Artikel mit Tag administration

Neuer DSL-Anschluss bei mir zu Hause

Seit vielen Jahren wurde mein heimisches Netz mit einem ISDN-Anschluss (neumodisch Universalanschluss) und einem 16.000er DSL versorgt. Das ist jetzt nicht gerade üppig, aber die 16Mbit im Downstream kamen immer stabil und zuverlässig bei mir an. Und so waren die üblichen Netzaktivitäten wie Surfen, Steaming von Spotify, Youtube und Netflix auch mit zwei Kindern im Teenager-Alter bisher kein Problem. Und so habe ich den notwendigen Wechsel auf einen der neuen IP-Anschlüsse der Telekom bisher immer hinausgezögert, wohl wissend, dass irgendwann dieses oder nächstes Jahr damit Schluss sein würde und die Telekom den alter "ISDNer" von sich aus kündigen würde.

Nun hat die Telekom allerdings bei uns im Ort auch verkabelungstechnisch aufgerüstet und eine Abfrage der möglichen DSL-Geschwindigkeit an meiner Adresse ergab, dass ich bis zu 200Mbit VDSL bekommen könnte. Nicht schlecht. :-)

Da der alte 16Mbit DSL-Anschluss mit ISDN nicht gerade ein preisliches Schnäppchen war, habe ich mich dann aufgrund der oben schon erwähnten Umstände dann zum Umstellen des Tarifs und des Anschlusses entschieden. Bestellt habe ich letztendlich einen IP-Anschluss mit 100Mbit Down- und 40Mbit Upstreamgeschwindigkeit, wieder bei der Telekom. Die Bereitstellung und der Tarifwechsel liefen problemlos und der Anschluss wurde 14 Tage nach der Online-Beauftragung umgestellt.

Etwas Planung erforderte die Umstellung der Zugangs- und Router-Technik. Am alten Anschluss werkelte ein Netgear-Router im DSL-Modem-Modus. Die Verbindung und das Routing erfolgte durch einen Linux-Server, der auch DHCP- und DNS-Dienste für mein Heimnetz zur Verfügung stellte. Der ein oder andere Dienst, wie z.B. Proxyserver, Webserver und eine kleine Nagios-Installation zur Überwachung einiger externer Server hatte auch dort seinen Platz. Das ganze war auch per SSH vom Internet aus zu erreichen, damit ich bei Bedarf auch mal von Unterwegs zu Hause nach dem Rechten schauen konnte.

Der Netgear-Router war am neuen IP-Anschluss nicht mehr zu gebrauchen, außerdem brauchte ich ja auch eine Lösung für die IP-Telefonie. Letztendlich habe ich mich hier von meinem Linux-Router verabschiedet und bin für Routing, DHCP und DNS auf eine FritzBox 7590 umgestiegen. Diese erledigt auch die Telefonie mit den bereits bei uns im Haus vorhandenen Fernsprechgeräten.

Einige von mir benötigte (na ja, oder sagen wir mal, zum Teil auch aus Spieltrieb installierte) Dienste kann die FritzBox allerdings nicht bereitstellen. Für diese Dinge habe ich mich für einen kleinen Linuxserver auf Basis eines RaspberryPi 3B+ entschieden. Das hat hoffentlich auch Vorteile für den Stromverbrauch, denn der alte Linux-Server lief 24/7 auf einer "normalen" PC-Hardware. Auf dem Raspi läuft nun zunächst die Nagios-Installation und er stellt einen SSH-Zugang über die FritzBox von außen zur Verfügung. Weitere Dienste werde ich in nächster Zeit noch implementieren, je nach dem ob ich sie noch benötige oder, wie ich schon bei einigen Programmen vom alten Linux-Server bemerkt habe, ich sie nur zu Testzwecken installiert hatte und schon gar nicht mehr benötige.

Die vertraglichen Down- und Upstream-Geschwindigkeiten werden gemäß den einschlägigen Prüftools sogar fast immer erreicht. Ein Flaschenhals und Geschwindigkeitsbremse ist noch das hier installierte WLAN-Netz, das ich aufgrund der baulichen Gegebenheiten bisher mit einem DLAN-Netz über die Stromleitung betreibe. Hier gibt es eventuell mit der FritzBox und ihrer WLAN-Mesh-Funktion noch Optimierungsmöglichkeiten, allerdings sind dafür wahrscheinlich auch noch einige neue Hardware-Komponenten notwendig. Da in meinem Arbeitszimmer alles über LAN-Kabel läuft, ist der Leidensdruck hier noch nicht so groß. ;-)

Und so bin ich mit dem momentanen Setup erstmal zufrieden und genieße die neue Internet-Geschwindigkeit, die sich gerade beim Download größerer Dateien oder beim Youtube-Streaming bemerkbar macht. Über weitere Änderungen und Experimente auf dem Raspi-Server werde ich euch hier auf dem Laufenden halten.

Wie man Anwender frustriert

Bevor ich in den Urlaub fahre, muss ich euch noch schnell eine Geschichte erzählen, bei der ich am eigenen Leib erfahren durfte, wie man Anwender mit Sicherheitsmechanismen frustrieren kann.

Wir haben einen Dienstleister, dessen webbasiertes Angebot per Single-Sign-On von unseren Dienstrechnern angemeldet werden kann. So lange man nur Informationen abrufen will, ist alles gut. Will man aber Änderungen an Konfigurationen durchführen, prüft die Anwendung, ob das verwendete Passwort nicht älter als 60 Tage ist. Man muss das Kennwort dann ändern, wofür natürlich das aktuelle Passwort benötigt wird. Aufgrund des Single-Sign-On-Verfahrens hatte ich das Kennwort nicht mehr parat, ist aber kein Problem, sagt die Anwendung, man kann sich einfach ausloggen und dann die "Passwort vergessen"-Option auswählen. Ich melde mich also ab, werde auf die Anmeldeseite weitergeleitet und was passiert? Genau, das Single-Sign-On meldet mich sofort wieder an.

Letztendlich hatte ich nur die Möglichkeit, die Seite auf einem Rechner ausserhalb unseres Büronetzes aufzurufen und dort die "Passwort vergessen"-Funktion auszuführen. Die Mail dazu kam natürlich auf meinen Bürorechner (Gnarf). In der Mail erwartete mich nicht der übliche Link zu einer Seite, auf der ich mein Passwort neu setzen konnte, sondern sie enthielt einen "Sicherheitscode" aus einer 7-stelligen Buchstaben/Zahlenfolge, die ich dann auf dem separaten Rechner zusammen mit dem neuen Kennwort eingeben sollte. Gesagt, getan, funktionierte aber nicht. Egal wie oft ich den "Sicherheitscode" eingab, er wurde stets abgelehnt. Irgendwann habe ich dann aus einem Impuls heraus den Sicherheitscode in der Mail mal markiert. Moment, war da ein Leerzeichen hinter der Zeichenfolge? Ich konnte es kaum glauben, aber nachdem ich den Code mit einem abschließenden Leerzeichen eingab, funktionierte das Setzen des neuen Kennworts.

Mal ehrlich, ein Leerzeichen am Ende eines Codes, den man eingeben soll zu generieren, ist schon "Bastard Operator from Hell"-würdig. :-)

Drucken 2016

Drei mal dieselbe Datei.
Drei mal dasselbe Officeprogramm.
Drei mal derselbe Rechner.
Drei mal derselbe Drucker.
Drei unterschiedliche Versionen des Druckertreibers.

Danke Windows.

Testausdrucke

Eine unheilvolle Dreiecksbeziehung

Die Beteiligten:

User1, User2, Rechner1, Rechner2, Rechner3 und der Admin

Die Geschichte:

User1 meldet sich an Rechner1 an.

User1 meldet sich an Rechner2 an.

Rechner1 meldet, dass ein Passwortwechsel notwendig ist.

User1 versucht an Rechner1 das Passwort zu ändern, das funktioniert nicht, weil die Anmeldung an Rechner2 noch läuft.

User1 versucht an Rechner2 das Passwort zu ändern, das funktioniert.

User1 meldet sich mit seinem neuen Passwort an Rechner3 an. So weit, so gut.

Einige Zeit später...

Rechner1, Rechner2 und Rechner3 sind nach dem Ablauf der Sperrzeit gesperrt.

User1 entsperrt Rechner2.

User2 denkt, er ist an Rechner1 angemeldet und versucht diesen mit seinem Passwort zu entsperren. Dreimal.

User2 sagt User1 Bescheid, dass er doch bitte Rechner1 entsperren soll. Aber weder das neue noch das alte Passwort funktionieren.

User1 versucht Rechner3 zu entsperren. Auch das funktioniert weder mit dem alten noch dem neuen Passwort.

...

Anruf von User1 beim Admin, der diese Story hier mal kurz aufschreiben muss, um zu verstehen, was da überhaupt gelaufen ist. User1 im Active Directory entsperrt. Alles wieder gut. :-)

Drucker-Notizen

Notiz an die User:

Wenn ein Drucker rot blinkt und im Display steht, dass man eine Tonerpatrone ersetzen muss, nutzt es nichts, den Drucker mehrmals an und aus zu schalten.

Notiz an mich:

Wenn man in den Keller geht, um die Ersatzpatrone für den Drucker zu holen, sollte man vorher auf das Display schauen, ob eventuell noch eine zweite Farbe bald leer sein wird. Sonst läuft man zweimal.

Notiz #2 an mich:

Manche Dinge, die man ihnen mal gesagt hat, vergessen User auch nach 20 Jahren nicht. Zum Beispiel, dass man Tonerpatronen aus dem Drucker nehmen und schütteln kann, damit er noch ein paar Seiten druckt. Die Tonerhäufchen vor und im Drucker zeugen davon.

Notiz an HP

Muss ein Drucker seine Netzwerkkonfiguration vergessen, wenn man ihn während eines Druckjobs ausschaltet?

Piwik 2.4.0 beseitigt XSS-Lücke - Update empfohlen

Piwik-Logo

Piwik, die freie Alternative zu Google Analytics zum selbst hosten ist in der Version 2.4.0 erschienen. Wie die Entwicker im Changelog bekannt geben, wurde eine XSS-Sicherheitslücke in der Anwendung behoben.

Außerdem wurden insgesamt 60 Fehlertickets mit dieser Version bereinigt. Ein Update wird dringend empfohlen. Das geht bei kleineren Installation auch ganz einfach mit ein paar Klicks automatisch.

Wenn das Update in euerer Piwik-Installation nicht automatisch angezeigt wird, geht ihr in die Einstellungen und klickt oben rechts auf "Nach Aktualisierungen suchen". Danach einfach den Link zur Aktualisierung klicken und den Anweisungen folgen. Hat bei mit nicht mal 2 Minuten gedauert, eine sehr komfortable Funktion von Piwik.

Schriftarten in Thunderbird ändern

Da ich gerade wieder das Problem hatte und danach im Netz erst ein wenig googeln musste, schreibe ich es hier mal für die Zukunft auf.

Bei höheren Bildschirmauflösungen kommt es gerade unter Linux manchmal vor, dass im Mailprogramm Thunderbird die Schriftarten von Menüs und in der Mailübersicht zu groß oder zu klein dargestellt werden. Das führt zu Problemen bei der Lesbarkeit oder sieht einfach auch mal hässlich aus. Die Schriftgrösse lassen sich über eine CSS-Datei im Thunderbird-Profil des Nutzers anpassen.

Man findet das Nutzerprofil unter Linux im Homeverzeichnis des Benutzers im Unterverzeichnis ".thunderbird". Dort gibt es dann einen Ordner, der aus einer zufälligen Zeichenkombination besteht, das Standardprofil hat hinter dieser Zeichenkombination ein ".default" angehängt.

mario@fichte:~/.thunderbird/m53h4ule.default$

Zu beachten ist, dass unter Linux der "." vor dem Verzeichnisnamen "thunderbird" bewirkt, dass das Verzeichnis versteckt wird, wenn ihr ein grafisches Tool zur Dateibearbeitung nutzt, müsst ihr also einstellen, dass versteckte Dateien angezeigt werden.

Im Profilverzeichnis gibt es einen Ordner "chrome", wenn der noch nicht existiert, müsst ihr ihn anlegen. In diesen Ordner gehört dann die Datei "userChrome.css" (Groß- / Kleinschreibung unbedingt beachten). Wenn die Datei vorhanden ist, kann man sie einfach ergänzen, wenn nicht, ist sie neu anzulegen. In dieser Datei kann man nun alle Elemente der Benutzeroberfläche mittels CSS-Statements beeinflussen. Uns geht es ja hier um die Schriftgrösse der Menüs und Listen.

Zunächst kann man einfach die Schriftgröße aller Elemente der Benutzeroberfläche mit folgendem Befehl anpassen:

/* Global UI font */
* { font-size: 11pt !important;
} 

Entscheident ist hier der Wert hinter "font-size:". Hier könnt ihr die Schriftgröße angeben. Man kann hier den Wert in pt (Größe in Relation zur Bildschirmauflösung) oder in px (Pixel) angeben, damit kann man einfach mal ein wenig herumspielen. Die Auswirkungen sieht man sofort nach einem Neustart von Thunderbird.

Will man nur die Menüelemente in der Größe verändern braucht es diesen Eintrag:

/* Menu font */
menu, menulist, menuitem { 
  font-size: 12pt !important;
}

Zur Veränderung der Schriftgröße der Baumelemente (Mailkonten) und der Liste der Mails nutzt man:

treechildren {font-size: 12px;}

So könnt ihr die Schriftgrößen ganz nach belieben an eure Vorlieben anpassen. Das ganze funktioniert im Prinzip auch für den Firefox (Profil in ".mozilla/firefox") und natürlich auch unter Windows, hier sind natürlich die jeweiligen Profilverzeichnisse je nach Windowsversion aufzusuchen.

User hater's password generator

Das ist doch mal was für den geplagten Admin. :-) Der "user hater's password generator" ist ein kleines Perlskript, das Passwörter generiert, die einen Benutzer garantiert zur Verzweiflung bringen.

Beispiel gefällig?

The user hater's password generator. Have a lot of fun!
-------------------------------------------------------
01) 0O0Ol]O|]1[0
02) 0[]O||0Il[[1
03) 0O|O1l|[0l]O
04) 11l00l|1I]|I
05) Il]l[01Il0|l
06) I|[]0ll01O|O
07) l0|I1IO]]|lO
08) lI][]|I]|1]I
09) 1[]|I[O00I[l
10) 00][[I10I0lI

via:



Wenn die Festplatte ihren Abgang ankündigt

Vorgestern Abend meldete einer "meiner" Server brav per SMS einen Fehler im RAID. Eine der Festplatten hatte einen "PFA-Fehler". Das kannte ich tatsächlich noch nicht und musste mal googeln. "Predictive Failure Analysis®" nennt sich das Ganze und der Hersteller verspricht, dass eine Festplatte mit dieser Technologie bis zu 48 Stunden vor ihrem digitalen Tod denselben ankündigen kann. Die betroffene Platte lief also noch, sagte aber mit diesem Fehler ihr baldiges Ableben voraus.

Eine gute Sache, denn auch bei einem RAID 5 mit Hotspare-Platte ist der Ausfall einer Platte im laufenden Betrieb immer mit Risiken verbunden. So konnte ich relativ gelassen am nächsten Morgen über unseren Servicedienstleister eine neue Platte anfordern und die betroffene Platte kontrolliert aus dem RAID-Verbund rausnehmen.

Wieviel Smartphones braucht der Admin

Ich mag ja den Winter, weil ich dann eine Jacke anhabe, die genug Taschen für alle Handys hat, die ich so mitnehmen muss/will. ;-)

Aber Spass beiseite, als (angestellter) Administrator hat man ja meist ein Firmenhandy oder -smartphone, über das man bei Notfällen erreichbar ist oder dass idealerweise auch an das Firmen-Mailsystem angebunden ist, um auch unterwegs E-Mails und Kalender zur Verfügung zu haben. Da unsere Berufsgruppe naturgemäss auch recht technikaffin ist, hat man natürlich auch Privat ein Smartphone, über dass man private Mails, soziale Netze usw. im Auge behält. Das hantieren mit unterschiedlichen Geräten und das oben erwähnte Transportproblem drängen die Frage auf, ob man nicht ein Gerät für berufliche und private Zwecke nutzen könnte oder sollte.

Eins für dienstliche und eins für private Zwecke?

Für angestellte Admins gibt es verschiedene Faktoren und Abhängigkeiten vom Arbeitgeber, wie eine solche Nutzung aussehen kann.

Nutzung von zwei unterschiedlichen Geräten für Beruf und Privat

Vorteile:

  • Klare Trennung von beruflichen und privaten Daten.
  • Private Daten bleiben immer in meinem Herrschaftsbereich.
  • Hohe Datensicherheit, da striktere Policies auf dem dienstlichen Gerät durchgesetzt werden können.
  • Ich kann das Diensthandy auch mal liegen lassen und "nur Privat" sein.

Nachteile:

  • Ich muss mehrere Geräte mit herumtragen.
  • Daten, die ich benötige sind an unterschiedlichen Stellen (Kalender, Kontakte usw).

Die Firma erlaubt die Nutzung des Firmengerätes auch für private Zwecke.

Vorteile:

  • Nur ein Gerät für alle Daten.
  • Eventuell Kostenvorteile, da ich eine Kostenteilung zwischen Arbeitgeber und mir vereinbaren kann.

Nachteile:

  • Durch Sicherheits-Policies kann ich eventuell nicht alle Features des Smartphones im privaten Bereich nutzen.
  • Meine privaten Daten sind auf einem Gerät, das faktisch meinem Arbeitgeber gehört und dass er mir jederzeit "wegnehmen" kann.
  • Ich bin für den Arbeitgeber ständig erreichbar.

Die Firma erlaubt die Nutzung eines privaten Gerätes für die dienstliche Nutzung (Stichwort: Bring your own device)

Vorteile:

  • Nur ein Gerät für alle Daten.
  • Die privaten Daten bleiben in meinem Herrschaftsbereich.
  • Ich kann mir in gewissen Grenzen das Gerät, das ich nutzen möchte, selbst aussuchen.

Nachteile:

  • Sicherheit, die Nutzung des Features des Handys kann durch Sicherheits-Policies eingeschränkt sein, für deren Einhaltung ich eventuell selbst sorgen muss.
  • Auch hier bin ich für den Arbeitgeber ständig erreichbar.
  • Eventuell muss ich Kosten, die für dienstliche Angelegenheiten entstehen, zum Teil selbst tragen.

Diese Betrachtungen beleuchten natürliche nur die Aspekte für mich persönlich und noch nicht die Fragen, die sich ein Arbeitgeber stellen muss, wenn er zwischen diesen Modellen entscheiden muss. Wir Administratoren sind hier in einer Zwickmühle, da wir ja häufig auch für die Erstellung und Einhaltung der IT-Sicherheits-Policies mit verantwortlich sind.

Ich nutze momentan noch die erste Variante, habe also ein dienstliches und ein privates Smartphone. In einem folgenden Artikel werde ich beschreiben, wie ich diese Konstellation in der Praxis nutze.

Wie sieht es mit der beruflichen / privaten Smartphonenutzung bei euch aus?