Alle Beiträge von Malte

Sehr günstige SATA-Controller: Vorsicht ist geboten

Allgemein, Linux, , , ,

Wie der KFZ-Mechaniker es sich leisten kann, ein altes verrumpeltes Auto zu fahren, so leiste ich mir den Betrieb von billiger oder alter Hardware zur Datenspeicherung im privaten Umfeld. Und wenn man von billigen SATA-Controllern anfängt, kommt man unweigerlich zum Marvell 88SE9215 und Konsorten.

Für normale Anwender, oder diejenigen, die nicht stundenlang zur Rücksicherung ihrer Daten meditieren wollen, sei hier Vorsicht geboten: Diese sehr günstigen SATA-Controller können fehlerbehaftet sein und man bekommt gerade bei den sehr günstigen Herstellern der Karte selten bis keine Firmware-Updates, da die Referenzupdates meistens nur an die Kartenhersteller direkt vergeben werden.

Mein konkretes Beispiel: Der Marvell 88SE9215 – zweimal als 4-Port Karte bestellt, eine sofort kaputt, eine paar Jahre später. Dateisystem korrupt, Backup einspielen. Aua. Wenn man das paarmal gemacht hat, hat man keine Lust mehr. Formatieren, rücksichern, fortfahren. Und beim nächsten mal vielleicht auf eine andere Karte mit anderem Chip setzen. Meine ASMedia ASM1064 basierte Karte ist nun ein Jahr problemlos im Betrieb. Firmware gibts da gleichermaßen schlecht, aber dafür funktioniert sie.

Empfehlung: Signatur mit Bild auf iPad und iPhone

Allgemein, , , , ,

Apple-Geräte sind nun wirklich nicht mein Hauptgebiet und bestimmen auch nicht meinen Arbeitsalltag. Dennoch kommt es vor, dass bestimmte Aufgaben zu erledigen sind, welche solche Geräte einbeziehen. Konkret wurde ich gefragt, wie „schöne“ Signaturen bei Mobilgeräten wie iPhone und iPad zu realisieren seien.

Die Signatur-Freifelder in Apple-Mobilgeräten sind recht schlicht gehalten und erlauben kein „einfaches“ einfügen von Bildern oder HTML-Markup. Copy & Pasted man es allerdings, klappt das trotzdem.

Da eine entsprechende Anleitung bereits verfasst wurde, ist dieser Beitrag eher als Erinnerung und Empfehlung zu betrachten. In der Apple-Community wurde das Thema hier beleuchtet und auch gleich ein hilfreiches Tool verlinkt, welches Bilder und Grafiken in das notwendige base64-Format wandelt.

https://communities.apple.com/de/docs/DOC-250007001

qcow2 Overlay zur Read-Only Datenanalyse großer Speichermedien

Linux, ,

Arbeitet man sich in die Materie der Datenanalyse und -wiederherstellung unter Linux ein, kommt man auch automatisch mit den grundlegenden Prinzipien dieser in Kontakt. Ein Prinzip ist: Bei der Analyse und Wiederherstellung sind die Ursprungsdaten nicht zu beschreiben. Entsprechend werden Geräte, Partitionen und Dateisysteme stets nur als Read-Only gemounted oder nur auf 1-zu-1 Abzügen gearbeitet.

Diese Abzüge haben aber einen Haken: Analysiere ich zum Beispiel ein 12 TB Dateisystem, welches partiell überschrieben wurde, so bräuchte ich einen vergleichsweise großen Zwischenspeicher (oder vergleichbares RAID-Array) um einen komplette Abzug zu speichern. Würde ich den Speicher in eine große 12-24 TB externe Festplatte laden, wäre das zwar auch möglich, würde aber ewig dauern.

qcow2 Overlay zur Read-Only Datenanalyse großer Speichermedien weiterlesen

Mit iptables-persistent/netfilter-persistent dafür sorgen, dass nur zusätzliche Regeln angewendet werden

Linux, , ,

Unter aktuellen Linux-Distributionen kommt meist ufw (uncomplicated firewall) oder iptables-persistent zum Einsatz um Firewall-Regeln auch ernsthaft zu persistieren. iptables-persistent ist dabei bei aktuellen Versionen nurmehr ein Alias für netfilter-persistent. netfilter-persistent ist wiederum ein einfaches sh-Skript, welches über den Systemd-Unit netfilter-persistent ausgelöst wird.

Im Normalfall wird mittels

netfilter-persistent save

der aktuelle Stand an Regeln gesichert und dann automatisch beim Neustart angewendet.

Nutzt man jedoch Docker oder ähnliche Tools, welche eigens generierte iptables- oder nftables-Regeln für ihre Funktion nutzen, so ist es nicht empfehlenswert, die gesamten Regeln zu sichern und zurückzuspielen, da dies zu unerwarteten Netzwerkproblemen mit Docker führen würde.

Mit iptables-persistent/netfilter-persistent dafür sorgen, dass nur zusätzliche Regeln angewendet werden weiterlesen

Passbolt: Benutzer kann nicht angelegt werden, Fehler 400

Linux, OSS, , ,

Seit einiger Zeit betreibe ich zwei Passbolt-Instanzen zur sicheren und dennoch praktischen Verwaltung von Passwörtern. Der offizielle Docker-Stack funktioniert ansich einwandfrei, jedoch muss mir in den Anfängen mit Passbolt ein Fehler unterlaufen sein, bei dem ich ein oder zwei Kommandos über die Kommandozeile mit dem Benutzer „root“ statt „www-data“ ausführte.

Das führte dann dazu, dass /var/lib/passbolt/tmp/ und darin enthaltene Dateien und Unterverzeichnisse mit falschen Berechtigungen angelegt wurden, sodass im normalen Betrieb der Benutzer „www-data“ keine Schreibrechte hatte.

Das äußerte sich auch gar nicht so offensichtlich: Beim anlegen eines neuen Benutzers beispielsweise erhielt ich unvermittelt einen Fehler 400, der nicht klar auf ein Berechtigungsproblem verwies.

Abhilfte schaffte letztlich im Docker-Container:

chown -R www-data:www-data /var/lib/passbolt/tmp/
chmod -R 775 $(find /var/lib/passbolt/tmp/ -type d)
chmod -R 664 $(find /var/lib/passbolt/tmp/ -type f)

WireGuard auf MikroTik hAP Lite einrichten

Network, , ,

Am Wochenende widmete ich mich einem neuen Vorhaben: Für ein entferntes Netz einen Router einrichten, welcher folgende Funktionen kombiniert:

  • AP (Access Point)
  • VPN-Gateway (am besten WireGuard-basiert)
  • Switch (1 Uplink, 2 Downlinks, 1 Management-Port)

Um das VPN-Gateway in meine bestehende WireGuard-Infrastruktur einzubinden, waren ein paar Kniffe nötig. Das liegt in erster Linie daran, dass das durchaus umfassende MikroTik-Interface von RouterOS 7 für Verwirrung sorgen kann wenn es um Public-Keys, Private-Keys und WireGuard-Interfaces vs. WireGuard-Peers geht.

WireGuard auf MikroTik hAP Lite einrichten weiterlesen