Im aktuellen Fail2Ban Paket ist ein Fehler in der Fail Regex für SASL Auth.
Folgende Regex funktioniert und muss in /etc/fail2ban/filter.d/sasl.conf eingesetzt werden.

(?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|»Newline entfernen« 
(?:CRAM|DIGEST)-MD5) authentication failed: \w+

Wichtig: In /etc/fail2ban/jail.conf muss als Logfile für das SASL Auth Jail /var/log/mail.warn angegeben werden!

via Debian Bugtracker

Wenn man phpMyAdmins HTTP Authentifizierung auf einem Apache Webserver mit FastCGI nutzen möchte, muss man ein paar Dinge beachten. Tut man dies nicht, schlägt jeglicher Loginversuch fehl.

Es wird mod_rewrite benötigt. Falls also nicht schon aktiv, muss das Apache Modul aktiviert werden. Danach im vHost für phpMyAdmin die AllowOverride Optionen AuthInfo, FileInfo und Limit freischalten. Nicht vergessen die Konfiguration vom Apache neu zu laden.

Nun im Hauptverzeichnis von phpMyAdmin eine .htaccess Datei mit folgendem Inhalt anlegen:

RewriteEngine On
RewriteRule .* - [E=REMOTE_USER:%{HTTP:Authorization},L]

Thats it.

via phpMyAdmin Wiki

Auf einem Server mit VMWare ESXi habe ich intern ein privates Netz zwischen den virtuellen Maschinen aufgebaut. Das Netz besitzt einen eigenen DNS Server, sodass alle Maschinen auch mit dem Namen angesprochen werden können.

Nun wollte ich diese DNS Namen auch im MySQL Server als Host für die Benutzerkonten verwenden. Der MySQL Client versuchte allerdings immer die Anmeldung via IP Adresse Adresse auszuführen.

mysql -u blog -h mysql.esxvm.local -p
Enter password: 
ERROR 1045 (28000): Access denied for user 'blog'@'192.168.101.105' (using password: YES)

Hier hatte sich ein kleiner Denkfehler eingeschlichen. Der MySQL Server nutzt nicht den DNS Namen zur Anmeldung, sondern den Reverse DNS Namen! Wenn man darüber Nachdenkt ist das sogar logisch. Denn den Namen kann man "von außen" ja nicht ohne weiteres fälschen.

Reverse DNS im bind9 gesetzt und schon funktionierte es:

mysql -u blog -h mysql.esxvm.local -p
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 11856

So einfach...

Anstatt Strg+Alt+Entf nutzt man ganz einfach

Strg+Alt+Ende

Schon taucht der entsprechende Dialog nicht mehr auf dem lokalen Desktop, sondern in der Remote Desktop Verbindung auf.

Standardmäßig liefert Debian Logrotate mit kompletter Konfiguration im /etc/ Ordner und mit root Rechten aus, sodass man auch die Konfiguration nur als root verändern kann.

Für einen Minecraft Server wollte ich nun das Serverlog rotieren lassen, damit die Datei nicht so groß wird. (Auf dem Server sind die meisten User Operatoren und die mögen den give-Befehl gerne... )

Damit alles unter dem selben Linux Benutzer läuft, wollte ich Logrotate auch mit dem Minecraft-User ausführen lassen. Man legt die Konfiguration einfach im Homeverzeichnis an und führt dann Logrotate mit der User-Crontab "manuell" aus.

/home/mc/server.log
{
	rotate 30
	daily
	missingok
	notifempty
	copytruncate
}

Der Crontab Befehl sieht dann wie folgt aus:

0 5 * * * /usr/sbin/logrotate -s /home/mc/logrotate.status /home/mc/logrotate.conf

Logrotate benötigt dann noch ein Statusfile, welches man auch im Homeverzeichnis anlegen muss. In der Datei merkt sich Logrotate welches Log wann das letzte mal verarbeitet wurde.

Have fun.

Einfach nur cool.

via hostblogger

Da ich es auf meinem lokalen Rechner immer vergesse, und sich mein Server sowieso langweilt, habe ich eine XEN Maschine erstellt, die auf drei Kernen mit 2,6 GHz für verschiedene Projekte rechnet.

Meine Maschinen rechnen für die Projekte von worldcommunitygrid.org. Die Anleitung bezieht sich also speziell auf diese Plattform.

BOINC Einrichten (Projekt unabhängig)

BOINC ist der Client, der sich die Aufgaben vom Server abholt und dann rechnet. Der Client arbeitet als Service. Um diesen Service zu steuern, kann man sich über eine RPC-GUI mit dem Server verbinden.

Die größte Herausforderung war, die 32 Bit Anwendung auf einem 64 Bit System zu starten. (Das mag vielleicht auch an der Tageszeit liegen. ) Man muss das Paket ia32-libs installerien. Tut man dies nicht, wird Linux beim Ausführen von ./boinc melden, dass es diese Datei nicht gibt. Sehr verwirrende Meldung...

Natürlich sollte man BOINC mit einem separaten Linux Account laufen lassen:

groupadd -u <einegroupid> boinc
useradd -u <eineuserid> -g <diegroupid> -G boinc -d /home/boinc -m -s /bin/bash boinc
su boinc
cd /home/boinc

Danach kann BOINC "installiert" werden:

wget http://boinc.berkeley.edu/dl/boinc_<version>_i686-pc-linux-gnu.sh
chmod u+x boinc_<version>_i686-pc-linux-gnu.sh
./boinc_<version>_i686-pc-linux-gnu.sh
cd BOINC

Möchte man den Zugang via GUI zum BOINC Prozess gestatten, kann man nun in der Datei gui_rpc_auth.cfg ein beliebiges Kennwort festlegen. Später beim Startbefehl legt man dann fest, ob diese Funktion genutzt werden soll, oder nicht.

BOINC mit worldcommunitygrid.org starten

Beim ersten Start von BOINC muss das Projekt hinzugefügt werden. Den letzten Parameter im Befehl, den so genannten Account Key, findet man auf der Website worldcommunitygrid.org unter My Profile relativ weit unten.

./boinc -attach_project www.worldcommunitygrid.org 28f34sdgsdgsdwr324234324a914596

Starten nun erfolgreich die Prozesse, kann der Client mit Strg+C wieder gekillt werden. Danach wird BOINC mit folgendem Befehl als Service gestartet:

./boinc --allow_remote_gui_rpc --daemon

Der erste Parameter gibt dabei an, ob BOINC über eine GUI erreichbar sein soll, oder nicht. Aus Sicherheitsgründen ist in meinem Fall der komplette Server via iptables dicht gemacht.

Nun noch ein Startscript bauen damit BOINC beim Systemstart startet.
Thats it.

Ist bei TightVNC die Keyboard Map komplett zerhauen wenn man mit Gnome arbeitet, kann vielleicht ein fixer Eintrag in der gconf helfen.

gconftool --set /desktop/gnome/peripherals/keyboard/kbd/layouts \
--type List --list-type String [aa]

In meinem Fall hat Gnome zum Beispiel bei der Enter-Taste Leerzeichen gemacht.
Nun funktioniert es zum Glück wieder...

via tompson

Mit dem Fingerprint kann man überprüfen, ob man sich auch wirklich mit dem richtigen Server verbindet. Das funktioniert bei allen SSL Verbindungen.

Speziell bei SSH liegen die Zertifikate unter /etc/ssh/. Die Fingerprints lässt man sich dann wie folgt anzeigen:

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

Beim ersten Login von einem Client auf den Server wird auch der Fingerprint angezeigt und gefragt, ob man diesen annehmen möchte. Ein Beispiel:

$ ssh lava
The authenticity of host 'lava (134.2.14.48)' can't be established.
RSA key fingerprint is 9e:1a:5e:27:33:4d:2b:13:90:2f:64:41:bd:25:fd:35.
Are you sure you want to continue connecting (yes/no)?

$ ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub 
2048 9e:1a:5e:27:33:4d:2b:13:90:2f:64:41:bd:25:fd:35 /etc/ssh/ssh_host_rsa_key.pub

Stimmen die Fingerprints überein, isses der richtige Server.