#!/bin/blog

May 16, 2009

Debian VMware woes

Filed under: UNIX & Linux — Tags: , , , , — martin @ 8:28 am

Had some trouble with Debian in VMware Server 2.0: I/O was horribly slow, 100% IOwait when doing the simplest things, hdparm showing 11MB/s throughput.

This was fixed by shutting down the VM, changing the SCSI adapter from Buslogic to LSI logic and booting up again. hdparm is at 63MB/s now. The machine, which will be an SMTP mail exchanger, now scans 8 mails per second (Postfix before-queue filter via amavisd-new+ClamAV) in 10 concurrent sessions. Not bad at all.

Debian is by far the simplest choice for an SMTP content filter because it’s not neccessary to bring in any dependencies by hand. Cool. 🙂

December 14, 2008

ALIX sizing lesson and WPA configuration note

Filed under: UNIX & Linux — Tags: , , , — martin @ 1:17 pm

Okay, there we have it. The ALIX, despite its generally good performance, can’t handle the workload of BackupPC and starts to swap really badly when backing up a fairly large system via rsync.

At least I’ve learned from this test how to configure the Wistron CM9 card for WPA on Debian:

iface ath0 inet static
        madwifi-base wifi0
        madwifi-mode sta
        wpa-driver wext
        wpa-ssid blah
        wpa-psk blubb
        address 192.168.1.100
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1

October 6, 2008

New ALIX 2d3

Filed under: Hardware, UNIX & Linux — Tags: , , , — martin @ 6:44 pm

I received my first new ALIX of the type 2d3 today. Apparently, this is the successor to the 2c3 and brings no major changes but just minor modifications. According to PC Engines:

• Increase USB current limit.
• USB headers as build option.
• USB ports 3 and 4 on header (not tested).
• Change optional serial header J12 to COM2.
• Add LED and switch pins to I2C header.
• Populate buzzer driver circuit, add pins for use as GPIO.
• Add option for power in header J18.
• Some enhancements to reduce EMI.
• Add second POSCAP to ruggedize 3.3V rail for high power radio cards.

I have highlighted the most apparent changes in the photograph (click to enlarge).

Migration of the pre-installed disk from my development ALIX 2c3 went fine, although I had to resolve a problem with some nasty mis-feature where Debian tries to keep persistent ethernet device names by hard-coding the MAC addresses into some obscure udev configuration file. The system complained about the following network issue, although eth0, eth1 and eth2 showed up properly in the output of dmesg:

Configuring network interfaces…SIOCSIFADDR: No such device
eth0: ERROR while getting interface flags: No such device

Deleting the /etc/udev/rules.d/z25_persistent-net.rules file and rebooting resolved the problem immediately.

I never could quite get the hang of devfs or udev anyway. Here’s yet another reason to hate them. 😀

September 30, 2008

Debians dünner Installer

Filed under: UNIX & Linux — Tags: , — martin @ 5:04 pm

Ihr lieben Leute, wie konntet ihr mir das nur durchgehen lassen? Ihr wißt doch sonst alles. 😉

Die Sache mit dem aufgeblähten Debian-Installer hat mir keine Ruhe gelassen und so habe ich dann doch mal in der Debian-Installationsdoku nachgelesen.

Um ein Debian-System in erträglicher Weise über die serielle Schnittstelle mit 9600 bps installieren zu können, muß man beim Boot lediglich das folgende Argument an die append-Zeile des Kernel anhängen:
DEBIAN_FRONTEND=text

Oder, bei der PXE-Installation, in /tftpboot/pxelinux.cfg/default den Default-Eintrag wie folgt erweitern:

LABEL install
        kernel debian-installer/i386/linux
        append vga=normal initrd=debian-installer/i386/initrd.gz -- console=ttyS0,9600n8 DEBIAN_FRONTEND=text

Damit präsentiert sich der Installer folgendermaßen:

Ich habe die Installation nicht komplett durchgezogen (die Installation auf dieser Alix ist ja schon fertig), aber ich denke, an diesem Installationsmodus gibt es wirklich nichts auszusetzen.

Cool übrigens, daß PuTTY auch ohne Probleme als serielles Terminal funktioniert. 🙂

September 28, 2008

Dicke Installer, dünne Installer

Filed under: UNIX & Linux — Tags: , — martin @ 6:36 am

Seit ich meine Ladung Microdrives bekommen habe, bin ich für den Betrieb der ALIX nicht mehr auf das Hantieren mit speziell optimierten Flash-Images angewiesen, sondern kann bei Bedarf einfach ein neues Microdrive auspacken und mit PXE drauf los installieren.

Nachdem ich nun die ganze Zeit OpenBSD eingesetzt habe, versuche ich es grade mal mit Debian. Und ich muß sagen: Der Debian-Installer, den manche Leute ja schon für spartanisch halten, ist, durch eine serielle Schnittstelle mit 9600 bps gesehen, im Vergleich mit OpenBSD (hier nochmal ein Video, zur Erinnerung) wirklich ein grauenhafter Haufen Bloatware. Wer zum Teufel braucht eine verdammte, ressourcenverschwendende Menüführung? 😀

July 10, 2008

Verisign und OCSP

Filed under: Security — Tags: , , , , — martin @ 9:36 pm

Was mir heute nicht so gut in den Kram gepaßt hat:

$KUNDE warf mir nochmal 50 SSL-Zertifikate vor die Füße, zwecks Überprüfung, von denen 38 für das Debian-SSL-Problem empfänglich waren. Aber ich hab ja mittlerweile Routine.

Also wurden neue CSRs generiert, welche er bei Verisign (RSA/”Secure Server Certification Authority”) zum Re-Issue eingereicht hat. Minuten später kam der erste mit einer Firefox-Fehlermeldung um die Ecke:

Die verantwortliche Konfigurationsoption war dann auch schnell identifiziert:

Willkommen im Dilemma. So schwer es mir fällt, zu bestreiten, daß diese Voreinstellung in Firefox 3.0 auf den Tag genau zur rechten Zeit kommt, so unangebracht finde ich es, daß Verisign ein Zertifikat, dessen Austausch es gerade mal so mit Ach und Krach in die Mailbox der Administratoren geschafft hat, sofort per OCSP als gesperrt propagiert.

Gerade weil es jetzt so weit ist, daß OCSP, das Online Certificate Status Protokoll, tatsächlich genutzt wird, wäre eine gewisse Galgenfrist von mindestens 1 Tag bis vielleicht 1 Woche mehr als angemessen. Insbesondere bei einer Massenaktion mit einem Umfang von mehreren Dutzend Zertifikaten ist mir persönlich nämlich schleierhaft, wie man die Zertifikate im Rahmen von Change-Prozessen derart schnell auf die Produktivserver katapultieren soll.

Wenn man nochmal 30 Sekunden drüber nachdenkt, kommt man übrigens zur Erkenntnis, daß es auch mit einem einzigen Zertifikat kaum sauber hinzubekommen ist. Auf einer hochgradig produktiven SSL-Site muß man, wenn die CA einen OCSP Distribution Point bereitstellt, in Zukunft auf den Re-Issue verzichten und additiv ein neues Zertifikat dazukaufen, um es überhaupt ohne Ausfall tauschen zu können. Ob das wirklich im Sinne des Erfinders ist?

June 21, 2008

Surfin’ the post 5/13 world.

Filed under: Security — Tags: , , , — martin @ 11:27 pm

Das audit-ssl-Script (.tar.gz) ist funktional in der Lage, Seiten mit angreifbaren SSL-Zertifikaten zu erkennen. Komfortabler und plattformübergreifend tut es aber die SSL Blacklist Extension für den Firefox:

Auch zu empfehlen als kleiner Warnschuß an Anwender, die sich weigern, Zertifikate auszutauschen: “Firefox zeigt bereits eine Warnmeldung an. Was wirst Du Deinen Kunden erzählen, wenn der Internet Explorer das nach dem nächsten Microsoft-Patchday ebenfalls macht?”

May 15, 2008

Wenn der Glaube schwindet

Filed under: Security, UNIX & Linux — Tags: — martin @ 5:48 am

Oh weh. Vorgestern glaubte ich noch, ich sei auf der sicheren Seite. Gestern fiel mir dann der Kunde ein, der Kommerzzertifikate im Gesamtwert von ca. 10.000 Euro auf einer Debian-Gurke generiert und verteilt hat. Gleich geht’s hin. Die Begeisterungsstürme werden gewaltig sein.

Aus dem Ding kommt Debian so schnell nicht raus. Nach dem allgemeinen Security-Debakel von vor drei Jahren ist man, nüchtern betrachtet, auch nicht gut damit beraten, Debian noch immer die Treue zu halten.

Der Amerikaner bemüht gern ein angeblich chinesisches Sprichwort: “Fool me once, shame on you. Fool me twice, shame on me.” – Dem ist in diesem Fall nichts hinzuzufügen.

May 13, 2008

Das jüngste Gerücht

Filed under: Security — Tags: — martin @ 5:50 am

Bei mir kam gerade das Gerücht vorbei, es solle heute bei Debian ein Announcement hinsichtlich eines nur relativ aufwändig zu fixenden Sicherheitsproblems durchkommen. Ich selbst habe derzeit kein Debian am Internet. Nur ein internes System, das per Jumpserver erreicht wird. Wer Debian am Start hat, sollte heute wohl besser Augen und Ohren offenhalten und den Nachmittag nicht zu straff durchplanen. 😉

Update, 15:00, da isses:

------------------------------------------------------------------------
Debian Security Advisory DSA-1571-1                  security@debian.org
http://www.debian.org/security/                           Florian Weimer
May 13, 2008                          http://www.debian.org/security/faq
------------------------------------------------------------------------

Package        : openssl
Vulnerability  : predictable random number generator
Problem type   : remote
Debian-specific: yes
CVE Id(s)      : CVE-2008-0166

Luciano Bello discovered that the random number generator in Debian's
openssl package is predictable.  This is caused by an incorrect
Debian-specific change to the openssl package (CVE-2008-0166).  As a
result, cryptographic key material may be guessable.

This is a Debian-specific vulnerability which does not affect other
operating systems which are not based on Debian.  However, other systems
can be indirectly affected if weak keys are imported into them.

It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch.  Furthermore, all DSA keys ever used
on affected Debian systems for signing or authentication purposes should
be considered compromised; the Digital Signature Algorithm relies on a
secret random value used during signature generation.

The first vulnerable version, 0.9.8c-1, was uploaded to the unstable
distribution on 2006-09-17, and has since propagated to the testing and
current stable (etch) distributions.  The old stable distribution
(sarge) is not affected.

Affected keys include SSH keys, OpenVPN keys, DNSSEC keys, and key
material for use in X.509 certificates and session keys used in SSL/TLS
connections.  Keys generated with GnuPG or GNUTLS are not affected,
though.

A detector for known weak key material will be published at:

  
  
    (OpenPGP signature)

Instructions how to implement key rollover for various packages will be
published at:

  

This web site will be continously updated to reflect new and updated
instructions on key rollovers for packages using SSL certificates.
Popular packages not affected will also be listed.

In addition to this critical change, two other vulnerabilities have been
fixed in the openssl package which were originally scheduled for release
with the next etch point release: OpenSSL's DTLS (Datagram TLS,
basically "SSL over UDP") implementation did not actually implement the
DTLS specification, but a potentially much weaker protocol, and
contained a vulnerability permitting arbitrary code execution
(CVE-2007-4995).  A side channel attack in the integer multiplication
routines is also addressed (CVE-2007-3108).

For the stable distribution (etch), these problems have been fixed in
version 0.9.8c-4etch3.

For the unstable distribution (sid) and the testing distribution
(lenny), these problems have been fixed in version 0.9.8g-9.

We recommend that you upgrade your openssl package and subsequently
regenerate any cryptographic material, as outlined above.
[...]

Betroffen sind also alle SSH-Keys (Host und Identity), und alle X.509-/SSL-Zertifikate, egal ob Server-, Client- oder CA-Zertifikat, die auf einem Debian-System erstellt wurden. Nur GnuPG ist sauber, da man sich dort nicht auf fremde Crypto-Libs verläßt.

Das riecht nach richtig viel Arbeit, Leute. 😦

February 20, 2008

Debian-Zeitzone auf UTC umstellen

Filed under: UNIX & Linux — Tags: , , — martin @ 3:48 pm

Schwerer zu ergoogeln als man glauben mag:

# echo UTC > /etc/timezone
# dpkg-reconfigure tzdata

Older Posts »

Blog at WordPress.com.