Tales from beyond the .network

serra.me

Mehr Farbe im Terminal

Während das Terminal unter Gentoo immer recht „bunt“ daherkommt – so wird etwa für den root-Benutzer der Hostname in rot dargestellt, der aktuelle Verzeichnispfad in blau – sind die Terminals unter Debian und anderen Linux-Distributionen standardmäßig recht farbsparsam. Glücklicherweise ist die Darstellung des Terminals durch eine Konfigurationsdatei namens bashrc konfigurierbar.

Wer es lieber etwas abwechslungsreicher mag, findet nachfolgend die Standard-bashrc von Gentoo. Die funktioniert natürlich nicht nur unter Gentoo selbst, sondern (theoretisch) überall dort, wo Bash läuft.

(mehr …)

Gentoo: Portage auf Git umstellen

Standardmäßig verwendet Gentoo zur Verteilung des Portage-Tree das rsync-Protokoll. Für die Übertragung bzw. Synchronisation vieler kleiner Dateien ist das Protokoll auch gut geeignet und funktioniert stabil.

Diese Methode hat jedoch einen Nachteil. Um die Integrität der heruntergeladenen Dateien zu überprüfen, sind diese via OpenGPG signiert. Der eigentliche Download erfolgt zunächst in ein „Quarantäneverzeichnis“, dann erfolgt eine Signaturprüfung. Erst, wenn die Signaturen validiert wurden, wird der lokale Portage Tree entsprechend aktualisiert. Der Nachteil hierbei ist, dass die Signaturprüfung (gerade auf weniger performanten Systemen) verhältnismäßig langsam ist – ich habe hier schon Update-Zeiten von mehreren Minuten gesehen.

Glücklicherweise kann man portage anweisen, für die Aktualisierung des Portage Tree statt rsync auch git zu verwenden.

(mehr …)

Gentoo: Neue Kernel-Dateinamen für genkernel

Kurz notiert – eben wurde mir der folgende News-Eintrag in die Gentoo-News gespült.

  Title                     Genkernel 4 changed default filenames
  Author                    Thomas Deutschmann <$censored$@gentoo.org>
  Posted                    2019-12-30
  Revision                  1

To be consistent with kernel's own naming which allows for easier
matching of kernel/initramfs with kernel files (/lib/modules),
genkernel 4 changed default kernel and initramfs filename:

    kernel-genkernel-%%ARCH%%-%%KV%%      -> vmlinuz-%%KV%%
    System.map-genkernel-%%ARCH%%-%%KV%%  -> System.map-%%KV%%
    initramfs-genkernel-%%ARCH%%-%%KV%%   -> initramfs-%%KV%%.img

Note that in genkernel 4, filenames are fully customizable and that
$ARCH value is now part of $KV value by default.

All bootloaders and utilities like sys-apps/kexec-tools available in
Gentoo repository support the new naming schema.

However, due to lexical ordering, the default boot entry in your boot
manager could still point to last kernel built with genkernel before
that name change, resulting in booting old kernel when not paying
attention on boot.

Berücksicht dies also ggf. bei eurer Bootloader-Konfiguration, sofern ihr genkernel 4.x verwendet.

Gentoo: syslog-ng hängt während des Bootvorgangs

Bereits mehrfach habe ich (hauptsächlich auf „performanteren“ Systemen) festgestellt, dass auf meinen Gentoo-Systemen der Logging-Dienst syslog-ng während des Bootvorgangs (scheinbar) ewig hängenbleibt. Kurioserweise lässt sich der Bootvorgang in solchen Fällen mit mehreren (zufälligen) Tastendrücken wieder anstoßen.

Wie unter anderem dieser Bug-Report (zwar von Debian, ich vermute hier jedoch einen Zusammenhang zu SysV-init bzw. OpenRC) zeigt, liegt die Ursache für die Start-Verzögerung daran, dass syslog-ng zum Starten verhältnismäßig viele Zufallsdaten benötigt. Da der zur Erzeugung der Zufallsdaten benötigte Entropie-Pool zum Boot-Zeitpunkt noch verhältnismäßig „leer“ ist, können die Zufallsdaten nicht schnell genug erzeugt werden.

Abhilfe schafft hier der haveged-Daemon, der Zufallszahlen über das HAVEGE-Verfahren erzeugt. Die Arbeitsweise von haveged wird in der zugehörigen Manpage erläutert. Vereinfacht gesagt wird zur Erzeugung der Zufallsdaten das „Hintergrundrauschen“ der CPU ausgenutzt.

In meinen Tests ließen sich die Boot-Zeiten mit haveged stets auf ein normales Maß reduzieren. Die Installation ist dabei sehr simpel, eine weitere Konfiguration ist nicht erforderlich:

emerge sys-apps/haveged
rc-update add haveged boot

Fertig.

Firefox: Grünes HTTPS-Schloss zurückholen

Kurz notiert, weil es mich optisch etwas stört: Seit Version 70.0 weist Firefox nicht mehr explizit mit einem grünen Vorhängeschloss in der URL-Leiste auf verschlüsselte Verbindungen hin. Das ist auch vollkommen sinnvoll – schließlich ist HTTPS der neue Web-Quasistandard und sollte auch unbedingt verwendet werden, insofern ist ein expliziter Hinweis darauf eigentlich obsolet.

Ich mag das grüne Schloss dennoch, daher:

Über about:config den Wert security.secure_connection_icon_color_gray einfach auf false setzen, ein Browser-Neustart ist nicht erforderlich.

Die Einblendung des Zertifikat-Inhabers bei Verwendung eines EV-Zertifikates kann ebenfalls wieder zurückgeholt werden – einfach security.identityblock.show_extended_validation auf true setzen.

PolicyKit und hidepid

…sind keine gute Kombination und haben mich kürzlich doch sehr irritiert. Doch der Reihe nach.

Nachdem der überwiegende Teil meiner Server bereits mit Gentoo läuft, habe ich mir vor ein paar Wochen vorgenommen, Gentoo auch einmal auf einem Desktop (respektive Laptop) einzusetzen, natürlich erst (mehrfach) in verschiedenen VMs. Um die „Grundinstallation“ des Basis-Systems zu vereinfachen, habe ich dazu ein von mir (weiter)entwickeltes Skript genutzt, welches ich auch für meine Server einsetze.

Die Grundinstallation selbst war damit auch jeweils recht zügig abgeschlossen, dank des großartigen Gentoo-Wikis war auch die Installation einer Desktopumgebung (Xfce und MATE) nach etwas Recherche kein größeres Problem.

So weit, so gut – fast jedenfalls.

Problematisch waren allerdings alle Anwendungen bzw. „Vorgänge“ innerhalb der jeweiligen Desktopumgebung, die zur Ausführung erweiterte Rechte benötigen. Zuerst ist mir das bei NetworkManager aufgefallen, der sich beharrlich weigerte, neue Verbindungen aufzubauen; alle Vorgänge wurden mit der Fehlermeldung Not authorized to control networking abgewiesen. Im Log-File des Xorg-Servers fanden sich Einträge, die auf Probleme mit der Kommunikation zu dbus hindeuteten.

(mehr …)

Blade Runner: Deutsches Handbuch als PDF

Erste Handbuchseite des deutschen Handbuchs von Blade Runner

Seit einigen Tagen ist der im Jahre 1997 erschienene Adventure-Klassiker Blade Runner der (ehemaligen) Spiele-Schmiede Westwood Studios dank der Vertriebsplattform GOG.com und des ScummVM-Projekts erstmals als „Digital Download“ für moderne Betriebssysteme verfügbar.

Wie bei GOG-Veröffentlichungen üblich wird auch im Fall von Blade Runner einiges an Bonusmaterial mitgeliefert.

Neben Hintergrundbildern und Konzeptzeichnungen sind auch PDF-Versionen des über 30-seitigen Booklets enthalten – allerdings lediglich auf englisch, französisch und polnisch – eine deutsche Version fehlt(e) bislang.

(mehr …)

Cronjob-Bauhilfe

Nur kurz notiert: Wer sich die Syntax bezüglich der Zeitplanung für Cronjobs ähnlich gut merken kann wie ich, dem möchte ich an dieser Stelle den großartigen Crontab-Guru empfehlen.

Proxmox-GUI deaktivieren

Eine kurze Ergänzung zu meinem vorherigen Beitrag:

Am sichersten ist natürlich immer noch, (aktuell) nicht benötigte Software einfach zu deaktivieren. Da die Proxmox-Weboberfläche als eigener Dienst/Service auf dem Proxmox-Host läuft, kann diese auch mit einem beherzten

systemctl stop pveproxy

beendet werden.

Ich habe zwar keine offizielle Dokumentation dazu gefunden, konnte jedoch bislang keine unerwünschten Nebeneffekte feststellen. Auch Hintergrundjobs wie automatisierte Backups funktionieren weiterhin.

Proxmox-Login mit fail2ban absichern

Ich bin ein großer Freund von fail2ban – es gehört zur Standardausstattung aller meiner Systeme. Standardmäßig wird es dabei von mir zur Absicherung des SSH-Zugangs eingesetzt. Wobei „Absicherung“ hier sicherlich übertrieben ist – Passwort-Logins sind bei mir schon lange verboten und wenn mir einmal ein Private Key abhanden kommt, habe ich ohnehin ernsthaftere Probleme. Aber immerhin bleiben so die Logfiles sauber.

(mehr …)