f.zz.de
archives / 2016 /

04

Ansible - Die ersten Gehversuche

Posted Fri 01 Apr 2016 09:07:45 PM CEST Florian Lohoff in

Ansible ist schon ganz cool. Im Gegensatz zu cfengine, mit dem ich ja 10 Jahre viel gemacht habe, braucht ansible keinen client auf dem target System. Alles wird mithilfe von ssh auf dem target ausgeführt. Einige "spezialmodule" wie postgresql_* brauchen dann vielleicht noch psycopg2 was man aber ja wieder automatisiert installieren kann.

So ist dann mal eben ein ansible playbook entstanden was auf einer Kiste postgres + postgis installiert, ein ganz bischen tuned, den tablespace verschiebt auf ein definiertes disk volume, eine Datenbank namens osm anlegt mit dem entsprechenden owner, permissions etc und entsprechenden extensions für die Datenbank aktiviert. Was dann nur noch fehlt ist halt ein wget + osm2pgsql und 6 Stunden später hat man eine fertige OSM Datenbank laufen.

Im Gegensatz zu cfengine bringt ansible jede menge module mit die mehr oder minder intelligent sind. So merkt das lineinfile modul das zwar die edit regel gelaufen ist aber sich die Datei gar nicht geändert hat. Damit kann man dann verhindern das z.b. Postgres jedesmal restartet wird. Auch schön gelöst ist im postgresql_user Modul das wenn man im playbook das password des db users ändert der auch nur das password auf dem target setzt.

Natürlich legt ansible auch vorher entsprechend mir einen user an mit password und einem ssh key so das ich direkt nachdem das playbook gelaufen ist mich einloggen kann.

Nachdem ich glaube ich das ansible Thema anfange zu verstehen wird es Zeit das an den Installer zu kleben so das man in der FiDB nicht nur Distribution und Classes definieren kann sondern auch gleich ansible playbooks die nach dem booten ausgeführt werden. Dann ist das aufsetzen einer neuen OSM Datenbank irgendwann nur noch das kleben der Installationsanleitung an einen Server und ein Klick für den Reboot via IPMI und dann warten (So 6-10 Stunden für den Import).

Irgendwie ist es ja schon fast langweilig wie einfach das alles aneinanderzukleben ist.

  - hosts: osmtest
    remote_user: root
    tasks:
    - name: install
      apt: name={{item}} state=present update_cache=yes cache_valid_time=3600
      with_items:
        - postgresql
        - postgresql-contrib-9.4
        - postgresql-9.4-postgis-2.1
        - postgresql-9.4-postgis-2.1-scripts
        - python-psycopg2

  [ ... ]

  - hosts: osmtest
    vars:
      dbname: osm
      username: flo
    sudo: yes
    sudo_user: postgres
    tasks:

  [ ... ]

  - name: Create OSM Database
    postgresql_db: name={{dbname}} owner={{username}}

  - name: Add Postgis extensions
    command: psql --dbname={{dbname}} --command="CREATE EXTENSION IF NOT EXISTS {{item}}"
    with_items:
      - postgis
      - hstore

  - name: Fix permissions on postgis tables
    command: psql --dbname={{dbname}} --command="ALTER TABLE {{item}} OWNER TO {{username}}"
    with_items:
      - geography_columns
      - geometry_columns
      - raster_columns
      - raster_overviews
      - spatial_ref_sys

  [ ... ]

Sie haben das Recht zu schweigen ... oder doch nicht

Posted Sun 03 Apr 2016 12:43:17 PM CEST Florian Lohoff in

Das ist schon eine recht einschneidende Geschichte das man von Angeklagten die herrausgabe von Crypto Schlüssel bzw Passphrases verlangt. So weit sind wir in Deutschland noch nicht aber wir müssen da aufpassen. Rechte Hardliner wie Wolfgang Bosbach von der CDU würde soetwas gerne einführen - Warten wir auf den nächsten "Terrorangriff" auf Deutschland wo wir das brauchen und die Regierung uns mit Propaganda überschüttet.

https://theintercept.com/2016/04/01/british-authorities-demand-encryption-keys-in-closely-watched-case/

Turkish Citizenship Database

Posted Mon 04 Apr 2016 06:34:49 PM CEST Florian Lohoff in

Fefe berichtete darüber das scheinbar die Melderegisterdatenbank der Türkei abhanden gekommen ist.

Hier ein Auszug aus der Webseite:

mernis=# SELECT * FROM citizen WHERE last = 'ERDOGAN' AND \
                                     first = 'RECEP TAYYIP' AND \ 
                                     date_of_birth LIKE '%/%/1954';
-[ RECORD 1 ]------------+-------------------------
uid                      | 33693950
national_identifier      | 17291716060
first                    | RECEP TAYYIP
last                     | ERDOGAN
mother_first             | TENZILE
father_first             | AHMET
gender                   | E
birth_city               | ISTANBUL
date_of_birth            | 26/2/1954
id_registration_city     | RIZE
id_registration_district | GUNEYSU
address_city             | ANKARA
address_district         | KECIOREN
address_neighborhood     | KAVACIK SUBAYEVLERI MAH.
street_address           | KUSADASI SOKAK
door_or_entrance_number  | 26
misc                     | 

Wenn man sich so ansieht was da alles drinsteht kommen einem gleich ganz viele Ideen was man ganz ohne kriminellen hintergrund damit machen könnte.

Die offensichtlichen Dinge:

  • Der älteste Türke
  • Histogramm der Geburtsjahrgänge
  • Wachsende und Schrumpfende Regionen
  • Genalogie? An derselben Adresse gemeldete Nachnamen matchen?

Die nicht so offensichtlichen Anwendungsfälle:

  • Es gibt alle Türkischen Adressen an denen Personen gemeldet sind. OpenStreetMap irgendwer?
  • Eine Applikation mit Reverse Geocoding bei der nicht nur die Adresse sondern gleich alle gemeldeten Personen im Umkreis von X Metern ausgegeben werden.

Vermutlich denke ich noch nichtmal so richtig um die Ecke aber es wird jede menge Kriminelle geben die ganz "spannende" Anwendungen haben.

Ich hoffe das das ein großes Medienecho gibt damit auch dem letzten klar wird das man solche Datenbanken nicht effektiv schützen kann. Wenn die Daten erstmal erhoben sind sind die einfach auch da. Siehe mal die Gesundheitskarte, die LKW Maut oder eben auch sowas wie Melderegister. Ich will nicht wissen wieviele Menschen mit teilen des Deutschen Melderegisters rumlaufen - ohne das irgendwer weiss das die Daten abhanden gekommen sind.

Liest wohl nicht viel email

Posted Tue 05 Apr 2016 11:47:55 AM CEST Florian Lohoff in

Seit einem Monat hat dem keiner Gesagt das einen "Abwesenheitsassistenten" laufen hat.

Ich bin bis einschl.11.3.2016 nicht zu erreichen. Ansprechpartner in dieser Zeit: Markus ...

Timezone - Abweichungen sind Verpackungsbedingt

Posted Wed 06 Apr 2016 11:51:24 AM CEST Florian Lohoff in

Zeit: Mittwoch, 6. April 2016 13:00-13:30 (UTC+01:00) Amsterdam, Berlin, Bern, Rom, Stockholm, Wien. Ort: TK: 01805-1009, Zugangscode 4711

Hinweis: Die oben angegebene Abweichung von GMT berücksichtigt keine Anpassungen für Sommerzeit.

Wann ist die Telco denn jetzt? 12-12:30? 13-13:30? 14-14:30 ...

Einmal mit Profis ...

Anaconda - Wie schlecht wirds noch

Posted Wed 06 Apr 2016 07:04:24 PM CEST Florian Lohoff in

Wenn man aus der Debian Welt kommt und dann sich mal mit Centos beschäftigt dann wird einem eigentlich kontinuierlich nur schlecht. Vieles ist halbherzig, unvollständig, inkonsistent und einfach schlecht und lieblos gemacht. Ich frage mich immer ob Menschen das WIRKLICH einsetzen. Ich kann es mir kaum vorstellen.

Alleine so dinge wie debconf/preseeding gibt es einfach nicht. Ich kann die Parametrisierung der Pakete nicht vorab festlegen. Geschweige denn die Parametriesierung des installers anaconda. Der bekommt ein file namens "kickstart" was alles enthält. Auch die Netzwerkkonfiguration. Damit ist schonmal klar das man mit Bordmitteln eine personalisierung bzw wiederverwendung des kickstarts für mehrere Systeme nicht hinbekommt.

Ich habe mich heute mal drangesetzt das Klassensystem das ich seit >10 Jahren unter Debian einsetze und das ursprünglich von Phil Hands kommt auf Centos/Anaconda zu portieren. Dabei fallen einem dann so dinge auf das die %pre section in der initrd läuft und die %post section chrooted im system. Ist natürlich doof wenn man von dem einen an das andere eine Parameterübergabe machen möchte. Naja - Man kann das abschalten und dann läuft das auch. Debugging von pre und post section ist nicht der rede wert. Standardmässig wird noch nichtmal stdout/stderr irgendwo ausgegeben geschweige denn gelogged. Dafür verteilt der installer seine Ausgaben selber in mind. 3 verschiedene logfiles.

Naja - wenn man um die nickeligkeiten drumherumarbeiten kommt vielleicht demnächst ein parametrisierbarer installer raus der Installationsklassen kennt und deren abhängigkeiten selber auflöst.

Dunstabzugshaube aus dem Hause Gutmann

Posted Mon 11 Apr 2016 01:29:02 PM CEST Florian Lohoff in

Da ist die Steuerung der Dunstabzugshaube kaputt gegangen und der Hersteller Gutmann Exklusiv bietet mir ein Ersatzteil an - Mal davon abgesehen das man auf die anderen 8 Fragen in meiner Mail gar nicht eingeht.

Es ist nur eine Vermutung das die Steuerung defekt ist. Da ist auch noch ein Trafo beteiligt den ich gerne ausschliessen würde.

Sehr geehrte Damen und Herren,

vielen Dank für Ihre Anfrage.

Gerne können Sie über unser Haus, ein neues Ersatzteil erwerben.

Artikelnr. 1531 325,00 € zzgl. MwSt.

[ ... ]

Wir hoffen Ihnen hiermit geholfen zu haben.

Nein gar nicht. Es ist nur mal wieder der Beweis angetreten das teuer Kaufen sich nicht lohnt. Spätestens wenn man dann einen Defekt hat könnte man sich die billige Dunstabzugshaube ein zweites mal kaufen.

Und für fast 400€ die das dingen dann nach MwSt und Versand kostet kann ich VIEL Zeit für die Reparatur oder Ersatz investieren. Zur Not kommen da oben einfach 3 blöde Schalter für 2€ aus dem Reichelt Katalog rein.

Ein ähnliches Drama habe ich ja schon mit den Badezimmerarmaturen durch wo EINE Kartusche in den Reglern so viel Kostet wie eine komplette Unterputzarmatur im Baumarkt.

Positiv überrascht haben mich hier bisher nur Siemens Hausgeräte die für die Spülmaschinen Explosionszeichnungen und jedes kleine Ersatzteil einzeln abieten und Toro Rasenmäher bei denen das ebenso geht.

Gutmann Exklusiv kommt jetzt also auf die schwarze Liste.

Kleingärten und der Zugang

Posted Mon 11 Apr 2016 05:56:06 PM CEST Florian Lohoff in

Kleingärten sind ja irgendwie was typisch Deutsches. Die Sehnsucht nach der Natur und doch alles haarklein Gesetzlich geregelt. Das BundeskleingartenGesetz definiert was ein Kleingarten ist, was nicht, was er kosten darf und was man so darf oder auch nicht.

Na klar - Die öffentliche Hand "subventioniert" durch die günstige Verpachtung von Land eine Gartenkultur. Normalerweise verlangt er dafür eben die Einhaltung von Regeln. So dürfen Hecken nur 1,20m Hoch sein so das der normale Erwachsene Besucher einer Kleingartenanlage darüber blicken kann und eben Einsicht in diese Kultur nehmen kann.

Leider funktioniert das natürlich nur dann wenn die Anlage auch betretbar ist. Normalerweise schreiben Ortssatzungen (Z.b. hier in Düsseldorf) für die Kleingartenanlagen sowas wie Öffnungszeiten vor, das eben die Öffentlichkeit auch etwas davon hat das sie die Gartenkultur subventioniert. Nicht so in Rheda-Wiedenbrück - Jedenfalls habe ich nichts finden können was die Betretung von Kleingartenanlagen regeln.

Heute morgen jedenfalls war in der Kleingartenanlage "An der Hofwiese" reger Betrieb der Kleingärtner - Nur waren alle Tore abgeschlossen. Damit war die Öffentlichkeit aussen vor.

Ich habe jetzt mal bei der Stadt Rheda-Wiedenbrück nachgefragt wie das denn so geregelt ist. Vielleicht verzichtet die Stadt ja auch auf weitergehende Regelungen, oder man hat das Individualvertraglich geregelt.

On the Kill List

Posted Wed 13 Apr 2016 09:47:33 AM CEST Florian Lohoff in

Schon krass wie es sich so anfühlt permanent von Drohnen beobachtet und verfolgt zu werden.

http://www.independent.co.uk/voices/i-am-on-the-us-kill-list-this-is-what-it-feels-like-to-be-hunted-by-drones-a6980141.html

Zweirad Parkplatz heute morgen

Posted Wed 13 Apr 2016 07:00:17 PM CEST Florian Lohoff in

--

Bembers zu Böhmermann

Posted Thu 14 Apr 2016 01:25:28 PM CEST Florian Lohoff in

rsyslog kann nicht mehr loggen

Posted Fri 15 Apr 2016 01:40:51 PM CEST Florian Lohoff in

Es gab mal zeiten da gab es einen system service namens syslog. Ob das nun sysklogd oder rsyslog war war völlig egal. Wenn die liefen konnte man loggen. Heute ist das lange nicht mehr so. Da geht mit einem mal das syslogging nicht mehr und man wundert sich. Nach ganz viel stracen (im rsyslog kommt wirklich nichts an) fällt dann auf das /dev/log nicht existiert. Huch. Wie kann das wegkommen und wer generiert den eigentlich?

Vergleich mit einem laufenden system:

lrwxrwxrwx 1 root root 28 Apr 14 21:32 /dev/log -> /run/systemd/journal/dev-log

WTF? Was hat systemd mit logging zu tun wenn ich rsyslog habe?

Okay - also wer könnte den /dev/log erzeugen? Wenn systemd beteiligt ist wird er auch schuld sein. Nach ein bischen rumprobieren muss man (ist ja total selbsterklärend) den systemd-journald.socket restarten. Also mir ist nicht klar wie man einen Socket restarten kann und warum /dev/log überhaupt weg ist und was systemd mit dem rsyslogd zu tun hat. Aber sei es drum, sobald systemd beteiligt ist wird es obskur und kaputt.

systemctl restart systemd-journald.socket

Really old Debian

Posted Sun 17 Apr 2016 01:07:12 PM CEST Florian Lohoff in

This is a really old installation which got updated over time. It seems Debian Versions once did have different constraints. I couldnt even remember those times.

Then suidregister and suidunregister were removed and now we have a failed deinstallation postrm. So removing this package required to comment some suid unregistering.

I think i'll try to setup some cnews + uucp feed :)

# dpkg --purge cnews
dpkg: warning: parsing file '/var/lib/dpkg/status' near line 64580 package 'cnews':
 error in Version string 'cr.g7-4': version number does not start with digit
(Reading database ... 262030 files and directories currently installed.)
Removing cnews ...
Purging configuration files for cnews ...
removing /var/lib/news/bin
removing /var/lib/news
rmdir: failed to remove `/var/lib/news': Directory not empty
/var/lib/news not empty, so not removed.
removing /etc/news
rmdir: failed to remove `/etc/news': Directory not empty
/etc/news not empty, so not removed.
/var/lib/dpkg/info/cnews.postrm: line 36: suidunregister: command not found
dpkg: error processing cnews (--purge):
 subprocess installed post-removal script returned error exit status 127
Errors were encountered while processing:
 cnews

Kleingärten und der Zugang - Teil 2

Posted Mon 18 Apr 2016 11:53:31 AM CEST Florian Lohoff in

Ich hatte ja über Zugang zu den Kleingärten geschrieben und dann auch mal die Stadt Rheda-Wiedenbrück gefragt. Jetzt habe ich Antwort:

Sehr geehrter Herr Lohoff,

die Stadt Rheda-Wiedenbrück hat 3 Kleingartenvereinen( "In der Hofwiese", "Reinkenwiese", "Kleingartenverein Wiedenbrück") die Flächen für die jeweilige Dauerkleingartenanlage verpachtet. In allen 3 Pachtverträgen ist vereinbart, dass die für die Öffentlickeit bestimmten Teile der Anlage (Wege- und Platzflächen) als Teil der öffentlichen Grünanlagen bis zum Einbruch der Dunkelheit jedermann zugänglich zu halten sind.

Damit weiss ich an wen ich mich zu wenden habe.

Die Frage jetzt ist was Deutscher ist - Kleingärten oder die die drauf Pochen das die Regeln der Kleingärten eingehalten werden.

Oma Böwingloh reloaded

Posted Wed 20 Apr 2016 12:57:56 PM CEST Florian Lohoff in

Eben entdeckt ... 100m von der Firma entfernt ...

Unsubscribe

Posted Thu 21 Apr 2016 08:07:19 AM CEST Florian Lohoff in

Ich glaube da kann ich mich auch mal unsubscriben. In der alten Firma glaubte ein Kollege mal unbedingt nicht die Debian Version nehmen zu müssen - Dann muss man sich ja um die security updates selber kümmern. Jetzt setze wir das ein was aus der Tüte kommt, auch wenn es ein bischen älter ist - Dafür gibt es dann >1000 Debian Entwickler die nach security Problemen ausschau halten.

Date: Wed, 20 Apr 2016 22:13:28 +0200
From: Thomas Bruederli <thomas@roundcube.net>
To: Roundcube Announce List <announce@lists.roundcube.net>
Cc: Roundcube Users List <users@lists.roundcube.net>,
        Roundcube Dev List <dev@lists.roundcube.net>
Subject: [Roundcube Announce] Published Updates 1.1.5 and 1.0.9

Pressestelle der Polizeit Gütersloh ergeht sich im Spekulativen

Posted Fri 22 Apr 2016 05:30:01 PM CEST Florian Lohoff in

Ich habe mich bereits mehrfach bei der Pressestelle der Polizei Gütersloh beschwert über die unterirdische Berichterstattung bei Fahrradunfällen. Es wird in jedem Artikel darauf herumgeritten das der verunfallte entweder "ja selber schuld sei" weil er keinen Helm trug, oder das eben wie in diesem Fall "schlimmstes verhindert wurde" ...

http://www.presseportal.de/blaulicht/pm/23127/3308723

Durch das Tragen eines Fahrradhelmes konnten schwerste Kopfverletzungen bei dem 4-Jährigen verhindert werden.

Ich habe keine Ahnung was das ganze soll - Ich kann es mir nur so vorstellen das es einen Erlass gibt langfristig auf die Einführung einer Helmpflicht hinzuarbeiten und das die Pressestellen gehalten sind "Propaganda" für eine Helmpflicht zu veröffentlichen.

Obiges statement hat nichts mit Sachlichkeit die einer Polizei würdig wäre zu tun sondern ist einfach nur Spekulation und Propaganda.

Plastiktütendrohne

Posted Fri 22 Apr 2016 06:11:45 PM CEST Florian Lohoff in

The Telegraph - Drone believed to have hit British Airways flight 'may have been a plastic bag'

Ich hatte sowas mir ja schon gedacht. Eine A320 im Landeanflug ist reichlich schnell. Eine Drohne in der Größe eines A4 Blattes auf die man mehr oder minder Frontal zu fliegt zu erkennen halte ich für reichlich Spekulativ. Es sind ja anschliessend keine schäden am Flugzeug gefunden worden und auch keine Trümmerteile einer Drohne.

Aber immerhin gab es wieder Presse über die ach so gefährlichen Fluggeräte die man unbedingt verbieten muss.

Merkel ganz billig

Posted Tue 26 Apr 2016 11:23:10 AM CEST Florian Lohoff in

Es ist schon bedenklich wie billig und unkommentiert Merkel das Volk belügt und dann in der Bundespressekonferenz ihre Pressesprecher dazu maximal ausweichend stellung Beziehen lässt:

Wir haben mit den Waffen in der Vergangenheit immer gut verdient weil es eben genau darum geht Waffen in oder nahe an Konfliktregionen zu verkaufen.

ROP, Prolog suchen

Posted Tue 26 Apr 2016 12:21:29 PM CEST Florian Lohoff in

ROPs (Return Oriented Programming) ist ja gerade ganz hip. Wir suchen uns minifunktionen die nur einen opcode oder 2 haben und dann ein return. Damit bauen wir uns dann das ganze programm zusammen. Bei der Diskussion mit den Kollegen darüber fiel mir wieder ein das ich mal für einen Bootloader ähnlichen kram gemacht habe. Wir suchen im PROM der Siemens Nixdorf RM200 den einsprung für seek. Den hatten die PROM Leute leider vergessen so das ein Bootloader jetzt eher witzlos war.

Disassembliert fängt jede MIPS function mit demselben Prolog an. Aufsetzen des Stack Frames damit ich die callee saved registers loswerde auf dem Stack. Das ist dann ein addiu $sp, -X. Den kann man natürlich suchen. Ich habe sogar den alten code von 2007 wiedergergefunden - Da hatte ich arcboot - den SGI Bootloader so modifiziert das der auch auf der SNI RM Serie läuft:

/*
 * The SNI Prom does not contain an official entry point for "prom_seek" which is
 * a pain and basically is a showstopper for bootloaders. There is a seek function
 * though which seems to be inbetween prom_open and prom_read. We try to find
 * it by looking for the function prolog e.g. the $sp setup. We then know the
 * address of the seek.
 */

void prom_init(void ) {
        unsigned int    jump;
        unsigned int    *readaddr,
                        *openaddr,
                        *saddr;

        jump = *((unsigned int *)PROM_ENTRY(PROM_READ));
        readaddr=(unsigned int *) (((jump & 0x03ffffff)<<2)|0xb0000000);
        jump = *((unsigned int *)PROM_ENTRY(PROM_OPEN));
        openaddr= (unsigned int *) (((jump & 0x03ffffff)<<2)|0xb0000000);

        for(saddr=readaddr-1;saddr>openaddr;saddr--) {
                /* Search for addiu $sp, negative */
                if ((*saddr & 0xffff8000) == 0x27bd8000) {
                        __prom_lseek=(void *) saddr;
                        break;
                }
        }

        if (__prom_lseek == NULL)
                prom_fatal("Didnt find prom_seek prolog between open and read\n\r");
}

UTF8 test in der signature

Posted Wed 27 Apr 2016 08:27:15 PM CEST Florian Lohoff in

Da finde ich in Perl6 Beispielen eine schönen UTF-8 test. Klasse, den packe ich mir in die Signature meiner Mails. Dann gucken wir mal wer sich so beschwert ...

UTF-8 Test: The 🐈 ran after a 🐁, but the 🐁 ran away

Und siehe - ich mich selber. Im VIM ist das alles super sichtbar. Leider in mutt nicht. Wie kann das kommen. Eine Mail an die mutt mailingliste. Nur nachfragen nach terminal und font. Das ist aber nicht das Problem. Im vim sehe ich ich ja alles.

Also mal ein bischen gesucht. Offensichtlich bedient sich mutt der Funktion iswprint einer Funktion der glibc die basierend auf der Locale einen boolean returned der sagt ob es ein printable character ist.

Also mal durch die locale im glibc source gesucht und gefunden localedata/locales/i18n enthält Unicode code points die printable sind. Hier sind meine Maus und Katze mit drin:

<U0001F400>..<U0001F4FE>

Die Maus ist der codepoint 1F401 und die Katze die 1F408.

Beide sind laut locale auch printable. Mir ist im moment nicht klar warum mutt die aussortiert. Im k9 Mailreader unter Android ist alles schön sichtbar.

Professional Presenter

Posted Thu 28 Apr 2016 08:28:06 PM CEST Florian Lohoff in

Also man könnte meinen ich habe meinen Job verfehlt. Das erste Webinar - 121 Teilnehmer und top Noten ;) Ich lasse mich demnächst wie Hillary Clinton für Vorträge bezahlen:

Bewertung Webinar: Note 1: 34x Note 2: 24x

Bewertung Referent: Note 1: 40x Note 2: 18x