zeit nutze ich für einige alltäglichen Aufgaben hauptsächlich TUI (Text User Interface) oder CLI (Command Line Interface) Programme. Das ist häufig bei Programmen praktisch, bei denen man viel mit Text arbeitet (z.B. Chat oder Email), da man dann nicht ständig zwischen Tastatur und Maus/Touchpad wechseln muss.

Hier mal eine Auswahl meiner Favoriten:

Chat (XMPP): Profanity [TUI]
Email: ~~Neomutt~~ aerc [TUI]
Feeds: Newsboat [TUI]
Kontakte: khard [TUI/CLI¹] (CalDAV-Synchronisation per Vdirsyncer)
Kalender: khal [CLI] (CardDAV-Synchronisation per Vdirsyncer)
Dateimanager: ~~ranger~~ lf [TUI]
Prozessmonitor: htop [TUI]
Speicherbelegung: ncdu [TUI]
Editor: ~~nano~~ neovim [TUI]
Musikspieler: mpc/ncmpcpp/cmus [TUI/CLI²]
Terminal Multiplexer: tmux [TUI]
Emoji-Picker: Tuimoji [TUI]
Mastodon: toot [TUI/CLI]³
Wörterbuch: dict [CLI]
Taschenrechner: qalc [CLI]

Nutzt ihr auch gerne TUI/CLI Programme? Falls ja, welche?

Update 2019-06-10

Angeregt durch die Kommentare habe ich htop, ncdu, nano, mpc, ncmpcpp und tmux hinzugefügt, die ich zuvor vergessen hatte.

Update 2019-08-14

Tuimoji hinzugefügt.

Update 2023-03-29

ranger durch lf ersetzt.
nano durch neovim ersetzt.
cmus hinzugefügt.
toot hinzugefügt.
dict hinzugefügt.

Update 2025-08-17

neomutt durch aerc ersetzt.
qalc hinzugefügt.

CLI per khal, TUI per ikhal Befehl. ↩︎
mpc ist ein CLI Programm, ncmpcpp ist ein TUI Programm.
cmus ist ein TUI Programm, kann aper per cmus-remote per CLI bedient werden. ↩︎
toot ist ein CLI Programm, bietet aber über toot tui auch eine TUI. ↩︎

Kurztipp: Zugriff auf WiFi captive portal bei Nutzung eines eigenen DNS

Fri, 26 Apr 2019 08:49:06 +0200

Ich hatte häufig Probleme mich bei captive portals von öffentlichen WLANs, z.B. in Flughäfen, einzuloggen da ich per /etc/resolv.conf einen eigenen DNS-Server, in meinem Fall dnscrypt, einsetze. Durch das Nutzen eines fest vorgegebenen DNS-Servers, statt der automatischen Nutzung des DNS des WLANs, kommt man nicht auf die Vorschaltseite auf der man sich für das WiFi freischalten kann.
Mit folgendem Vorgehen konnte ich aber bei meinen letzten Versuchen in öffentlichen WiFis immer die Vorschaltseite öffnen:

# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.178.1   0.0.0.0         UG    600    0        0 wlp2s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlp2s0
192.168.178.0   0.0.0.0         255.255.255.0   U     600    0        0 wlp2s0

In der Zeile startend mit 0.0.0.0 findet man in der zweiten Spalte die IP des Netzwerkrouters, gibt man diese mit vorangestelltem http:// in den Browser ein sollte man das captive portal zu sehen bekommen. Bei mir hat das bisher zuverlässig funktioniert. Ich würde mich über Feedback freuen ob das bei anderen auch funktioniert, da ich nicht so häufig in fremden Netzwerken unterwegs bin.

Update 2019-05-19

Mir ist aufgefallen, dass es besser funktioniert wenn man die IP als DNS-Server in die /etc/resolv.conf einträgt (zumindest temporär) und danach im Browser z.B. google.de aufruft. Dann wird man automatisch zum captive portal weitergeleitet.

Statement der PGP-Entwickler zu EFFail

Thu, 24 May 2018 17:41:11 +0200

Am Morgen des 13. Mai fuhr ich mit der U-Bahn zur Arbeit, habe meine Feeds durchgelesen und sah dabei einen Teaser der EFF, der klang als wäre PGP gebrochen. Nach ein paar Stunden heller Aufregung in sämtlichen Blogs und MUCs ging die Seite Efail online, deren Launch erst für den nächsten Tag vorgesehen war.

Im Endeffekt war die Enthüllung immer noch ein schwerwiegender Sicherheitsfehler, der ermöglichte, dass verschlüsselte Nachrichten unter Umständen geleakt werden können, aber im Vergleich zur Panik, die die EFF geschürt hatte nur halb so wild.

Da die CVEs schon 2017 angelegt wurden, waren die Sicherheitslücken auch schon länger bekannt (klar, ein schönes Logo braucht Zeit auch wenn man zu zweit daran arbeitet /sarcasm), warum die EFF dann nicht den einen Tag bis zum geplanten Veröffentlichungstermin warten konnte, sondern unnötige Panikmache mit zweifelhaften Empfehlungen (Deinstalliert PGP und nutzt Signal (sic!)) betrieb ist für mich nicht nachzuvollziehen. Dementsprechend teile ich die Aussage eines heise-Kommentars: Efail ist ein EFFail.

Anstatt das Fehlverhalten einiger Clients/Implementierungen zu diskutieren wurde viel Spott und Häme über Efail (EFFail!) laut, da die Ankündigung der EFF schlimmeres vermuten ließ.

Heute haben sich die PGP Entwickler zum EFFail geäußert und rücken meiner Meinung nach die Dinge wieder zurecht. Statt seltsamer Empfehlungen der EFF (Kein PGP, nehmt Signal) zu folgen sollte man darauf achten Email-Programme ordentlich zu konfigurieren (HTML-Emails wtf?) und aktuelle, sichere Implementierungen zu nutzen. Die Empfehlung der EFF wird folgendermaßen kommentiert:

Some locks can be broken; therefore we must remove all doors

Genau, wenn unter bestimmten Umständen PGP gebrochen werden kann verzichten wir lieber auf verschlüsselte E-Mails und nutzen ein Silo namens Signal, das zwingend eine Telefonnummer benötigt. 🙈

Remote-Backup vom RaspberryPi

Thu, 10 May 2018 11:09:16 +0200

Ich habe seit Anfang des Jahres (Spätzünder 😁) einen RaspberryPi 3 dessen Backup ich nach der Einrichtung angefertigt habe indem ich die SD-Karte in den Rechner gesteckt und geklont habe. Natürlich möchte ich nicht immer den RaspberryPi herunterfahren um ein Backup mit dd¹ anzufertigen weshalb ich heute mal nach einer Lösung gesucht habe um das Remote zu erledigen. Wie sich herausstellte ist das ganze sehr einfach.

Auf dem RPi geben wir folgenden Befehl für unseren Benutzer zur Ausführung mit root-Rechten per sudo frei:

user ALL=(ALL) NOPASSWD: /bin/tar -cpO --exclude=/proc --exclude=/tmp --exclude=/mnt --exclude=/dev --exclude=/sys /

Statt user muss natürlich der Benutzer eingetragen werden mit dem man sich per SSH² auf dem Raspberry anmeldet und /dev/mmcblk0p2 muss gegebenfalls durch eure Bezeichnung der SD-Karte angepasst werden.

Danach kann das Backup mit folgendem Befehl ausgeführt werden:

ssh user@rpi "sudo /bin/tar -cpO --exclude=/proc --exclude=/tmp --exclude=/mnt --exclude=/dev --exclude=/sys / | xz" | > ~/pi/`date --rfc-3339=date`-pi3.tar.xz

user ist wieder durch euren Benutzernamen auf dem Pi und rpi durch den hostnamen oder die IP³-Adresse eures RPis zu ersetzen. Das ganze dauert dann eine ganze Weile, aber man muss ja nicht davor sitzen und zuschauen. 😄

⚠️ Warnung ⚠️
Das ganze ist erst mal mit etwas Vorsicht zu genießen, da ich jetzt nicht unnötig das Backup eingespielt habe um die SD-Karte nicht zu verschleißen aber die Dateigröße des erstellten Archivs wirkt auf mich plausibel und auch ein erster Blick ins Archiv sieht gut aus.

ls -lh ~/pi/      
insgesamt 2,2G
-rw-r----- 1 martin martin 1,6G Feb 20 19:29 2018-02-20-pi3.img.xz
-rw-r----- 1 martin martin 602M Mai 10 15:56 2018-05-10-pi3.tar.xz

Somit habe ich nun das Image, dass ich am Anfang mit dd erstellt habe mit dem ich ein funktionstüchtiges System auf eine neue SD-Karte im Falle eines Austauschs schreiben kann und ein aktuelles Backup der Daten.

Die Herkunft des Programmnamens dd ist nicht gänzlich geklärt und es finden sich zahlreiche Möglichkeiten in diversen Quellen.
[Wikipedia][50] ↩︎
Secure Shell ↩︎
Internet Protocol ↩︎

Seite für XMPP-Einsteiger sucht Unterstützer

Fri, 04 May 2018 19:19:33 +0200

Ich habe hier vor einiger Zeit begonnen eine kleine Seite zu bauen, die es auch technisch weniger versierten einfacher machen soll in XMPP einzusteigen. Ziel war es JIDs in dieser Form an Kontakte zu geben und diese, falls sie XMPP noch nicht kennen, an die Hand zu nehmen und es jedem zu ermöglichen selbst einen Account zu erstellen, einen Client einzurichten und zu benutzen.

Leider hatte ich wenig Zeit das voranzutreiben und so ist die Seite leider noch in großen Teilen unvollständig und das Vorhandene teilweise vielleicht schon wieder veraltet.

Aus diesem Grund möchte ich den aktuellen Arbeitsstand heute mit diesem Blogpost bekannt machen und hoffe, dass der ein oder andere das Projekt sinnvoll findet und etwas dazu beitragen möchte.

Sollte die Seite einmal fertig werden könnte man auch über eine eigene Domain nachdenken. Die Seite wird mit Hugo generiert, liegt bei salsa.debian.org und ist CC BY-SA lizenziert, es kann also auch jeder einen Fork erstellen.

Die bisherigen Inhalte sollten auch ausreichend illustrieren wie die Seite einmal aufgebaut sein sollte:
Einfache Erklärungen, die für jeden verständlich sind, d.h. möglichst auf Fachbegriffe verzichten wo dies nicht unbedingt nötig ist und die Anleitungen sollten ausreichend mit Screenshots ausgestattet sein. Es sollte auch lieber eine Option gewählt und erläutert werden als neue User mit zu viel Wahlmöglichkeiten zu erschlagen, als konkretes Beispiel würde ich einen Client pro Betriebssystem erklären, statt erst den potentiellen XMPP-Nutzer mit den Vor- und Nachteilen bestimmter Anwendungen zu ermüden.

Natürlich kann man das alles noch unter Fortgeschrittene Themen unterbringen, aber die eigentliche Anleitung würde ich gerne so einfach wie möglich halten, damit sie leicht verständlich bleibt.

Update 2018-06-08

Das Repository ist von GitHub weggezogen.

Hugo: Ein kleines Script für neue Blogposts

Sat, 28 Apr 2018 13:20:24 +0200

Seit meiner Umstellung auf Hugo habe ich leider aus Zeitgründen nicht mehr viel geschrieben. Ich möchte das wieder ändern und aus dem Grund wurde es Zeit das Arbeiten mit Hugo etwas mehr an meine Bedürfnisse anzupassen.

Die Funktion zum Anlegen eines neuen Blogposts finde ich in Acrylamid schöner umgesetzt als in Hugo weshalb ich das ‘quick and dirty’ mit einem kleinen Shellscript nachgebildet habe:

cat /usr/local/bin/blog-post 
#! /bin/bash

DATE=$(date --rfc-3339=date)
HUGODATE=$(date --iso-8601=seconds)

echo "Bitte Titel eingeben und Enter drücken."
read -r TITLEINPUT
TITLE=${TITLEINPUT,,}	# To lower case
TITLE=${TITLE//ä/ae}
TITLE=${TITLE//ö/oe}
TITLE=${TITLE//ü/ue}
TITLE=${TITLE//ß/ss}
TITLE=${TITLE//[@-.:,;?!\/]/}	# Remove special characters
TITLE=${TITLE//\ /-} 	# Replace spaces with -

cat > ~/www/blog/content/post/"$DATE"-"$TITLE".md << EOF
---
title: "$TITLEINPUT"
date: $HUGODATE
draft: false
tags: [ ]
url: /$(date +%Y)/$(date +%m)/$(date +%d)/$TITLE/
hidethedate: false
---
EOF

nano ~/www/blog/content/post/"$DATE"-"$TITLE".md

Das ganze hätte man vielleicht auch mit Funktionen von Hugo erreichen können aber ich möchte mich nicht mehr so arg auf Eigenheiten eines Blogsystems festlegen um flexibler zu sein. Das Script sollte im Falle eines Umstiegs recht einfach für einen anderen statischen Bloggenerator anpassbar sein.

twtxt - Microblogging für Nerds

Sat, 21 Apr 2018 17:09:58 +0200

Nach dem Lesen von Robbinaers Beitrag TWTXT: Microblogging für Hacker habe ich mir auch twtxt eingerichtet. Ich will hier gar nicht mehr groß erklären wie twtxt funktioniert, das hat Robbinaer schon im verlinkten Beitrag getan. Ich wollte nur mal meinen twtxt “Account” etwas unter die Leute bringen:

twtxt follow mdosch https://mdosch.de/twtxt.txt

Ich verwende allerdings nicht den offiziellen Client sondern txtnish, da der eigentlich twtxt Client bei mir häufiger gecrasht ist.
Und um das ganze etwas benutzerfreundlicher und mobiltauglicher zu machen habe ich mir einen kleinen twtxt XMPP-Bot zusammengehackt mit dem ich twtxt über XMPP-Nachrichten steuern kann. 😁

System-Mails von Linux über XMPP empfangen

Mon, 11 Sep 2017 00:00:00 +0000

Heute stolperte ich im OSBN über den Beitrag Über fehlgeschlagenem Service per XMPP informieren von Fryboyter. Die Idee fand ich gut, aber ich würde mir lieber die Systemmails von Linux, die ich derzeit im Thunderbird abfrage, per XMPP zusenden lassen.

Nach kurzer Suche mit searx fand ich den englischen Blogpost SendXMPP mail forward on Debian Jessie. Ich bin ein klein wenig von der Anleitung abgewichen und möchte die Lösung auch für mich dokumentiert haben, falls der Blogeintrag mal verschwindet darum halte ich das Vorgehen hier auch noch mal fest.

Warnung

Es könnte sein, dass wichtige oder sensible Informationen in den Systemmails enthalten sind. Deshalb würde ich davon abraten diese über fremde Server zu senden.

Zuerst habe ich sendxmpp aus den Debian-Repositories installiert:

    # apt install sendxmpp

Anschließend habe ich überprüft ob sendxmpp überhaupt Nachrichten zustellen kann. SENDER, SENDER_SERVER, EMPFAENGER, EMPFAENGER_SERVER, PASSWORT und PORT (wird nur benötigt, wenn nicht der Standardport 5222 verwendet wird) sind hier und im weiteren Verlauf natürlich an die eigene Konfiguration anzupassen.

    $ echo 'Hallo Welt' | sendxmpp -t  -u SENDER -j SENDER_SERVER:PORT -p 'PASSWORT' EMPFAENGER@EMPFAENGER_SERVER
    Invalid or unreadable path specified for ssl_ca_path. at /usr/share/perl5/Stream.pm line 641

Ich bekam die gleiche Fehlermeldung wie Fryboyter und konnte das Problem beheben indem ich wie in seinem Beitrag beschrieben in /usr/share/perl5/XML/Stream.pm Zeile 223 folgendermaßen abänderte:

$self->{SIDS}->{default}->{ssl_ca_path} = '/etc/ssl/certs';

Als nächstes habe ich die Datei /etc/sendxmpp.conf mit folgendem Inhalt angelegt:

SENDER@SENDER_SERVER:PORT PASSWORT

Anschließend wurde die Datei ausschließlich für ihren Besitzer les- und beschreibbar gemacht und der Besitzer zu Debian-exim geändert:

# chmod 600 /etc/sendxmpp.conf
# chown Debian-exim:Debian-exim /etc/sendxmpp.conf

Nun habe ich die Datei /usr/local/bin/mail2xmpp angelegt und folgendes eingetragen:

#!/bin/bash                   
echo "$(cat)" | sendxmpp -t   
-f /etc/sendxmpp.conf EMPFAENGER@EMPFAENGER_SERVER

Die Datei wurde anschließend noch ausführbar gemacht:

# chmod 755 /usr/local/bin/mail2xmpp

Um zu definieren wie die Mails zugestellt werden muss die Datei /etc/aliases bearbeitet werden, wobei USER natürlich anzupassen ist:

# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
root: USER
USER:,|/usr/local/bin/mail2xmpp
logcheck: root

Damit die Systemmails per pipe weitergereicht werden können muss die Datei /etc/exim4/exim4.conf.localmacros angelegt und diese Zeile eingetragen werden:

SYSTEM_ALIASES_PIPE_TRANSPORT = address_pipe

Anschließend werden die neuen Aliase eingelesen und exim4 neu gestartet:

# newaliases
# systemctl restart exim4.service

Abschließend wird noch getestet ob der Mailtransport über XMPP funktioniert:

$ echo "Das ist ein Test" | mail -s testmail root

An einem meiner Rechner bekam ich hier eine Fehlermeldung:

mail: Nachricht kann nicht gesendet werden: Prozess wurde mit einem von Null verschiedenen Status beendet

In den logs sah ich folgendes:

Sep 12 19:02:53 backup exim[446]: 2017-09-12 19:02:53 1droaL-00007C-Lt <= root@backup U=root P=local S=341
Sep 12 19:02:53 backup exim[446]: 2017-09-12 19:02:53 1droaL-00007C-Lt Cannot open main log file "/var/log/exim4/mainlog": Permission denied: euid=104 egid=109
Sep 12 19:02:53 backup exim[446]: exim: could not open panic log - aborting: see message(s) above

Das konnte ich ganz einfach beheben indem ich den Ordner /var/log/exim4/ angelegt und Debian-exim als Eigentümer festgelegt habe:

# mkdir /var/log/exim4
# chown Debian-exim:Debian-exim /var/log/exim4

[Update 2017-09-12]

An einem meiner Rechner gab es nach der Einrichtung noch eine Fehlermeldung beim Versuch Nachrichten über XMPP weiterzuleiten. Ich habe den Beitrag dementsprechend erweitert.

Searx auf Uberspace einrichten

Mon, 28 Aug 2017 00:00:00 +0000

Im Chat zum Kuketzblog wurde ich auf Searx aufmerksam gemacht. Searx ist eine Metasuchmaschine, die sich selbst wie folgt beschreibt:

Searx is a metasearch engine, aggregating the results of other search engines while not storing information about its users.

Ich habe zwar bei blogbasis.net und techregion.de zwei Anleitungen für searx auf Uberspace.de gefunden, aber leider sind diese wohl veraltet und funktionierten bei mir nicht.

Ich habe searx bei mir im Verzeichnis ~/build installiert, da ich zuerst dachte searx müsste kompiliert werden. Ich habe es erst mal dort gelassen, aber vielleicht ziehe ich es mal nach ~ um, wichtig ist nur, dass es in keinem öffentlich zugänglichen Ordner, also nicht in ~/html oder /var/www/virtual/$USER/ liegt.

Zuerst habe ich die aktuelle Version von searx heruntergeladen und in das Verzeichnis gewechselt:

git clone https://github.com/asciimoo/searx.git && cd ~/build/searx

Anschließend habe ich die Datei manage.sh folgendermaßen bearbeitet:

update_packages() {
    pip3 install --upgrade pip --user
    pip3 install --upgrade setuptools --user
    pip3 install --upgrade -r "$BASE_DIR/requirements.txt" --user
}

Nun wird die Datei ausgeführt um alle für searx benötigten Abhängigkeiten zu installieren:

./manage.sh update_packages

Dann wird in der Datei searx/settings.yml ein eigener geheimer Key eingetragen:

sed -i -e "s/ultrasecretkey/`openssl rand -hex 16`/g" searx/settings.yml

Für searx muss auch ein Port auf Uberspace ~~geöffnet~~ gewählt werden. Achtet dabei darauf, dass dieser noch frei ist um Kollisionen zu vermeiden.

Dieser wird in die Datei searx/settings.yml eingetragen:

server:
    port : DER_PORT

Nun legen wir einen Starter mit den daemontools an:

$ cat <<__EOF__ > ~/etc/searx/run
#!/bin/sh
exec /usr/local/bin/python3 /home/$USER/build/searx/searx/webapp.py 2>&1
__EOF__

$ chmod +x ~/etc/searx/run
$ ln -s ~/etc/searx ~/service/searx

Searx kann nun mit svc -u ~/service/searx gestartet, mit svc -d ~/service/searx beendet oder mit svc -du ~/service/searx neu gestartet werden.

Ich wollte searx unter der Subdomain search.mdosch.de erreichbar machen, also habe ich den Ordner /var/www/virtual/$USER/search.mdosch.de erstellt und dort die Datei /var/www/virtual/$USER/search.mdosch.de/.htaccess mit diesem Inhalt angelegt:

RewriteBase /
RewriteEngine On
RewriteRule (.*) http://localhost:DER_PORT/$1 [P]

DER_PORT ist natürlich mit dem ~~freigeschalteten~~ gewählten Port zu ersetzen.

Jetzt ist searx fertig eingerichtet und kann per searx gestartet werden.

Ich habe searx auch über search.4bkxscubgtxwvhpe.onion als “hidden service” per Tor verfügbar gemacht.

Mein erster Eindruck ist soweit ganz gut, auch wenn die Qualität der Suchergebnisse nicht ganz mit meiner bisherigen Suchmaschine StartPage mithalten kann.

[Update 2017-08-30]

Ich wurde im Kommentar von Tom darauf hingewiesen, dass der Port nicht in der Firewall geöffnet werden muss.

[Update 2017-08-31]

Ich habe den daemontools-Starter wieder herausgenommen, da er nicht funktioniert. Das scheint mit Pythonscripten nicht ohne Weiteres zu gehen. Wenn ich eine Lösung gefunden habe werde ich den Beitrag wieder aktualisieren.

[Update 2017-09-03]

Der daemontools-Starter ist wieder eingefügt, da es nun doch funktioniert.

BlogC++ in Debian benutzen

Sat, 26 Aug 2017 00:00:00 +0000

Der OSBN-Kollege tux hat mir hier vorgeschlagen auch mal seinen statischen Blogcompiler Blogcpp zu testen.

Mittlerweile habe ich es, mit viel Hilfe von tux, geschafft blogcpp unter Debian Stretch und Buster zu kompilieren. Dazu musste ich die Pakete g++, cmake, libicu-dev und libcurl4-gnutls-dev installieren.

Blogcpp funktioniert gut und ich habe damit auch schon ein paar temporäre Testblogeinträge geschrieben. Nun kommt aber schwierige Teil zu versuchen die bisherigen Beiträge und mein Theme von acrylamid zu blogcpp zu portieren.

Ich habe auch mal die aktuelle Version BlogC++ 5 für Debian hochgeladen. Im Archiv sind ein binary für Stretch und eines für Buster enthalten. Vermutlich wird eines von diesen auch auf einem aktuellen Ubuntu funktionieren, aber ich habe das nicht getestet und würde mich über Feedback freuen.

YouTube-Videos mit mpv unter firejail abspielen

Wed, 16 Aug 2017 00:00:00 +0000

Mein bevorzugter Videoplayer mpv kann YouTube-Videos, mit Hilfe von youtube-dl, direkt streamen. Dazu genügt es die URL des Videos als Parameter an mpv zu übergeben, z.B.:

    mpv https://www.youtube.com/embed/ucRWyGKBVzo

Leider funktionierte das nicht wenn mpv mit firejail und dem von Debian mitgelieferten Firejailprofil ausgeführt wurde. Das Problem ist, dass das Debian-Paket von youtube-dl als Shebang #!/usr/bin/python3 nutzt, was in Debian auf python3.5 verlinkt und beides nicht im private-bin von mpv eingetragen ist. Nutzt man youtube-dl als Binärdatei von upstream wird #!/usr/bin/env python verwendet, was ebenfalls nicht berücksichtigt ist.

Um die Funktionalität auch mit firejail nutzen zu können muss man also entweder die Datei /etc/firejail/mpv.profile editieren oder diese nach ~/.config/firejail/mpv.profile kopieren und dort die Zeile, die mit private-bin beginnt, wie im firejail commit beschrieben editieren (ich empfehle letzteres):

    private-bin mpv,youtube-dl,python,python2.7,python3,python3.5,python3.6,env

Zum Thema firejail habe ich auch mal eine kleine Übersicht namens Quick-Start firejail geschrieben.

Kurztipp: Maus/Touchpad-Nutzung in tmux aktivieren

Sun, 30 Jul 2017 00:00:00 +0000

Wer sich häufig per SSH auf anderen Rechnern einloggt nutzt wahrscheinlich einen Terminalmultiplexer wie screen oder tmux. Meine Wahl fiel auf tmux. Was mich aber an tmux stört ist, dass ich standardmäßg nicht mit Maus oder Touchpad durch die Ausgabe scrollen kann, sondern immer erst ^b + [ ausführen muss.

Man kann das Standardverhalten ganz einfach umstellen indem man auf dem Rechner, auf dem tmux läuft, die Datei ~/.tmux.conf anlegt und folgendes einträgt:

    setw -g mouse on

Danach führt man tmux source-file ~/.tmux.conf aus und die Mausunterstützung ist aktiviert.

Bei Bedarf kann man das Mausverhalten noch weiter anpassen.

Bei älteren tmux-Versionen muss man evtl. noch die alte Konfiguration benutzen:

    setw -g mouse-mode on

Einen eigenen Backport von Onionshare bauen

Tue, 11 Jul 2017 00:00:00 +0000

Onionshare ist ein nützliches Tool um Dateien über Tor auszutauschen, aber leider nicht in Debian Stretch vorhanden. Ich beschreibe hier, wie ich mir meinen eigenen Backport aus den Testing-Quellen gebaut habe. Dieser Beitrag kann als grobe Richtschnur zum Bauen "eigener Backports" am Beispiel von Onionshare betrachtet werden.

Als erstes habe ich die Quell-Repositories von Stable und Testing in die Datei /etc/apt/sources.list eingefügt:

    # Stretch Sources
    deb-src https://ftp.de.debian.org/debian/ stretch main 

    # Testing Sources
    deb-src https://ftp.de.debian.org/debian/ testing main

Anschließend habe ich die Paketlisten aktualisiert und alle Pakete installiert, die notwendig sind um Onionshare zu kompilieren:

    # apt update
    # apt --no-install-recommends build-dep onionshare/testing

Um Pakete als unprivilegierter Benutzer kompilieren zu können wird noch das Paket fakeroot benötigt:

    # apt install fakeroot

Sind alle Abhängigkeiten für den Bau von Onionshare installiert, kann Onionshare aus dem Quellpaket von Testing gebaut werden:

    $ apt source -b onionshare/testing

Wurde das Paket erfolgreich gebaut kann Onionshare jetzt installiert werden:

    # dpkg -i onionshare_0.9.2-1_all.deb

Danach habe ich die beiden Einträge in der Datei /etc/apt/sources.list wieder auskommentiert:

    # Stretch Sources
    #deb-src https://ftp.de.debian.org/debian/ stretch main

    # Testing Sources
    #deb-src https://ftp.de.debian.org/debian/ testing main

Abschließend wurden die Paketquellen wieder aktualisiert um sie auf den aktuellen Stand ohne die Quellpakete zu bekommen.

# apt update

WARNUNG: Ein selbst kompiliertes Paket wird nicht von der Distribution mit Sicherheitsupdates versorgt, d.h. man ist selbst dafür verantwortlich dieses aktuell zu halten!

DNSCrypt in Debian einrichten

Fri, 07 Jul 2017 00:00:00 +0000

DNSCrypt ist ein Tool, das einen Sicherheitsgewinn durch Verhinderung von Man-In-The-Middle-Angriffen bei DNS-Abfragen verspricht. Dieser Artikel, wenn auch schon älter, umreißt das Thema ganz gut.

Installation

DNSCrypt lässt sich unter Debian folgendermaßen installieren und aktivieren:

# apt install dnscrypt-proxy
# systemctl enable dnscrypt-proxy.service

Konfiguration

Nun kann man sich einen der, in der Datei /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv gelisteten, Server aussuchen und in die Datei /etc/dnscrypt-proxy/dnscrypt-proxy.conf eintragen, z.B.:

ResolverName ns0.dnscrypt

Man kann auch random eintragen, dann wird ein zufälliger Resolver aus der Liste gewählt, der über IPv4 verfügbar ist, DNSSEC unterstützt und nicht loggt:

ResolverName random

Damit auch der installierte Proxy zur Auflösung von DNS-Anfragen genutzt wird muss die Datei /etc/resolv.conf editiert werden:

# Use dnscrypt-proxy
nameserver 127.0.2.1

DNSCrypt starten

Nun kann kann der DNSCrypt-Proxy gestartet werden:

# systemctl start dnscrypt-proxy.service

Troubleshooting

Da der NetworkManager diese Datei bei Nutzung von DHCP überschreibt muss, wie im Arch-Wiki beschrieben, in der Datei /etc/NetworkManager/NetworkManager.conf die Zeile dns=none im Bereich [main] eingetragen werden.

Bei mir war die Datei /etc/resolv.conf ein Link auf /var/run/NetworkManager/resolv.conf und ich musste den Link entfernen damit DNSCrypt funktionierte:

# ll /etc/resolv.conf      
lrwxrwxrwx 1 root root 35 Jul  7 02:04 /etc/resolv.conf -> /var/run/NetworkManager/resolv.conf
# rm /etc/resolv.conf

Danach habe ich die Datei neu angelegt, den oben beschriebenen Eintrag eingefügt und die Datei für alle Nutzer lesbar gemacht:

# nano /etc/resolv.conf
# chmod 644 /etc/resolv.conf
# ll /etc/resolv.conf
-rw-r--r-- 1 root root 42 Jul  7 15:07 /etc/resolv.conf

Nach einem Neustart des NetworkManagers funktioniert auch die Namensauflösung mit selbigem.

Im verlinkten Beitrag aus dem Arch-Wiki ist auch erklärt, wie man dhcpcd und netctl davon abhält die Datei resolv.conf zu überschreiben.

Erfolg testen

Man kann lokal testen ob die Anfragen auch vom DNSCrypt-Proxy beantwortet werden:

$ dig debian.org txt

; <<>> DiG 9.10.3-P4-Debian <<>> debian.org txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44884
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.org.			IN	TXT

;; AUTHORITY SECTION:
debian.org.		600	IN	SOA	denis.debian.org. hostmaster.debian.org. 2017070811 1800 600 1814400 600

;; Query time: 192 msec
;; SERVER: 127.0.2.1#53(127.0.2.1)
;; WHEN: Sat Jul 08 09:32:22 CEST 2017
;; MSG SIZE  rcvd: 92

Die Zeile ;; SERVER: 127.0.2.1#53(127.0.2.1) zeigt, dass Anfragen durch DNSCrypt beantwortet werden.

Es gibt auch einen DNS Leak Test online.

[Update 2017-07-07]

Aufgrund dieses Kommentares habe ich den Server im Beispiel durch einen Server aus Island ersetzt, der DNSSEC unterstützt, nicht loggt und nicht zensiert:

ns0.dnscrypt.is,"ns0.dnscrypt.is in Reykjavík, Iceland","DNSSEC enabled, non-logging, uncensored. Sponsored by 1984 Hosting.","Reykjavík, Iceland",,https://dnscrypt.is,1,yes,yes,no,93.95.228.87,2.dnscrypt-cert.ns0.dnscrypt.is,EE41:6A83:451C:218F:37B2:B736:78C4:999F:7DE6:89D1:31D2:7866:7C8E:A8BB:1C95:B402,pubkey.ns0.dnscrypt.is

Ich habe auch die Konfiguration von DNSCrypt mit dem NetworkManager erweitern müssen.

[Update 2017-07-08]

Abschnitt “Erfolg testen” hinzugefügt.

[Update 2017-11-18]

Hinweis auf random und die Scripte dnscrypt-update-resolvers.sh und resolvers-check.sh vorgestellt.

[Update 2017-12-16]

Die URL der Scripte auf Github hat sich geändert und wurde angepasst.

[Update 2018-02-03]

Wie in diesem Kommentar richtig angemerkt gibt es die Scripte auf Github nicht mehr. Ich habe die Abschnitte dementsprechend entfernt.

Probleme mit dem Firejailprofil von Gajim

Fri, 16 Jun 2017 00:00:00 +0000

Das, mit dem Debianpaket von firejail mitgelieferte, Profil für Gajim war bei mir fehlerhaft und verhinderte das Starten von Gajim.

Nach etwas Recherche fand ich heraus, dass die Verzeichnisse ${HOME}/.cache/gajim, ${HOME}/.local/share/gajim und ${HOME}/.config/gajim zwar in /etc/firejail/gajim.profile "gewhitelisted" sind, aber diese scheinbar durch folgende Einträge in der Datei /etc/firejail/disable-programs.inc, die mittels include /etc/firejail/disable-programs.inc eingebunden ist, überschrieben werden:

    blacklist ${HOME}/.cache/gajim
    blacklist ${HOME}/.local/share/gajim
    blacklist ${HOME}/.config/gajim

Die Lösung war eine lokale Kopie der Datei mittels cp /etc/firejail/gajim.profile ~/.config/firejail/ zu erstellen und folgende Zeilen einzufügen:

    noblacklist ${HOME}/.cache/gajim
    noblacklist ${HOME}/.local/share/gajim
    noblacklist ${HOME}/.config/gajim

Mit diesen Einträgen lässt sich Gajim bei mir auch mit firejail starten.

[Update 2017-06-17]

In meinem Bugreport wurde mir mitgeteilt, dass der Fehler in experimental bereits behoben sei und eine aktualisierte Version von firejail bald in den stretch-backports verfügbar sein sollte.

Kurztipp: SSH-Server für Android

Sun, 11 Jun 2017 00:00:00 +0000

Bei Sailfish OS war ich es gewohnt Dateien komfortabel mittels rsync über SSH auf das Smartphone zu übertragen ohne es erst per Kabel mit dem Rechner verbinden zu müssen. Gegen Bluetooth habe ich irgendwie eine Abneigung und das müsste ich auch erst manuell aktivieren.

Eine sehr nützliche Anwendung um die Übertragung von Dateien per rsync/SSH unter Android (fast) so komfortabel wie bei Sailfish zu machen ist SSHelper. Die App ist unter der GPL lizensiert und auf der Homepage auch gut dokumentiert.

Das einzige Manko ist, dass die App nur im Play Store und nicht bei F-Droid verfügbar ist.

[Update 2017-07-30]

Seit heute ist SSHelper im F-Droid Repository von IzzyOnAndroid verfügbar.

Einen Tor hidden service auf uberspace einrichten

Tue, 30 May 2017 00:00:00 +0000

Ich habe hier bereits erwähnt, dass ich meinen Blog als hidden service mit einer .onion-Domain verfügbar gemacht habe und möchte nun erläutern, wie ich dabei vorgegangen bin.

Disclaimer: Ich habe meinen Blog nur zusätzlich als hidden service verfügbar gemacht. Wenn jemand eine Seite ausschließlich als hidden service veröffentlichen will ist uberspace vermutlich der falsche Platz dafür. Soweit ich weiß liefert der Webserver dort nur Dateien aus, die unter ~/html/ liegen und diese sind auch öffentlich erreichbar. [Update]
Man könnte zwar die Auslieferung per .htaccess verbieten aber ich weiß nicht ob das so sauber ist. Wenn euer Leben davon abhängt, dass ihr nicht mit der .onion-Seite in Verbindung gebracht werdet, solltet ihr besser wo anders (selbst?) hosten.

Libevent installieren

Um Tor kompilieren zu können wird libevent benötigt. In diesem Beispiel verwende ich release-2.1.8-stable:

    $ mkdir ~/build
    $ cd ~/build
    $ wget https://github.com/libevent/libevent/releases/download/release-2.1.8-stable/libevent-2.1.8-stable.tar.gz
    $ tar xvf libevent-2.1.8-stable.tar.gz
    $ cd libevent-2.1.8-stable
    $ ./autogen.sh
    $ ./configure --prefix=${HOME}
    $ make
    $ make install

Tor installieren

Nun laden wir Tor von der Download-Seite herunter, in diesem Beispiel tor-0.3.0.7:

    $ cd ~/build
    $ wget https://www.torproject.org/dist/tor-0.3.0.7.tar.gz
    $ tar xvf tor-0.3.0.7.tar.gz
    $ cd tor-0.3.0.7

~~Nun müssen wir in Erfahrung bringen wo sich das aktuelle OpenSSL verbirgt:~~

    $ openssl version -a

~~In meinem Fall sieht die Ausgabe so aus:~~

    OpenSSL 1.0.2h  3 May 2016
    built on: reproducible build, date unspecified
    platform: linux-x86_64
    options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
    compiler: gcc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DOPENSSL_NO_HEARTBEATS -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
    OPENSSLDIR: "/package/host/localhost/openssl-1.0.2h/ssl"

~~Relevant ist der Pfad in der letzten Zeile, den wir ohne das /ssl am Ende zum Kompilieren mit einem aktuellen OpenSSL benötigen:~~

Nun kompilieren wir Tor mit einem aktuellen OpenSSL:

    $ ./configure --enable-static-openssl --with-openssl-dir=/package/host/localhost/openssl --prefix=${HOME}
    $ make
    $ make install

Tor hidden service konfigurieren

Nun ist Tor installiert und der hidden service kann in der Datei ~/etc/tor/torrc konfiguriert werden, wobei USER natürlich durch den eigenen Benutzernamen zu ersetzen ist:

    SocksPort 0
    Log notice file /home/USER/etc/tor/tor.log
    DataDirectory /home/USER/lib/tor
    HiddenServiceDir /home/USER/lib/tor/blog/
    HiddenServicePort 80 127.0.0.1:80

Tor auf Uberspace aktivieren

Damit Tor nicht wieder manuell gestartet werden muss, wenn der Dienst sich beendet oder der Uberspace-Server neu gestartet wird bietet es sich an Tor mit den daemontools verwalten zu lassen:

    $ cat <<__EOF__ > ~/etc/tor/run
    #!/bin/sh
    exec ~/bin/tor -f ~/etc/tor/torrc 2>&1
    __EOF__

    $ chmod +x ~/etc/tor/run
    $ ln -s ~/etc/tor ~/service/tor

Tor kann nun mit svc -u ~/service/tor gestartet, mit svc -d ~/service/tor beendet oder mit svc -du ~/service/tor neu gestartet werden.

Domain konfigurieren

Nach dem ersten Start mit svc -u ~/service/tor wird die Datei ~/lib/tor/blog/hostname angelegt, in der sich unsere .onion-URL, z.B. skt4odto3ycrngsv.onion, befindet:

    $ cat ~/lib/tor/blog/hostname

Bei mir wurde die Adresse skt4odto3ycrngsv.onion ausgegeben.

Nun müssen wir die Domain noch dem Uberspace-Webserver bekannt machen, da Zugriffe sonst unterbunden werden:

    $ uberspace-add-domain -d skt4odto3ycrngsv.onion -w

Eine erfolgreiche Rückmeldung sieht z.B. so aus:

    The webserver's configuration is adapted; it will get active within at most 5 minutes.
    Now you can use the following records for your dns:
      A -> 95.143.172.208
      AAAA -> 2001:1a50:11:0:5f:8f:acd0:f3

Das war es, schon kann eure Website als hidden service aufgerufen werden.

Subdomains

Das Anlegen von Subdomains für den hidden service ist analog zum normalen Anlegen von Subdomains auf uberspace:

    $ ln -s /var/www/virtual/${USER}/html/blog /var/www/virtual/${USER}/blog.skt4odto3ycrngsv.onion

Zusätzlich muss die Subdomain aber auch noch dem Webserver bekannt gemacht werden:

    $ uberspace-add-domain -d blog.skt4odto3ycrngsv.onion -w

Nun ist die Seite, die unter ~/html/blog abgelegt ist, auch unter blog.skt4odto3ycrngsv.onion aus dem Tor-Netzwerk aufrufbar.

[Update 2017-05-31]

Im Schritt Tor auf Uberspace aktivieren muss es natürlich ~/etc/tor/torrc und nicht ~/etc/torrc heißen.

[Update 2017-06-07]

Man kann immer das OpenSSL aus dem Pfad /package/host/localhost/openssl zum kompilieren benutzen, auch wenn openssl version -a etwas anderes ausgiebt, siehe diesen Kommentar.
Der Befehl zum Anlegen des daemons war fehlerhaft, siehe diesen Kommentar.

[Update 2017-06-10]

Bei einem Gespräch per Email mit Uberspace wegen eines anderen Themas fiel mir auf, dass diese Aussage nicht ganz richtig ist. Wenn man direkt ein Verzeichnis /var/www/virtual/${USER}/skt4odto3ycrngsv.onion anlegt, statt nach ~/html/ zu linken, ist die Webseite ausschließlich im dark web und nicht im clear web erreichbar. Ich bleibe aber trotzdem bei meiner Empfehlung keinen shared hoster zu nutzen, wenn das eigene Leben von der Anonymität abhängt.

OSBN Chat

Wed, 24 May 2017 00:00:00 +0000

Ich hatte die Idee, dass ein XMPP-Chat für OSBN-Blogger und -Leser eine gute Möglichkeit wäre sich abseits von Kommentarspalten über das OSBN und Blogartikel zu unterhalten. Vor allem, da das OSBN-Forum kaum Beachtung findet. Also habe ich im OSBN-Forum vorgeschlagen einen XMPP-MUC (Gruppenchat) einzurichten, auf den OSBN-Teilnehmer bei Interesse hinweisen können.

Anaximander wies darauf hin, dass er das bereits versucht hatte aber damit keinen Erfolg hatte und merkte an, dass er einen Chat bei Matrix bevorzugen würde. Er hat auch gleich einen OSBN-Chat bei Matrix angelegt.

Da ich aber eher XMPP bevorzuge habe ich einen XMPP-MUC angelegt. Es gibt derzeit also zwei unbekannte OSBN-Chats, die ich hiermit publik machen möchte um zu sehen ob sich ein OSBN-Chat etablieren lässt und welches Protokoll sich durchsetzt.

Matrix/Riot

Der Matrix-Raum ist #osbnde:matrix.org und kann entweder über den Web-Client oder ein Programm, wie z.B. Riot, aufgerufen werden.

XMPP/"Jabber"

Der XMPP-MUC ist osbn@conference.trashserver.net und kann mit den gängigen Anwendungen genutzt werden:

Conversations (Android)
Dino (Linux)
Gajim (Windows, Linux)
Adium (Mac OS)
ChatSecure (iOS)

[Update 2020-09-03]

Der Matrixraum scheint mittlerweile recht tot zu sein.

Kurztipp: Prosody für den mobilen Einsatz fit machen

Sat, 08 Apr 2017 00:00:00 +0000

Ich habe auf meinem Uberspace einen XMPP-Server mit prosody eingerichtet und wollte diesen auch für den Einsatz mit mobilen Clients optimieren. Natürlich kann man die Liste der XMPP extensions durchschauen und sich relevante Erweiterungen heraussuchen. Ich habe mich aber für einen pragmatischeren Ansatz entschieden.

Da der Messenger Conversations so ziemlich den state-of-the-art Mobile-XMPP-Client darstellt habe ich diesen Conversations Compliance Tester benutzt und bisher nicht unterstützte Module, die ich für sinnvoll hielt, aktiviert.

Dazu habe ich die kompilierte Version des Testers als .jar-Datei heruntergeladen und ausgeführt. Ich empfehle den Conversations Compliance Tester nicht mit einem realen Account durchzuführen, sondern dafür einen temporären Test-Account anzulegen. Dafür führt man auf dem Server folgenden Befehl aus:

    prosodyctl adduser test@domain.tld

Nun kann man mit der heruntergeladenen Datei auf dem lokalen Rechner den Test starten:

     java -jar ComplianceTester-0.1.jar test@domain.tld PASSWORT

Danach kann man über die XEP-Nummer der fehlgeschlagenen Tests hier nachschauen ob man diese Funktion für sinnvoll hält. Möchte man die Erweiterung aktivieren kann man bei prosody nachschauen welches Modul man dafür benötigt. Wahrscheinlich werden nicht alle Module, die man verwenden möchte, mit der Standardinstallationvon Prosody ausgeliefert, aber es ist ein leichtes die gängigen Module nachzuinstallieren.

Bei mir sieht es derzeit so aus:

    Use compliance suite 'Advanced Server Core Compliance Suite' to test mdosch.de

    running XEP-0115: Entity Capabilities…      PASSED
    running XEP-0163: Personal Eventing Protocol…       PASSED
    passed 2/2

    Advanced Server Core Compliance Suite: PASSED


    Use compliance suite 'Advanced Server IM Compliance Suite' to test mdosch.de

    running XEP-0115: Entity Capabilities…      PASSED
    running XEP-0163: Personal Eventing Protocol…       PASSED
    running Roster Versioning…      PASSED
    running XEP-0280: Message Carbons…      PASSED
    running XEP-0191: Blocking Command…     PASSED
    running XEP-0045: Multi-User Chat…      PASSED
    running XEP-0198: Stream Management…        PASSED
    running XEP-0313: Message Archive Management…       PASSED
    passed 8/8

    Advanced Server IM Compliance Suite: PASSED


    Use compliance suite 'Advanced Server Mobile Compliance Suite' to test mdosch.de

    running XEP-0115: Entity Capabilities…      PASSED
    running XEP-0163: Personal Eventing Protocol…       PASSED
    running XEP-0198: Stream Management…        PASSED
    running XEP-0352: Client State Indication…      PASSED
    running XEP-0357: Push Notifications…       PASSED
    passed 5/5

    Advanced Server Mobile Compliance Suite: PASSED


    Use compliance suite 'Conversations Compliance Suite' to test mdosch.de

    Server is Prosody 0.9.12
    running XEP-0115: Entity Capabilities…      PASSED
    running XEP-0163: Personal Eventing Protocol…       PASSED
    running Roster Versioning…      PASSED
    running XEP-0280: Message Carbons…      PASSED
    running XEP-0191: Blocking Command…     PASSED
    running XEP-0045: Multi-User Chat…      PASSED
    running XEP-0198: Stream Management…        PASSED
    running XEP-0313: Message Archive Management…       PASSED
    running XEP-0352: Client State Indication…      PASSED
    running XEP-0363: HTTP File Upload…     FAILED
    running XEP-0065: SOCKS5 Bytestreams (Proxy)…       FAILED
    running XEP-0357: Push Notifications…       PASSED
    running XEP-0368: SRV records for XMPP over TLS…        FAILED
    passed 10/13

    Conversations Compliance Suite: FAILED

Kurztipp: Debian-Repositorys über https nutzen

Sun, 19 Mar 2017 00:00:00 +0000

Über diesen Eintrag im debianforum kam ich auf die Idee, soweit möglich, meine sources.list auf https umzustellen.

Dazu benötigt man das Paket apt-transport-https:

    # apt install apt-transport-https

Nun kann man überprüfen, welches Repository über https erreichbar ist:

    $ nmap -p 443 ftp.de.debian.org

    Starting Nmap 7.40 ( https://nmap.org ) at 2017-03-19 10:46 CET
    Nmap scan report for ftp.de.debian.org (141.76.2.4)
    Host is up (0.22s latency).
    PORT    STATE SERVICE
    443/tcp open  https

    Nmap done: 1 IP address (1 host up) scanned in 0.97 seconds

    $ nmap -p 443 security.debian.org

    Starting Nmap 7.40 ( https://nmap.org ) at 2017-03-19 10:46 CET
    Nmap scan report for security.debian.org (212.211.132.250)
    Host is up (0.21s latency).
    Other addresses for security.debian.org (not scanned): 195.20.242.89 212.211.132.32 217.196.149.233 2001:a78:5:1:216:35ff:fe7f:6ceb 2a02:16a8:dc41:100::233 2001:a78:5:0:216:35ff:fe7f:be4f
    rDNS record for 212.211.132.250: lobos.debian.org
    PORT    STATE  SERVICE
    443/tcp closed https

    Nmap done: 1 IP address (1 host up) scanned in 0.94 seconds

An diesen beiden Beispielen ist zu sehen, dass ftp.de.debian.org über https verfügbar ist und security.debian.org nicht.

Nun kann man ftp.de.debian.org von http auf https umstellen:

    # sed -i s#http://ftp.de.debian.org#https://ftp.de.debian.org#g /etc/apt/sources.list

Ich benutze in dem Fall # statt / als Trennzeichen bei sed um nicht die ganzen / in den Adressen escapen zu müssen. ;-)

Um auch security-updates per https zu beziehen muss auf den Server https://ftp.de.debian.org/debian-security gewechselt werden:

    # sed -i s#http://security.debian.org#https://ftp.de.debian.org/debian-security#g /etc/apt/sources.list

Nun kann man sich fragen wozu man die Pakete über https herunterladen sollte wenn über die Prüfsummen MITM-Angriffe bereits verhindert werden. Es kann aber auch mal Bugs beim Überprüfen der Signaturen geben, weshalb es nicht schaden kann auch den Transportweg abzusichern und MITM-Angriffe weiter zu erschweren.

[Update 2017-09-05]

Ich hatte ganz vergessen nachzutragen, dass ich in einem Kommentar darauf hingewiesen wurde, dass es die security updates unter https://ftp.de.debian.org/debian-security auch über https gibt. Ich habe es nun nachgetragen.

Kurztipp: Verbindungen mit proxychains durch Proxyserver leiten

Sun, 19 Mar 2017 00:00:00 +0000

Manchmal ist es nötig Verbindungen eines Programmes über einen Proxy zu leiten. Einige Programme bieten keine Konfiguration zur Nutzung eines Proxys an, oder man möchte die Verbindungen nur gelegentlich durch einen Proxy leiten und deshalb nicht ständig die Konfiguration editieren.

Bei askubuntu fand ich einen Hinweis auf das Programm proxychains, das genau das tut.

Installation

Da proxychains in den Debian-Quellen vorhanden ist gibt es hinsichtlich der Installation nicht viel zu sagen:

    apt install proxychains

Konfiguration

Standardmäßig benutzt proxychains Tor. Möchte man die Konfiguration anpassen kann man dies in der Datei /etc/proxychains.conf global für alle Benutzer des Systems tun. Um benutzerspezifische Konfigurationen anzulegen kopiert man die globale Konfigurationsdatei nach ~/.proxychains/proxychains.conf.

Benutzung

Um die Verbindungen eines Programms durch den konfigurierten Proxy zu leiten stellt man dem Programmaufruf einfach proxychains voran:

    proxychains curl -L ip.mdosch.de

Ein Tor-Relay auf Uberspace einrichten

Fri, 17 Mar 2017 00:00:00 +0000

Intention

Da ich in letzter Zeit nach dem 3-Browser-Prinzip surfe, nutze ich nun für alltägliches Surfen ohne LogIn den Tor-Browser und wollte nun dem Tor-Netzwerk etwas zurückgeben.

Die meisten dürften Tor kennen, aber hier noch mal eine kurze Beschreibung von Wikipedia:

Tor ist ein Netzwerk zur Anonymisierung von Verbindungsdaten. Es wird für TCP-Verbindungen eingesetzt und kann beispielsweise im Web für Browsing, Instant Messaging, IRC, SSH, E-Mail oder P2P benutzt werden. Tor schützt seine Nutzer vor der Analyse des Datenverkehrs. Es basiert auf der Idee des Onion-Routings.

Anleitungen

Im Wiki von Uberspace fand ich eine Anleitung von Debianer. Leider funktionierte dieses HowTo für mich nicht. Toast (ein Tool zum Kompilieren von Anwendungen im Userspace) beschwerte sich über die fehlende Bibliothek libevent. Nachdem ich libevent per toast installiert hatte meldete toast beim Installieren von Tor libevent wäre vorhanden, könnte aber nicht gelinkt werden.

Ich fand im Netz eine weitere Anleitung zur Installation von Tor auf Uberspace von f(Λ), nach der libevent und Tor einfach ohne toast mit dem altbekannten Dreisatz installiert wurden.

Mein Vorgehen

Tor installieren

Man loggt sich auf seinem Uberspace ein, erstellt einen temporären Ordner und installiert libevent und Tor (bitte die aktuelle Version von Tor hier beziehen):

    mkdir ~/tmp
    cd ~/tmp
    git clone git://levent.git.sourceforge.net/gitroot/levent/levent
    cd levent
    ./autogen.sh
    ./configure --prefix=$HOME
    make
    make install
    cd ..
    wget https://www.torproject.org/dist/tor-X.X.X.X.tar.gz
    tar xvf https://www.torproject.org/dist/tor-X.X.X.X.tar.gz
    cd tor-X.X.X.X
    ./configure --prefix=$HOME
    make
    make install

Tor konfigurieren

Lief die Installation ohne Fehler kann man nun den Ordner löschen und sich anschließend an die Konfiguration machen:

    cd ~
    rm -rf tmp

Eine Beispielkonfiguration mit Erläuterungen findet ihr nun unter ~/etc/tor/torrc.sample, ich habe als Basis die Konfiguration von Debianer genommen und für mich angepasst und unter ~/etc/tor/torrc gespeichert:

    SocksPort 0
    Log notice file /home/USER/etc/tor.log
    DataDirectory /home/USER/lib/tor
    ControlPort PORT1
    CookieAuthentication 1
    ORPort PORT2
    Nickname NICKNAME
    RelayBandwidthRate 300 KB
    RelayBandwidthBurst 600 KB
    AccountingMax 10 GB
    AccountingStart month 1 02:00
    ContactInfo Mail
    DirPort PORT3
    ExitPolicy reject *:*
    DisableDebuggerAttachment 0
    AvoidDiskWrites 1

Die Zeile ExitPolicy reject *:* ist immens wichtig, da diese festlegt, dass ihr nicht als Exit-Node fungiert.

Richtet keinen Exit-Node bei Uberspace ein!

USER ist durch euren Benutzernamen bei Uberspace auszutauschen und NICKNAME durch einen frei wählbaren Namen für das Tor-Netzwerk. Bei PORT1, PORT2 und PORT3 tragt ihr Ports ein, die ihr euch bei Uberspace mittlerweile selbst freischalten könnt. Dafür führt ihr einfach dreimal folgenden Befehl aus und notiert euch den Port:

    uberspace-add-port -p tcp --firewall

Tor auf Uberspace aktivieren

Nun kann man Tor über exec ~/bin/tor -f ~/etc/tor/torrc starten, aber sobald man den Befehl abbricht oder sich ausloggt wird der Tor-Service beendet. Man kann sich hier mit Tools wie tmux oder screen behelfen, praktischer ist es aber Uberspace dafür sorgen zu lassen, dass Tor läuft:

    cat <<__EOF__ > ~/etc/tor/run
    #!/bin/sh\nexec ~/bin/tor -f ~/etc/torrc 2>&1
    __EOF__
    chmod +x ~/etc/tor/run
    ln -s ~/etc/tor ~/service/tor

Theoretisch sollte jetzt schon alles laufen, aber es kann nicht schaden zur Sicherheit noch eine Aktivierung hinterherzuschicken:

    svc -u ~/service/tor

Tor-Node überprüfen

Natürlich möchte man nun überprüfen, ob der Torknoten auch erfolgreich eingerichtet wurde und Teil des Netwerks ist. Hierzu beobachtet man erst mal in das Logfile:

    tail -f ~/etc/tor.log

Wenn die letzten Zeilen in etwa so aussehen scheint es schon mal ganz gut zu laufen:

    Mar 17 18:32:38.000 [notice] Bootstrapped 0%: Starting
    Mar 17 18:32:42.000 [notice] Bootstrapped 80%: Connecting to the Tor network
    Mar 17 18:32:43.000 [notice] Bootstrapped 85%: Finishing handshake with first hop
    Mar 17 18:32:43.000 [notice] Bootstrapped 90%: Establishing a Tor circuit
    Mar 17 18:32:45.000 [notice] Tor has successfully opened a circuit. Looks like client functionality is working.
    Mar 17 18:32:45.000 [notice] Bootstrapped 100%: Done
    Mar 17 18:32:45.000 [notice] Now checking whether ORPort 95.143.172.208:64795 and DirPort 95.143.172.208:61540 are reachable... (this may take up to 20 minutes -- look for log messages indicating success)
    Mar 17 18:32:45.000 [notice] Self-testing indicates your ORPort is reachable from the outside. Excellent.
    Mar 17 18:32:45.000 [notice] Self-testing indicates your DirPort is reachable from the outside. Excellent. Publishing server descriptor.
    Mar 17 18:32:46.000 [notice] Performing bandwidth self-test...done.

Man kann dann auch bei Tor selbst überprüfen ob man Teil des Netzwerks ist. Man sollte dabei aber nicht zu ungeduldig sein. Bei mir dauerte es ca. eine Stunde bis ich dort gelistet wurde.

[Update 2017-03-18]

Nachdem euer Middle-Node ein paar Stunden läuft könnt ihr auch Infos über die Verbindungen und den Traffic in ~/etc/tor.log sehen:

    Mar 18 12:32:42.000 [notice] Heartbeat: Tor's uptime is 17:59 hours, with 8 circuits open. I've sent 147.39 MB and received 171.18 MB.
    Mar 18 12:32:42.000 [notice] Heartbeat: Accounting enabled. Sent: 150.26 MB, Received: 183.90 MB, Used: 186.87 MB / 10.00 GB, Rule: max. The current accounting interval ends on 2017-04-01 02:00:00, in 13 days 12:27 hours.
    Mar 18 12:32:42.000 [notice] Circuit handshake stats since last time: 14/14 TAP, 66/66 NTor.
    Mar 18 12:32:42.000 [notice] Since startup, we have initiated 0 v1 connections, 0 v2 connections, 0 v3 connections, and 520 v4 connections; and received 1 v1 connections, 0 v2 connections, 0 v3 connections, and 775 v4 connections.

[Update 2017-03-19]

Gerade habe ich entdeckt, dass man den Status auch mit Atlas überprüfen kann. Dort bekommt man auch ein paar interessante Statistiken zu sehen. Um euren eigenen Server zu finden müsst ihr einfach im Suchfeld rechts oben den Namen, den ihr für das Tor-Netzwerk gewählt habt, oder eure IP eingeben.

Wenn ihr euch wundert, warum euer Knoten zu Beginn wenig Traffic generiert, so liegt dies nicht nur am vergebenen Limit, sondern auch am Lebenszyklus eines Tor-Knotens. Euer Tor-Knoten muss also erst mal ein paar Tage concensus weight sammeln, was ich in etwa als Reputation interpretiere.

Zufällige MAC-Adresse mit dem NetworkManager

Tue, 14 Mar 2017 00:00:00 +0000

Heute habe ich gelernt, dass man den NetworkManager so konfigurieren kann, dass er gefälschte MAC-Adressen verwendet.
Wozu ist das gut? Ist WLAN in mobilen Geräten aktiviert scannen diese ständig nach Netzwerken und teilen diesen die MAC-Adresse mit, wodurch man getrackt werden kann. Lt. dem verlinkten Blogpost auf gnome.org wird beim Scannen bereits eine gefälschte MAC verwendet, aber wer sich häufig in HotSpots anmeldet ist spätestens nach dem Aufbau der Verbindung identifizierbar.

Wie in dem Post beschrieben kann man den NetworkManager so konfigurieren, dass bei jeder neuen Verbindung eine Zufalls-MAC verwendet wird. Dafür muss man die Datei NetworkManager.conf editieren. Bei Debian befindet sich diese hier: /etc/NetworkManager/NetworkManager.conf

Man fügt der Datei folgendes hinzu:

    [device-mac-randomization]
    # "yes" is already the default for scanning
    wifi.scan-rand-mac-address=yes

    [connection-mac-randomization]
    ethernet.cloned-mac-address=random
    wifi.cloned-mac-address=random

Die Änderung wird wirksam sobald man den Netzwerkservice neu startet:

    # service network-manager restart

Möchte man in einem Netzwerk immer dieselbe MAC nutzen, z.B. damit der Router weiterhin trotz DHCP die richtige IP-Adresse zuweist kann man dies in der GUI des NetworkManagers einstellen, indem man die gewünschte MAC bei den Einstellungen des Netzwerks unter Identität → Duplizierte Adresse einträgt:

[Update 2017-07-05]

Ich hatte ganz vergessen, dass ich hier noch Updates einpflegen wolle, was ich nun nachhole.

In einem Kommentar wurde ich darauf hingewiesen, dass man durch einen weiteren Eintrag in der Datei NetworkManager.conf verhindern kann, dass der Hostname im Netzwerk via DHCP bekannt wird:

    [ipv4]
     dhcp-send-hostname=false
     dhcp-hostname=

    [ipv6]
     dhcp-send-hostname=false
     dhcp-hostname=
     ip6-privacy=2

In einem weiteren Kommentar wurde ein Link zu Golem geposted, der besagt, dass dies derzeit wohl nur von den Modulen iwlwifi und brcfmac unterstützt wird:

Der Linux-Kernel unterstützt die Funktion seit Version 3.18. Allerdings müssen auch die entsprechenden Treiber angepasst werden. Bislang sind das die Module iwlwifi seit Version Linux 3.18 und brcfmac seit Linux 4.5.

Git-Repository von GitHub zu Uberspace umziehen

Sat, 11 Mar 2017 00:00:00 +0000

Derzeit wird ja viel über die neuen Nutzungsbedingungen von GitHub diskutiert. Ich gebe zu, ich habe mich nicht mit den Details der Änderungen befasst und weiß nicht ob mich diese wirklich betreffen würden. Ich nutze GitHub nur um meinen statischen Blog zwischen meinen Rechnern zu synchronisieren.

Nun habe ich diese Diskussion aber zum Anlass genommen zu überdenken ob es denn wirklich nötig ist meinen Blog über einen externen Dienstleister zu synchronisieren und das Repository öffentlich bereitzustellen und die Antwort lautete beide Male "Nein".

Nun habe ich festgestellt, dass Uberspace bereits Git anbietet und die Einrichtung ein Kinderspiel ist:

Man loggt sich per SSH auf Uberspace ein und erstellt einen Ordner mit der Endung .git, in diesem Beispiel blog.git und führt in diesem git init --bare aus:

    mkdir ~/blog.git
    cd ~/blog.git
    git init --bare

Mein Blog liegt lokal unter ~/www/blog. Um dieses Repository zukünftig mit meinem Uberspace statt mit GitHub zu synchronisieren reichte es aus in der Datei ~/www/blog/.git/config im Unterpunkt [remote "origin"] die Zeile beginnend mit url = folgendermaßen abzuändern:

    url = ssh://USER@DOMAIN/home/USER/blog.git/

USER ist natürlich durch den eigenen Benutzernamen bei Uberspace und DOMAIN durch die eigene Domain zu ersetzen.

Anschließend kann man mit einem git push die Daten in das Repository übertragen.

Wer möchte kann natürlich auch bei Uberspace sein Repository öffentlich bereitstellen.

Kurztipp: SSH config Datei

Sun, 05 Mar 2017 00:00:00 +0000

Manchmal stolpert man über Vereinfachungen für Dienste bzw. Programme, die man häufig nutzt und die deren Nutzung deutlich vereinfachen. Häufig fragt man sich dann, wie man bisher ohne diese Kniffe auskommen konnte und warum noch nicht früher darauf aufmerksam wurde. So erging es mir heute als ich wegen einer Frage im Debianforum auf die Seite von SSHelper fand und dort folgendes las:

But the configuration-file method shown earlier is preferred, because it prevents the possibility of typographical errors and (maybe) carpal-tunnel syndrome from too much typing.

Die erwähnte Methode ist es Server, Benutzer und Port in der Datei ~/.ssh/config anzugeben unter einem frei wählbaren Namen anzugeben:

    Host beispiel
        HostName example.com
        Port 2222
        User nutzer

In diesem Beispiel könnte man sich per ssh beispiel statt per ssh -p 2222 nutzer@example.com mit dem Server verbinden. Besonders in Verbindung mit Programmen wie rsync ist dies eine willkommene Erleichterung:

rsync -a /path/to/file beispiel:/remote/path/ ist deutlich angenehmer als rsync -ae "ssh -p 2222" /path/to/file nutzer@example.com:/remote/path/.

Natürlich können noch weitere Einstellungen in dieser Datei getätigt werden.

Ich frage mich, warum ich das nicht früher entdeckt habe. :-)

Kurztipp: fstrim als systemd service

Sun, 19 Feb 2017 00:00:00 +0000

Bisher habe ich den TRIM-Befehl für SSDs immer mal wieder manuell ausgeführt, aber vor ein paar Tagen sah ich in einem hilfreichen Blogpost, dass man das von systemd erledigen lassen kann.

Unter Debian ist jedoch erst ein zusätzlicher Befehl nötig um die entsprechenden Dateien an die richtige Stelle zu kopieren:

    # cp /usr/share/doc/util-linux/examples/fstrim.{service,timer} /etc/systemd/system

Anschließend lässt sich der service per systemd aktivieren:

    # systemctl enable fstrim.timer
    Created symlink /etc/systemd/system/timers.target.wants/fstrim.timer → /etc/systemd/system/fstrim.timer.

Netflix und der Firefox unter Linux

Fri, 03 Feb 2017 00:00:00 +0000

Seit Version 49 erfüllt der Firefox sämtliche Anforderungen um Netflix auch unter Linux nutzen zu können. Mittlerweile nutze ich unter Debian Testing Firefox 51 (aus unstable) und ich werde immer noch per Browserweiche auf eine Seite weitergeleitet, die mir erzählt, dass ich die Voraussetzungen nicht erfülle und auflistet welche Kombinationen funktionieren.

Die Kombination Firefox >49 / Linux funktioniert aber. Es gibt technisch keine Probleme, man kann Netflix nämlich auch unter Linux mit dem Firefox nutzen wenn man den Browserstring folgendermaßen manipuliert:

    Linux / Chrome 53: Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/53.0.2785.34 Safari/537.36

Dieser String ist bei about:config für die Variable general.useragent.override einzutragen.

Da sich nichts zu bessern scheint habe ich mich mal an den Support-Chat gewandt und ein freundlicher Mitarbeiter (oder ein Chat-Bot, aufgrund der sehr generischen Aussagen bin ich mir da nicht so sicher) nahm sich meiner an.

Es kamen lustige Aussagen, dass Netflix offiziell kein Linux unterstützt, da dies aufgrund der offenen ~~Architektur~~ Struktur schwierig sei (?!) [1], dass man aber keine speziellen Behandlungen für Linux-Nutzer hinterlegt hätte usw. Die letzte Aussage ist ein Witz wenn ich daran denke, dass Netflix funktioniert sobald ich den Browserstring manipuliere, aber wenn ich dies nicht tue auf eine andere Seite umleitet. Eine solche Browserweiche ist doch genau das, was Netflix laut Aussage dieses Support-Mitarbeiters (Chatbots?) nicht tut.

Ich habe versucht das Dilemma zu erklären, habe als Beispiel auch oben genannten Browserstring in den Chat kopiert und erklärt, dass es damit auch im Firefox funktioniert und Netflix also eine Browserweiche eingebaut haben muss, die sie doch bitte entfernen sollen. Darauf kam eine Erklärung über die Probleme Linux zu unterstützen, die man wohlwollend noch als wirr bezeichnen kann. [2]

Immerhin wurde mir auf meine Bitte die genannten Beschreibungen und technischen Details doch bitte an eine technische Abteilung weiterzuleiten, die vermutlich versteht worum es geht positiv beantwortet. Hoffentlich passiert dies wirklich und diese unnötige Beschränkung auf Google Chrome oder nervige Manipulation des Browserstrings sind bald passé.

Update

Wenige Minuten nach Erstellung dieses Blogposts trudelt auch das Transkript per Email ein. Hier zwei nette Auszüge:

[1]

[...] Wir blockieren Streaming auf Linux-Computern nicht aktiv, aber wir können nicht dafür garantieren, dass es zuverlässig funktioniert.Aufgrund der offenen Struktur von Linux haben wir keine Lösungen für Streaming-Probleme, die auf diesem Betriebssystem auftreten. [...]

[2]

Netflix hat an sich spezielle Wege, um an sein Ziel zu kommen. Diese Wege werden immer gegangen, um den Kunden die Chance zu geben Netflix zu schauen. Bei Linux ist das aber so, dass die Wege nicht immer gleich sind. Somit sammeln sich im Hintergrund die Daten an. Sobald Linux dann aber plötzlich einen anderen Weg geht, kann Netflix die Daten nicht mehr abrufen bzw. wiedergeben, die es benötigt. Das ist der Grund warum das auf dem Firefox an sich nicht möglich ist.

Update [2017-05-14]

Ich habe nachgetragen wo der UserAgent-String beim Firefox einzutragen ist. Danke an Anonym für den Hinweis.

Quickstart firejail

Fri, 02 Dec 2016 00:00:00 +0000

Ich hatte schon einmal firejail, ein Programm um Anwendungen in Sandboxes vom restlichen System abzuschotten, installiert und damit herumexperimentiert. Aber aus Gründen, an die ich mich nicht mehr erinnere, habe ich es nie wirklich in mein System integriert.

In letzter Zeit ist mir firejail wieder durch Blogeinträge oder diesen Teil einer interessanten Artikelserie ins Gedächtnis gerufen worden und ich werde es nun für so viele Programme wie möglich nutzen.

Installation

Unter Debian ist firejail ab Stretch enthalten, bzw. für Jessie in den Backports verfügbar. Man installiert es denkbar einfach:

    # apt install firejail

Einrichtung und Benutzung

Für viele Programme sind schon Profile unter /etc/firejail vorhanden und man kann diese einfach nutzen, indem man die Anwendung per firejail $PROGRAMMNAME aufruft. Per firecfg kann man sich für installierte Programme, für die ein Profil vorhanden ist, folgendermaßen automatisch Symlinks nach /usr/local/bin/ anlegen lassen:

    # firecfg

Dadurch genügt es nun das Programm in einem Terminal oder per Alt+F2 mit dem Programmnamen ohne vorangestelltes firejail aufzurufen.

Mit folgendem Befehl kann man sich anzeigen lassen, welche Symlinks zu firejail von firecfg angelegt wurden:

    $ firecfg --list

Da viele Programmstarter (.desktop-Dateien) unter /usr/local/share/applications/ den kompletten Pfad zum binary enthalten funktionieren die Verknüpfungen aus den Menüs der Desktopumgebungen für diese Programme nicht mit firejail. Das lässt sich ebenfalls automatisch mit firecfg beheben:

    $ firecfg --fix

Dann scannt firecfg die .desktop-Dateien unter /usr/local/share/applications/ nach vollständigen Pfadangaben bei Exec= in den Startern von unterstützten Programmen, kopiert diese nach ~/.local/share/applications/ und trägt dort statt dem kompletten Pfad nur den Namen des binary ein. Nach anschließendem Aus- und Einloggen (bzw. Ausführen von r mittels Alt+F2 bei Gnome3) werden diese Anwendungen nun automatisch in einer Sandbox geöffnet.

Man kann sich anzeigen lassen welche Programme gerade von firejail in einer Sandbox ausgeführt werden:

    $ firejail --list

Oder man lässt sich auch sämtliche Subprozesse mit anzeigen:

    $ firejail --tree

Eigene Profile anlegen

Möchte man ein Profil abändern erstellt man den Ordner ~/.config/firejail/ und kopiert das entsprechende Profil von /etc/firejail/ in den erstellten Ordner ~/.config/firejail/. Man kann die Profile natürlich auch global in /etc/firejail/ editieren, aber die Änderungen könnten von Updates überschrieben werden.

Möchte man eigene Profile für Programme, für die kein Profil mitgeliefert wird, anlegen macht man dies am Besten unter ~/.config/firejail/$BINARYNAME.profile. Es bietet sich an ein neues Profil auf der Basis von /etc/firejail/default.profile aufzubauen.

Auf die Konfiguration von Profilen werde ich hier (noch?) nicht eingehen, da ich auch noch in der Einarbeitungsphase stecke. Deshalb gibt es hier auch "nur" einen Quickstart-Guide. firecfg --fix wird leider in den Blogbeiträgen, die ich bisher zum Theme gelesen habe, nicht erwähnt. Dummerweise habe ich es erst in der manpage gefunden nachdem ich das schon händisch erledigt hatte. 😄

Profile testen [Update 2017-02-25]

Mit der Option --audit lassen sich Profile auf mögliche Sicherheitslecks untersuchen. Ein einfacher Aufruf ohne weitere Parameter prüft das Defaultprofil:

    $ firejail --audit

Die vorhanden Profile lassen sich prüfen indem man einfach den Programmnamen übergibt:

    $ firejail --audit firefox

Mögliche Sicherheitslöcher werden von firejail dann folgendermaßen berichtet:

    UGLY: I can access files in /home/martin/.mozilla directory. Use "firejail --blacklist=/home/martin/.mozilla" to block it.

In dem fall ist es natürlich ok, dass firefox auf ~/.mozilla zugreifen darf. Findet man aber Zugriffe auf Ordner, die man global unterbinden möchte legt man eine Datei /etc/firejail/disable-common.local an und fügt dort einen blacklist Eintrag ein:

    # Lokale firejail blacklist
    blacklist ${HOME}/.gnupg
    blacklist ${HOME}/.mozilla
    blacklist ${HOME}/.thunderbird

Trotzdem sollte man die Programme die man mit firejail in den Berechtigungen einschränkt auch noch einzeln einem Audit unterziehen, da globale Einstellungen in den einzelnen Profilen wieder aufgehoben werden können.

Troubleshooting

Gnome-extensions AddOn im Firefox [Update 2016-12-03]

Heute fiel mir auf, dass ich keine Gnome-extensions mehr im Firefox installieren konnte. Ich konnte es lösen indem ich folgende Zeilen dem firefox.profile hinzugefügt habe:

    noblacklist ~/.local/share/gnome-shell/extensions/
    whitelist ~/.local/share/gnome-shell/extensions/

Das komplette Profil sieht nun so aus:

    # Firejail profile for Mozilla Firefox (Iceweasel in Debian)

    noblacklist ~/.mozilla
    noblacklist ~/.cache/mozilla
    noblacklist ~/.local/share/gnome-shell/extensions/
    include /etc/firejail/disable-common.inc
    include /etc/firejail/disable-programs.inc
    include /etc/firejail/disable-devel.inc

    caps.drop all
    netfilter
    nonewprivs
    noroot
    protocol unix,inet,inet6,netlink
    seccomp
    tracelog

    whitelist ${DOWNLOADS}
    mkdir ~/.mozilla
    whitelist ~/.mozilla
    mkdir ~/.cache/mozilla/firefox
    whitelist ~/.cache/mozilla/firefox
    whitelist ~/dwhelper
    whitelist ~/.zotero
    whitelist ~/.vimperatorrc
    whitelist ~/.vimperator
    whitelist ~/.pentadactylrc
    whitelist ~/.pentadactyl
    whitelist ~/.keysnail.js
    whitelist ~/.config/gnome-mplayer
    whitelist ~/.cache/gnome-mplayer/plugin
    whitelist ~/.pki

    # Gnome-Shell AddOn
    whitelist ~/.local/share/gnome-shell/extensions/

    # lastpass, keepassx
    whitelist ~/.keepassx
    whitelist ~/.config/keepassx
    whitelist ~/keepassx.kdbx
    whitelist ~/.lastpass
    whitelist ~/.config/lastpass


    #silverlight
    whitelist ~/.wine-pipelight
    whitelist ~/.wine-pipelight64
    whitelist ~/.config/pipelight-widevine
    whitelist ~/.config/pipelight-silverlight5.1

    include /etc/firejail/whitelist-common.inc

    # experimental features
    #private-etc passwd,group,hostname,hosts,localtime,nsswitch.conf,resolv.conf,gtk-2.0,pango,fonts,iceweasel,firefox,adobe,mime.types,mailcap,asound.conf,pulse

Erste Schritte mit YaCy

Sat, 15 Oct 2016 00:00:00 +0000

Angeregt durch diesen Artikel und diesen Blogpost habe ich etwas mit YaCy gespielt.

Was ist YaCy? Ich zitiere die YaCy-Homepage:

YaCy ist eine Suchmaschine bei dem die Nutzer selbst zum Betreiber werden. Die freie Suchmaschinensoftware YaCy läuft nicht auf einem Server im Internet, sondern auf Ihrem eigenen Rechner. So können Sie Ihr persönliches Suchportal errichten, bei dem nur Sie bestimmen was die Suchmaschine im Suchindex hat.

Die Besonderheit von YaCy ist aber, dass es sich mit den anderen Benutzern, die ebenfalls eine YaCy Suchmaschine betreiben, verbinden kann. So entsteht ein vollständig dezentrales Peer-to-Peer Suchmaschinennetz welches mit der Anzahl der Nutzer skaliert. Diese, von der Gemeinschaft der Nutzer betriebene Suchmaschine ist nicht zensierbar und speichert auch kein Nutzerverhalten an zentraler Stelle. Das Erreichen von Informationsfreiheit durch freie, dezentrale Suchsoftware ist auch ein Projektziel.

Das klingt ja alles recht nett also habe ich YaCy mal schnell auf meinem alten Laptop, welches mittlerweile als Server für diverse Dienste genutzt wird, installiert. Mein Server läuft mit Debian Stable (derzeit Jessie) und die Installation war nach dieser Anleitung kein Problem.

Auch die Einrichtung war mit Hilfe des Wiki kein Problem.

Lediglich zwei Sachen fielen mir beim Herumspielen bisher auf:

Der Crawler konnte meinen eigenen Blog nicht indizieren
Ich kann meine Installation derzeit nicht per https aufraufen (noch ungelöst)

Meine Webseite indizieren

Das erste Problem lag wohl daran, dass YaCy und meine Seite Probleme beim Schlüsselaustausch hatten: scraper cannot load URL: java.io.IOException: Client can't execute: Could not generate DH keypair duration=187 for url. Nach einiger Recherche fand ich hier eine für mich funktionierende Lösung:

Ich musste in der Datei /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/java.security die Zeile

    jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 768

folgendermaßen ändern:

    jdk.tls.disabledAlgorithms=SSLv3, RC4, DHE, MD5withRSA, DH keySize < 768

Danach habe ich als root YaCy neu gestartet und konnte auch meinen Blog indizieren:

    service yacy restart

Nebenwirkungen konnte ich bisher keine feststellen, kann ich aber natürlich auch nicht ausschließen. Ich persönlich vermute aber, dass diese veraltete Methode kaum noch eingesetzt wird.

HTTPS-Zugriff

Dieses Problem besteht derzeit noch, obwohl ich alles gemäß dem Wiki eingerichtet habe. Ich hoffe ich komme demnächst dazu hier etwas zu recherchieren und das Problem zu lösen. Laut YaCy ist https aktiviert, aber mit https://192.168.178.22:8443 kann keine Verbindung aufgebaut werden. Auch ein Portscan mit nmap zeigte nur die Ports der anderen installierten Dienste.

Falls jemand ein ähnliches Problem hatte und dies gelöst hat oder einen möglichen Ansatz weiß würde ich mich über Rückmeldungen freuen.

Code-Schnippsel: Backup über SSH mit rsync (2)

Sat, 24 Sep 2016 00:00:00 +0000

Seit meinem letzten Beitrag über mein Backup-Script ist schon wieder eine Weile vergangen und ich möchte hier mal wieder den aktuellen Stand protokollieren.

#! /bin/bash


#### Diese Variablen bitte auf die eigenen Bedürfnisse anpassen
BACKUP_PFADE="/home/martin /etc /root /usr/local"
                        # Pfade die gesichert werden sollen
ZIELPFAD=/mnt/backup    # Pfad auf dem Backupserver (ohne abschließenden /)
ZIEL_EXT=true       # true = Wechseldatenträger, false = interner Speicher
ANZAHL_TAGE=7           # Tägliches Backup für x Tage
BENUTZER=martin         # Benutzername auf dem Backupserver
SERVER=backup           # IP-Adresse oder Hostname des Backupservers
PORT=1418               # SSH-Port des Backupservers
MAC=88:ae:1d:31:cd:17   # MAC-Adresse des Servers für WOL
EXCLUDES="--exclude .cache/ \
--exclude cache/ --exclude Cache/"  # TODO: Elegantere Lösung finden 
HISTORY=/root/.backup_hist      # Protokoll-Datei
LISTE=/root/installed_packages.txt  # Speicherort für Liste der installierten Pakete


#### Don't touch this; domdididom
#### Ab hier bitte nichts anfassen, wenn du nicht sicher weißt was du tust
MONAT=$(date +%-m)
VORMONAT=$(expr $MONAT - 1)
HOST=$(hostname)

# Backup-Server bereit?
if  ! ping -c 1 $SERVER > /dev/null 
    then

    # Backup-Server hochfahren
    wakeonlan $MAC 1>/dev/null

    sleep 60

    if ! ping -c 1 $SERVER > /dev/null 
        then
        echo "Backup konnte nicht durchgeführt werden. Der Server war nicht erreichbar." \
        | mail -s 'Backup fehlgeschlagen!' $(whoami)@$HOST
        exit
    fi
fi

# Falls Zieldatenträger Wechselplatte, diese einhängen
if $ZIEL_EXT
    then
    ssh -p $PORT $BENUTZER\@$SERVER "sudo mount $ZIELPFAD" >/dev/null

    # Datei CURRENT zur Protokollierung der aktiven Backups existiert?
    if ! ssh -p $PORT $BENUTZER\@$SERVER stat $ZIELPFAD/CURRENT \> /dev/null 2\>\&1
            then
            ssh -p $PORT $BENUTZER\@$SERVER "touch $ZIELPFAD/CURRENT && echo "0" > $ZIELPFAD/CURRENT"
    fi

    # CURRENT auslesen und inkrementieren
    CURRENT=$(ssh -p $PORT $BENUTZER\@$SERVER "cat $ZIELPFAD/CURRENT")
    CURRENT=$(echo "$CURRENT + 1" | bc)
    ssh -p $PORT $BENUTZER\@$SERVER "echo $CURRENT > $ZIELPFAD/CURRENT"

fi

# Link 0 -> 12 (für Link auf letztes Backup im Januar) existiert?
if ! ssh -p $PORT $BENUTZER\@$SERVER stat $ZIELPFAD/$HOST/0 \> /dev/null 2\>\&1
    then
    ssh -p $PORT $BENUTZER\@$SERVER "ln -s $ZIELPFAD/$HOST/12 $ZIELPFAD/$HOST/0"
fi

# Bei Problemen zu Testzwecken auskommentieren
# ssh -v -p $PORT $BENUTZER@$SERVER /bin/true

# Eine Liste der installierten Pakete erstellen
dpkg --get-selections > $LISTE

# Backup per rsync
for PFAD in $BACKUP_PFADE
do
    rsync -az --delete-excluded $EXCLUDES --rsync-path='sudo rsync' --rsh="ssh -p $PORT" \
    --link-dest=../$VORMONAT $PFAD $BENUTZER@$SERVER:$ZIELPFAD/$HOST/$MONAT
done

# Erstellen von Snapshots der letzten x Tage
ssh -p $PORT $BENUTZER\@$SERVER "sudo rm -rf $ZIELPFAD/$HOST/daily.$ANZAHL_TAGE"

if [ $ANZAHL_TAGE -gt 1 ]
    then

    for (( ANZAHL=$ANZAHL_TAGE ; ANZAHL >= 2 ; ANZAHL-- ))
    do
        ssh -p $PORT $BENUTZER\@$SERVER \
        "sudo mv $ZIELPFAD/$HOST/daily.$(expr $ANZAHL - 1) $ZIELPFAD/$HOST/daily.$ANZAHL"
    done
fi

if [ ! $ANZAHL_TAGE -eq 0 ]
    then
    ssh -p $PORT $BENUTZER\@$SERVER "sudo mv $ZIELPFAD/$HOST/daily.latest $ZIELPFAD/$HOST/daily.1"
    ssh -p $PORT $BENUTZER\@$SERVER "sudo cp -al $ZIELPFAD/$HOST/$MONAT $ZIELPFAD/$HOST/daily.latest"
fi

# Falls Zieldatenträger Wechselplatte, diese aushängen sofern kein weiteres Backup aktiv ist (Variable Current)
if $ZIEL_EXT
        then
    CURRENT=$(ssh -p $PORT $BENUTZER\@$SERVER "cat $ZIELPFAD/CURRENT")
    if [ $CURRENT -eq 1 ]
        then
        ssh -p $PORT $BENUTZER\@$SERVER "echo "0" > $ZIELPFAD/CURRENT"
            ssh -p $PORT $BENUTZER\@$SERVER "sudo umount $ZIELPFAD" >/dev/null
        else
        CURRENT=$(echo "$CURRENT - 1" | bc)
                ssh -p $PORT $BENUTZER\@$SERVER "echo "$CURRENT" > $ZIELPFAD/CURRENT"
    fi 
fi

# Datum und Uhrzeit des Backups protokollieren
date >> $HISTORY

Das Script sorgt dafür, dass mein home /home/martin, sowie /etc und /usr/local/bin gesichert werden.

Ich habe auch eine Rotation eingebaut, die mir erlaubt auf einen Snapshot der letzten 7 Sicherungen zuzugreifen und es werden Snapshots der letzten 11 Monate aufbewahrt.

Durch Nutzung von Hardlinks reduziere ich den Speicherplatzverbauch auf ein Minimum.

Das Script ist darauf ausgelegt den Backup-Server per WOL aufzuwecken, eine externe Festplatte zu mounten und das Backup durchzuführen. Das mag ein recht spezifisches Setup sein, aber vielleicht kann es ja mal jemand brauchen oder zumindest Teile davon für eigene Scripte recyclen.

Dieses Script wird einmal täglich von anacron aufgerufen und sorgt dafür, dass ich mich nicht mehr bewusst um Backups kümmern muss.

Angefangen hat das Script als einfaches rsync-Kommando das mein Home-Verzeichnis /home/martin per SSH auf eine USB-Festplatte auf meinem Server kopiert hat. Mit der Zeit habe ich aber immer mehr Verbesserungen vorgenommen und es ist eine recht gute Backup-Lösung geworden.

Mein Blog und der Datenschutz

Fri, 26 Aug 2016 00:00:00 +0000

Ich bin heute über einen Link auf das interessante Tool Webbkoll aufmerksam geworden.
Webbkoll ist ein Open-Source-Tool mit dem man die eigene Homepage, und auch andere, auf Datenschutzkonformität überprüfen kann. Da das Tool OpenSource ist kann der Quellcode eingesehen werden und man kann das Tool auch auf dem eigenen Webspace/Server installieren. Ich habe die bequeme Variante vorgezogen die Onlineversion des Entwicklers zu nutzen.

Das Tool überprüft die Verwendung externer Ressourcen und bewertet sie danach ob sie in der Blockliste von Disconnect vorkommen, ob die Seite über HTTPS ausgeliefert wird, HSTS genutzt wird, Drittpartie-Cookies gesetzt werden und einiges mehr.

Mein Ergebnis sah gar nicht so schlecht aus aber ließ sich durch Abschalten der referrer noch verbessern, d.h. es wird Seiten nicht mehr mitgeteilt, dass ihr von hier kommt wenn ihr einem Link folgt (es sei denn ihr nutzt einen veralteten Browser der dies noch nicht unterstützt).
Auch habe ich Piwik nicht mehr auf dieser Seite in Betrieb. Piwik ist zwar quelloffen und somit für interessierte Personen mit der nötigen Kompetenz überprüfbar und auch lokal gehosted (d.h. es werden keine Daten an Google oder sonstige Firmen übermittelt), aber da mir der Datenschutz wichtig ist habe ich es deaktiviert. Piwik wurde von Webbkoll übrigens nicht negativ bewertet, aber ich habe die Überprüfung mal als Denkanstoß genommen und Piwik entfernt.

Ich habe auch HSTS auf diesem Blog aktiviert, d.h. Browser merken sich, dass dieser Blog über HTTPS erreichbar ist und werden in Zukunft nicht mehr versuchen unverschlüsselt zuzugreifen.

Webbkoll zeig HSTS zwar weiterhin als nicht aktiv an, aber mein SSL-Labs Ranking hat sich durch diese Maßnahme von A auf A+ verbessert. Vermutlich wird HSTS von Webbkoll erst gewürdigt wenn man die Seite in eine Liste eintragen lässt, die mit allen gängigen Browsern ausgeliefert wird. Ist man in dieser Liste vertreten wird jeder Browser, der sie ausliefert, sofort eine HTTPS-Verbindung zur Seite aufbauen, auch wenn die Seit explizit mit http:// aufgerufen wurde.

Wie schneidet eure Seite ab? Hosen runter! :D

Kommentarfunktion wieder aktiv

Sat, 20 Aug 2016 00:00:00 +0000

Ich hatte seit längerem Probleme mit meinem Kommentarsystem aber seit heute kann wieder fleißig kommentiert werden.

Ich möchte jedem das Kommentarsystem Isso nahe legen, der bisher Disqus oder ähnliches nutzt. Seit meinem Umstieg auf den statischen Bloggenerator Acrylamid nutze ich Isso, da ich keinen externen Kommentardienstleister nutzen möchte und ein statisches Kommentarsystem zu aufwändig und träge ist.
Auf Uberspace war die Einrichtung ein Kinderspiel und ich konnte sogar ohne größere Probleme meine alten Kommentare von Wordpress importieren. :)

Runalyze unter freier Lizenz

Sat, 20 Aug 2016 00:00:00 +0000

Ich habe hier und hier schon Runalyze vorgestellt. Da ich damals noch kritisierte, dass Runalyze als OpenSource bezeichnet wurde aber noch keine Lizenz gewählt hatte möchte ich nun darauf hinweisen, dass Runalyze seit einiger Zeit eine Lizenz gewählt hat: AGPL.

Runalyze ist ein sehr schönes Tool um Statistiken über sportliche Aktivitäten auszuwerten, was mich daran erinnert, dass ich wieder mehr Radfahren sollte.

SailfishOS: Übersicht über Pakete aus OpenRepos

Sat, 20 Aug 2016 00:00:00 +0000

Seit ich Sailfish nutze habe ich auch viele Pakete per Warehouse aus OpenRepos installiert. Nach einiger Zeit hatte ich so einige Repos aktiviert und keinerlei Überblick mehr, aus welchen Repos ich welche App installiert hatte und ob nicht einige Repos aktiviert sind obwohl ich keinerlei App mehr aus diesen beziehe. Nach ein paar hilfreichen Antworten bei TJC und etwas rumprobieren fand ich eine Lösung.

Damit der Befehl funktioniert muss zypper installiert sein:

pkcon install zypper

Wurde zypper erfolgreich installiert kann man sich als root mit folgendem Script die aktivierten Repos und deren installierte Apps anzeigen lassen:

for REPO in $(ssu lr | awk '/openrepos/ {print $2}') 
do echo -e "$REPO:\n"; zypper search -i -r $REPO; echo -e "\n\n"
done

Bzw. als Einzeiler zum Einfügen per Copy&Paste:

for REPO in $(ssu lr | awk '/openrepos/ {print $2}'); do echo -e "$REPO:\n"; zypper search -i -r $REPO; echo -e "\n\n"; done

Ich habe mir nun auch zwei Scripte zum Deaktivieren und Reaktivieren aller Repos aus OpenRepos angelegt.
Deaktivieren:

#! /bin/bash

ssu lr | awk '/openrepos/ {print $2}' > /home/nemo/repo.list
for REPO in $(cat /home/nemo/repo.list); do ssu dr $REPO; done

Aktivieren:

#! /bin/bash

for REPO in $(cat /home/nemo/repo.list); do ssu er $REPO; done

Kurztipp: Tracking Protection im Firefox dauerhaft aktivieren

Fri, 17 Jun 2016 00:00:00 +0000

Mittlerweile enhält der beliebte Browser Firefox eine Funktion zum Blockieren von Trackern. Standardmäßig ist diese nur im privaten Modus aktiviert, lässt sich jedoch recht einfach dauerhaft aktivieren. Dazu muss man lediglich about:config in die Adresszeile eingeben und dort den Wert privacy.trackingprotection.enabled auf true setzen.

Ein netter Nebeneffekt ist, dass damit auch die meiste Werbung blockiert wird. Mozilla liefert also mit dem Tracking-Schutz quasi einen Werbeblocker mit.

Firefox greift auf die Listen der bekannten Erweiterung Disconnect zurück.

Sailfish OS: App schließen durch Wischen von oben

Fri, 11 Sep 2015 00:00:00 +0000

Seit dem Update auf Sailfish 1.1.9.28 fehlte mir eine Funktion, die ich häufig benutzte. Das Schließen einer App durch Wischen von oben nach unten. Statt die App zu schließen wurde nun eine Auswahl der Ambiente eingeblendet. Da ich selten Ambiente wechsle aber häufig Apps, die ich nur selten benötige, komplett schließen und nicht minimieren möchte hat mich diese Änderung sehr gestört.

Jetzt habe ich festgestellt, dass die Funktion zum Glück nicht komplett abgeschafft wurde sondern konfigurierbar ist und das neue Verhalten nach dem Update als Standard eingestellt ist.

Möchte man das alte Verhalten wieder einstellen muss man lediglich in den Einstellungen unter System -> Gesten die Option Schnelles Schließen der App aktivieren.

Erneute Empfehlung: Runalyze

Sun, 26 Jul 2015 00:00:00 +0000

Ich habe Runalyze zwar hier schon mal vorgestellt, aber ich möchte heute noch mal darauf hinweisen.

Mittlerweile hat man Blog durch diverse Planeten eine höhere Reichweite und die Wahrscheinlichkeit, dass jemand, für den Runalyze von Nutzen ist, darauf aufmerksam wird ist höher.
Außerdem habe ich dieses Jahr wieder angefangen Rad zu fahren und nutze dadurch Runalyze intensiver.

Runalyze wurde primär von Läufern für Läufer entwickelt, aber kann auch für andere Sportarten verwendet werden. Ich nutze es um Mountainbike-Fahrten, Schwimmen und Hanteltraining zu erfassen.
Vor Runalyze habe ich Endomondo verwendet, aber mir ist es doch lieber die Daten auf meinem Webspace zu speichern als bei einem externen Dienstleister. Bei einem Vergleich vor kurzem empfand ich Endomondo auch als etwas unübersichtlich und die Möglichkeiten zur Auswertung von Runalyze deutlich überlegen.
Das ist natürlich subjektiv und andere mögen das anders sehen, aber die Entwickler von Runalyze gehen auch häufig auf Nutzerwünsche ein, die bei Github geäußert werden.

Wer keinen eigenen Server oder Webspace hat kann Runalyze auch auf in der Online-Version auf deren Server nutzen.

Ich persönlich finde Runalyze hervorragend und die umfassenden Möglichkeiten sein Training auszuwerten sind sehr interessant und wirken auf mich motivierend am Ball zu bleiben. :)

Ein kleines Manko gibt es leider noch: Die Entwickler bezeichnen Runalyze als Open Source Software haben aber noch keine konkrete Lizenz gewählt.

Hier mal die Kurzversion meiner heutigen MTB-Runde (Trainingsdetails sind nicht öffentlich):

[runalyze.com](https://runalyze.com/){.runalyze-emb-runalyze}**67,6 km
Radfahren** 26.07.2015\

``` {.runalyze-emb-infos}
[3:10:28]{.runalyze-emb-time}[21,3 km/h]{.runalyze-emb-pace}[650
hm]{.runalyze-emb-elev}

{.runalyze-emb-share}

Flash: Lasst es endlich sterben

Tue, 14 Jul 2015 00:00:00 +0000

Flash war ja schon immer recht häufig von Sicherheitslücken betroffen, aber in letzter Zeit häufen sich die Security Advisories für den Flash-Player extrem (u.a. durch die Hacking Team-Geschichte).

Nicht nur die Sicherheitslücken sprechen gegen Adobes Flash, auch die Instabilität. Gut das mag jetzt subjektiv sein, aber bei allen Browserabstürzen oder -hängern auf meinen Rechnern in den letzten Jahren wurde gerade ein Video in einem Flashplayer wiedergegeben.

Besonders schlimm finde ich das, da es mit HTML5 eine Alternative zum Einbinden von Videos gibt (dafür wird Flash ja meistens genutzt). Also bitte nutzt die Möglichkeiten von HTML5 und bindet Videos darüber ein. Natürlich bitte mit einem freien Codec.

Interessant finde ich auch folgendes:
Deaktiviert man den Flashplayer, lässt aber das PlugIn installiert bringen viele Seiten eine Fehlermeldung und man kann das Video nicht sehen. Deinstalliert man das PlugIn wird man plötzlich auf eine HTML5-Version weitergeleitet und kann das Video sehen.
Manche Seiten verweigern aber auch dann noch die Wiedergabe des Videos. Schwindelt man den Seiten aber mit einem Browser-AddOn, wie beispielsweise User Agent Overrider, vor mit einer anderen Kombination aus Browser und Betriebssystem unterwegs zu sein, können auch diese Seiten häufig Videos über HTML5 wiedergeben. Meiner Erfahrung nach klappt das meistens mit einem Browserstring der Kombination iOS / Safari.
Ich finde es sinnlos und dreist viele User dazu zu gängeln eine instabile, proprietäre Software zu installieren, die auch noch häufig gravierende Sicherheitsmängel aufweist obwohl es eine Alternative gibt und man diese sogar implementiert hat. Warum kann man die Seitenbesucher, die den Flash-Player deaktiviert oder deinstalliert haben nicht einfach auf die vorhandene HTML5-Lösung umleiten? Warum muss man dazu erst vorgeben mit einem iPhone oder iPad unterwegs zu sein?

upgrade-system - gefällt mir nicht

Wed, 08 Jul 2015 00:00:00 +0000

Über diesen Thread wurde ich auf upgrade-system aufmerksam. Die Idee ist ja ganz nett, wie folgender Auszug aus der man-page belegt:

upgrade-system is an APT front-end that simplifies regular upgrading of Debian systems, only requiring an administrator's intervention whenever updated packages necessitate the configuration of new features.

The command sequentially performs the following operations:

Synchronize the list of available Debian packages.

Upgrade all installed packages to their newest versions.

Recursively uninstall all obsolete package dependencies.

Clean retrieved archives off the APT cache.

Upgrade-system will also folgende Schritte übernehmen:

apt-get update (Informationen über neue Pakete einholen)
apt-get dist-upgrade (Pakete aktualisieren)
Unnötige Pakete entfernen (via deborphan
apt-get autoclean (veraltete Paketversionen aus dem Cache entfernen)

Klingt eigentlich recht gut, aber die Verwendung von deborphan hat bei mir dazu geführt, dass Pakete entfernt werden sollten, die ich definitiv behalten möchte. Ich wollte mir mit einem

apt-mark manual $(deborphan)

behelfen, aber das änderte nichts. Auch das Rumspielen mit den deborphan-Optionen in /etc/upgrade-system.conf brachte nichts.

Aus meiner Sicht also eine nette Idee, aber ich bleibe weiterhin bei meinem alias in der Shell:

    alias upd="apt update && apt dist-upgrade -y && apt-get --purge autoremove"

CD-Ripper morituri: Falsche Dateirechte

Sat, 27 Jun 2015 00:00:00 +0000

Ich nutze derzeit zum Rippen von CDs morituri, doch leider fiel mir auf, dass die von morituri erstellten Dateien nicht die Rechte erhielten, die ich bei umask in der /etc/login.defs eingestellt hatte. In meinem Fall hatten die Dateien die Rechte -rw--wxrwx statt, wie gewünscht, -rw-r-----.
Die Lösung fand ich in diesem Bugreport: Es genügt in der Datei /usr/lib/python2.7/dist-packages/morituri/program/cdparanoia.py die Zeile

    self.file_mode = 0666 - umask

folgendermaßen abzuändern:

    self.file_mode = 0666 & ~ umask

Kurztipp: Audiodateien umkodieren

Mon, 06 Apr 2015 00:00:00 +0000

Ich rippe meine Audio-CDs ja mittels morituri als flac auf die Festplatte. Leider kann mein Autoradio keine flac-Dateien abspielen und ich muss diese zu mp3 umkodieren. Dabei ist das Script pacpl sehr hilfreich:

    pacpl --to mp3 -p -r --bitrate 320 --outdir /home/martin/mp3 /home/martin/Musik

Mit --to mp3 gebe ich das Zielformat und über --bitrate die Bitrate an. Andere Formate (flac, ogg etc.) werden also in mp3-Dateien mit 320kbps umgewandelt. Über -p (--preserve) wird festgelegt, dass die Ordnerstruktur im Zielordner, der des Quellordners entspricht. -r sorgt dafür, dass das Quellverzeichnis rekursiv durchsucht wird und alle Musikdateien umgewandelt werden, nicht nur die Dateien, die sich direkt im Quellverzeichnis befinden.

Mit diesem Befehl sorge ich also dafür, dass meine Musiksammlung unter /home/martin/Musik noch mal als mp3 unter /home/martin/mp3 abgelegt wird.

Weiter Informationen können dem UU-Wiki oder der manpage entnommen werden.

Update 2016-08-26

Später fiel mir auf, dass pacpl mir die UTF8-Kodierung innerhalb der tags kaputt gemacht hat. Mit mid3iconv aus dem Paket python-mutagen konnte ich dies folgendermaßen reparieren:

    find . -name "*.mp3" -print0 | xargs -0 mid3iconv -e UTF8 -d

Kurztipp: Versionsüberprüfung für Extensions der Gnome Shell deaktivieren

Thu, 26 Mar 2015 00:00:00 +0000

Ich hatte desöfteren den Fall, dass Extensions für die Gnome Shell nicht für neue Gnome3-Versionen aktualisiert wurden. Bisher hatte ich Glück und die Extensions funktionierten auch alle mit den neueren Versionen, ich musste lediglich die aktuelle Version als unterstützt in die Datei ~/.local/share/gnome-shell/extensions/*EXTENSION_ORDNER*/metadata.json eintragen.
Heute habe ich bei Pro-Linux einen Kommentar gesehen, wie man die Versionsprüfung dauerhaft abschaltet. Dazu benötigt man den ab Jessie verfügbaren dconf-editor und wählt dort unter org → gnome → shell die Option disable-extension-version-validation an.

Natürlich gibt es auch hier keine Garantie, dass die Extension unter höheren Versionen arbeitet, wenn sie nicht offiziell dafür freigegeben ist, aber ich hatte diesen Fall bisher noch nicht.

Empfehlung: CD-Ripper morituri

Wed, 25 Mar 2015 00:00:00 +0000

Um CDs möglichst fehlerfrei zu rippen wird immer das Programm Exact Audio Copy (EAC) empfohlen, welches leider nur für Windows verfügbar ist. Bisher habe ich unter Linux Rubyripper verwendet und war sehr zufrieden. Rubyripper funktioniert zwar noch, wird aber nicht mehr weiterentwickelt. Um nicht irgendwann ohne ordentlichen CD-Ripper auskommen zu müssen habe ich mich nach Alternativen umgesehen und bin auf morituri gestoßen.
Morituri hat in den letzten Monaten bei mir sehr gute Arbeit geleistet, weshalb ich das Programm allen ans Herz legen möchte, die Wert auf einen fehlerfreien Rip legen. Installieren kann man morituri unter Debian aus den offiziellen Quellen.

Da ich nicht täglich CDs umwandle und mir die Syntax zum Ändern der Standardpfade nicht merken möchte habe einen alias für folgenden Befehl angelegt:

    rip cd rip --offset=6 --output-directory="/home/martin/Musik/" --track-template="%A/%y - %d/%t - %n" --disc-template="%A/%y - %d/%y - %d" --working-directory="/tmp/"

[Update 28.03.2015]

Dabei bedeutet rip cd rip, dass ich die CD rippen und das Datei- und Ordnerschema über Templates festlegen möchte. Aus der manpage:

rip cd rip

rip CD

Usage: rip cd rip

Rips a CD.

Tracks are named according to the track template, filling in the variables and adding the file extension.

Mit --offset=6 gebe ich den Offset meines CD-Laufwerks an. Diesen habe ich zuvor per rip offset find von morituri herausfinden lassen.

--output-directory="/home/martin/Musik/" legt fest in welchem Ordner ich meine Musikdaten anlegen möchte.

Durch --track-template="%A/%y - %d/%t - %n" bestimme ich die Namenskonvention meiner Musikdateien und mittels --disc-template="%A/%y - %d/%y - %d" die des Cuesheets, der Playlist und der Logdatei.

Die einzelnen Parameter kann man wieder der manpage entnehmen:

Tracks are named according to the track template, filling in the variables and adding the file extension. Variables exclusive to the track template are:

%t: track number

%a: track artist

%n: track title

%s: track sort name

Disc files (.cue, .log, .m3u) are named according to the disc template, filling in the variables and adding the file extension. Variables for both disc and track template are:

%A: album artist

%S: album sort name

%d: disc title

%y: release year

%r: release type, lowercase

%R: Release type, normal case

%x: audio extension, lowercase

%X: audio extension, uppercase

Mit --working-directory="/tmp/" gebe ich lediglich an, dass die temporären Dateien in /tmp/ gespeichert werden sollen. Da ich /tmp/ im RAM liegen habe, erspare ich mir hierdurch unnötige Festplattenzugriffe.

Hier ein Beispiel für die Ordner- und Dateistruktur, die ich mit diesem alias erhalte:

    ls ~/Musik/Metallica/1988\ -\ …and\ Justice\ for\ All   
    01 - Blackened.flac               05 - The Shortest Straw.flac         09 - Dyers Eve.flac            
    02 - ...and Justice for All.flac  06 - Harvester of Sorrow.flac        1988 - …and Justice for All.cue
    03 - Eye of the Beholder.flac     07 - The Frayed Ends of Sanity.flac  1988 - …and Justice for All.log
    04 - One.flac                     08 - To Live Is to Die.flac          1988 - …and Justice for All.m3u

[Update 2015-06-27]

Morituri erstellt die Dateien mit falschen Berechtigungen: Lösung

[Update 2017-08-31]

Anscheinend ist die Weiterentwicklung von morituri eingeschlafen, aber es gibt einen Fork namens whipper der aktiv weiter entwickelt wird. Leider gibt es derzeit kein Debianpaket.

Sailfish: Bilder automatisch zur Owncloud hochladen

Thu, 05 Mar 2015 00:00:00 +0000

Unter Android habe ich die Owncloud-App einzig zu dem Zweck genutzt meine Bilder automatisiert in meine Owncloud hochzuladen, wenn ich eine WLAN-Verbindung hatte. Diese Funktion vermisse ich derzeit bei meinem Jolla. Es gibt zwar eine Owncloud-App, aber diese hat wohl diese Funktion nicht und außerdem habe ich es noch nicht geschafft mich einzuloggen. Hier kommt mir entgegen, dass Sailfish OS ein Linux ist und sogar standardmäßig SSH und rsync an Board hat.

Ich habe mein Jolla nun so automatisiert, dass es meine Bilder bei WLAN-Verbindung automatisch in den Owncloud-Ordner auf meinem uberspace hochlädt, den zuvor die Android-App benutzt hat. Dazu habe ich zuerst ein SSH-Schlüsselpaar erstellt:

    ssh-keygen

Den öffentlichen Schlüssel findet man nun in /home/nemo/.ssh/id_rsa.pub und muss ihn auf dem uberspace in die Datei /home/USER/.ssh/authorized_keys anhängen, wobei USER hier und im folgenden durch den eigenen Benutzernamen auf uberspace ersetzt werden muss.

Hier habe ich eine Anleitung gefunden, wie man einen automatischen Upload bei vorhandener WLAN-Verbindung startet und leicht auf meine Bedürfnisse angepasst.

Man legt auf dem Jolla die Datei ~/.config/systemd/user/backup.path mit diesem Inhalt an:

    [Unit]
    Description=Checks if paths changed or contain new images.

    [Path]
    PathChanged=%h/Pictures/Camera

    [Install]
    WantedBy=default.target

Danach legt man die Datei ~/.config/systemd/user/backup.service und trägt folgendes ein:

    [Unit]
    Description=Backs up files

    [Service]
    ExecStart=/home/nemo/backup.sh

Schließlich muss man natürlich das eigentliche Script /home/nemo/backup.sh anlegen:

#!/bin/sh

# Check if we're on wlan
if [ $(ifconfig | grep -o wlan0) ]; then
    echo "WLAN used"
    # Start backup using rsync
    /usr/bin/rsync /home/nemo/Pictures/Camera/ -a USER@DOMAIN:/home/USER/html/owncloud/data/OWNCLOUD_USER/files/SofortUpload/
else
    echo "No WLAN"
    if [ -e /tmp/backup.lock ]; then
        echo "Another script is already waiting for WLAN to sync."
        exit 0
    else
        # Wait for WLAN to come back
        touch /tmp/backup.lock
        until [ $(ifconfig | grep -o wlan0) ]; do
            echo "Still no WLAN"
            sleep 300
        done
        /usr/bin/rsync /home/nemo/Pictures/Camera/ -a USER@DOMAIN:/home/USER/html/owncloud/data/OWNCLOUD_USER/files/SofortUpload/
        rm /tmp/backup.lock
    fi
fi

exit

Nun wird das Script wird per

    chmod +x /home/nemo/backup.sh

ausführbar gemacht. Bei den beiden rsync-Aufrufen sind natürlich Benutzer, Domain, Owncloud-Benutzer und gewünschter Zielpfad anzupassen. Über sleep wird das Intervall in Sekunden eingestellt, in dem abgefragt wird ob WLAN vorhanden ist wenn Bilder ohne WLAN-Verbindung geschossen wurden.

Abschließend kann man das Script zum testen manuell ausführen

    systemctl --user start backup.path

und wenn alles funktioniert aktivieren:

    systemctl --user enable backup.path

XMPP (Jabber) in Sailfish aktivieren

Wed, 04 Mar 2015 00:00:00 +0000

Ich habe mich die ganze Zeit gewundert, wie wohl die Einbindung von XMPP in Sailfish funktioniert, da ich ein Konto angelegt habe, dann aber nirgends etwas davon gesehen habe. Ich finde die Aktivierung etwas versteckt, deshalb möchte ich hier kurz beschreiben wie man XMPP in Sailfish aktiviert.\

Zuerst legt man unter Einstellungen -> Konten ein Konto für XMPP an und trägt die jeweiligen Benutzerdaten ein.

Danach habe ich mich gewundert, wo ich denn nun meinen Onlinestatus und meine Kontakte sehe. Um mit dem XMPP-Account online zu gehen muss man das Benachrichtigungsfeld öffnen (unten von außerhalb nach oben wischen) und Statusinformationen anzeigen auswählen.

Dort wählt man dann Verfügbar und die Verbindung wird hergestellt.

Nachrichten kann man dann über die SMS-Funktion schreiben. Leider ist die Integration in Sailfish OS noch nicht perfekt:

Kontakte können nicht aus Sailfish hinzugefügt werden
Es werden nur die Kontakte angezeigt, die schon auf dem Server vorhanden sind (keine Kontakte aus den CardDAV-Kontakten im Adressbuch)
OTR-Verschlüsselung ist nicht möglich

Kurztipp: Webcam-Modul beim Systemstart entladen

Thu, 19 Feb 2015 00:00:00 +0000

Ich führe nie Videochats durch und benutze die integrierte Webcam meines Laptops nie. Damit nicht irgendwelche Programme ohne mein Wissen auf die Webcam zugreifen können habe ich nun beschlossen das Modul automatisch beim Systemstart zu entladen. Dazu fügt man folgende Zeile (irgendwo vor exit 0) in die Datei /etc/rc.local ein:

    modprobe -r uvcvideo

Ganz paranoide können die Webcam natürlich auch einfach abkleben. ;o)

Acer C720: Trackpad-Unterstützung in Debian Jessie

Fri, 13 Feb 2015 00:00:00 +0000

Bisher habe ich die Kernel mit Touchpad-Unterstützung für das Acer C720 selbst bauen müssen und diese hier der Allgemeinheit zur Verfügung gestellt. Mittlerweile wird das Trackpad auch vom Kernel in Debian Jessie unterstützt, wie man diesem Bugreport entnehmen kann. Ich habe den Kernel gerade installiert und kann bestätigen, dass das Touchpad funktioniert.
Aus diesem Grund wird es hier keine weiteren Kernel für das C720 geben und ich empfehle jedem auf den Distributions-Kernel umzusteigen. Das Touchpad funktioniert ab dieser Kernel-Version in Debian:

    $apt-cache policy linux-image-3.16.0-4-amd64
    linux-image-3.16.0-4-amd64:
      Installiert:           3.16.7-ckt4-3
      Installationskandidat: 3.16.7-ckt4-3
      Versionstabelle:
     *** 3.16.7-ckt4-3 0
            900 http://ftp.debian.org/debian/ jessie/main amd64 Packages
            100 /var/lib/dpkg/status

Ich finde es toll, dass Debian in diesem Fall so pragmatisch war und die Unterstützung aus dem 3.17er Kernel in den 3.16er übernommen hat, da man gemäß den Debian-Richtlinien sonst über den kompletten Lebenszyklus von Jessie auf selbstkompilierte Kernel zurückgreifen gemusst hätte.

Kurztipp: needrestart

Sat, 07 Feb 2015 00:00:00 +0000

Ich habe hier bereits das Programm checkrestart erwähnt. Mittlerweile habe ich die bessere Alternative needrestart entdeckt. Needrestart wird automatisch nach Paketinstallationen aufgerufen und bietet die Möglichkeit die Dienste direkt neuzustarten.

Kurztipp: SSH als Proxy nutzen

Sat, 07 Feb 2015 00:00:00 +0000

Wenn man mal schnell einen Tunnel benötigt, kann man das auch über SSH erledigen. Dazu muss man sich lediglich mit der Option -D PORT zum SSH-Server verbinden:

    ssh -D 5000 nutzer@example.com

Danach trägt man localhost und den gewählten Port als SOCKS-Rechner ein. Hier ein Beispiel für den Networkmanager von Gnome:

Man darf natürlich nicht vergessen dies als Proxy in den jeweiligen Anwendungen zu konfigurieren, z.B. im Firefox "Proxy-Einstellungen des Systems verwenden" auszuwählen.
Möchte man lediglich im Firefox den Proxy verwenden kann man natürlich auch die Netzwerkkonfiguration überspringen und den Server direkt im Firefox eintragen.

Acer C720: Debian Kernel 3.18.4

Tue, 27 Jan 2015 00:00:00 +0000

Update auf 3.18.4: Kernel, Kernel-Headers

    md5sum linux-image-3.18.4-c720_20150127_amd64.deb 
    2645b03d2b2b56b5907d7d1798836580  linux-image-3.18.4-c720_20150127_amd64.deb

    md5sum linux-headers-3.18.4-c720_20150127_amd64.deb 
    98ef51bd177a0ed6c92de9496a280fd3  linux-headers-3.18.4-c720_20150127_amd64.deb

Acer C720: Debian Kernel 3.18.3

Thu, 22 Jan 2015 00:00:00 +0000

Heute gibt es mal wieder ein Kernel-Update für das Acer C720. Der Kernel 3.18.3 kann hier heruntergeladen werden.
Aufgrund einiger Nachfragen habe ich diesmal auch ein Paket für die Kernel-Headers gebaut, das hier heruntergeladen werden kann.

    md5sum linux-image-3.18.3-c720_20150122_amd64.deb 
    8b24c48d7535927450600f6a75ba0e6f  linux-image-3.18.3-c720_20150122_amd64.deb

    md5sum linux-headers-3.18.3-c720_20150122_amd64.deb 
    3b6936eb8b69a3159d9e85af8dc9e16f  linux-headers-3.18.3-c720_20150122_amd64.deb

Kurztipp: Taschenrechner in der Gnome-Shell

Wed, 21 Jan 2015 00:00:00 +0000

Mir fiel gerade durch Zufall auf, dass Gnome3 eine nette Funktion mitbringt. Bei installiertem Gnome-Calculator können einfache Rechenaufgaben durchgeführt werden ohne diesen öffnen zu müssen. Man öffnet einfach die Aktivitäten-Ansicht per Super-Taste (aka Windows-Taste) und tippt los. :)

Acer C720: Debian Kernel 3.18.1

Thu, 18 Dec 2014 00:00:00 +0000

Heute gibt es mal wieder ein Update für das Acer C720. Der Kernel 3.18.1 kann hier heruntergeladen werden.

    md5sum linux-image-3.18.1-c720_20141218_amd64.deb 
    e406ac505fbf480f001e37350ede8510  linux-image-3.18.1-c720_20141218_amd64.deb

    sha1sum linux-image-3.18.1-c720_20141218_amd64.deb 
    e4517e660ba83b64e7af934023195bb6232d03c3  linux-image-3.18.1-c720_20141218_amd64.deb

Acer C720: Debian Kernel 3.17.5

Sun, 07 Dec 2014 00:00:00 +0000

Der aktuelle Kernel für das C720 steht wieder hier zum Download bereit.

    md5sum linux-image-3.17.5-c720_20141207_amd64.deb 
    c535a14e721d01ba8ac7433680234e68  linux-image-3.17.5-c720_20141207_amd64.deb

    sha1sum linux-image-3.17.5-c720_20141207_amd64.deb 
    ac69b2de40c4fcb759bcd1a4996ff53cb4d34f99  linux-image-3.17.5-c720_20141207_amd64.deb

Kernel kompilieren für Anfänger

Thu, 20 Nov 2014 00:00:00 +0000

In meiner (über) 10-jährigen Karriere als Linux-Anfänger kam ich mittlerweile häufiger in die Situation einen Kernel selbst kompilieren zu müssen. Es kam vor, dass Hardware erst ab einer neueren Version, als in den Distributions-Quellen vorhanden, unterstützt wurde, oder dass im Upstream-Kernel bestimmte Patches noch nicht integriert wurden (wie z.B. beim Touchpad für das Acer C720).
Anleitungen gibt es zwar viele, aber häufig bekam ich trotzdem keinen bootbaren Kernel heraus. Das Kompilieren eines eigenen Kernels war für mich ein Buch mit sieben Siegeln. Irgendwann fand ich dann ein paar Befehle, mit deren Hilfe sich ein Kernel für Debian ganz einfach kompilieren lässt.
Natürlich kann man viel auf die eigene Hardware optimieren, wenn man einen Kernel baut, aber dieser Eintrag soll die einfachste Möglichkeit beschreiben einen funktionierenden Kernel auf Basis der Distributionskonfiguration zu erstellen.

Vorbereitungen

Um unter Debian einen Kernel kompilieren zu können installiert man (als root) die folgenden (Meta-)Pakete:

    apt-get install build-essential kernel-package

Dann benötigt man natürlich den Quellcode des Kernels, den man kompilieren möchte z.B.:

    wget https://www.kernel.org/pub/linux/kernel/v3.x/linux-3.17.3.tar.xz

Danach entpackt man diesen und wechselt in das Verzeichnis:

    tar -xvf linux-3.17.3.tar.xz
    cd linux-3.17.3

Konfiguration und Kernelbau

Am einfachsten ist es die funktionierende Konfiguration des Distributionskernels als Basis zu nehmen:

    make oldconfig

Ist der zu kompilierende Kernel neuer als der aktuell verwendete erhält man nun einige Fragen zu neuen Kernel-Modulen. Im Normalfall ist es empfehlenswert die Vorgabe per Return zu übernehmen. Sollte man den Kernel wegen eines neuen Moduls bauen, so sollte man dies natürlich auswählen (y zum fest einkompilieren, m um ein nachladbares Modul zu bauen).
Nun existiert im Verzeichnis eine Datei .config. Möchte man bei bestimmten Modulen eine andere Auswahl als im Distributionskernel treffen muss man diese Datei editieren.

Nun ist man schon beim letzten Schritt angelangt, dem Kompilieren des Kernels. Theoretisch soll dieser Schritt auch als normaler Benutzer funktionieren, aber ich musste vor diesem Schritt bisher zu root werden.

    make-kpkg --initrd --revision=20141120 -j4 --append-to-version=-eigenbau kernel_image

Per --revision legt man eine Nummer fest, die an die Kernel-Version angehängt wird um eine Unterscheidung zwischen verschiedenen Builds zu ermöglichen. Man könnte auch einfach von 1 ab hochzählen, wenn man den gleichen Kernel häufiger kompiliert. -j4 bewirkt, dass 4 Prozesse parallel ausgeführt werden. Das beschleunigt den Vorgang, sofern man über genug (virtuelle) Prozessoren verfügt. Auf einem Single-Core würde ich empfehlen diese Option wegzulassen, auf einem Dualcore zu -j2 raten und auf einem aktuellen Prozessor wie i3/i5/i7 stellt -j4 kein Problem dar. Mit --append-to-version= kann man einen String anhängen, der in GRUB angezeigt wird. Somit kann man leicht erkennen, welches der selbstkompilierte Kernel ist. kernel_image ist letzten Endes nur die Anweisung ein Kernelpaket zu generieren. Benötigt man auch die Kernel-Header (z.B. um selbst Kernel-Module zu kompilieren) hängt man noch kernel_headers an.

Mit diesem Workflow baue ich seit Jahren erfolgreich Debianpakete aus den Kernelquellen und weiß mittlerweile gar nicht mehr warum das jemals ein Problem für mich darstellte.

Kurztipp: Suspend via systemd bei geschlossenem Laptop verhindern

Thu, 20 Nov 2014 00:00:00 +0000

Ich habe gestern spasseshalber meinen Homeserver (eigentlich nur mein ausrangiertes Notebook) auf Jessie aktualisiert. Es war es schon mal wert, weil ich jetzt endlich komfortabel aus dem VLC per DLNA/UPNP auf meine Video- und Musiksammlung zugreifen kann. Leider ist der Server immer kurz nach dem Start in Suspend gegangen. Da ich das alte Laptop als Server nutze steht es zusammengeklappt unter meinem Router, ich greife ja sowieso nur über SSH darauf zu. Da möchte ich natürlich nicht, dass ein geschlossener Deckel bewirkt, dass das Notebook in StandBy geht.

Hier habe ich den Hinweis gefunden, wie man das unter systemd verhindert:

Man öffnet die Datei /etc/systemd/logind.conf und ändert die Zeile

    #HandleLidSwitch=suspend

folgendermaßen ab:

    HandleLidSwitch=ignore

Danach startet man den Dienst (als root) neu:

    systemctl restart systemd-logind

Kurztipp: checkrestart

Tue, 18 Nov 2014 00:00:00 +0000

Natürlich ist es nicht genug nur Updates einzuspielen, sondern man muss auch die Dienste, welche die Bibliotheken verwenden neustarten. Unter Debian kann man sich per checkrestart aus dem Paket debian-goodies anzeigen lassen welche Programme oder Dienste einen Neustart benötigen.

Whatsapp mit Ende-zu-Ende-Verschlüsselung?

Tue, 18 Nov 2014 00:00:00 +0000

Ich bin gerade per netzpolitik.org über diesen Beitrag gestolpert. Anscheinend soll open whispersystems Ende-zu-Ende-Verschlüsselung in WhatsApp integrieren.

Open whispersystems ist bereits durch ihren verschlüsselnden Messenger TextSecure und RedPhone für verschlüsselte Telefonate ein Begriff. Auch die Funktion per WhisperPush verschlüsselte SMS unter cyanogenmod zu versenden wurde von open whispersystems realisiert.

Wer hätte das gedacht? Ich bin zumindest erstaunt und beobachte mal wie es weitergeht.

Acer C720: Debian Kernel 3.17.3

Sat, 15 Nov 2014 00:00:00 +0000

Der aktuelle Kernel für das C720 steht zum Download.

    md5sum linux-image-3.17.3-c720_20141114_amd64.deb 
    99b056c21825f0e03c7e550649391ef8  linux-image-3.17.3-c720_20141114_amd64.deb

    sha1sum linux-image-3.17.3-c720_20141114_amd64.deb 
    be8e9a4a0a7647eebe5816c5200575c065839431  linux-image-3.17.3-c720_20141114_amd64.deb

Kurztipp: Live-CDs mit dem Acer C720 booten

Tue, 11 Nov 2014 00:00:00 +0000

Bei meinen ersten Experimenten mit dem Chromebook Acer C720 wollte ich natürlich zuerst mal eine Live-CD booten bevor ich mich an die Installation wagte.
Leider war es nicht möglich Live-CDs zu starten, da ich immer eine Fehlermeldung erhielt, dass zu wenig Arbeitsspeicher verfügbar wäre.
Bei den Kollegen von Arch habe ich eine Lösung gefunden:

Im Auswahl-Menü von GRUB die Taste e drücken.
In der mit linux beginnenden Zeile mem=1024MB am Ende einfügen
Mittels Ctrl+X den Bootvorgang fortsetzen

Damit sollten auch die meisten Live-CDs mit dem C720 starten.

Acer C720: Debian Kernel 3.17.2

Sat, 01 Nov 2014 00:00:00 +0000

Frisch kompiliert: Der aktuelle Kernel für das C720.
Wie üblich kann der Kernel hier heruntergeladen werden.

    md5sum linux-image-3.17.2-c720_20141101_amd64.deb 
    b21b35725af8401da5f8c7503403d3ae  linux-image-3.17.2-c720_20141101_amd64.deb

    sha1sum linux-image-3.17.2-c720_20141101_amd64.deb 
    c4a0a7c5820cc065809b0bf3ebae41394450f866  linux-image-3.17.2-c720_20141101_amd64.deb

Kurztipp: Webseiten-Ladezeit durch Komprimierung beschleunigen

Sat, 01 Nov 2014 00:00:00 +0000

Da mein Blog mittlerweile, abgesehen von den Kommentaren, rein statisch ausgeliefert wird, dachte ich mir, dass sich die Ladezeit durch Komprimierung der Dateien drastisch reduzieren müsste.
Ich hatte mich bisher noch nie darüber informiert und war überrascht, wie simpel sich das für Apache konfigurieren lässt. Man muss lediglich folgende Zeile zur .htaccess hinzufügen:

    # Compression
    AddOutputFilterByType DEFLATE text/html text/plain text/xml text/css application/javascript text/javascript

Ich habe jetzt leider keine Vergleichsmessungen durchgeführt, aber rein gefühlt ist die Seite nach dem Löschen des Browser-Caches und erneutem Aufruf sofort komplett geladen.

Acer C720: Debian Kernel 3.17.1

Fri, 24 Oct 2014 00:00:00 +0000

Heute gibt es mal wieder einen aktuellen Debian-Kernel für das Chromebook Acer C720. Wie üblich kann der Kernel hier heruntergeladen werden.

    md5sum linux-image-3.17.1-c720_20141023_amd64.deb 
    88a697be776819c06f401d6fd177e3fc  linux-image-3.17.1-c720_20141023_amd64.deb

    sha1sum linux-image-3.17.1-c720_20141023_amd64.deb 
    ff0ae439aa8be73fd31d5b01cc1f357c72c0914a  linux-image-3.17.1-c720_20141023_amd64.deb

Kurztipp: bash -x

Wed, 01 Oct 2014 00:00:00 +0000

Die meisten Scripte unter Linux dürften mit der bash (The GNU Bourne-Again SHell) durchgeführt werden. Möchte man ein Script debuggen oder nach einer Änderung diese überprüfen, so ist es rech praktisch das Script mittels bash -x /pfad/zum/script im Debug Mode aufzurufen. Man erhält dann eine Rückmeldung über die durchgeführten Befehle und sieht auch was in interne Variablen geschrieben wird.

    cat beispielscript.sh 
    #! /bin/bash

    VARIABLE1=1
    VARIABLE2=3
    VARIABLE3=$(echo "$VARIABLE1 + $VARIABLE2" | bc)

    echo "$VARIABLE3 + $VARIABLE1" | bc

    bash -x beispielscript.sh 
    + VARIABLE1=1
    + VARIABLE2=3
    ++ echo '1 + 3'
    ++ bc
    + VARIABLE3=4
    + echo '4 + 1'
    + bc
    5

Acer C720: Debian Kernel 3.17-rc7

Tue, 30 Sep 2014 00:00:00 +0000

Eine neue Version des Debian-Kernels für das Chromebook Acer C720. Der Kernel kann wieder hier heruntergeladen werden.

    md5sum linux-image-3.17.0-rc7-c720_20140930_amd64.deb 
    5c69bdd75b231d55369a72188e6c659a  linux-image-3.17.0-rc7-c720_20140930_amd64.deb

    sha1sum linux-image-3.17.0-rc7-c720_20140930_amd64.deb 
    cb724d1151752ea763895e5781bb22f3c0efd1a5  linux-image-3.17.0-rc7-c720_20140930_amd64.deb

Code-Schnippsel: Backup über SSH mit rsync

Mon, 29 Sep 2014 00:00:00 +0000

Hier mal mein aktuelles Backup-Script mit dem ich aktuell sehr zufrieden bin. Ich hatte das ganze schon mal hier angerissen aber mittlerweile hat sich doch einiges getan. War mein Backup-Script zu Beginn einfach nur ein Befehl, der täglich mein Home mittels rsync über SSH auf meinen Server kopiert und dabei die alte Version überschrieben hat, so ist das ganze deutlich komplexer und flexibler. Mittlerweile sichere ich mein /home/, mein /etc/, mein /root/ und mein /usr/local/. Da mein Backup auf dem Backup-Server auf einer externen Festplatte gespeichert wird, hänge ich diese vor dem Backup ein und nach dem Backup aus. Ich habe auch eine Rotation eingebaut um Snapshots der letzten 7 Tage, sowie monatliche Snapshots des letzten Jahres zur Verfügung zu stellen. Um nicht unnötig Speicher zu belegen werden hardlinks genutzt, da sich große Datenmengen wie die Musiksammlung ja nicht groß ändern.
Das Script liegt unter /etc/cron.daily/ssh_backup und wird täglich von anacron ausgeführt.
Um die Dateirechte zu übertragen benutze ich auf dem Server sudo, da ich den root-LogIn per SSH nicht erlaubt habe. Sollte der Backup-Server down sein erhalte ich eine Email, die ich im Thunderbird empfange.
Nach langer Rede folgt nun mein Backup-Script:

#! /bin/bash


#### Diese Variablen bitte auf die eigenen Bedürfnisse anpassen
BACKUP_PFADE="/home/martin /etc /root /usr/local"
                        # Pfade die gesichert werden sollen
ZIELPFAD=/mnt/backup    # Pfad auf dem Backupserver (ohne abschließenden /)
ZIEL_EXT=true       # true = Wechseldatenträger, false = interner Speicher
ANZAHL_TAGE=7           # Tägliches Backup für x Tage
BENUTZER=martin         # Benutzername auf dem Backupserver
SERVER=backup           # IP-Adresse oder Hostname des Backupservers
PORT=1418               # SSH-Port des Backupservers
MAC=88:ae:1d:31:cd:17   # MAC-Adresse des Servers für WOL
HISTORY=/root/.backup_hist      # Protokoll-Datei
LISTE=/root/installed_packages.txt  # Speicherort für Liste der gespeicherten Pakete

#### Don't touch this; domdididom
#### Ab hier bitte nichts anfassen, wenn du nicht sicher weißt was du tust
MONAT=$(date +%-m)
VORMONAT=$(expr $MONAT - 1)
HOST=$(hostname)

# Backup-Server bereit?
if  ! ping -c 1 $SERVER > /dev/null 
    then

    # Backup-Server hochfahren
    wakeonlan $MAC 1>/dev/null

    sleep 60

    if ! ping -c 1 $SERVER > /dev/null 
        then
        echo "Backup konnte nicht durchgeführt werden. \nDer Server war nicht erreichbar." | mail -s 'Backup fehlgeschlagen!' $(whoami)@$HOST
        exit
    fi
fi

# Falls Zieldatenträger Wechselplatte, diese einhängen
if $ZIEL_EXT
    then
    ssh -p $PORT $BENUTZER\@$SERVER "sudo mount $ZIELPFAD" >/dev/null

    # Datei CURRENT zur Protokollierung der aktiven Backups existiert?
    if ! ssh -p $PORT $BENUTZER\@$SERVER stat $ZIELPFAD/CURRENT \> /dev/null 2\>\&1
            then
        ssh -p $PORT $BENUTZER\@$SERVER "touch $ZIELPFAD/CURRENT && echo "0" > $ZIELPFAD/CURRENT"
    fi

    # CURRENT auslesen und inkrementieren
    CURRENT=$(ssh -p $PORT $BENUTZER\@$SERVER "cat $ZIELPFAD/CURRENT")
    CURRENT=$(echo "$CURRENT + 1" | bc)
    ssh -p $PORT $BENUTZER\@$SERVER "echo $CURRENT > $ZIELPFAD/CURRENT"

fi

# Link 0 -> 12 (für Link auf letztes Backup im Januar) existiert?
if ! ssh -p $PORT $BENUTZER\@$SERVER stat $ZIELPFAD/$HOST/0 \> /dev/null 2\>\&1
    then
    ssh -p $PORT $BENUTZER\@$SERVER "ln -s $ZIELPFAD/$HOST/12 $ZIELPFAD/$HOST/0"
fi

# Bei Problemen zu Testzwecken auskommentieren
# ssh -v -p $PORT $BENUTZER@$SERVER /bin/true

# Eine Liste der installierten Pakete erstellen
dpkg --get-selections > $LISTE

# Backup per rsync
for PFAD in $BACKUP_PFADE
do
    rsync -az --delete --rsync-path='sudo rsync' --rsh="ssh -p $PORT" --link-dest=../$VORMONAT $PFAD $BENUTZER@$SERVER:$ZIELPFAD/$HOST/$MONAT
done

# Erstellen von Snapshots der letzten x Tage
ssh -p $PORT $BENUTZER\@$SERVER "sudo rm -rf $ZIELPFAD/$HOST/daily.$ANZAHL_TAGE"

if [ $ANZAHL_TAGE -gt 1 ]
    then

    for (( ANZAHL=$ANZAHL_TAGE ; ANZAHL >= 2 ; ANZAHL-- ))
    do
        ssh -p $PORT $BENUTZER\@$SERVER "sudo mv $ZIELPFAD/$HOST/daily.$(expr $ANZAHL - 1) $ZIELPFAD/$HOST/daily.$ANZAHL"
    done
fi

if [ ! $ANZAHL_TAGE -eq 0 ]
    then
    ssh -p $PORT $BENUTZER\@$SERVER "sudo mv $ZIELPFAD/$HOST/daily.latest $ZIELPFAD/$HOST/daily.1"
    ssh -p $PORT $BENUTZER\@$SERVER "sudo cp -al $ZIELPFAD/$HOST/$MONAT $ZIELPFAD/$HOST/daily.latest"
fi

# Falls Zieldatenträger Wechselplatte, diese aushängen sofern kein weiteres Backup aktiv ist (Variable Current)
if $ZIEL_EXT
        then
    CURRENT=$(ssh -p $PORT $BENUTZER\@$SERVER "cat $ZIELPFAD/CURRENT")
    if [ $CURRENT -eq 1 ]
        then
        ssh -p $PORT $BENUTZER\@$SERVER "echo "0" > $ZIELPFAD/CURRENT"
        ssh -p $PORT $BENUTZER\@$SERVER "sudo umount $ZIELPFAD" >/dev/null
        else
        CURRENT=$(echo "$CURRENT - 1" | bc)
        ssh -p $PORT $BENUTZER\@$SERVER "echo "$CURRENT" > $ZIELPFAD/CURRENT"
    fi 
fi

# Datum und Uhrzeit des Backups protokollieren
date >> $HISTORY

Das Script ist natürlich auf meine Bedürfnisse bzw. Vorlieben zugeschneidert. Aber vielleicht kann es dem ein oder anderen als Inspiration für ein eigenes Backup-Konzept dienen, oder man kann den ein oder anderen Schnippsel für eigene Scripte verwerten.

[Update 2014-10-01]
Da ich mittlerweile zwei Rechner mit Hilfe dieses Scriptes sichere habe ich nun das Script um eine Funktion erweitert. Erfolgt das Backup auf ein Wechselmedium wird eine Datei CURRENT angelegt. Diese wird mit 0 initialisiert und beim Start des Backups inkrementiert. Steht am Ende des Backups in der Datei eine Zahl > 1 ist noch ein anderes Backup aktiv und die Zahl in CURRENT wird dekrementiert und das Wechselmedium nicht ausgehängt. Steht in CURRENT eine 1 wird eine 0 zurückgeschrieben und das Laufwerk ausgehängt.
Das ganze ist eine quick and dirty Lösung, da mir erst mal keine bessere Lösung eingefallen ist. Wenn jemand einen eleganteren Weg kennt bin ich für Hinweise offen.
Ich habe jetzt ein paar mal die gleichzeitige Durchführung des Backups an beiden Rechnern forciert und war mit der Funktion zufrieden (bash -x ... ist ganz nett um Scriptänderungen zu testen).

[Update 2016-09-24] Ich habe den Ausschnitt aus der /etc/sudoers entfernt, da dieser fehlerhaft war. Mittlerweile lasse ich meinen user per rsync alles ausführen, was nicht wirklich kritisch ist, da der Server eh nicht von außen erreichbar ist.

Empfehlung: Clementine

Sun, 28 Sep 2014 00:00:00 +0000

Clementine

Mein Favorit unter den zahlreichen, für Linux verfügbaren, Audioplayern ist Clementine. Clementine ist kein reiner Audioplayer sondern ein Komplettpaket und bietet neben der Bibliotheksverwaltung und Wiedergabe zahlreiche weitere Funktionen. Man kann mit Clementine auch Musik umkodieren, Cover herunterladen, Tags editieren und vieles mehr. Ein Feature das mir bei vielen anderen Playern gefehlt hat ist die Einbindung von Geräten und das automatische Umkodieren. Das klingt seltsam, aber ich weiß nicht wie ich die Funktion benennen soll also erkläre ich es in groben Zügen: Ich binde ein externes Gerät (z.B. Handy, mp3-Player oder USB-Stick) in Clementine ein. Darauf kann ich Clementine dem Gerät unterstützte Formate (z.B. mp3, flac oder ogg) zuordnen. Klicke ich nun ein Album an und wähle An das Gerät senden wird die Musik vor der Übertragung automatisch umkodiert, wenn die Musik als flac vorliegt, das Gerät aber nur mp3 unterstützt.
Ansonsten bietet Clementine eigentlich alle wesentlichen Funktionen, die andere Audioplayer/Bibliotheksverwaltungen auch bieten. Da Clementine mit der Zielsetzung entwickelt wird einen Audioplayer in der Art von Amarok in Version 1 zur Verfügung zu stellen sollte Clementine vielen bekannt vorkommen. Amarok war ein toller Audioplayer, den ich gerne benutzte, der mir aber nach den großen Umbauten in Version 2 nicht mehr gefiel. Diese Lücke schließt Clementine bei mir seit längerem.

Hier ein Überblick über die Funktionen von der Clementine-Homepage:

Durchsuchen und Abspielen Ihrer lokalen Musiksammlung.

Internetradio hören, von Spotify, Grooveshark, SomaFM, Magnatune, Jamendo, SKY.fm, Digitally Imported, JAZZRADIO.com, Soundcloud, Icecast und Subsonic servers.

Suchen und Lieder abspielen, die Sie hoch geladen haben auf Box, Dropbox, Google Drive, und OneDrive

Erstellen intelligenter sowie dynamischer Wiedergabelisten.

Wiedergabelisten mit Reitern, Im- und Exportieren von M3U, XSPF, PLS und ASX.

Unterstützung für Cuesheets.

Abspielen von Audio-CDs.

Visualisierungen von projectM.

Liedtextte, Biografien und Bilder der Künstler.

Konvertieren von Musik in die Formate MP3, Ogg Vorbis, Ogg Speex, FLAC oder AAC.

Bearbeiten der Metadaten von MP3- und OGG-Dateien, Organisieren Ihrer Musik.

Abrufen fehlender Metadaten von MusicBrainz.

Podcasts entdecken und herunterladen.

Fehlende Albentitelbilder von Last.fm und Amazon herunterladen.

Plattformübergreifend - funktioniert unter Linux, Mac OS X und Windows.

Native Schreibtischbenachrichtigungen unter Linux (libnotify) und Mac OS X (Growl).

Fernsteuerung mittels Android-Gerät, Wii-Fernbedienung, MPRIS oder Befehlszeile.

Kopieren von Musik auf Ihren iPod, iPhone, MTP- oder USB-Massenspeicher.

Warteschlangenverwaltung.

Clementine-Remote

Als Fernbedienung verwende ich Clementine-Remote um Clementine mit meinem Android-Handy zu bedienen. Clementine-Remote verbindet sich per WLAN mit meinem Rechner, was ich praktische finde da ich Bluetooth sowohl am Rechner, als auch am Handy immer ausgeschaltet habe.

Acer C720: Debian Kernel 3.17-rc6

Tue, 23 Sep 2014 00:00:00 +0000

Eine neue Version des Debian-Kernels für das Chromebook Acer C720. Der Kernel kann wieder hier heruntergeladen werden.

    md5sum linux-image-3.17.0-rc6-c720_20140923_amd64.deb 
    97676f972d04459e004a473448622c93  linux-image-3.17.0-rc6-c720_20140923_amd64.deb

    sha1sum linux-image-3.17.0-rc6-c720_20140923_amd64.deb 
    456d8d58479cd6b84cebe8ce847593ebe11396bd  linux-image-3.17.0-rc6-c720_20140923_amd64.deb

Suchfeld für den eigenen Blog

Mon, 22 Sep 2014 00:00:00 +0000

Ich bin noch am überlegen, ob ich ein Suchfeld einbauen soll. Einerseits finde ich es praktisch, andererseits weiß ich derzeit nicht genau wo ich ein Suchfeld unterbringen sollte ohne dass es den optischen Eindruck stört.

Eine Möglichkeit eine Suche in einen statischen Blog einzubinden ist es eine externe Suchmaschine wie DuckDuckGo oder Ixquick zu nutzen. Das geht glücklicherweise in reinem HTML ohne Einbinden von Scripten o.ä. bedingt aber, dass zum Suchen auf eine externe Seite weitergeleitet werden muss.

Unabhängig davon, ob ich es nun einbaue oder nicht: Beim Schockwellenreiter habe ich eine Möglichkeit gesehen, wie man ein DuckDuckGo-Suchfeld einbinden kann. Mit den entsprechenden Parametern kann man die Suche noch etwas anpassen.

Hier der Code:

    <form action="https://duckduckgo.com/" method="post">
        <input type="hidden" name="kl" value="de-de"/>
        <input type="hidden" name="kp" value="1"/>
        <input type="hidden" name="kh" value="1"/>
        <input type="hidden" name="sites" value="blog.mdosch.de"/>
        <input type="text" name="q" size="30" maxlength="255" placeholder="DuckDuckGo-Suche"/>  
        <input type="submit" value="Suchen" />
    </form>

So würde das Suchfeld, ohne jegliche Anpassungen über CSS, aussehen:

Mal schauen ob ich Lust dazu finde meinen Blog mit einem Suchfeld zu verunstalten. :D

Code-Schnippsel: Dateien automatisch in Unterordner verschieben

Sat, 20 Sep 2014 00:00:00 +0000

Auf meinem Server, der hauptsächlich für Backups dient, habe ich einen Samba-Share eingerichtet auf dem u.a. meine Filmsammlung liegt. Bisher habe ich im Samba-Share Videos einfach direkt die Filme abgelegt, aber nun kamen auch einige Serien dazu, die natürlich in einen eigenen Ordner verfrachtet wurden. Die Serienordner sind zusätzlich noch in Unterordner er jeweiligen Staffeln untergliedert.

Nun hatte ich Filme direkt im root und Serien in Unterordnern. Das gefiel mir nicht, also wollte ich meine Filme ebenfalls in Unterordner verschieben. Meine Filmsammlung ist zwar nicht rießig, aber manuell Unterordner zu erstellen und die Dateien zu verschieben ist eine Strafarbeit, die ich mir nicht antun wollte. Ergo: Ich habe mir ein kleines Script zusammengestümpert. Vielleicht kann es ja mal jemand brauchen. Sollte es dafür ein Tool geben und ich habe mir umsonst Gedanken über die Lösung gemacht (im Endeffekt war es ja recht einfach zu lösen, wie man am Script sehen kann), wäre ich natürlich über einen Hinweis dankbar. ;)

#! /bin/bash

EXTENSIONS=".mkv .avi .mpg .mp4"

for EXTENSION in $EXTENSIONS
do
    for VIDEO in $(ls *$EXTENSION)
    do mkdir $(basename $VIDEO $EXTENSION) && mv $VIDEO $(basename $VIDEO $EXTENSION)
    done
done

Code-Schnippsel: Upload-Script (SSH)

Sat, 20 Sep 2014 00:00:00 +0000

Ich habe hier schon mal ein kleines Script zum automatischen Upload von Dateien auf einen Webserver vorgestellt. Mittlerweile habe ich das um ein paar Funktionen erweitert.
Da ich kein Bash- oder Linux-Profi bin gilt es natürlich vorsichtig zu sein. Für mich funktioniert das Script aber seit einer Weile ohne Probleme.

#! /bin/bash
# License GPL v3 or later
# https://www.gnu.org/copyleft/gpl.html


ZIELPFAD='Zielpfad auf dem Server eingeben'
KONTO='z.B. user@example.com'
URL='user.example.com'

if [ $# -ne 1 ] || [ $1 = help ]
    then
    if [ $# -eq 2 ] && [ $1 = delete ]
        then 
        EINGABE=$(printf %q $2)
        NAME=$(basename $EINGABE)
        echo "Anzeige der gefundenen Treffer:"
        ssh $KONTO -t "find $ZIELPFAD -name $NAME"
        read -s -p "Soll(en) die Datei(en) gelöscht werden? (j/N)" -N 1 ANTWORT
            if [ -z $ANTWORT ]
                then
                exit
            fi
            if [ $ANTWORT != "j" ]
                then
                exit
            fi
        echo "" #Kosmetik
        ssh $KONTO -t "find $ZIELPFAD -name $NAME -delete"
        exit
    fi
    PROGRAMM=$(basename $0)
    echo "$PROGRAMM - ein einfaches Uploadscript."
    echo 
    echo "Benutzung:"
    echo "$PROGRAMM Datei         - lädt die Datei auf den Server"
    echo "$PROGRAMM delete Datei  - löscht die Datei vom Server"
    echo "$PROGRAMM help          - Hilfe"
    exit
fi

EINGABE=$(printf %q $1)
PFAD=$(realpath $EINGABE)
NAME=$(basename $EINGABE)
DATE=$(date +%Y-%m)

if [ -z $PFAD ]
then
    exit
fi

if ssh $KONTO test -e \'$ZIELPFAD/$DATE/$NAME\'
then
    echo Datei ist schon vorhanden und wurde nicht überschrieben.
else
    rsync -avzP $PFAD $KONTO:\'$ZIELPFAD/$DATE/\'
    ssh $KONTO -t "chmod 744 $ZIELPFAD/$DATE/$NAME"
    echo "" # Kosmetik
    echo Gespeichert unter: $URL/$DATE/$NAME
fi

[Update 2017-08-24]

Ich habe heute mal wieder in mein Updatescript geschaut und festgestellt, dass chmod 744 besser ist als chmod 755.

Meine Gnome-Shell Extensions

Fri, 19 Sep 2014 00:00:00 +0000

Ich nutze mittlerweile die Gnome-Shell (früher nutzte ich Gnome2, kurz KDE3, länger XFCE, länger Fluxbox, ganz kurz KDE4, testweise E16) und mag die Gnome-Shell (aka Gnome3) recht gerne. Entgegen den ganzen Rants im Netz finde ich, dass man die Gnome-Shell effizienter nutzen kann als Gnome 2.
Ich möchte die dynamischen Workspaces nicht mehr missen und mag, dass sich die Gnome-Shell gut mit der Tastatur bedienen lässt. Hatte ich unter Gnome2 noch immer eine Maus dabei, so kann ich diese seit der Gnome-Shell getrost zu Hause lassen. Eigentlich stöpsel ich nicht mal mehr zu Hause eine Maus an. Das Argument die Gnome-Shell sei für Touchpanels oder kleine Bildschirme konzipiert kann ich also nicht nachvollziehen (habe ein Notebook mit 15,4" Display und einer Auflösung von 1920x1080).

Soviel zur Gnome-Shell im Allgemeinen. Womit viele Kritiker aber Recht haben ist, dass die Gnome-Shell nicht mehr alle Funktionen von Gnome2 zur Verfügung stellt. Die Gnome-Shell liefert quasi eine Basis und stellt eine Schnittstelle für Erweiterungen bereit, damit man sich nach eigenem Gusto Erweiterungen installieren kann.
Mittlerweile haben sich bei mir ein paar Standard-Erweiterungen herauskristallisiert, die ich sofort nachinstalliere wenn ich ein neues Gerät einrichte, da sie für mich einfach dazu gehören.

Das sind:

Applications Menu
Ich fand es schade, dass irgendwann in der Gnome-Shell das Anwendungsmenü abgeschafft wurde. Im Normalfall bin ich zwar durch Drücken der Super-Taste und Tippen des Namens schneller. Ab und an weiß man aber bei erst kürzlich installierten Anwendungen den Namen nicht. Da ist es praktisch sich durch das Menü durchhangeln zu können.

Audio Output Switcher
Ich habe in der Küche ein Paar kleine USB-Boxen stehen, die zwar nicht den besten Klang bringen, aber die integrierten Laptop-Lautsprecher bei weitem übertrumpfen. Im Wohnzimmer schließe ich einen USB-DAC an, an dem mein Verstärker und an diesem meine Lautsprecher hängen. Außerdem nutze ich die integrierten Lautsprecher meines Notebooks, wenn ich unterwegs bin. D.h. ich wechsle öfters das Ausgabegerät. Meistens macht pulseaudio das selbstständig, aber manchmal funktioniert der Wechsel nicht. Da ist die Extension Audio Output Switcher ganz hilfreich, da ich bequem über das Menu umschalten kann und nicht in die Einstellungen wechseln muss.

Caffeine
Manchmal möchte man nicht, dass der Bildschirm abdunkelt, das Laptop in Standby geht oder der Bildschirmschoner anspringt. Schaut man Filme mit einem Mediaplayer werden diese Funktionen automatisch deaktiviert. Bei Flash-Videos im Internet funktioniert das nicht immer. Hier hilft die Extension Caffeine. Bei mir aktiviert sie sich automatisch, sobald ein Video im Vollbild dargestellt wird (auch bei Flash-Videos von Webseiten), kann aber auch manuell durch Klick auf das Kaffee-Tassen-Symbol aktiviert werden.

GPaste-Integration
Häufig möchte man etwas einfügen und wundert sich, weil nicht eingefügt wird was man einzufügen beabsichtigte. Nach kurzer Verwirrung wird klar, dass man in der Zwischenzeit etwas anderes in die Zwischenablage kopiert hat. In diesem Fall öffne ich die GPaste-Integration in Gnome3 und wähle den entsprechenden Eintrag in der Historie.

Media Player Indicator
Nicht essentiell, aber eine nette Spielerei auf die ich nicht mehr verzichten möchte. Im Menü wird das aktuell gespielte Stück angezeigt. Durch Klick auf den Namen des Mediaplayers wird dieser geöffnet. Man kann in diesem Menü auch direkt die Wiedergabe stoppen oder pausieren, sowie ein Lied vor- oder zurückspringen.

OpenWeather
Ein Wetter-Plugin der schicken Sorte. :)
Nachtrag: Es wird ein API-Key benötigt.

Timer
Wenn ich gerade Essen im Ofen habe und weiß, dass ich in nächster Zeit am Rechner sitze stelle ich gerne den Gnome-Shell-Timer, statt einer normalen Küchenuhr oder eines Timers im Handy. Ich sehe dann rechts oben in der Gnome-Shell den Countdown ablaufen und sobald die Zeit abgelaufen ist, wird die Oberfläche abgedunkelt und ich muss den Ablauf quittieren bevor ich weiter arbeiten kann. Es besteht also keine Gefahr, dass meine Pizza verbrennt weil ich von einer interessanten Webseite oder dem Umbau eines Scriptes gebannt bin. :)

So, das war eine kurze Vorstellung der von mir präferierten Erweiterungen. Was sind für euch unverzichtbare Erweiterungen?

Acer C720: Debian Kernel 3.17-rc4

Sun, 14 Sep 2014 00:00:00 +0000

Ich habe heute mal einen neuen Kernel für das Acer C720 gebaut. Der Kernel kann mittlerweile direkt aus den Quellen gebaut werden, da ab 3.17-rc1 die Touchpad-Patches direkt im Kernel integriert sind.

Der Kernel kann wieder hier heruntergeladen werden.

    md5sum linux-image-3.17.0-rc4-c720_20140914_amd64.deb 
    1d1a93c9b8408e37da2161c7b1835be3  linux-image-3.17.0-rc4-c720_20140914_amd64.deb

    sha1sum linux-image-3.17.0-rc4-c720_20140914_amd64.deb 
    75ac3fd13dcc96f93bb7ea3a2b59dc662bed1729  linux-image-3.17.0-rc4-c720_20140914_amd64.deb

Acer Chromebook C720: Legacy Boot dauerhaft aktivieren

Sun, 14 Sep 2014 00:00:00 +0000

Nachdem ich mein Acer C720 mehrere Wochen nicht benutzte stand ich vor dem Problem, dass ich nicht mehr in den Legacy-Modus zum booten kam. Scheinbar ging die Einstellung verloren als der Akku länger entladen war und ich konnte mein Debian nicht mehr booten.

Jetzt habe ich hier einen Weg gefunden den Legacy-Modus dauerhaft zu aktivieren (Abschnitt 2.1) und hoffe, dass mir das dann nicht mehr passiert. Der Vorteil der neuen Lösung: Ich spare mir das Gehampel mit Strg+L bei jedem Booten. Der Nachteil: Durch das Öffnen des C720 erlischt die Garantie!

Vorgehensweise in groben Zügen:

ChromeOS wiederhergestellt (Datenverlust)
Alle Schrauben der Unterseite entfernen und Deckel vorsichtig abnehmen (Garantieverlust!)
Schreibschutz-Schraube entfernen (Schraube 7)
Developer-Modus aktivieren
- ESC + F3 gedrückt halten und Powerbutton drücken
- Die Nachfolgenden Fragen und Warnungen mit CTRL + D quittieren
Nachdem ChromeOS gebootet hat: Terminal mit ALT + CTRL + F2 öffnen
Als chronos einloggen (kein Passwort)
Mit sudo su zum Superuser werden
Einstellungen schreiben: /usr/share/vboot/bin/set_gbb_flags.sh 0x489
C720 herunterfahren: shutdown -h now
Schreibschutz-Schraube einschrauben
Deckel wieder aufsetzen und alle Schrauben anziehen
Debian von einem USB-Stick installieren

Das Schöne ist, dass die Patches für das Touchpad des Acer C720 ab Version 3.17-rc1 direkt im Kernel enthalten sind. D.h. man muss keinen Kernel mehr patchen, sondern muss ihn nur kompilieren.

Codeschnippsel: Prozentsatz der FLAC-Dateien ermitteln

Sun, 14 Sep 2014 00:00:00 +0000

Seit einiger Zeit rippe ich meine CDs nur noch als FLAC (Free Lossless Audio Codec), da ich CD-Qualität haben möchte, wenn ich schon für die CD bezahlt habe. Ob ich den Unterschied zu guten MP3s wirklich hören kann oder nicht ist mir dabei egal, ich möchte prinzipiell die beste Qualität haben. Außerdem kostet Speicherplatz ja kaum noch Geld.
Da ich aber teilweise auch MP3s gekauft habe und einige CDs meiner Sammlung beschädigt und nicht mehr zu rippen waren geistern auch noch viele andere Dateien in meiner Sammlung herum. Heute wollte ich mal wissen zu welchem Prozentsatz meine Sammlung denn aus FLAC-Dateien besteht. Unter Linux kann man sowas ja recht einfach lösen, indem man ein kleines Script schreibt:

#! /bin/bash

MUSIKSAMMLUNG=~/Musik/
FLAC=$(find $MUSIKSAMMLUNG -iname '*.flac' | wc -l)
OTHER="mp3 ogg m4a"
GESAMT=$FLAC

for EXT in $OTHER
do GESAMT=$(echo $GESAMT + $(find $MUSIKSAMMLUNG -iname "*.$EXT" | wc -l) | bc)
done

VERHAELTNIS=$(echo "$FLAC * 100 / $GESAMT" | bc)

echo "$VERHAELTNIS Prozent FLAC."

Das Ergebnis war mit 43% leider etwas enttäuschend, aber da ich nur noch selten MP3-Downloads kaufe (ich hab halt auch gern die CD physisch im Regal stehen) wird sich der Wert auch noch bessern. :)

Die fish-shell

Thu, 11 Sep 2014 00:00:00 +0000

Gerade bin ich über fish (friendly interactive shell) gestolpert, eine recht schicke Shell die ich in nächster Zeit mal probeweise benutzen werde. Bisher habe ich die ZSH genutzt.
Was mir bis jetzt positiv aufgefallen ist:

Syntax-Highlightning während des Schreibens
Gute Auto-Vervollständigung (ähnlich der ZSH)
History wird bereits beim Tippen durchsucht (Strg+R entfällt)
Fish kommt mir flotter als die ZSH vor

Leider weicht die fish-Syntax von der gewohnten Bash-Syntax ab. Aber ich denke daran kann ich mich gewöhnen.

Installation

Unter Debian lässt sich fish einfach über die Paketverwaltung installieren:

    apt-get install fish

Einrichtung

Um fish zur Standard-Shell für den aktuellen Nutzer zu konfigurieren gibt man folgendes ein:

    chsh -s $(which fish)

wenn man die Bash oder ZSH nutzt, bzw.

    chsh -s (which fish)

wenn man schon fish nutzt.

Will man den, meiner meiner Meinung nach nervigen, Willkommensgruß nach dem Start von fish deaktvieren kann man dies tun indem man

    set fish_greeting

in die Datei ~/.config/fish/config.fish einträgt.

Alias-Konfiguration

Aliase sind bei fish als Funktionen realisiert. Um einen Alias einzurichten legt man eine Datei mit der Endung .fish unter ~/.config/fish/functions/ ab.

Beispiel:

    function update; apt-get update; and apt-get dist-upgrade -y; end

2 Klicks für mehr Datenschutz

Sun, 07 Sep 2014 00:00:00 +0000

Ich selbst benutze zwar kein Facebook, Google+ oder Twitter (mehr), aber da es doch einige gibt, die diese Dienste regelmäßig nutzen möchte ich diesen die Möglichkeit geben Blogbeiträge einfach zu teilen. Das darf nur nicht dazu führen, dass bei jedem Seitenaufruf automatisch Daten an diese Dienste übertragen werden und Leser, die diese Dienste nicht nutzen getrackt werden.

Da kommt das Script von heise ins Spiel. Es sorgt dafür, dass die Share-Buttons erst per Klick "scharf geschaltet" werden müssen. Bevor dies passiert werden keine Daten von diesen Seiten geladen. Das lässt sich leicht mit den Firefox-AddOns RequestPolicy oder NoScript überprüfen.

[Update 2014-09-20]
Ich habe die Buttons durch einfache Text-Links ersetzt.

blog.mdosch.de jetzt statisch

Sun, 07 Sep 2014 00:00:00 +0000

Ich habe es ja hier schon mal angedeutet, dass ich evtl. auf einen statischen Blog umsteigen werde. Jetzt habe ich nach langer Suche den Blog-Generator gefunden, der mir gefällt: Acrylamid. Ich habe zwischenzeitlich so einige getestet, z.B. Jekyll, Nikola, Pelikan und Chronicle, aber Acrylamid hat mir jetzt einfach gut gefallen.

Ich habe auch einige, bzw. fast alle, der hier vorgeschlagenen dynamischen Blogsysteme ausprobiert, aber keines hat mir so richtig zugesagt.

Was mir an Acrylamid gefällt:

Schreiben in Markdown
Kein langsames Webinterface
(vermutl.) schnellere Seite
Die Permalink-Struktur bleibt erhalten

Einen Nachteil haben statische Blogs: Die Kommentare. Aber da konnte ich mir mit Isso helfen. ~~Leider ist da gerade noch ein Bug drin, denn die Kommentare werden derzeit nicht angezeigt. Aber ich denke das werde ich in nächster Zeit beheben können.~~ Isso habe ich nach dieser Anleitung problemlos einrichten können.

Ich merke gerade, wie angenehm es ist in nano diesen Beitrag zu schreiben und nicht mit Wordpress herumhantieren zu müssen. Ich habe in letzter Zeit deswegen auch viel weniger geschrieben, da ich keine Lust mehr auf Wordpress hatte und die Zeit lieber genutzt habe um Alternativen zu testen.

Es kann natürlich sein, dass der Blog sich in den nächsten Tagen noch ein bisschen verändert, da evtl. noch ein paar Kleinigkeiten anpasse. Generell bin ich aber mit dem aktuellen Stand sehr zufrieden. :)

[Update]
Mittlerweile sollte die Kommentarfunktion problemlos funktionieren.

Saubere Benutzertrennung in Debian

Thu, 24 Apr 2014 00:00:00 +0000

Da ich bisher Debian nur als Einzelbenutzersystem im privaten Bereich nutze ist mir das bisher noch nie aufgefallen, aber in der Standardeinstellung können alle Benutzer lesend auf das Home-Verzeichnis aller Benutzer zugreifen.
Auch wenn das für mich persönlich wenig relevant ist möchte ich mein System, aus Prinzip, relativ sicher vorkonfigurieren. Dazu gehört für mich auch eine saubere Trennung der einzelnen Benutzer. Vielleicht richte ich ja auch irgendwann mal einen weiteren Benutzer auf einem meiner Rechner ein und dann ist es von Vorteil, wenn alles bereits ordentlich eingerichtet ist und ich mich dann nicht mehr damit befassen muss.

Damit Dateien und Verzeichnisse im jeweiligen home nicht mehr für andere Benutzer zugänglich sind genügt es

    dpkg-reconfigure -plow adduser

auszuführen. Dies wirkt sich aber nicht auf bereits vorhandene Benutzer aus, weshalb man auch folgendes einstellen sollte:

Um neu angelegte Dateien nicht mehr für alle Benutzbar zugänglich zu machen ändert man einfach den UMASK-Wert in der Datei `/etc/login.defs` von `022` auf `027`.

    UMASK      027
    …

Um die Änderungen zu übernehmen muss man folgende Zeile an die Datei /etc/pam.d/common-session anhängen:

    session optional   pam_umask.so

Weitere Informationen zu UMASK kann man dem manual entnehmen.

Das wirkt sich aber nicht auf bereits vorhandene Benutzer und deren Verzeichnisse/Dateien aus. Um bereits vorhandene Dateien für andere Benutzer unzugänglich zu machen genügt dieser Befehl:

    chmod 750 /home/*

Vielen Dank an alle Beteiligten dieses Threads im df.de. Besonderer Dank geht an smutbert, der die hier erwähnten Lösungen beschrieben hat. 😉

Chromebook Acer C720: Kernel 3.14

Wed, 02 Apr 2014 00:00:00 +0000

Ich habe gerade einen neuen Debian-Kernel für das Acer C720 gebaut: 3.14
Der Kernel wurde unter Debian Testing gebaut und ich kann nicht garantieren, dass er unter Debian Stable funktioniert, aber bei so neuer Hardware würde ich eh Debian Testing installieren.
Leider habe ich derzeit kein Debian auf dem Acer C720 installiert, aber es gibt ein Feedback, dass er funktioniert.

mdosch.de jetzt mit (etwas) Inhalt

Thu, 20 Mar 2014 00:00:00 +0000

Da ich öfter darauf angesprochen wurde, dass meine Homepage kaputt sei habe ich nun auch eine kleine Seite direkt unter mdosch.de hochgeladen.
Die Seite ist nicht wirklich umfangreich und dient nur dazu Leute nicht mit einem 404 zu verwirren. 😄

Beim Design habe ich liquorix als Basis genommen und an meine Bedürfnisse angepasst. Da ich von HTML und Webdesign keine Ahnung habe war das natürlich mehr trial and error als Können, aber ich bin mit dem Ergebnis recht zufrieden.

Bevor gemeckert wird: Im Quelltext von liquorix wurde CC BY 1.0 als Lizenz genannt. Die Hintergrundgrafiken vom Roundcube-Theme Larry sind CC BY-SA 3.0 lizenziert.
Das Endergebnis habe ich selbst auch unter CC BY-SA 3.0 gestellt. Sollte das Design also gefallen: Benutzt es.

In einem Anflug von Größenwahn habe ich die Seite sogar auf Github gestellt. 😀

Die bessere WhatsApp-Alternative: Surespot

Fri, 21 Feb 2014 00:00:00 +0000

In einem Kommentar zu meinem letzten Beitrag wurde ich auf surespot hingewiesen und unter allen WhatsApp-Alternativen, die ich bisher angetestet habe gefällt es mir am besten.

Die Vorteile:

Quelloffen
Ende-zu-Ende-Verschlüsselung
Kein Telefonbuchzugriff [1]
kostenlos (für mich nicht so wichtig)
Verfügbar für Android und iOS

Nachteile:

Bisher geringe Verbreitung
(noch) kein Gruppenchat

Ich werde auf jeden Fall meinen Schwerpunkt erst mal auf surespot legen und hoffen, dass ich einige Leute dazu bewegen kann dies ebenfalls zu tun. Ich habe mir auch schon für knapp 2€ die Sprachnachrichtenfunktion gekauft. Ich benötige diese zwar nicht, aber ich wollte dieses vielversprechende Projekt unterstützen und ein Betrag dieser Größenordnung tut ja niemandem weh. 😉

[1] Kontaktdaten kann man über einen QR-Code, Link oder Austausch des Benutzernamens hinzufügen.

Whatsapp-Alternative: whistle.im

Thu, 20 Feb 2014 00:00:00 +0000

Da Whatsapp ja nun von Facebook gekauft wurde werde ich mir whistle.im mal näher anschauen.
Whistle.im überträgt keine Telefonnummern und hat sich, laut eigener Aussage, dem Schutz der Privatsphäre verschrieben. Der kryptographische Anteil der App ist OpenSource und kann bei github eingesehen werden.
Jetzt hoffe ich, dass ich ein paar Freunde dazu bewegen kann sich eine ID anzulegen, denn ohne Gesprächspartner testet es sich schlecht.

explainshell und tuxsucht

Wed, 19 Feb 2014 00:00:00 +0000

Hier mal zwei Links über die ich kürzlich gestolpert bin und die ich hier festhalten möchte: explainshell und tuxsucht.
Bei explainshell kann man Befehle eingeben und erhält die relevanten Auszüge aus der manpage. Man muss sich also nicht mühsam die verwendeten Optionen aus der manpage suchen, sondern erhält diese übersichtlich auf einen Blick. Die Seite habe ich bereits in einem Blogpost bei fryboyter gesehen, aber die Adresse vergessen. Glücklicherweise wurde diese Seite in der OSBN Linkschleuder nochmal erwähnt. 😉
Bei tuxsucht handelt es sich um eine angepasste Googlesuche, die gezielt Wikis, Foren und Blogs durchsucht, deren thematischer Schwerpunkt bei Linux liegt.

Netzpolitik verschenkt Buch “Überwachtes Netz” – Der Sammelband zum NSA-Skandal

Wed, 19 Feb 2014 00:00:00 +0000

Bei netzpolitik wird das Buch “Überwachtes Netz” – Der Sammelband zum NSA-Skandal verschenkt.
In diesem Buch schreiben rund 50 Autoren über den, von Edward Snowden aufgedeckten, Ueberwachungsskandal und dessen Folgen. Das Buch erschien im Dezember und wird nun verschenkt.
Das Buch steht unter der freien Lizenz CC-BY-SA und darf somit (unter anderem) weitergegeben werden.

blog.mdosch.de bald statisch?

Sat, 01 Feb 2014 00:00:00 +0000

Ich habe kürzlich nach Alternativen zu WordPress gesucht und wurde in den Kommentaren auf viele interessante Projekte aufmerksam gemacht, die ich noch nicht kannte. An dieser Stelle noch mal vielen Dank dafür. 😀
Leider hatte fast jede Software mit der ich etwas herumgespielt hatte den ein oder anderen showstopper. Was mich gewundert hat: Ich habe kein einziges Mal erfolgreich meine WordPress-Daten importieren können.

Nun bin ich, zu meiner eigenen Überraschung, bei Jekyll gelandet. Dort konnte ich die Beiträge erfolgreich in markdown-Dateien umwandeln und nach etwas Nacharbeit bin ich mit dem aktuellen Stand schon ziemlich zufrieden. Wer möchte kann sich den aktuellen Stand unter dieser temporären (!) Domain anschauen.

Was mich derzeit von einem kompletten Umstieg auf Jekyll abhält ist, dass ich noch keine Lösung für die Kommentarfunktion gefunden habe. Es gibt zwar einige Ansätze, aber bisher bin ich da noch nicht wirklich weiter gekommen.
Möglichkeiten:

Einbinden eines externen Kommentarsystem (z.B. Disqus)
Selbst ein Kommentarsystem hosten
- Juvia
- Isso
Statische Kommentare einbinden

Die erste Option scheidet für mich prinzipiell aus. Ich gebe doch kein Geld für eigenen Webspace aus um meine Daten (und die der Besucher) dann irgendwelchen Drittanbietern in den Rachen zu werfen.
Bei Juvia und Isso weiß ich nicht ob eine Installation auf uberspace möglich ist und falls doch, ob ich das mit meinen Kenntnissen bewältigen kann.
Statische Kommentare sind möglich und dafür habe ich auch einige Ansätze gesehen aber ich würde eine dynamische Lösung wie Juvia oder Isso bevorzugen, denn statische Kommentare müssten von mir manuell eingepflegt und die Seite erneut herausgeschrieben werden. Dadurch entsteht eine lange Verzögerung und Gespräche oder Diskussionen in den Kommentaren werden unwahrscheinlich.

Ein weiteres Problem: Ich bin mir nicht sicher, ob ich es irgendwie schaffe die alten Kommentare einzupflegen sollte ich eine Lösung für das Kommentarsystem finden. Das wäre sehr ärgerlich, aber vielleicht könnte ich ein statisches Backup des WordPress-Blogs mit den Kommentaren online stellen. Das wäre zwar nur eine Notlösung aber besser als sie komplett zu verlieren.

Drinkmotizer: Ein Roboter mixt Drinks

Sat, 01 Feb 2014 00:00:00 +0000

Hier kann man einen Roboter bestaunen, der Drinks mixt.
Realisiert wurde das Projekt u.a. mit einem Raspberry Pi und einem Arduino.

Im Studium hatten wir mal in einem Praktikum eine per SPS gesteuerte Abfüllanlage programmiert. Ich kann mich noch gut daran erinnern, dass wir dabei ähnliche Ideen hatten. 😄

Acer C720: Debian Kernel 3.12.8

Sat, 18 Jan 2014 00:00:00 +0000

Neuer Kernel für das Chromebook Acer C720: 3.12.8

WordPress-Alternativen

Thu, 16 Jan 2014 00:00:00 +0000

Da mir WordPress eigentlich etwas zu träge ist, zumindest im Adminbereich, die Seite an sich ist relativ flott, habe ich mich mal nach Alternativen umgeschaut. Es gibt einiges interessantes, aber ich habe noch nichts gefunden was mich überzeugt. Hier mal meine Anforderungen:

Markdown
Import der WordPress-Einträge
Kommentarsystem (Ich möchte aus Prinzip kein disqus o.ä. Drittplugin nutzen)
OpenSource
Nach Möglichkeit Web-Interface um auch von unterwegs mal etwas ~~zu Papier~~ ins Web zu bringen.
Links der Beiträge sollten sich nicht verändern (das werde ich wohl kaum finden).

Hier mal die drei interessantesten Kandidaten zu einer Tabelle zusammengefasst.

Name OSS Markdown WP-Import Kommentare Web-Interface URLs

Ghost ✓ ✓ ✓ × ✓ ? Nibbleblog ✓ ✓ ✓ ✓ ✓ × Octopress ✓ ✓ ✓ × × ?

Gerade nutze ich zum ersten Mal das WordPress-PlugIn WP-Markdown welches das Schreiben schon deutlich angenehmer gestaltet, aber leider noch nicht perfekt funktioniert wie man an obiger Tabelle sehen kann.

Wenn jemand noch empfehlenswerte Blogsysteme kennt, die ich mir mal anschauen könnte wäre ich über Hinweise dankbar. 😀

[Update 2014-01-17]
In den Kommentaren wurden viele interessante Blogsysteme oder CMS genannt. Ich hoffe ich komme demnächst mal dazu mir diese anzusehen. Vielen Dank dafür. 😀 Danke auch an dos für den Link zu einem Blogeintrag, in dem er sich auch mit/ diversen Blogsystemen beschäftigte.
Das PlugIn WP-Markdown ist auch wieder deaktiviert. Beim Senden des Beitrags wurde Markdown in HTML umgewandelt und beim bearbeiten dieses Beitrags will das PlugIn den HTML-Code wegen der Einrückung in Codeblocks setzen, statt ihn unverändert zu posten. Das könnte ich zwar beheben, aber auf Dauer wird so etwas lästig. 😉

OSBN: Open-Source-Blog-Netzwerk

Tue, 14 Jan 2014 00:00:00 +0000

Meinen Blog habe ich gestartet um eine, immer verfügbare, Wissensdatenbank zu haben in der ich bestimmte Tools, Vorgehensweisen und Problemlösungen festhalten kann um später wieder auf sie zugreifen zu können. Primär ging es mir darum die Momente, in denen ich dachte “Das hatte ich doch schon mal, wie habe ich das damals gelöst?” zu vermeiden. Da das Internet fast überall verfügbar ist und ich von jedem Rechner darauf zugreifen kann, entschied ich mich für einen Blog und gegen eine lokale Lösung. Außerdem kann ich vielleicht auch anderen Leuten mit den gleichen Problemen helfen wenn ich meine Lösungen online stelle.

Da ich meinen Blog mit dieser Motivation betreibe bewerbe ich ihn auch nicht groß im Internet und achte nicht darauf häufig verlinkt zu werden. Mit zwei Ausnahmen: Dem debianforum.de-Planeten und dem Open-Source-Blog-Netzwerk. Ersterem bin ich beigetreten, da ich im debianforum.de häufig aktiv bin und der Planet eher eine Sammlung der Blogs der Benutzer ist, als ein Debian-bezogener Planet. Ähnlich verhält es sich mit dem Open-Source-Blog-Netzwerk (OSBN). Wo andere Netzwerke strenge Richtlinen haben, sei es bezüglich der Inhalte oder der Länge und Häufigkeit der Beiträge ist das OSBN eher ein loser Zusammenschluss von Blogs die sich in irgendeiner Weise mit OpenSource befassen.

Da ich die Idee, verschiedenste Blogs zu einem OpenSource-Netzwerk zusammenzufassen, gut fand bin ich dem OSBN beigetreten. Aus diesem Grund sieht man auch seit ein paar Wochen auf der rechten Seite eine Box mit den letzten Beiträgen aus dem OSBN. Derzeit umfasst das OSBN 84 Blogs und ich würde es begrüßen, wenn weitere hinzustoßen. 😉

runalyze: Sport-Aktivitäten protokollieren

Sat, 11 Jan 2014 00:00:00 +0000

Kürzlich suchte ich eine Alternative zu Endomondo und Konsorten um meine sportlichen Aktivitäten zu protokollieren und mich durch die Auswertungen zu motivieren mehr zu tun. :) Dabei suchte ich tagelang und fand nichts, dass meinen Vorstellungen entsprach. Jetzt bin ich beim Surfen zufällig über runalyze gestolpert und die Software kommt dem, was ich suchte, verdammt nahe.

Man kann sich entweder auf der Seite registrieren oder runalyze auf dem eigenen Webspace/Server installieren. Ich habe mich für letzteres entschieden, da ich meine Daten gerne, soweit möglich, unter eigener Kontrolle habe. Die Installation ist denkbar einfach, man entpackt runalyze auf dem Webspace, richtet eine MySQL-Datenbank dafür ein, ruft es im Browser auf und gibt die Daten ein.

Runalyze ist eigentlich für Läufer gedacht, bringt aber auch Profile für Radfahren, Schwimmen und Gymnastik mit. Runalyze kann Daten von Garmin-Geräten wohl direkt entgegennehmen, was ich in Ermangelung eines solchen Gerätes nicht getestet habe. Meine Radrunden tracke ich mit meinem Handy und importiere die .gpx-Datei nach runalyze. Gehe ich Schwimmen gebe ich die Daten über ein Eingabeformular manuell ein.

Runalyze ist nach eigenen Angaben OpenSource, jedoch fand ich nirgends einen Verweis auf die Lizenz. Auf Nachfrage schrieb einer der Entwickler:

Wegen der Lizenz: Da haben wir uns ehrlich gesagt auch nie besonders viele Gedanken drüber gemacht. Ich dachte, wir hätten damals bei SourceForge eine angegeben, aber die konnte ich derzeit auch nicht finden.

Das ist für mich als OSS-Befürworter etwas schade, aber ich hoffe, dass das demnächst auch noch geklärt wird.

Runalyze kann Daten auch in mehrere Formate, bzw. zu verschiedenen Diensten, exportieren: IFrame, FITLOG, Twitter, GPX, TCX, HTML, KML, Facebook und Google+. Hier mal ein Beispiel für einen HTML-Export:

[runalyze.de](http://www.runalyze.de/){.runalyze-emb-runalyze}**2,1 km
Schwimmen** am 11.01.2014

``` {.runalyze-emb-infos}
[1:10:00]{.runalyze-emb-time}[33:20/km]{.runalyze-emb-pace}[0
hm]{.runalyze-emb-elev}

{.runalyze-emb-share}


Da ich meine Trainingsdaten als nicht öffentlich deklariert habe, gibt
es keinen Link zu Details, aber auch das ist möglich.

Debian: Manpages über Firefox-Suche öffnen

Sat, 14 Dec 2013 00:00:00 +0000

Die Debian-Manpages können seit kurzem auch im Browser gelesen werden. Das finde ich angenehmer als im Terminal zu lesen und benutze sie häufig. Ich habe mehrere Suchmaschinen im Firefox (bzw. Iceweasel, da ich ja Debian nutze) und habe für diese Such-Kürzel eingerichtet. D.h. möchte ich auf Wikipedia suchen gebe ich einfach w SUCHBEGRIFF in die Adressleiste des Browsers ein. Für die Debian-Manpages gibt es leider kein Suchmaschinen-PlugIn für den Firefox, aber auf dieser Seite habe ich eine Lösung gefunden.
Man muss lediglich das AddOn Add to Searchbar installieren. Danach führt man einen Rechtsklick auf das Suchfenster aus und wählt Zur Suchleiste hinzufügen… und gibt bei Schlüsselwort das gewünschte Kürzel ein. In meinem Fall habe ich m gewählt und kann nun mittels m PROGRAMMNAME im Firefox/Iceweasel die gewünschte Manpage aufrufen.

Goodbye last.fm – Hello libre.fm

Sun, 01 Dec 2013 00:00:00 +0000

Ich hatte mich zwar vor längerer Zeit schon mal bei libre.fm registriert, es aber nie genutzt. Ich habe sogar meine Anmeldedaten komplett vergessen. :)\

Da ich, wo es möglich ist, freie Software bevorzuge war der Wechsel von last.fm zu libre.fm längst überfällig. Ich habe mir nun ein neues Konto bei libre.fm erstellt und mein last.fm-Profil gelöscht.
Zuvor habe ich aber mit lastscrape meine Daten von last.fm lokal gesichert und derzeit lädt das Tool diese zu libre.fm hoch. Es geht also nichts verloren. ;)

Mein Audioplayer Clementine hat zwar keine Unterstützung für libre.fm an Bord, das ist aber auch nicht nötig, da die API von libre.fm kompatibel zur API von last.fm ist. Das kann man nutzen um die last.fm-Unterstützung von Playern mit libre.fm zu nutzen. Dazu trägt man folgendes in der /etc/hosts ein:

    149.20.54.250 post.audioscrobbler.com
    149.20.54.250 ws.audioscrobbler.com

Quelle: http://bugs.foocorp.net/projects/librefm/wiki/Using_turtle

Die Daten werden somit zu libre.fm umgeleitet. Im Audioplayer, in meinem Fall Clementine, muss man dann bei den last.fm-Anmeldedaten dann nur noch den Benutzernamen und das Passwort von libre.fm eintragen.
Auf meinem Android-Handy benutze ich die App Simple last.fm Scrobbler, die ich weiter verwenden kann, da diese von Haus aus libre.fm unterstützt. :) Natürlich darf auch der Verweis auf mein Profil nicht fehlen. ;)

DR14 T.meter unter Debian installieren.

Sat, 16 Nov 2013 00:00:00 +0000

Gestern wollte ich den DR14 T.meter, ein Tool zur Berechnung der dynamic range eines Songs, installieren, was aber unter Debian scheiterte:

    dpkg -i /home/martin/Downloads/dr14tmeter_1.0.12-1_all.deb 
    (Reading database ... 129551 files and directories currently installed.) 
    Preparing to replace dr14tmeter 1.0.12-1 (using .../dr14tmeter_1.0.12-1_all.deb) ... 
    Unpacking replacement dr14tmeter ... 
    dpkg: dependency problems prevent configuration of dr14tmeter: 
    dr14tmeter depends on ffmpeg; however: 
    Package ffmpeg is not installed. 

    dpkg: error processing dr14tmeter (--install): 
    dependency problems - leaving unconfigured 
    Processing triggers for man-db ... 
    Errors were encountered while processing: dr14tmeter

Der Ersteller des Paketes teilte mir mit, es nur unter Ubuntu getestet zu haben, also habe ich kurzerhand ffmpeg in der Datei debian/control entfernt und das Paket neu gebaut: dr14tmeter_1.0.12-1_all.deb
MD5-Sum: ed80cc6e6a6c720f23d949dd1beb976a

~~Ich habe außer dem Entfernen der Abhängigkeit von ffmpeg (wurde bei debian durch avconf ersetzt), nichts geändert. Trotzdem übernehme ich keinerlei Garantie für das Paket.~~

[Nachtrag 2013-12-01] Ich habe festgestellt, dass die Änderung das Paket zwar installierbar macht, aber dass das dekodieren bei flac und anderen Formaten, für die ffmpeg verwendet wird, nicht funktioniert. Nun habe ich im Quelltext einfach ffmpeg durch avconv ersetzt und in der Datei debian/control avconv als Abhängigkeit angegeben. Funktioniert zwar bei mir gut, dennoch gebe ich keinerlei Garantie für das Verhalten des Programms.

dr14tmeter_1.0.12-1_all.deb
MD5-SUM: 013e4f47d5c032f6acfe452a755c6e57

dr14tmeter_1.0.12-1.dsc
MD5-SUM: 3cc8b31fe199e288206401309282c42f

dr14tmeter_1.0.12-1.tar.gz
MD5-SUM: 8f4f6e37f7590066124b551b35ff6a84

Neu: pics.mdosch.de

Wed, 13 Nov 2013 00:00:00 +0000

Ich habe gestern mal testweise Piwigo unter pics.mdosch.de (auch hier im Blog über den Link “Bilder” zu erreichen) eingerichtet. Piwigo ist eine OpenSource-Bildergalerie und wird evtl. bei Gefallen DeviantArt ersetzen.
Ich bin zwar momentan dabei, wo möglich, alle amerikanischen Dienste zu ersetzen aber bei DeviantArt ist dies nicht der eigentliche Grund. Bilder, die ich bei DeviantArt hoste möchte ich eh veröffentlichen und sind daher nichts sensibles. Aber DeviantArt ist relativ träge und die ganze Community außenrum ist mir nicht so wichtig. Piwigo ist deutlich flotter und ich muss die Bilder nicht unbedingt über ein Webinterface hochladen, da Piwigo von Shotwell (und anderen Programmen) unterstützt wird.

ezmlm-idx und der Präfix

Thu, 12 Sep 2013 00:00:00 +0000

Beim Umzug auf uberspace habe ich auch meine Mailingliste mit umgezogen. Vorher verwendete ich mailman, uberspace verwendet aber, das mir bis dahin unbekannte, ezmlm-idx. Die Einrichtung ist zwar im uberspace-wiki gut beschrieben, ein Detail fehlte mir dort aber noch: Der Präfix.
Die meisten Mailinglisten verwenden einen Präfix, der dem Betreff vorangestellt wird, z.B. in der Form [Mailinglistenname] Betreff. Nach kurzer Recherche fand ich heraus, dass sich dieses Verhalten auch sehr leicht unter ezmlm konfigurieren lässt. Man muss lediglich im Mailinglisten-Ordner eine Datei namens prefix anlegen. Die erste Zeile dieser Datei wird, mit einem Leerzeichen getrennt, vor dem Betreff eingefügt. In meinem Beispiel muss man also lediglich eine Datei prefix mit dem Inhalt [Mailinglistenname] anlegen.

Piwik: Opt-Out

Sun, 01 Sep 2013 00:00:00 +0000

Zur Analyse der Seitenaufrufe verwende ich lokal Piwik, das hat den Vorteil dass Besucher nicht über mehrere Seiten hinweg getracked werden, wie bspw. bei Google-Analytics.
Piwik ist zwar so konfiguriert, dass es den DNT-Header beachtet aber falls jemand diesen nicht nutzt und trotzdem nicht von Piwik erfasst werden möchte kann man nun Piwik über einen Browser-Cookie deaktivieren.

Update 2015-08-26

Ein Opt-Out ist nicht mehr nötig ich habe Piwik in meinem Blog deaktiviert.

Android: Kontakte und Kalender über Owncloud synchronisieren

Fri, 30 Aug 2013 00:00:00 +0000

Es war mir schon lange ein Dorn im Auge, dass bei meinem Handy Kontakte und Kalender via Google synchronisiert wurden. Zu Beginn habe ich die Synchronisierung nicht genutzt, aber nachdem ich bei einem Konzert mein Smartphone im Moshpit verloren hatte und beim neuen Telefon erst mal wieder alle Rufnummern mühsam zusammensuchen musste habe ich die bittere Pille geschluckt und die Synchronisation aktiviert. Der NSA-Skandal war eine gute Erinnerung nach einer Alternative zu suchen, welche ich in dem OpenSource-Tool Owncloud gefunden habe.
Owncloud kann neben der Synchronisation von Kalender und Adressbuch auch zur Ablage von Dateien und zum Austausch dieser genutzt werden, ähnlich dem bekannten Tool DropBox. Doch das ist hier nicht das Thema.

Im ersten Schritt benötigt man für Owncloud eigenen Webspace. Ich habe zwar bereits welchen (da ist schließlich mein Blog gehosted), aber da ich in letzter einige Probleme hier hatte wollte ich mir mal einen anderen Provider ansehen. In uberspace habe ich einen tollen, deutschen Provider gefunden (meine Daten sollen ja nicht durch die schnüffelnden USA fließen¹). Uberspace ist ein außergewöhnlicher Shared Hoster, auf den ich hier bestimmt noch mal gesondert eingehen werde. Dort kann man für 1€ monatlich (man zahlt so viel man möchte, mindestens 1€) 10GB an Speicher und 100GB an Traffic erwerben, das sind Dimensionen die man mit einer privaten Homepage niemals auch nur annähernd erreicht. Mit einer .de-Domain erhöht sich der zu leistende Mindestbetrag auf 1,50€. Das Angebot kostet den ersten Monat noch keinen Cent, man kann also ohne jegliche Verpflichtung einen Monat den Service testen.
Nachdem ich mir dort einen Account erstellt habe, war der erste Punkt Owncloud zu installieren. Dazu loggt man sich per SSH auf dem eigenen Uberspace ein: ssh $user@$server.uberspace.de $user und $server sind natürlich durch den eigenen Uberspace-Benutzernamen und Uberspace-Server zu ersetzen. Danach lädt man die aktuelle Owncloud-Version (im Moment 5.0.10) herunter und entpackt diese. In meinem Beispiel schiebe ich Owncloud in den Ordner owncloud, so dass es später über https://$user.$server.uberspace.de/owncloud zu erreichen wäre. Abschließend müssen noch die korrekten Rechte der Konfigurationsdatei gesetzt werden.

    wget http://download.owncloud.org/community/owncloud-5.0.10.tar.bz2
    tar -xjvf owncloud-5.0.10.tar.bz2
    mv owncloud html/owncloud
    chmod 0700 html/owncloud/config

Darauf ruft man Owncloud via https://$user.$server.uberspace.de/owncloud auf und vergibt die Nutzerdaten. Anschließend ist Owncloud auch schon betriebsbereit. Die Installation ist auch im Uberspace-Wiki beschrieben.

Zum Synchronisieren der Daten benötigen wir unter Android noch zwei Apps. Bei mir hat es, wie in diesem Blog-Eintrag beschrieben, mit CalDav und CardDav gut funktioniert.
Die Einrichtung ist nicht sehr kompliziert und ich gehe nicht näher darauf ein, da sie im verlinkten Blog-Eintrag gut beschrieben ist. Man sollte danach auf keinen Fall vergessen in Androids Konten-Einstellungen die Synchronisation des Kalenders und Adressbuchs zu Google zu deaktivieren.

[Update 2014-05-15]\

Mittlerweile habe ich ein Handy mit einer aktuellen Android-Version und nutze für die Synchronisation von Kontakten und Kalender eine App. DAVdroid gibt es relativ günstig bei Google Play oder kostenlos bei F-Droid.

Ich möchte die Kontaktdaten aber ebenfalls mit meinem Thunderbird-Adressbuch synchronisieren, dazu benötigt man den SoGo-Connector und die CardDav-Adresse. Letztere erhält man, indem man bei Owncloud das Adressbuch öffnet, links unten das Zahnrad und darauf die Weltkugel anklickt. Nun öffnet man im Thunderbird das Adressbuch und wählt Datei -> Neu -> Remote-Adressbuch und fügt den Link bei URL: ein. That’s it. Eine bebilderte Anleitung zur Einrichtung im Thunderbird findet man hier.
Zum Synchronisieren der Kalendereinträge mit Thunderbird gibt es das Kalender-AddOn Lightning. Die benötigte CalDav-Adresse erhält man, indem man in Owncloud im Kalender, diesmal rechts oben, das Zahnrad und anschließend die Weltkugel anklickt. Im Thunderbird wählt man Datei -> Neu -> Kalender, trifft die Auswahl Im Netzwerk, >CalDav und gibt die, zuvor kopierte, Adresse ein.

¹ Leider kann man nicht 100%ig garantieren, dass die Daten Deutschland nicht verlassen, selbst wenn man aus Deutschland eine Verbindung zu einem deutschen Server aufbaut. Zumindest werden meine Daten nicht mehr in den USA und ganz besonders nicht bei Google gespeichert.

An Java-Entwickler: Unterstützung für SEPA-Lastschriften in HBCI4Java gesucht

Fri, 16 Aug 2013 00:00:00 +0000

Wie ich hier bereits erwähnte nutze ich die plattformunabhängige OpenSource-Kombination Jameica/Hibiscus um Online-Banking unter Linux zu betreiben.

Der Entwickler von Jameica/Hibiscus bittet in seinem Blog bzw. auf der HBCI4Java-Mailingliste um Unterstützung bei der Implementierung von SEPA-Lastschriften in HBCI4Java.

Hier der Beitrag von der ML:

Hi zusammen,

ich gehe davon aus, dass hier auch der ein oder andere Entwickler aus Unternehmen mitliest, welche HBCI4Java im geschaeftlichen Umfeld nutzen. Und ich weiss, dass das Thema SEPA (hier insb. die SEPA-Lastschrift) gerade Unternehmen unter den Naegeln brennt, weil es ab naechstem Jahr Ernst wird.

Allerdings kriege ich bisher immer nur Anfragen von Firmen oder Vereinen, ob SEPA-Lastschrift auf meiner TODO-Liste steht. Und wenn ja, wie lange es noch dauert. Ich kriege aber keine Mails von Entwicklern aus Firmen, die mir schreiben, dass sie bereits begonnen haben, das in HBCI4Java einzubauen.

Bisher habe ich auf die Frage nach der SEPA-Unterstuetzung immer geantwortet, dass das bei mir auf Platz 1 der Agenda steht und mein Ziel ist, es bis Ende des Jahres eingebaut zu haben. Mich beschleicht daher der Verdacht, dass sich hier einige Unternehmen in ihrer Komfort-Zone bequem machen und warten, bis ich diese Arbeit uebernommen habe. Ich mache Hibiscus in meiner Freizeit und pflege HBCI4Java so gut es geht weiter. Gerade aktuell hab ich z.Bsp. endlich den PCSC-Support zum Laufen gekriegt. Die Unterstuetzung fuer die neuen TAN-Verfahren (incl. dem komplizierten chipTAN) habe ich auch eingebaut.

Falls hier also Entwickler von Unternehmen mitlesen, die selbst ebenfalls HBCI4Java (oder auch Hibiscus) geschaeftlich verwenden, dann faende ich etwas Initiative auch von eurer Seite gut. Denn ich mache Hibiscus & Co. nur privat.
Ich selbst brauche die SEPA-Lastschrift also gar nicht. Und ich will eigentlich auch nicht der Gratis-Entwickler fuer Unternehmen sein. Und nein, mit geht es nicht um Bezahlung. Mir geht es darum, nicht der Einzige zu sein, der fuer HBCI4Java Code liefert.

Gruss
Olaf

Da ich selbst nur etwas C-Programmierung beherrsche kann ich leider nichts beitragen, aber ich verbreite das Gesuch mal in meinem Blog und hoffe, dass evtl. jemand mit den nötigen Kenntnissen darauf aufmerksam wird. Da mein Blog auch im debianforum.de-Planet gelistet ist, erreicht der Beitrag bestimmt einige kompetente Programmierer.

Nachtrag: Am 13.10.2013 schrieb Olaf Willuhn in seinem Blog, dass nun erster Code für SEPA-Lastschriften in den nightlies verfügbar ist.

Meine neue Backup-Lösung

Thu, 01 Aug 2013 00:00:00 +0000

Wie ich bereits im rsync-Beitrag beschrieben habe, habe ich meine Backups bisher manuell (und dadurch viel zu selten) durchgeführt. Da ich mittlerweile ein neues Notebook benutze, wurde mein altes arbeitslos. Das alte hatte zwar einige Probleme, weswegen ich es durch ein neues ersetzt habe, aber für irgendwelche kleinen Aufgaben als Server ist es immer noch gut genug. Da ich ungern Dinge wegwerfe und Elektroschrott produziere wollte ich daraus einen Server machen, auf den ich automatisiert ein tägliches Backup speichere. Eine ähnliche Einstellung hat auch der Blogger Apo und beschreibt in seinem Blog gambaru.de noch weitere mögliche Verwendungen für alte Hardware.

Ich werde hier keine detaillierte Schritt-für-Schritt, bzw. Kochrezept-Anleitung, für einen Backup-Server veröffentlichen. Davon gibt es bereits genug und was ich fabriziert habe ist eine Lösung, die für mich gut genug ist aber wahrscheinlich nicht die perfekte Lösung.

Meine Lösung sieht grob umrissen folgendermaßen aus:

– Einmal täglich startet mein Laptop (das Neue, mit dem ich arbeite) mein altes Laptop (im folgenden Server genannt) per Wake On LAN (WOL).
– Danach sichert es mittels rsync über SSH meinen /home-Ordner und /etc
– Abschließend wird der Server über SSH in den Ruhezustand versetzt

Ich habe per rsync rudimentär die Funkionalität von rsnapshot nachgebaut, da mir rsync besser gefällt bzw. ich es schon kenne, da ich bisher manuelle Backups damit durchgeführt habe. Außerdem kann ich mittels rsync Backups über SSH an den Server senden, bei rsnapshot ist dies nicht möglich. Bei rsnapshot müsste mein Server per SSH das Backup von meinem Laptop “abholen”. Ich möchte aber keinen SSH-Server als zusätzlichen Daemon auf meinem Laptop installieren.

Wie man im Ubuntuusers-Wiki nachlesenen kann, ist es möglich mit rsnapshot beliebig zu konfigurieren wie viele tägliche/wöchentliche/monatliche/jährliche Backup-Versionen man vorhalten möchte. Ich beschränke mich bei meiner Lösung auf ein Backup pro Monat für ein Jahr lang, wobei das tagesaktuelle Backup jeweils das des aktuellen Monats ist.

Nun ein grober Abriss meines Vorgehens:

Server installieren

Als Betriebssystem habe ich Debian Wheezy (das aktuelle Stable-Release) installiert. Dabei habe ich lediglich “Desktop” abgewählt, da mein Server keine GUI benötigt, und “SSH-Server” angewählt. Eine Debian-Installation ist so einfach, dass ich das hier nicht näher erläutern muss.

SSH einrichten

SSH habe ich nach dem Artikel im Arch-Wiki eingerichtet und auch den Passwortlosen Login konfiguriert.
Ich habe lediglich die Zeile

    AllowUsers BENUTERZAME@192.168.2.*

hinzugefügt um Logins nur aus meinem lokalen Netz zu erlauben. Die IP ist natürlich auf die lokalen Gegebenheiten und BENUTZERNAME auf den eigenen Benutzernamen auf dem Server anzupassen.

WOL einrichten

Um den Server, den ich täglich nur kurz für das Backup benötige, nicht ständig laufen zu lassen habe ich beschlossen Wake On LAN zu nutzen. Mein Laptop hängt per Netzwerkkabel an meinem Router und wird aufgeweckt in dem ich ein Kommando über mein per WLAN angebundes Notebook schicke. Dies habe ich nach einem Artikel im Ubuntuusers-Wiki eingerichtet.
In meinem Fall gab es noch ein kleines Problem, da meine Vodafone Easy.Box das Magic Packet (TM) blockiert. Lösen konnte ich dies indem ich im Konfigurations-Menu der Easy.Box bei Daten→NAT→Port Mapping, nach diesem Foren-Thread, folgendes eingetragen habe:\

    LAN IP: SERVER_IP
    Protokolltyp: UDP
    LAN-Port: 9
    Öffentlicher Port: 12345

Als SERVER_IP muss natürlich die IP des Servers im lokalen Netzwerk eingegeben werden. Port 9 ist der Standard-Port für WOL-Pakete. Anstatt 12345 kann man auch einen anderen Port wählen, diesen muss man aber später beim Senden des WOL-Paketes angeben. Zum Senden des WOL-Paketes verwende ich das Programm wakeonlan.
Vielen Dank an die hilfsbereiten, freundlichen und kompetenten User aus dem debianforum.de-Chat, die mir halfen das Problem zu lokalisieren und zu beheben.

Backup per rsync

Nun konnte ich per WOL meinen Server wecken und per SSH darauf zugreifen und es ging darum per rsync ein Backup auf den Server zu kopieren. Herausgekommen sind folgende Zeilen:\

    rsync -azP --delete --link-dest=../$(expr $(date +%-m) - 1) /home/USER_LOCAL USER_SERVER@SERVER_IP:backup/$(date +%-m)
    rsync -azP --delete --link-dest=../$(expr $(date +%-m) - 1) /etc USER_SERVER@SERVER_IP:backup/$(date +%-m)

USER_LOCAL → Benutzername auf meinem Laptop, dessen home-Ordner ich sichere.
USER_SERVER → Benutzername auf dem Server, auf dem ich das Backup ablege.
SERVER_IP → IP des Servers (surprise, surprise :D)
Die Optionen -azP sind relativ simpel und können leicht in der manpage von rsync nachvollzogen werden.
`backup/$(date +%-m)` gibt an, dass das Update auf dem Server im Unterordner backup in einem weiteren Unterordner abgelegt wird. Der weitere Unterordner wechselt monatlich, d.h. im Juli wird nach $/backup/7 gesichert, im August nach $/backup/8. Dadurch erhalte ich Ordner 1 – 12, die jeweils das letze Backup für den Monat enthalten und kann auf jeweils ein monatliches Backup des letzten Jahres zurückgreifen.
`--delete` sorgt dafür, dass Dateien welche ich lokal lösche auch aus dem Backup entfernt werden.
Mittels `--link-dest=` gebe ich einen Ordner an, indem nach Übereinstimmungen gesucht wird. Ist in diesem Ordner eine Datei vorhanden und im Vergleich zur zu sichernden Datei unverändert, wird diese Datei nicht erneut übertragen sondern ein Hardlink auf die vorhandene Datei gesetzt. Dadurch wird die Größe des Backups verringert (Deduplikation). `../$(expr $(date +%-m) - 1)` sorgt dafür, dass als Linkziel der Ordner gewählt wird, der das Backup des Vormonats enthält (z.B. im Juli $/backup/6, im August $/backup/7). Im Januar funktioniert dies natürlich nicht ordnungsgemäß, da 1 – 1 = 0 ergibt. Das habe ich recht hemdsärmelig gelöst indem ich einen Symlink von $/backup/0 auf $/backup/12 gelegt habe. Damit wird auch im Januar der Vormonat Dezember als Linkziel gewählt.

Ruhezustand

Abschließend wird der Server per `ssh root@SERVER_IP:"pm-suspend & exit"` in den Ruhezustand versetzt.

Automatisierung

Um mich nicht mehr um das Backup kümmern zu müssen, sondern dieses automatisiert ablaufen zu lassen habe ich ein Script erstellt und unter `/etc/cron.daily/` gespeichert, damit es täglich ausgeführt wird.
Dieses Script sieht vor den Server per WOL aufzuwecken, anschließend das Backup durchzuführen und am Ende den Server in Suspend zu schicken. Das Script funktioniert auch soweit, ist allerdings noch nicht optimal und verhält sich teilweise noch nicht ganz korrekt, weshalb ich es hier noch nicht veröffentliche. Sobald die Kinderkrankheiten ausgemerzt sind werde ich es hier veröffentlichen.

[Nachtrag 2013-09-12]

Mittlerweile habe ich ein Script, das nach einigen Änderungen alles tut was es soll.

#! /bin/sh

# Backup-Server hochfahren
wakeonlan -p WOL_PORT SERVER_MAC 1>/dev/null
# Auch unter /usr/local/bin/wol

# Warten bis Backup-Server bereit
sleep 10

if [ `ping -c 1 SERVER_IP | grep -wc 100%` -eq 0 ]
then

sudo -u martin notify-send -a Backup "Automatisches Backup wird durchgeführt."

# Bei Problemen zu Testzwecken auskommentieren
# ssh -v -p SSH_PORT martin@SERVER_IP /bin/true

# Backup per rsync
rsync -az --delete --rsh="ssh -p SSH_PORT" --link-dest=../$(expr $(date +%-m) - 1) --exclude=martin/.cache --exclude=martin/Videos /home/martin martin@SERVER_IP:backup/$(date +%-m)
rsync -az --delete --rsh="ssh -p SSH_PORT" --link-dest=../$(expr $(date +%-m) - 1) /etc martin@SERVER_IP:backup/$(date +%-m)
rsync -az --delete --rsh="ssh -p SSH_PORT" --link-dest=../$(expr $(date +%-m) - 1) /root martin@SERVER_IP:backup/$(date +%-m)

# Server nach Backup schlafen schicken
ssh root@SERVER_IP -p SSH_PORT "pm-suspend-hybrid & exit"
# Bei Servern, die per SSH vom Internet erreichbar sind sollte man sich überlegen den root-login zu sperren und stattdessen sudo für pm-suspend-hybrid zu nutzen.

else
echo "Backup konnte nicht durchgeführt werden. \nDer Server war nicht erreichbar." | mail -s "Backup fehlgeschlagen!" martin@hostname
fi

Ich werde demnächst auch noch im Detail erklären, warum ich das so gelöst habe. Im Moment fehlt mir dazu leider die Zeit.

Debian-Wallpaper

Fri, 26 Jul 2013 00:00:00 +0000

Heute habe ich mal wieder ein bisschen mit GIMP gespielt und dabei ist ein Debian-Wallpaper herausgekommen. Es ist ziemlich schlicht gehalten, aber ich finde es ganz elegant. 😀

{.aligncenter .size-medium .wp-image-211 width=“600” height=“337”}

Programmempfehlung: Jameica + Hibiscus

Sat, 29 Jun 2013 00:00:00 +0000

Nach meinem Umstieg von Windows auf Linux vor ~10 Jahren war eines der wenigen Programme, die mir fehlten ein ordentliches Homebanking-Programm. Mit Mühe und Not bekam ich GNUCash dazu meine Bankgeschäfte per HBCI auszuführen, diese Lösung gefiel mir jedoch nie, da es sprichwörtlich mit Kanonen auf Spatzen geschossen war. Bei Moneypenny scheiterte ich immer am Kompilieren und Moneyplex sagte mir nie zu.
Zum Glück stolperte ich irgendwann über Hibiscus eine Java-Homebanking-Anwendung mit HBCI-Unterstützung für die Jameica-Plattform. Das Programm bietet alle Funktionen, die ich benötige und lässt sich einfach bedienen. Dass es unter der GPL veröffentlicht wird, also freie Software ist, ist natürlich ein weiterer Pluspunkt.
Leider gibt es Jameica/Hibiscus nicht in den Debian-Repositories, ich hoffe aber dass sich das ändert da ich es mir “gewünscht” habe. 😄 Hätte ich die Zeit und die nötige Kompetenz würde ich mich ja darum kümmern, so bleibt mir nur zu hoffen, dass sich jemand dem Programm annimmt. 😉 Wie das geht hat Apo in seinem Blog, zwar auf Spiele bezogen aber das lässt sich transferieren, erklärt.
Wer es sich einfach machen möchte kann das Ubuntu-PPA auch unter Debian nutzen. Das ist zwar quick ’n dirty aber hat bei mir in der Vergangenheit gut funktioniert. Ich bin dazu übergegangen Jameica einfach nach /opt/ und anschließend Hibiscus nach /opt/jameica/plugins/ zu entpacken. Damit kann man schon arbeiten. Wenn man möchte kann man noch per

# ln -s /opt/jameica/jameica.sh /usr/local/bin/jameica

eine Verknüpfung anlegen damit man Jameica per Alt+F2 oder im Terminal per jameica starten kann und nicht den vollen Pfad angeben muss.
Ich persönlich habe mir mit alacarte einen Anwendungsstarter erstellt, den ich in die Schnellstartleiste von Gnome3 eingefügt habe.
Der Nachteil meiner Lösung ist, dass ich regelmäßig im Blog von Olaf Willuhn (dem Programmierer von Jameica/Hibiscus) nachschauen muss ob eine neue Version verfügbar ist, da ich am Paketmanagement vorbei installiert habe.

[![Kontoauszüge in
Jameica/Hibiscus](https://www.willuhn.de/products/hibiscus/screenshots/thumb/12.png){width="150"
height="116"}](https://www.willuhn.de/products/hibiscus/screenshots/12.png)

Kontoauszüge in Jameica/Hibiscus\
Quelle: <https://www.willuhn.de/products/hibiscus/screenshots.php>

Zsh als Bash-Ersatz

Fri, 21 Jun 2013 00:00:00 +0000

Da man in Foren oder Blogs häufig von den Vorteilen der zsh liest (z.B. hier) habe ich nun beschlossen mir diese einzurichten. Unter Debian lässt sie sich komfortabel über

    apt-get install zsh

installieren. Mit oh-my-zsh richte ich mir auch gleich ein beliebtes Framework, welches auch einige Plugins und Themes mitbringt, ein. Um dieses zu installieren, muss das Programm git installiert sein. Per

    wget --no-check-certificate https://github.com/robbyrussell/oh-my-zsh/raw/master/tools/install.sh -O - | sh

installiert man oh-my-zsh und mit

    chsh -s $(which zsh)

richtet man die zsh als Standard-Shell ein.

Von den Themes gefällt mir agnoster ganz gut, also beschließe ich dieses einzurchten. Das Theme setzt das Solarized Dark Farbschema und eine powerline-gepatchte Schriftart für bestimmte Sonderzeichen voraus. Ich habe mir hier die Schrift Ubuntu Mono heruntergeladen und installiert. Diese habe ich dann im Gnome-Terminal als Schriftart ausgewählt.

Das Farbschema habe ich, wie hier beschrieben, mit folgenden Befehlen heruntergeladen und eingerichtet.

    git clone https://github.com/sigurdga/gnome-terminal-colors-solarized.git
    ./gnome-terminal-colors-solarized/install.sh

Anschließend konnte ich in der Konfigurationsdatei ~/.zshrc das Theme mit folgender Zeile

    ZSH_THEME="agnoster"

auswählen.

Nun habe ich eine recht hübsch aussende Shell und nach ein paar Arbeiten damit kann ich sagen, dass die zsh vieles wesentlich vereinfacht und ich denke ich werde die Bash dauerhaft ersetzen. Nun muss ich mir nur noch ein paar Tipps & Tricks zur zsh zusammensuchen um ein paar der zahlreichen Funktionen kennzulernen.

{.aligncenter .size-thumbnail .wp-image-173 width=“450” height=“264”}

{.aligncenter .size-thumbnail .wp-image-174 width=“450” height=“264”}

Mein neues Notebook

Wed, 19 Jun 2013 00:00:00 +0000

Das Neue

So, mein neues Notebook ist da. Hier werde ich meine Erfahrungen mit der Installation des Betriebssystems und der Inbetriebnahme und Konfiguration behandeln. Dabei werde ich natürlich nicht jeden einzelnen Schritt erschöpfend behandeln, aber ein kleiner Erfahrungsbericht soll es schon werden. 😉 []{#more-91}
Es handelt sich bei meinem neuen Laptop um ein Wortmann Terra Mobile 1541 Pro mit folgender Ausstattung:

1x NB MOBILE 1541 15.6″ FHD 1920×1080/HM77/Docking
15.6″ FHD 16:9 (1920×1080),mit Tastatur dt.
Chipsatz Intel HM77,
RAM max.16GB DDR3 (2x Sockel frei) 1333/1600
LAN 10/100/1000,3x USB 3.0,1xUSB2,0,
SlimDVD-Brenner,
VGA, HDMI ,eSATA, UMTS-Modul optional
Docking Port,Fingerprint,Webcam 2.0MP,TPM,WOL,
Cardreader (MMC/RSMMC/SD/MiniSD/SDHC/SDXC/MS/ MS Pro/MS Duo),
Expresscard
Microphone in, Line out,
Li-Ion Akku 62WH (6 Monate Gewährleistung)
374 x 256 x 37,9mm,
2,5 Kg -OS: Windows 7/Windows 8 OPTIONAL
TERRA Logo auf Displayabdeckung

1x NB CPU Intel Core i5-3230M PPGA988/2,6GHz/Ivy
PGA988B (G2), 2.60 (3.20) GHz, 3 MB, Ivy Bridge • Dual-Core (2C/4T) mit HD 4000 Graphics (DX11) (Ivy Bridge, Chief River)

2x SO-DIMM DDR3 4GB / PC1600

1x HDNB 500.0GB Toshiba MK5061GSYN / 7200rpm / S-AT

1x ->> FreeDOS (Preload ohne Handbuch & Datenträger)

24 Monate Garantie incl. Pickup TERRA MOBILE

Wie man sieht habe ich die Standardfestplatte durch eine flottere mit 7200rpm ersetzt und das Windows durch FreeDOS ersetzt, da ich, wie bereits erwähnt, eh Linux installieren möchte. Zusätzlich zu den 24 Monaten Garantie habe ich zwei weitere Jahre Garantieerweiterung erworben, da ich jetzt schon zweimal den Fall hatte, dass nach ~3 Jahren nach und nach Defekte auftraten (geplante Obszoleszens?). Auf das optionale UMTS-Modul habe ich verzichtet.

Das Alte

Das Terra soll mein Lenovo G560 ersetzen. Dieses wäre mir von der Ausstattung her zwar noch gut genug, aber es hatte in letzter Zeit einig Defekte und ich beschloss mir ein neues zuzulegen. Hier mal die Ausstattung des alten Laptops:

    # inxi -F
    System:    Host: schlepptop Kernel: 3.8-1-amd64 x86_64 (64 bit) Desktop: Gnome Distro: Debian GNU/Linux jessie/sid

    Machine:   System: LENOVO product: 0679 version: Lenovo G560 serial: 2378786700757 
               Mobo: LENOVO model: N/A serial: CBG3093868 Bios: LENOVO version: 29CN27WW(V2.04) date: 06/01/2010

    CPU:       Dual core Intel Core i3 CPU M 350 (-HT-MCP-) cache: 3072 KB flags: (lm nx sse sse2 sse3 sse4_1 sse4_2 ssse3 vmx) 
               Clock Speeds: 1: 933.00 MHz 2: 933.00 MHz 3: 933.00 MHz 4: 2266.00 MHz

    Graphics:  Card: Intel Core Processor Integrated Graphics Controller 
               X.org: 1.12.4 drivers: intel (unloaded: fbdev,vesa) tty size: 80x24 Advanced Data: N/A for root 

    Audio:     Card-1: Intel 5 Series/3400 Series High Definition Audio driver: snd_hda_intel Sound: ALSA ver: k3.8-1-amd64

    Network:   Card-1: Broadcom BCM43225 802.11b/g/n driver: bcma-pci-bridge 
               IF: wlan0 state: up mac: --deleted--
               Card-2: Realtek RTL8101E/RTL8102E PCI Express Fast Ethernet controller driver: r8169 
               IF: eth0 state: up speed: 100 Mbps duplex: full mac: --deleted--

    Drives:    HDD Total Size: 500.1GB (56.7% used) 1: id: /dev/sda model: WDC_WD5000BEVT size: 500.1GB 

    Partition: ID: / size: 451G used: 265G (62%) fs: ext4 ID: swap-1 size: 8.17GB used: 0.37GB (5%) fs: swap

    Sensors:   System Temperatures: cpu: 56.0C mobo: N/A 
               Fan Speeds (in rpm): cpu: N/A 

    Info:      Processes: 199 Uptime: 5 days Memory: 1968.2/3766.6MB Client: Shell (bash) inxi: 1.9.7

Installation

Das neue Notebook wurde gerade geliefert und als erstes steht die Installation des Betriebssystems an. Installiert wird ein Debian Testing per Netinstall.

Der Laptop bootet gefühlt in einer Sekunde, was aber kein Wunder ist, da noch FreeDOS installiert ist. Nach Einlegen der Installations-CD und Strg+Alt+Entf wird diese auch gleich gebooted. Es scheint also schon mal kein UEFI/SecureBoot meine Linux-Installation zu blockieren. Zuerst sticht mir ins Auge, dass eine grafische Installation angeboten wird. Ist diese bei der Netinstall-CD neu, oder mir bisher noch nie aufgefallen? Ich werde vom Installer gleich darauf hingewiesen, dass Firmware für die Netzwerkkarten fehlt.

{.aligncenter .size-thumbnail .wp-image-143 width=“450” height=“337”}

Diese lade ich mir auf meinem Lenovo mittels

    apt-get -t testing download firmware-iwlwifi

herunter. Die Option -t testing verwende ich, da ich auf meinem Lenovo Unstable verwende, auf meinem Terra aber Testing installieren möchte. Das heruntergeladene .deb-Paket kopiere ich auf einen USB-Stick und entpacke es, obwohl ich nicht weiß ob das Entpacken notwendig ist.
Die Firmware wird auf dem USB-Stick auch gleich erkannt und die Installation geht weiter.

{.aligncenter .size-thumbnail .wp-image-144 width=“450” height=“337”}
Ich lasse den Installer die komplette Festplatte automatisch formatieren und partitionieren und treffe die üblichen Einstellungen (Benutzername, Passwörter etc.). Die Frage ob ich am Debian Popularity-Contest teilnehmen möchte bejahe ich und über tasksel wähle ich Standard-Systemwerkzeuge und Laptop. Desktop wähle ich ab, obwohl ich Gnome3 benutzen möchte, um dies später per apt-get install gnome-core zu installeren, da mir über das Metapaket zu viele Programme installiert werden, die ich nicht nutzen möchte (z.B. Rhythmbox, dem ich Clementine vorziehe).
Da es sich um die Netinstall-CD handelt werden alle Pakete außer einem minimalen Basissystem direkt in der aktuellen Version von den Debian-Servern geladen.
Die Installation lief erfahrungsgemäß ohne Probleme durch.

Konfiguration

Ich möchte niemanden mit einer pedantischen Auflistung aller Schritte, die ich durchgeführt habe langweilen deshalb werde ich hier exemplarisch ein paar Worte zur Einrichtung verlieren. Zuerst stelle ich mein Backup per rsync wieder her. Dabei verzichte ich darauf den home-Ordner komplett zurückzusichern sondern nutze die Gelegenheit wieder ohne “Altlasten” mit frischen Konfigurationen zu starten und stelle nur die Daten von Ordnern wie Dokumente, Musik, Bilder und ausgewählte Konfigurationen (z.B. .mozilla, .icedove, .gnupg) wieder her.

Da ich bei Programmen wie Iceweasel und Icedove gerne die aktuellen Versionen des Upstreams benutze füge ich auch die Releases Unstable und Experimental zu meiner /etc/apt/sources.list hinzu. Um nicht mein ganzes System auf Unstable zu upgraden sorge ich per apt-pinning dafür, dass standardmäßig weiter aus Testing installiert wird und füge für Pakete wie Icedove und Iceweasel explizit Ausnahmeregeln in der /etc/apt/preferences hinzu.

Hier meine Quellen:

    # /etc/apt/sources.list

    deb http://ftp.de.debian.org/debian/ testing main non-free contrib
    #deb-src http://ftp.de.debian.org/debian/ testing main non-free contrib

    deb http://security.debian.org/ testing/updates main contrib non-free
    #deb-src http://security.debian.org/ testing/updates main contrib non-free

    deb http://www.deb-multimedia.org/ testing main non-free

    deb http://ftp.de.debian.org/debian/ unstable main non-free contrib
    #deb-src http://ftp.de.debian.org/debian/ unstable main non-free contrib

    deb http://ftp.de.debian.org/debian/ experimental main non-free contrib
    #deb-src http://ftp.de.debian.org/debian/ experimental main non-free contrib

Und hier mein, zugegeben ungewöhnliches, Pinning:

    # /etc/apt/preferences

    Package: *
    Pin: release o=debian,a=testing
    Pin-Priority: 900

    Package: *
    Pin: release o=debian,a=unstable
    Pin-Priority: 600

    Package: *
    Pin: release o=debian,a=experimental
    Pin-Priority: 550

    Package: *
    Pin: origin www.deb-multimedia.org
    Pin-Priority: 100

    Package: iceweasel
    Pin: release o=debian
    Pin-Priority: 995

    Package: iceweasel-l10n-de
    Pin: release o=debian
    Pin-Priority: 995

    Package: icedove
    Pin: release o=debian
    Pin-Priority: 995

    Package: icedove-l10n-de
    Pin: release o=debian
    Pin-Priority: 995

Ansonsten verlief die Einrichtung sehr unspektakulär. Alles läuft ohne Verrenkungen out-of-the-box, die einzige unfreie Firmware, die benötigt wurde, war firmware-iwlwifi welche schon im Installer hinzugefügt wurde. Ansonsten funktioniert der Ton (OnBoard, Stereoanlage über USB-DAC, und USB-Boxen in der Küche), Grafik, LAN, WLAN, Bluetooth und Webcam. Mir fällt gar nicht mehr ein was ich noch testen könnte.
Lediglich für meinen DVB-T Stick musste ich manuell eine Firmware (gefunden bei linuxtv.org) herunterladen und nach /lib/firmware/ kopieren.

    # lsusb
    Bus 002 Device 013: ID 14aa:0201 WideView Technology Inc. AVermedia/Yakumo/Hama/Typhoon DVB-T USB2.0 (cold)

Eine Bewertung über Haptik, Wertigkeit etc. werde ich vermutlich erst in ein paar Tagen treffen können, da solche Dinge gerade am ersten Tag etwas ungewohnt sind (vor allem die Tastatur). Dann werde ich wohl auch noch ein paar Bilder schießen und hochladen.
Fürs erste muss der inxi-Output genügen:

System: Host: schlepptop Kernel: 3.2.0-4-amd64 x86_64 (64 bit) Desktop: Gnome Distro: Debian GNU/Linux jessie/sid

Machine: Mobo: CLEVO model: W25CEW Bios: American Megatrends version: 4.6.5 date: 11/08/2012

CPU: Dual core Intel Core i5-3230M CPU (-HT-MCP-) cache: 3072 KB flags: (lm nx sse sse2 sse3 sse4_1 sse4_2 ssse3 vmx)
Clock Speeds: 1: 1200.00 MHz 2: 1200.00 MHz 3: 1200.00 MHz 4: 1200.00 MHz

Graphics: Card: Intel 3rd Gen Core processor Graphics Controller
X.org: 1.12.4 drivers: intel (unloaded: fbdev,vesa) tty size: 80×24 Advanced Data: N/A for root

Audio: Card-1: Intel 7 Series/C210 Series Family High Definition Audio Controller driver: snd_hda_intel
Card-2: Texas Instruments Speakers driver: USB Audio
Sound: Advanced Linux Sound Architecture ver: 1.0.24

Network: Card-1: Intel 82579V Gigabit Network Connection driver: e1000e
IF: eth0 state: down mac: –deleted–
Card-2: Intel Centrino Wireless-N 2230 driver: iwlwifi
IF: wlan0 state: up mac: –deleted–

Drives: HDD Total Size: 1500.3GB (51.3% used) 1: id: /dev/sda model: TOSHIBA_MK5061GS size: 500.1GB
2: id: /dev/sdb model: 10EAVS_External size: 1000.2GB

Partition: ID: / size: 443G used: 180G (43%) fs: ext4 ID: swap-1 size: 16.93GB used: 0.00GB (0%) fs: swap

Sensors: System Temperatures: cpu: 48.0C mobo: N/A
Fan Speeds (in rpm): cpu: N/A

Info: Processes: 186 Uptime: 3:08 Memory: 2155.6/7886.2MB Client: Shell (bash) inxi: 1.9.7

Piwik

Sat, 15 Jun 2013 00:00:00 +0000

Ich habe heute Piwik installiert um ein paar Statistiken über Seitenzugriffe, Referrer, verwendete Betriebsysteme, Browser und ähnliches zu bekommen. Ich habe Piwik vor ein paar Jahren schon mal eingesetzt und habe mich auch diesmal wieder dafür und nicht für Google-Analytics o.ä. entschieden, da Piwik lokal bei meinem Hoster läuft. Externe Dienste wie Google-Analytics erlauben dem Dienstleister, in diesem Beispiel Google, nämlich das Tracking der Besucher über mehrere Seiten hinweg. Außerdem ist Piwik freie Software und ich bevorzuge diese wo es möglich ist.
Piwik benötigt für die Erfassung der Daten Java-Script, wer mir also die Erfassung von Zugriffsstatistiken etc. ermöglichen will erlaubt bitte JS für piwik.mdosch.de. Piwik ist auch so konfiguriert, dass es den DNT-Header berücksichtigt.

Update 2016-08-26

Piwik ist mittlerweile deaktiviert. Ich fand es zwar interessant über Piwik zu sehen woher die Besucher kamen und dadurch Verlinkungen auf meinen Blog zu finden, aber ich möchte meinen Blog so Datenschutzkonform wie möglich einrichten um mit gutem Beispiel voran zu gehen.

Backup mit rsync

Thu, 13 Jun 2013 00:00:00 +0000

Ich gebe es zu, ich war in letzter Zeit faul und hatte seit Januar kein Backup mehr gemacht. Zuletzt verwendete ich dafür das auf Duplicity aufsetzende Déjà Dup, aber bei der letzten Installation meines Laptops hatte ich arge Probleme das Backup wiederherzustellen, da Déjà Dup die Integrität des Backups in Frage stellte und auch häufig crashte. Nach mehrmaligen Versuchen gelang es zwar doch, aber da Déjà Dup das Backup in einem eigenen Format speichert besteht grundsätzlich die Gefahr das Backup nicht wiederherstellen zu können. Der Ubuntu-Entwickler Michael Terry weist auch in einem Blog-Eintrag auf dieses Risiko hin.

My concern stems from the fact that Déjà Dup uses an opaque backup format [1]. Which means that it does not store your data in plain files that you can just copy back into place with the file manager. You’ll need to use Déjà Dup again to restore them [2]. Which is fine if Déjà Dup is working correctly, as it should.

But just from a risk management perspective, I always recommend that people try to have at least one copy of their data in “plain files” format at all times.

Aus diesem Grund möchte ich ein simples altbewährtes Tool nutzen, bei dem die Wahrscheinlichkeit einer Fehlfunktion geringer ist und ich im Notfall die Dateien auch händisch wiederherstellen kann. Meine Wahl fiel dabei auf rsync. Rsync kann Dateien lokal oder über Netzwerk sichern. Ich verwende in meinem Fall eine USB-Festplatte. Die Syntax von rsync ist simpel:

    rsync [OPTIONEN] Quelle Ziel

Als Quelle wählt man natürlich den zu sichernden Ordner, wie z.B. /home/martin und als Ziel das Zielmedium in meinem Fall /media/martin/USB-Festplatten-UUID/Backup wobei ich der Lesbarkeit wegen meine UUID durch USB-Festplatten-UUID ersetzt habe. Bei der Angabe der Quelle ist es wichtig darauf zu achten, dass zwischen Quelle und Quelle/ unterschieden wird.

    rsync -a /home/martin/ /media/martin/USB-Festplatten-UUID/Backup

würde nur die Dateien im Ordner martin zum Ziel übertragen, nicht den Ordner martin selbst. Um den gesamten Ordner zu sichern muss man

    rsync -a /home/martin /media/martin/USB-Festplatten-UUID/Backup

ausführen.

Wie man der manpage entnehmen kann gibt es sehr viele Optionen für rsync. Im vorigen Beispiel wurde die Option -a benutzt, welche die folgenden Optionen beinhaltet:

-r -> Unterverzeichnisse werden mitkopiert (rekursiv)
-l -> symbolische Links werden mitkopiert
-p -> Rechte bleiben erhalten
-t -> Zeiten bleiben erhalten
-g -> Gruppenrechtebleiben erhalten
-o -> Besitzrechte bleiben erhalten (root)
-D -> Gerätedateien bleiben erhalten (root)

Um Besitzrechte und Gerätedateien zu erhalten muss rsync als root ausgeführt werden. Will man nicht nur symbolische Links sondern auch Hardlinks erhalten, so kann man dies durch die Option -H erreichen. Um nach einem Abbruch an der Abbruchstelle fortsetzen zu können kann man die Option -P verwenden. Durch diese Option wird auch der Fortschritt des Vorgangs angezeigt.
Bei einer Übertragung über ein Netzwerk kann man durch -z die Daten komprimiert übertragen und durch -e wählt man die Remote-Shell, z.B. -e ssh.
Bei Aktualisierungen eines Backups kann die Option --delete sinnvoll sein, da sie Dateien die nicht mehr in der Quelle vorhanden sind auch im Ziel löscht. So verhindert man auch, dass Dateien, welche seit dem letzten Backup umbenannt wurden, doppelt im Backup vorkommen. Mit Hilfe der Option -b können veränderte Dateien, auch durch --delete gelöschte Dateien, in einen durch --backup-dir= definierten Backup-Ordner gesichert werden.
Mittels --exclude= kann man Ordner von der Übertragung ausschließen. Dabei ist zu beachten, dass man den Ordner relativ zur Quelle und nicht absolut angeben muss. D.h. wenn unsere Quelle /home/martin ist und wir wollen /home/martin/.gnupg vom Backup ausschließen, müssen wir dies mit --exclude=/.gnupg tun, nicht mit --exclude=/home/martin/.gnupg.
Verwendet man --stats bekommt man am Ende der Übertragung einen Report und mit -v während des Vorgangs die aktuellen Schritte angezeigt.

Ich habe nun meinen home-Ordner wie folgt gesichert:

    rsync -avP --stats /home/martin /media/martin/USB-Festplatten-UUID/Backup

Eine Sicherung, bei der gelöschte Dateien auch im bereits vorhandenen Backup entfernt, aber gesichert, und die Daten komprimiert über SSH übertragen werden könnte so aussehen:

    rsync -avPzbe "ssh -p 667" --delete --backup-dir=martin@zweitrechner:/tmp/Backup/Old /home/martin martin@zweitrechner:/tmp/Backup

Weitere Informationen kann man durch man rsync oder diesem LinuxUser-Artikel erhalten.

Warnung: Ich möchte darauf hinweisen, dass ich diesen Artikel hauptsächlich für mich selbst als Gedächtnisstütze geschrieben habe und keine Garantie für Fehlerfreiheit übernehme. Da ich nur einen Rechner habe, konnte ich z.B. das SSH-Beispiel nicht testen. Allgemein würde ich empfehlen, bei so etwas sensiblem wie Backups immer aufmerksam zu sein, das Gehirn einzuschalten und lieber zweimal nachzudenken bevor man handelt.

Notebooks ohne Windows

Wed, 12 Jun 2013 00:00:00 +0000

Nachdem mein aktuelles Notebook so langsam den Geist aufgibt war es an der Zeit ein neues zu suchen.
Da ich seit 10 Jahren Linux nutze wollte ich natürlich ein Notebook ohne Windows erwerben, ob es ohne Betriebssystem, mit einem Linux oder FreeDOS ausgeliefert wird war mir dabei recht egal. Wichtig war mir nur, dass ich keine Windows-Lizenz mit kaufe mit der ich nichts anfangen kann.
Leider musste ich feststellen, dass es kaum Shops gibt die ihre Notebooks ohne Windows verkaufen. Auf den Webseiten der Hersteller kann man so einiges konfigurieren, aber das Windows kann man selten abwählen.
Um einen kleinen Merkzettel mit Shops, welche ihre Notebooks auch ohne Windows verkaufen, zu haben und eventuell anderen Interessenten, welche auch kein Windows kaufen wollen, eine Sammlung bereit zu stellen veröffentliche ich hier die Anbieter, welche ich gefunden habe.

Eine kleine Auswahl von Laptops ohne Windows gibt es unter notebooks-billiger.de und auch bei den Suchmaschinen von geizhals.at, cyberport.de und amazon kann man gezielt nach Notebooks ohne Windows suchen. Die Auswahl ist allerdings sehr eingeschränkt und um mehr Treffer zu erzielen und auch höherwertige Notebooks zu finden muss man doch etwas suchen. Nun folgt die Liste der gefundenen Anbieter, welche ihre Notebooks auch ohne Windows verkaufen. Sollte jemand weitere kennen, würde ich mich auf einen Hinweis per Kommentar freuen. Wer weiß wann ich wieder ein neues Notebook benötige und mich über jeden Hinweis freue. 😀

**[Nachtrag 2013-09-20: Besser-PC hinzugefügt.]
**

Ich möchte ausdrücklich darauf hinweisen, dass ich die genannten Verkäufer nicht getestet habe und deshalb auch keinen ausdrücklich empfehlen kann. Ebenso kann ich nicht garantieren, dass die ohne Windows verkauften Notebooks mit bestimmten Distribution bzw. allgemein mit Linux out of the box funktionieren.

Ich habe mittlerweile mein nächstes Notebook gefunden und bestellt. Ohne Windows, aber nicht von einem der genannten Shops sondern über einen Kontakt aus einem Linuxforum. Um welches Notebook es sich handelt und wie die Einrichtung unter Linux (voraussichtlich Debian Testing) verlief werde ich hier berichten, wenn es soweit ist. 😉

Vielen Dank an hikaru, der einen Artikel zum Notebook-Kauf im df.de veröffentlicht hat, der reichlich Kontroverse hervorrief und mich daran erinnert hat, dass es sinnvoll ist eine Liste zu erstellen, falls man mal wieder in der gleichen Situation ist.

System-Mails von Linux mit Thunderbird abfragen

Wed, 12 Jun 2013 00:00:00 +0000

Im Vergleich zum Betriebssystem aus Redmond ist Linux eine regelrechte Plaudertasche. Statt kryptischer Fehlermeldungen erhält man meist recht klare Informationen was schief gelaufen ist und teilweise sogar klare Anweisungen wie der Fehler zu beheben ist. Linux schickt auch viele Informationen als Mail an den jeweiligen Benutzer. Diese Mails kann man unter /var/mail/root für root und unter /var/mail/$user einsehen, wobei $user für den jeweiligen Nutzernamen steht.
Komfortabler ist es natürlich, wenn die Systemmails direkt im Email-Client gelesen werden können. Ich verwende als Email-Client Thunderbird (bzw. das Debian-Pendant Icedove) und habe vor kurzem erfahren, dass es ganz einfach ist die Systemmails mit Thunderbird abzurufen.

Dazu muss man lediglich ein neues Konto vom Typ Unix Mailspool (Movemail) anlegen. Diesen Kontentyp kann man in Thunderbird unter Neu → Andere Konten hinzufügen.

{.aligncenter .size-medium .wp-image-19 width=“300” height=“250”}

Darauf trägt man bei Email-Adresse $user@$hostname ein, wobei $user wieder für den eigenen Benutzer und $hostname für den hostname steht. Wenn man sich unsicher ist, was der eigene hostname ist kann man das recht einfach erfahren indem man

    hostname

in ein Terminal tippt.

{.aligncenter .size-medium .wp-image-24 width=“300” height=“250”}
Danach gibt man in den Konteneinstellungen bei den Einstellungen für den Server als Benutzernamen wieder den eigenen Benutzernamen ein und unter Server localhost.

{.aligncenter .size-medium .wp-image-25 width=“300” height=“272”} Im letzten Schritt muss die Datei /etc/aliases folgendermaßen bearbeitet werden:

    # /etc/aliases
    mailer-daemon: postmaster
    postmaster: root
    nobody: root
    hostmaster: root
    usenet: root
    news: root
    webmaster: root
    www: root
    ftp: root
    abuse: root
    noc: root
    security: root
    root: $user

Dabei ist es wichtig bei root: in der letzten Zeile den eigenen Benutzernamen einzutragen, damit die Mails an den Benutzer root auch im Thunderbird erscheinen.

Vielen Dank an Saxman, der mir dies im df.de erläutert hat.

[Update 2017-09-11]

Seit heute lasse ich mir die Systemmails über XMPP zusenden.