Archiv der Kategorie: Linux

Welches OpenWrt bekommt man noch für einen TP-Link TL-WR841N/ND v8?

Linux, Network, ,

Kurz: Die letzte offiziell installierbare Version ist 19.07.10, aber sie muss selbst kompiliert werden. Die letzte offiziell installierbare, fertige Version ist 18.06.9, auch wenn in der Dokumentation als neueste und letzte Variante 17.01.7 suggeriert wird.

Längere Erklärung: Prüft man archive.openwrt.org, findet man ein Factory-Image von 18.06.9 (wenn vor Installation noch die originale TP-Link-Firmware installiert ist) sowie ein Sysupgrade-Image von 18.06.9 (wenn ein Upgrade von einer älteren OpenWrt-Version erfolgt).

Allerdings mit einem Haken: Laut Dokumentation ist 18.06 bereits als „Too big“ gekennzeichnet. Und das stimmt: Nach Installation verbleiben im Flash-Speicher nur noch ca. 80 KB Speicherplatz. Zu wenig um die meisten sinnvollen Pakete nachzuinstallieren oder über Routing und Switching hinausreichende Tätigkeiten vom Gerät durchführen zu lassen.

Kompiliert man OpenWrt selbst, kommt man sogar bis 19.07.10, was das endgültige Release für OpenWrt auf Geräten mit 32MB RAM und 4MB Flash-Speicher ist.

Der Flash-Speicher ist dann aber schon extrem eng gepackt. Es empfiehlt sich ggf. noch auf bestimmte Pakete für PPP, Firewall und IPv6 zu verzichten. Eine detaillierte Anleitung für Einsparung findet sich hier.

Keine YouTube-Werbung durch VPN in Albanien – stimmt das und lohnt sich das?

Allgemein, Linux, , , , ,

Kürzlich kursierte im Internet ein Gerücht, dass YouTube in Albanien keine Werbung spielen dürfe. Das stimmt in der Tat nicht, es gibt kein Gesetz in Albanien, welches Werbung per se verbieten würde. Vielmehr sieht Google derzeit Albanien nicht als interessanten Markt für sein Partnerprogramm, was das Ausmaß an Werbung drastisch reduziert.

Während man an einem vollwertigen Computer durchaus Adblock oder andere Tools nutzen kann, ist diese Option z. B. an Fernsehgeräten nicht direkt gegeben. Hier kann man Werbung nur schwer und manchmal gar nicht blockieren.

Abhilfe kann hier das Routing via albanisches VPN schaffen. Da die meisten Geräte wie z. B. von Samsung heftig in ihren Möglichkeiten, ein VPN direkt zu nutzen, eingeschränkt sind, empfiehlt es sich ein völlig unabhängiges Gateway mit einem alten Computer, Home-Server oder einfach einem ganz einfachen RaspberryPi aufzusetzen. Im Testaufbau nutze ich schlicht meinen Home-Server, welcher für solche Zwecke ohnehin konzipiert ist.

Vorbereitung

Wir brauchen also:

  • ein albanisches VPN
  • oder einen albanischen virtuellen Server (VPS)
  • einen Kleinstcomputer oder ähnliches mit Linux
Keine YouTube-Werbung durch VPN in Albanien – stimmt das und lohnt sich das? weiterlesen

Sehr günstige SATA-Controller: Vorsicht ist geboten

Allgemein, Linux, , , ,

Wie der KFZ-Mechaniker es sich leisten kann, ein altes verrumpeltes Auto zu fahren, so leiste ich mir den Betrieb von billiger oder alter Hardware zur Datenspeicherung im privaten Umfeld. Und wenn man von billigen SATA-Controllern anfängt, kommt man unweigerlich zum Marvell 88SE9215 und Konsorten.

Für normale Anwender, oder diejenigen, die nicht stundenlang zur Rücksicherung ihrer Daten meditieren wollen, sei hier Vorsicht geboten: Diese sehr günstigen SATA-Controller können fehlerbehaftet sein und man bekommt gerade bei den sehr günstigen Herstellern der Karte selten bis keine Firmware-Updates, da die Referenzupdates meistens nur an die Kartenhersteller direkt vergeben werden.

Mein konkretes Beispiel: Der Marvell 88SE9215 – zweimal als 4-Port Karte bestellt, eine sofort kaputt, eine paar Jahre später. Dateisystem korrupt, Backup einspielen. Aua. Wenn man das paarmal gemacht hat, hat man keine Lust mehr. Formatieren, rücksichern, fortfahren. Und beim nächsten mal vielleicht auf eine andere Karte mit anderem Chip setzen. Meine ASMedia ASM1064 basierte Karte ist nun ein Jahr problemlos im Betrieb. Firmware gibts da gleichermaßen schlecht, aber dafür funktioniert sie.

qcow2 Overlay zur Read-Only Datenanalyse großer Speichermedien

Linux, ,

Arbeitet man sich in die Materie der Datenanalyse und -wiederherstellung unter Linux ein, kommt man auch automatisch mit den grundlegenden Prinzipien dieser in Kontakt. Ein Prinzip ist: Bei der Analyse und Wiederherstellung sind die Ursprungsdaten nicht zu beschreiben. Entsprechend werden Geräte, Partitionen und Dateisysteme stets nur als Read-Only gemounted oder nur auf 1-zu-1 Abzügen gearbeitet.

Diese Abzüge haben aber einen Haken: Analysiere ich zum Beispiel ein 12 TB Dateisystem, welches partiell überschrieben wurde, so bräuchte ich einen vergleichsweise großen Zwischenspeicher (oder vergleichbares RAID-Array) um einen komplette Abzug zu speichern. Würde ich den Speicher in eine große 12-24 TB externe Festplatte laden, wäre das zwar auch möglich, würde aber ewig dauern.

qcow2 Overlay zur Read-Only Datenanalyse großer Speichermedien weiterlesen

Mit iptables-persistent/netfilter-persistent dafür sorgen, dass nur zusätzliche Regeln angewendet werden

Linux, , ,

Unter aktuellen Linux-Distributionen kommt meist ufw (uncomplicated firewall) oder iptables-persistent zum Einsatz um Firewall-Regeln auch ernsthaft zu persistieren. iptables-persistent ist dabei bei aktuellen Versionen nurmehr ein Alias für netfilter-persistent. netfilter-persistent ist wiederum ein einfaches sh-Skript, welches über den Systemd-Unit netfilter-persistent ausgelöst wird.

Im Normalfall wird mittels

netfilter-persistent save

der aktuelle Stand an Regeln gesichert und dann automatisch beim Neustart angewendet.

Nutzt man jedoch Docker oder ähnliche Tools, welche eigens generierte iptables- oder nftables-Regeln für ihre Funktion nutzen, so ist es nicht empfehlenswert, die gesamten Regeln zu sichern und zurückzuspielen, da dies zu unerwarteten Netzwerkproblemen mit Docker führen würde.

Mit iptables-persistent/netfilter-persistent dafür sorgen, dass nur zusätzliche Regeln angewendet werden weiterlesen

Passbolt: Benutzer kann nicht angelegt werden, Fehler 400

Linux, OSS, , ,

Seit einiger Zeit betreibe ich zwei Passbolt-Instanzen zur sicheren und dennoch praktischen Verwaltung von Passwörtern. Der offizielle Docker-Stack funktioniert ansich einwandfrei, jedoch muss mir in den Anfängen mit Passbolt ein Fehler unterlaufen sein, bei dem ich ein oder zwei Kommandos über die Kommandozeile mit dem Benutzer „root“ statt „www-data“ ausführte.

Das führte dann dazu, dass /var/lib/passbolt/tmp/ und darin enthaltene Dateien und Unterverzeichnisse mit falschen Berechtigungen angelegt wurden, sodass im normalen Betrieb der Benutzer „www-data“ keine Schreibrechte hatte.

Das äußerte sich auch gar nicht so offensichtlich: Beim anlegen eines neuen Benutzers beispielsweise erhielt ich unvermittelt einen Fehler 400, der nicht klar auf ein Berechtigungsproblem verwies.

Abhilfte schaffte letztlich im Docker-Container:

chown -R www-data:www-data /var/lib/passbolt/tmp/
chmod -R 775 $(find /var/lib/passbolt/tmp/ -type d)
chmod -R 664 $(find /var/lib/passbolt/tmp/ -type f)