Re: Many systemd units do not start anymore

[Christoph Pleger]

Hello,

Am Mittwoch, dem 07.02.2024 um 12:27 +0100 schrieb Michael Biebl:
> Am 07.02.24 um 11:32 schrieb Christoph Pleger:
> > Hello,
> > 
> > > 
> > > systemd-time-wait-sync.service is running but has not completed.
> > > I wonder if that is
> > > https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=940840
> > > https://github.com/systemd/systemd/issues/14061
> > > 
> > > Which NTP service do you use?
> > 
> > I am using chrony, because the server is offering time services to NTP
> > clients.
> > 
> > Regards
> >    Christoph
> > 
> > PS: As a (temporary) workaround, I created an override file for
> > systemd-time-wait-sync.service that just calls /bin/true .
> >   
> > 
> 
> Have you tried to simply disable the service?

I have now, and it works. Any idea what might have enabled it? I have
quite old entries in /root/.bash_history, but no signs of that I
enabled that service manually, I did not even know about its existence
before monday ... 

Regards
  Christoph


signature.asc
Description: This is a digitally signed message part

Re: Many systemd units do not start anymore

[Christoph Pleger]

Hello,
> - what is the hardware?

Qemu VM

> - what release of what operating system is in use?

Debian bullseye

> - what happened just before things 'suddenly' stopped working? Did
you
>   upgrade the machine, or install some new software, or just reboot
it
>   or what?

I rebooted the machine, maybe I did something else before, but I do not
remember. 

> - you say it is just one of your server machines. Can you draw any
>   comparisons with the state of your other server machines?


The difference is that this machine chrony as ntp server/client, while
on most others, it is systemd-timesyncd .

Regards
  Christoph


signature.asc
Description: This is a digitally signed message part

Re: Many systemd units do not start anymore

[Christoph Pleger]

Hello,

> 
> systemd-time-wait-sync.service is running but has not completed.
> I wonder if that is
> https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=940840
> https://github.com/systemd/systemd/issues/14061
> 
> Which NTP service do you use?

I am using chrony, because the server is offering time services to NTP
clients.

Regards
  Christoph

PS: As a (temporary) workaround, I created an override file for
systemd-time-wait-sync.service that just calls /bin/true .
 


signature.asc
Description: This is a digitally signed message part

Re: Many systemd units do not start anymore

[Christoph Pleger]

Hello,

> > Does anyone have an idea what is possibly wrong?
> 
> Look for more information.

This is the output of systemctl list-jobs :

JOB UNIT TYPE  STATE
102 autofs.service   start waiting
82  mlocate.timerstart waiting
80  e2scrub_all.timerstart waiting
117 cron.service start waiting
1   graphical.target start waiting
140 apache2.service  start waiting
127 nullmailer.service   start waiting
81  phpsessionclean.timerstart waiting
94  nslcd.servicestart waiting
40  time-sync.target start waiting
86  logrotate.timer  start waiting
83  man-db.timer start waiting
84  apt-daily-upgrade.timer  start waiting
115 systemd-update-utmp-runlevel.service start waiting
135 atd.service  start waiting
79  timers.targetstart waiting
87  apt-daily.timer  start waiting
39  systemd-time-wait-sync.service   start running
88  fstrim.timer start waiting
2   multi-user.targetstart waiting

As you can see, there are really many failed services. It seems that
systemd-time-wait-sync.service is waiting for systemd-timesyncd to
synchronize the clock, but systemd-timesyncd is not installed at all.

Regards
  Christoph


signature.asc
Description: This is a digitally signed message part

Re: Many systemd units do not start anymore

[Christoph Pleger]

Hello,

Am Montag, dem 05.02.2024 um 07:18 -0500 schrieb Greg Wooledge:
> On Mon, Feb 05, 2024 at 12:53:33PM +0100, Christoph Pleger wrote:
> > on one of my server machines, suddenly many systemd units (e.g. cron, 
> > autofs)
> > do not start any more, neither at boot nor when trying to start manually
> > with "systemctl start ", this hangs till I abort with Ctrl-C -
> 
> > Does anyone have an idea what is possibly wrong?
> 
> Look for more information.  Start with
> 
> systemctl status cron
> journalctl -u cron

Unfortunately, there is no useful further information:

systemctl status
● autofs.service - Automounts filesystems on demand
 Loaded: loaded (/lib/systemd/system/autofs.service; enabled;
vendor preset>
 Active: inactive (dead)
   Docs: man:autofs(8)

journalctl -u autofs
-- Journal begins at Mon 2024-02-05 12:33:34 CET, ends at Mon 2024-02-
05 16:38:>
-- No entries --

This looks almost the same for every failed service, even while a
"systemctl start " is running in another terminal window.

Regards
  Christoph


signature.asc
Description: This is a digitally signed message part

Many systemd units do not start anymore

[Christoph Pleger]

Hello,

on one of my server machines, suddenly many systemd units (e.g. cron, autofs)
do not start any more, neither at boot nor when trying to start manually
with "systemctl start ", this hangs till I abort with Ctrl-C -
though the commands defined in ExecStart work when I type them in directly.
From my judgement, I also believe that it takes unusually long till 
then command "systemctl status " returns a result.

I already removed systemd completely (apt-get --purge --auto-remove remove 
*systemd*) und switched to SYS V Init, in which all services started 
successfully.
But after switching back to systemd, I again had the problem of non-starting 
services.

Does anyone have an idea what is possibly wrong?

Regards
  Christoph 



signature.asc
Description: This is a digitally signed message part

NIS and systemd-udevd

[Christoph Pleger]

Hello,

I have the following udev rule in /lib/udev/rules.d/99-local.rules:

ACTION=="add", SUBSYSTEM=="block", ATTRS{removable}=="1",
PROGRAM="/lib/udev/foreground-user", RESULT!="root", MODE="0600",
OWNER="$result"

This is to ensure that, if someone is logged in on the graphical
console at the time when a USB is inserted, this person becomes the
owner of the devive file belonging to the stick, /dev/sd[a-z].

I found out that, though this works for users listed in /etc/passwd, it
does not for users who have a remote NIS account.

That problem already occurred a longer time ago, but in the meanwhile,
I had solved (by following suggestions from the internet) it by
installing unscd and creating a file /etc/systemd/system/systemd-
udevd.service.d/override.conf with the following content:

[Service]
IPAddressAllow=localhost

But now, the problem occurs again: After booting the computer,
I have to restart systemd-udevd to make 99-local.rules work as desired.

Does anyone have an idea how to solve the problem?

Regards
   Christoph


signature.asc
Description: This is a digitally signed message part

Re: Email bodies not show anymore in Evolution Email

[Christoph Pleger]

> 
Hello,

> I have had just the same problem. I think it is caused by the last 
> security upgrade by unattended-upgrades of these packages:
> gir1.2-javascriptcoregtk-4.0
> gir1.2-webkit2-4.0
> libjavascriptcoregtk-4.0-18
> libwebkit2gtk-4.0-37

Ah, thank you very much for that information. In the meanwhile, I found
that there is already a bug report available at Debian about that.

Regards
  Christoph


signature.asc
Description: This is a digitally signed message part

Email bodies not show anymore in Evolution Email

[Christoph Pleger]

Hello,

suddenly, I have the problem in Evolution Email, that email bodies are not 
shown anymore, but only the headers.
This affects my private email account as well as my email account for work. 
Maybe I have changed some setting,
but I cannot remember to have done that.

Any idea?

Regards
  Christoph





signature.asc
Description: This is a digitally signed message part

Re: Prevent normal users from power actions

[Christoph Pleger]

Hello,

> I suppose it might be worth mentioning how your users reboot or
> shutdown the system, and whether this applies only when seated at
> a console or even to all users (for those of us who reboot with
> CtrlAltDel and shutdown by touching the physical power button).


When a user has started a graphical user session, like GNOME, KDE etc.,
there are several options to end or pause the session (without pressing
the power button or Ctrl-Alt-Del): Log out, Shutdown, Reboot, Suspend,
Hibernate, and maybe others. What I want is to require the user to
enter the root password in order to reboot or shutdown (and of course I
know that it is possible to shutdown or reboot the hard way).

Regards
  Christoph


signature.asc
Description: This is a digitally signed message part

Re: Prevent normal users from power actions

[Christoph Pleger]

> Hallo,

> But I just realized that this does not work anymore in Debian 11. That
> is, hibernating and suspending still require the user to enter the root
> password, but rebooting and powering off work without authentication.
> Why is this the case and what do I have to do to get again what I want?


If I enter the following:

pkaction -v -a org.freedesktop.login1.reboot

it tells me that authentication is necessary to reboot. Is there maybe
something else than org.freedesktop.login1.reboot that allows the
reboot, though org.freedesktop.login1.reboot denies it?

Regards
  Christoph


signature.asc
Description: This is a digitally signed message part

Prevent normal users from power actions

[Christoph Pleger]

Hello,

I have been using this for quite a while to prevent normal users from
suspending, hibernating, shutting down or rebooting the computer from
their desktop session:

/etc/polkit-1/localauthority/50-local.d/custom-menu

[Disable suspend]
 Identity=unix-user:*
 Action=org.freedesktop.login1.suspend;org.freedesktop.login1.suspend-
multiple-sessions
 ResultAny=auth_admin_keep
 ResultInactive=auth_admin_keep
 ResultActive=auth_admin_keep

[Disable hibernate]
 Identity=unix-user:*
Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.hibernat
e-multiple-sessions
 ResultAny=auth_admin_keep
 ResultInactive=auth_admin_keep
 ResultActive=auth_admin_keep

[Disable shutdown]
 Identity=unix-user:*
 Action=org.freedesktop.login1.power-off;org.freedesktop.login1.power-
off-multiple-sessions
 ResultAny=auth_admin_keep
 ResultInactive=auth_admin_keep
 ResultActive=auth_admin_keep

[Disable reboot]
 Identity=unix-user:*
 Action=org.freedesktop.login1.reboot;org.freedesktop.login1.reboot-
multiple-sessions
 ResultAny=auth_admin_keep
 ResultInactive=auth_admin_keep
 ResultActive=auth_admin_keep

But I just realized that this does not work anymore in Debian 11. That
is, hibernating and suspending still require the user to enter the root
password, but rebooting and powering off work without authentication.
Why is this the case and what do I have to do to get again what I want?

I have tried from GNOME and KDE.

Regards
  Christoph




signature.asc
Description: This is a digitally signed message part

Re: Replace SD-card on armhf-Wandboard

[Christoph Pleger]

Hello,

> Most likely you need to install u-boot on the SD-card.
> 
> How to do so is chip manufacturer specific. If support for the wandboard
> has been upstreamed there should be a u-boot binary in Debian and maybe
> even the magic incantation to install that to the SD-card.

I found an image http://http.us.debian.org/debian/dists/stretch/main/
installer-armhf/current/images/u-boot/Wandboard/Wandboard.sdcard.img.gz, 
gunzipped it and wrote the result to microSD with dd.  Afterwards, I re-
created the partition table (the filesystem and its signature were still 
present) and now the microSD card is bootable.

Regards
  Christoph

Replace SD-card on armhf-Wandboard

[Christoph Pleger]

Hello,

I have here an armhf variant called wandboard (www.wandboard.org), installed 
with Debian 9, the boot device is an internal MicroSD-Card, and if I 
understood correctly, that is the only possible way to boot.  I now have the 
problem that reading or writing from/to the card give I/O errors, so the card 
must be replaced. So, I copied all files from the root partition - the other 
filesystems are on an external SATA disk - to another computer, that worked 
successfully with exception of one unimportant file which could not be read 
anymore. Then, on another Micro-SD I created a new file system with the same 
UUID as on the other card and copied all files to that location. But 
unfortunately, the wandboard does not want to boot with the new MicroSD. Does 
anybody have an idea what I can do to make the new card bootable?

Regards
  Christoph 

Re: PAM Configuration

[Christoph Pleger]

Hello,

On 2020-02-14 13:25, Christoph Pleger wrote:

auth[success=2 default=ignore]  pam_p11.so 
/usr/local/lib/libcvP11.so


# here are the per-package modules (the "Primary" block)
auth[success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
authrequisite   pam_deny.so
# prime the stack with a positive return value if there isn't one 
already;
# this avoids us returning an error just because nothing sets a success 
code

# since the modules above will each just jump around
authrequiredpam_permit.so
# and here are more per-package modules (the "Additional" block)
authoptionalpam_group.so
authoptionalpam_cap.so
# end of pam-auth-update config



The question here is, why the application at all gets knowledge about 
some failed PAM module, should it not just get the final result from the 
complete PAM stack, which is PAM_SUCCESS in this case?


Regards
  Christoph

Re: PAM Configuration

[Christoph Pleger]

Hello,


auth[success=2 default=ignore]  pam_p11.so
/usr/local/lib/libcvP11.so


[...]


This works nearly exactly as desired, "nearly" because though the
login with unix password works, the application shows "Login failed"
for a short time. Is there something I can change in the above file to
avoid this message?


I don't know what local library it is you used, but I encourage you to
consider the use of Debian packages libpam-p11 libpam-pkcs11 and
libpam-poldi - or if you already considered those then share why you
rejected them.


I am using libpam-p11, the local library given as an option of 
pam_p11.so is just for support of the specific format of how data is 
stored on our organization's smartcards.


Regards
  Christoph

PAM Configuration

[Christoph Pleger]

Hello,

I created a PAM configuration with the goal to make it possible that a 
user can either login by inserting a smartcard into a card reader and 
entering the correct PIN, or by entering the traditional UNIX password. 
This is what my /etc/pam.d/common-auth looks like:


#
# /etc/pam.d/common-auth - authentication settings common to all 
services

#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

auth[success=2 default=ignore]  pam_p11.so 
/usr/local/lib/libcvP11.so


# here are the per-package modules (the "Primary" block)
auth[success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
authrequisite   pam_deny.so
# prime the stack with a positive return value if there isn't one 
already;
# this avoids us returning an error just because nothing sets a success 
code

# since the modules above will each just jump around
authrequiredpam_permit.so
# and here are more per-package modules (the "Additional" block)
authoptionalpam_group.so
authoptionalpam_cap.so
# end of pam-auth-update config


This works nearly exactly as desired, "nearly" because though the login 
with unix password works, the application shows "Login failed" for a 
short time. Is there something I can change in the above file to avoid 
this message?


Regards
  Christoph

Re: Force device node link creation

[Christoph Pleger]

Hello,

On 2020-02-06 19:47, David Wright wrote:

On Thu 06 Feb 2020 at 17:56:00 (+0100), Christoph Pleger wrote:


I am using a program for automatic creation of a harddisk partitioning
from a configuration file. That file contains device names like
/dev/sda1 etc. for naming the partitions. After the partitioning has
been completed, I want to create an appropriate fstab from the
configuration file and during that step, want to convert partition
device name entries to entries in the form UUID=... For that, I am
using

udevadm info --query=symlink --name="$device"

where $device is the respective partition. Unfortunaly, the problem
occurs that often - though partitioning was completed and filesystems
created -  links in /dev/disk/by-uuid/ are not yet available when
udevadm is run, so that udevadm returns nothing. So, my question is:
Is it possible to force the device node links to have been created
before calling udevadm? Without long sleeps or sleep loops?


I've only used events after I've done something, like plugging in a
stick. Might   udevadm trigger …   help? I would try it out with,
say,   udevadm monitor -u -p -s block   running.


I have already tried udevadm trigger together with udevadm settle, but 
it did not help. Though it seemed to be the solution till Debian 9 
inclusively.


Regards
  Christoph

Force device node link creation

[Christoph Pleger]

Hello,

I am using a program for automatic creation of a harddisk partitioning 
from a configuration file. That file contains device names like 
/dev/sda1 etc. for naming the partitions. After the partitioning has 
been completed, I want to create an appropriate fstab from the 
configuration file and during that step, want to convert partition 
device name entries to entries in the form UUID=... For that, I am using


udevadm info --query=symlink --name="$device"

where $device is the respective partition. Unfortunaly, the problem 
occurs that often - though partitioning was completed and filesystems 
created -  links in /dev/disk/by-uuid/ are not yet available when 
udevadm is run, so that udevadm returns nothing. So, my question is: Is 
it possible to force the device node links to have been created before 
calling udevadm? Without long sleeps or sleep loops?


Regards
  Christoph

Erzeugung von Device-Knoten erzwingen

[Christoph Pleger]

Hello,

I am using a program for automatic creation of a harddisk partitioning 
from a configuration file. That file contains device names like 
/dev/sda1 etc. for naming the partitions. After the partitioning has 
been completed, I want to create an appropriate fstab from the 
configuration file and during that step, want to convert partition 
device name entries to entries in the form UUID=... For that, I am using


udevadm info --query=symlink --name="$device"

where $device is the respective partition. Unfortunaly, the problem 
occurs that often - though partitioning was completed and filesystems 
created -  links in /dev/disk/by-uuid/ are not yet available when 
udevadm is run, so that udevadm returns nothing. So, my question is: Is 
it possible to force the device node links to have been created before 
calling udevadm? Without long sleeps or sleep loops?


Viele Grüße
  Christoph

ifupdown, NetworkManager and resolvconf (was: NetworkManager and systemd-networkd/systemd-resolved

[Christoph Pleger]

Hello,

On 2020-01-28 09:28, Christoph Pleger wrote:


on my notebook computer, I have a WLAN interface that is managed with
NetworkManager and a cable-bound network interface that gets its
static IP address by a systemd-networkd configuration file. But as of
course on a portable notebook the cable-bound network interface is not
always connected, it is a additionally also managed by NetworkManager.
Hostname resolution takes place through systemd-resolved, that is,
/etc/resolv.conf is a symbolic link to
/run/systemd/resolve/stub-resolv.conf .


On another machine, after I had realized that the dynamic IP address 
assigned by NetworkManager/dhclient to the wired interface was preferred 
over the IP address statically configured in systemd-networkd 
configuration, I decided to switch back to a combination of ifupdown, 
NetworkManager and resolvconf, like I had it in Debian 9. ifupdown for 
normal static configuration of eno1, NetworkManager for starting an 
OpenVPN connection from the GUI and resolvconf to be also able to start 
the VPN connection from the command line (the openvpn package has a 
script update-resolv-conf that uses resolvconf).


So, I disabled systemd-networkd.service and systemd-resolved.service, 
installed resolvconf and configured it to maintain /etc/resolv.conf, 
created /etc/network/interfaces and /etc/network/interfaces.d/eno1 with 
appropriate entries, including the dns-* entries for resolvconf, and set 
managed=true in the [ifupdown] section of 
/etc/NetworkManager/NetworkManager.conf .


But after a reboot, I discovered that /etc/resolv.conf - besides from 
the '# Automatically created by resolvconf, do not edit' entry - was 
empty, though it should have contained the nameservers given in 
dns-nameservers entry of the ifupdown configuration. Also, the OpenVPN 
connection could not be started from the GUI, I then tried command line 
tool nmcli, which gave the error that the base connection for the 
OpenVPN connection could not be found. Disabling NetworkManager and 
another reboot wrote useful entries to /etc/resolv.conf, but of course 
without NetworkManager I cannot use the GUI-NetworkManager-Plugin to 
start the OpenVPN connection.


I am quite sure that this combination of ifupdown, NetworkManager and 
resolvconf worked in Debian 9 with exactly that configuration, so what 
is it that makes it non-working in Debian 10? Maybe something in the 
order when the services are started at boot time? Or does someone have 
an idea what might be wrong in my configuration?


Regards
  Christoph

Re: NetworkManager and systemd-networkd/systemd-resolved

[Christoph Pleger]

Hello,


on my notebook computer, I have a WLAN interface that is managed with
NetworkManager and a cable-bound network interface that gets its
static IP address by a systemd-networkd configuration file. But as of
course on a portable notebook the cable-bound network interface is not
always connected, it is a additionally also managed by NetworkManager.
Hostname resolution takes place through systemd-resolved, that is,
/etc/resolv.conf is a symbolic link to
/run/systemd/resolve/stub-resolv.conf .

This all works fine so far, but when the cable-bound interface is not
connected (that means, when NetworkManager de-activated the
connection), the nameservers defined for that connection in the
systemd-networkd configuration file are still in the active
systemd-resolved configuration, as can be seen in the file
/run/systemd/resolve/resolv.conf and in the output of "resolvectl
status". Though this is - at least in my case with maximum of three
nameservers - only a cosmetic problem, my goal is that the nameservers
defined for the cable-bound connection disappear from the active
systemd-resolved configuration when the cable is disconnected.

Is it possible to realize such a combination of NetworkManager and
systemd-networkd/systemd-resolved?



networkd-dispatcher can execute actions on network connection state 
changes, so can probably help to reach my goal, what I need now is a 
command to directly remove the DNS servers from systemd-resolved 
configuration or a command that de-activates a certain interface from 
systemd-networkd's point of view and thereby deletes the corresponding 
DNS servers from systemd-resolved configuration. The latter can be done 
by systemctl stop systemd-networkd, but only for a short time, because 
then, systemd-networkd is restarted automatically.


Regards
  Christoph

NetworkManager and systemd-networkd/systemd-resolved

[Christoph Pleger]

Hello,

on my notebook computer, I have a WLAN interface that is managed with 
NetworkManager and a cable-bound network interface that gets its static 
IP address by a systemd-networkd configuration file. But as of course on 
a portable notebook the cable-bound network interface is not always 
connected, it is a additionally also managed by NetworkManager. Hostname 
resolution takes place through systemd-resolved, that is, 
/etc/resolv.conf is a symbolic link to 
/run/systemd/resolve/stub-resolv.conf .


This all works fine so far, but when the cable-bound interface is not 
connected (that means, when NetworkManager de-activated the connection), 
the nameservers defined for that connection in the systemd-networkd 
configuration file are still in the active systemd-resolved 
configuration, as can be seen in the file 
/run/systemd/resolve/resolv.conf and in the output of "resolvectl 
status". Though this is - at least in my case with maximum of three 
nameservers - only a cosmetic problem, my goal is that the nameservers 
defined for the cable-bound connection disappear from the active 
systemd-resolved configuration when the cable is disconnected.


Is it possible to realize such a combination of NetworkManager and 
systemd-networkd/systemd-resolved?


Regards
  Christoph

Re: Success of udev rule depends on if user has local or NIS account

[Christoph Pleger]

Hi,
On 2020-01-09 18:23, Greg Wooledge wrote:

On Thu, Jan 09, 2020 at 05:56:53PM +0100, Christoph Pleger wrote:
Does anybody know what happened in newer kernels that makes 
OWNER="$result"

fail for NIS accounts?


At a guess, it's bug #878625 again.

Does it start working again if you install nscd, or one of its
alternatives?  Or if you override the IPAddressDeny=any in the
systemd-udevd.service unit?


Many thanks, overriding IPAddressDeny is the solution for my problem!

Regards
  Christoph

Success of udev rule depends on if user has local or NIS account

[Christoph Pleger]

Hello,

I wrote the following udev rule:

ACTION=="add", SUBSYSTEM=="block", ATTRS{removable}=="1", 
PROGRAM="/lib/udev/foreground-user", RESULT!="root",MODE="0600", 
OWNER="$result"


The goal of this rule is to give a user who attaches a USB storage 
device while being logged on in the graphical environment exclusive 
access rights for the corresponding device nodes /dev/sd[a-z]* .


That was working as desired for some time, but now I discovered that is 
does not work correctly any more on some machines, on Debian 10 as well 
as in Ubuntu 18.04. Searching for the reason gave the result that the 
success of the udev rule depends on the kernel version (it worked in 
Ubuntu 18.04 with Kernel 4.15.0-50-generic, but does not work with 
Kernel 4.15.0-74-generic) as well as on if the user has a local or a NIS 
account, that is, it works with local accounts, but not with NIS 
accounts.


Does anybody know what happened in newer kernels that makes 
OWNER="$result" fail for NIS accounts?


Regards
  Christoph

Start a child process in a new session

[Christoph Pleger]

Hello,

when I start a child process with fork(), it seems that the new process 
runs in the same session as the parent process, due to what loginctl 
thinks, even after a call of setsid. Especially, running '/bin/login -f 
cpleger' results in the following message in /var/log/auth.log:


pam_systemd(login:session): Not creating session: Already running in a 
session or user slice


Does anybody know if and how a child process can be created in a 
completely new session, regarding to what pam_systemd and loginctl think 
about it?


Viele Grüße
  Christoph

openat and graphical applications

[Christoph Pleger]

Hello,

I am just playing around with openat a little (to open a new virtual 
terminal and execute a command in it) and found the following problem:


Though the command 'openvt -s -w -- dbus-run-session 
startplasmacompositor' starts KDE Plasma with Wayland, not the new 
terminal is used for the KDE session, but tty1, where I am currently 
logged in on the textual console and typed in the command.


On the other hand, 'openvt -s -w -- /bin/bash" opens, as desired, a new 
terminal and starts the shell there. But when I enter the command 
'dbus-run-session startplasmacompositor' in that shell, a switch back to 
tty1 takes place and the KDE session again starts there.


Does anybody know the reason why not the correct TTY is used for KDE?

Viele Grüße
  Christoph

Permissions in setuid-root-program

[Christoph Pleger]

Hello,

I want to ask for possible reasons why a program with setuid-root file 
permission (or a program with special Linux capabilities), when it is 
called by an unprivileged user from PAM module pam_exec, behaves very 
different from when it is called by an unprivileged user from the 
command line.


So far, I had the following differences:

1. When I do not give the setuid-root file permission to the program, 
but give it the Linux cap_setuid capability, that works from the command 
line, but with pam_exec the program is not run at all, with error 
"Operation not permitted".


2. For further execution of the program, not only the effective, but 
also the real UID hast to be 0. From the command line, this works when I 
use setuid(0) in the program code, but with pam_exec, setuid(0) fails to 
change the real UID and I have to use setreuid(0,0) instead.


3. Though real and effective UID are 0,  I still get errors like 
"Permission denied" and "Operation not permitted" when the program is 
called from pam_exec. First, this happened when executing external 
command lvcreate from my setuid-root program, and after I solved that 
now by using lvm dbus library calls instead, I even get an "Operation 
not permitted" when doing a simple chown() on a directory in the local 
filesystem. Of course, this all works perfectly when I start my program 
from the command line.


So, I would like to know how it is possible that operations fail with 
"Permission denied" or "Operation not permitted" though both getuid() 
and geteuid() return 0.


Regards
  Christoph

GPG-Error with debmirror und wheezy-proposed-updates

[Christoph Pleger]

Hello,

(sorry, forgot to translate the subject in my last message)

the last few days, when I execute the command

debmirror /ftproot/debian --host=ftp.us.debian.org --method=rsync 
--root=:debian --nosource --dist=wheezy-proposed-updates 
--section=main,contrib,non-free --arch=amd64,i386 --getcontents 
--diff=none --postcleanup --i18n --progress


I get the following error messages, without having changed the command 
or something with the gpg keys before:


[GNUPG:] NEWSIG
[GNUPG:] KEY_CONSIDERED A1BD8E9D78F7FE5C3E65D8AF8B48AD6246925553 0
[GNUPG:] KEY_CONSIDERED A1BD8E9D78F7FE5C3E65D8AF8B48AD6246925553 0
[GNUPG:] BADSIG 8B48AD6246925553 Debian Archive Automatic Signing Key 
(7.0/wheezy) 

gpgv: Signature made Do 20 Jul 2017 16:31:09 CEST
gpgv:using RSA key 8B48AD6246925553
gpgv: BAD signature from "Debian Archive Automatic Signing Key 
(7.0/wheezy) 
.temp/.tmp/dists/wheezy-proposed-updates/Release.gpg signature does not 
verify.


Does anyone have an idea what is the cause of this? Is it on the client 
side, that is, on my mirror computer? Or on the server side, that is, on 
ftp.us.debian.org? And what do I have to do to solve this on the client 
or let it solve on the server?


Regards
  Christoph

GPG-Fehler mit debmirror und wheezy-proposed-updates

[Christoph Pleger]

Hello,

the last few days, when I execute the command

debmirror /ftproot/debian --host=ftp.us.debian.org --method=rsync 
--root=:debian --nosource --dist=wheezy-proposed-updates 
--section=main,contrib,non-free --arch=amd64,i386 --getcontents 
--diff=none --postcleanup --i18n --progress


I get the following error messages, without having changed the command 
or something with the gpg keys before:


[GNUPG:] NEWSIG
[GNUPG:] KEY_CONSIDERED A1BD8E9D78F7FE5C3E65D8AF8B48AD6246925553 0
[GNUPG:] KEY_CONSIDERED A1BD8E9D78F7FE5C3E65D8AF8B48AD6246925553 0
[GNUPG:] BADSIG 8B48AD6246925553 Debian Archive Automatic Signing Key 
(7.0/wheezy) 

gpgv: Signature made Do 20 Jul 2017 16:31:09 CEST
gpgv:using RSA key 8B48AD6246925553
gpgv: BAD signature from "Debian Archive Automatic Signing Key 
(7.0/wheezy) 
.temp/.tmp/dists/wheezy-proposed-updates/Release.gpg signature does not 
verify.


Does anyone have an idea what is the cause of this? Is it on the client 
side, that is, on my mirror computer? Or on the server side, that is, on 
ftp.us.debian.org? And what do I have to do to solve this on the client 
or let it solve on the server?


Regards
  Christoph

Re: Qualitaet von Debian

[Christoph Pleger]

Hallo,

> Das kann man so nicht stehen lassen. Dir wurde geholfen, z.B. habe ich
> dir unter [1] Hinweise gegeben, wass zu tun ist. Das umzusetzen oder
> kurz man pages lesen oder Google bedienen ist wirklich nicht schwer.

Das alles habe ich gemacht und deine Lösungsvorschläge in verschiedenen
Versuchen ausprobiert. Keiner davon hat funktioniert, was ich in der
Mailing-Liste auch geschrieben habe. Gerade beim Googeln fand ich Seiten,
auf denen stand, dass policykit 105 und pkla-Dateien veraltet sind und
dass manche Sachen damit nicht mehr funktionieren.

Mag ja sein, dass ich was falsch gemacht habe, z.b. vergessen, den polkit
neu zu starten, oder dass der Display-Manager kdm die genannten Aktionen
noch zuließ, oder dass die pkla-Datei doch fehlerhaft war. Ich war und bin
mir aber sicher, die ersten beiden Punkte beachtet zu haben, nicht nur
einmal, sondern mehrmals bei Wechseln zwischen Version 105 und 113, die
ich zum Testen durchgeführt habe. Und war mir jedenfalls sicher, eine
pkla-Datei erstellt zu haben, die hätte funktionieren müssen. Deswegen
habe ich, als ich auf der Mailingliste weder weitere Vorschläge gefunden
habe, noch einen Hinweis, dass es mit Version 105 definitiv funktioniert,
angenommen, dass entweder niemand der Anwesenden genau weiß, ob und wie es
mit policykit 105 funktioniert, oder dass es mit der Version tatsächlich
nicht funktioniert.

Viele Grüße
  Christoph

Re: Setting up Fakeraid with mdadm

[Christoph Pleger]

Hello,

>>
>> Isn't it possible to use mdadm for mirroring disks as a whole, instead
>> of
>> single partitions?
>
> Yes, but if it's going to be your main boot and root, don't do
> that.

How is that done if it is not the boot disc? And why can it not be the
boot disc, though it could with dmraid?

I am still wondering why mdadm discovered the RAID that I had created with
the BIOS RAID utility, but destroyed it. I wanted to re-install the
machine anyway, but what if had used netboot with nfsroot as a rescue
system for the machine?

Regards
  Christoph

Re: Setting up Fakeraid with mdadm

[Christoph Pleger]

Hello,

> Isn't it possible to use mdadm for mirroring disks as a whole, instead of
> single partitions?

If mdadm cannot create such RAIDs, is it possible to disable mdadm and use
dmraid instead? On the web, I have found information about a kernel
command line option 'nomdmonddf', but almost all of the information had to
do with Ubuntu, so I do not know if 'nomdmonddf' also works for Debian.

Regards
  Christoph

Re: Setting up Fakeraid with mdadm

[Christoph Pleger]

Hello,

> Configure the LSI to present individual disks and then use mdadm
> the normal way: partition the disks into two sets, a small /boot
> partition and a large /. (Or three partitions per disk: /boot, /
> and /home.)
>
> Create mdadm pairs for each of sda1,sdb1  sda2,sdb2  sda3,sdb3
> ... and set /dev/md0, for /boot, as bootable. The Debian
> installer can handle all of this easily.

Isn't it possible to use mdadm for mirroring disks as a whole, instead of
single partitions?

I am not using the debian installer, but want to boot from network with an
NFSROOT, create a basic system on the RAID and then reboot from RAID.

Regards
  Christoph

Setting up Fakeraid with mdadm

[Christoph Pleger]

Hello,

I am trying to use an "LSI Megaraid Software RAID" with mdadm, but I have
not been successful so far. When I configure a RAID 1 in the BIOS
Setup-Utility and boot from network with an NFSROOT, a ddf container
device is detected as /dev/md127 and a raid device as /dev/md126, but when
I reboot, the previously created RAID configuration has been destroyed,
that is, when I start the BIOS-RAID-Utility again, it does not 'remember'
the configuration it created earlier.

As a solution of the above problem, I already tried to create an mdadm
RAID 1 without BIOS support, that is, I deactivated the RAID feature in
BIOS-Setup and after booting with NFSROOT, used 'mdadm --create ...', but
I did not manage to make that RAID bootable.

So, how can I setup a RAID 1 over two whole disks with mdadm?

Regards
  Christoph

Logical Volumes not mounted automatically

[Christoph Pleger]

Hello,

two days ago, I replaced an armel architecture device with an armhf
architecture device (both of them running Debian 8) and connected the same
external USB disk as before to the armhf device, because some of the
disk's logical volumes contain only architecture-independent data and
therefore can be used without changes. I added the appropriate entries in
the /etc/fstab of the armhf device.

But I now have the problem that - in contrast to before - the disk's
logical volumes are not recognized automatically at boot time. The LVM
scan does not print any discovered devices on screen. Because of the
problem, I am prompted to enter the root password, then a rescue shell
starts. When, in that shell, I enter the commands 'pvscan',
'vgscan','lvscan' und 'lvchange -a y", the latter for every logical
volume, all LVs are recognized and activated. Then, I can mount the
filesystems with 'mount -a' and press Ctrl+D, so that the boot process is
continued.

So, manual activation of the LVs works. Any suggestions why automatic
activation does not work? Have I done something wrong, that is, are
additional steps required to let LVs which have been created on a specific
computer be discovered automatically at boot time on another computer? Or
should this work as is and we have a bug here?

Regards
  Christoph

Debian 8: Shutdown, Reboot, Suspend und Hibernate only after entering root password

[Christoph Pleger]

Hello,

Some days ago, I installed some machines with Debian jessie. Now I want to
achieve that, from the different desktop environments (KDE, GNOME, etc.),
the computers can only be shutdown, rebooted, suspended or hibernated,
after entering the root password.

In Debian 7, I achieved that by creating a file
/etc/polkit-1/localauthority/50-local.d/custom-menu.pkla with the
following contents:

[Disable suspend]
 Identity=unix-user:*
 Action=org.freedesktop.upower.suspend
 ResultActive=no
 ResultAny=no

[Disable hibernate]
 Identity=unix-user:*
 Action=org.freedesktop.upower.hibernate
 ResultActive=no
 ResultAny=no

[Disable shutdown]
 Identity=unix-user:*
 Action=org.freedesktop.consolekit.system.stop
 ResultActive=no
 ResultAny=no

[Disable reboot]
 Identity=unix-user:*
 Action=org.freedesktop.consolekit.system.restart
 ResultActive=no
 ResultAny=no


In Debian 8, this does not have the desired effect any more. Obviously,
the names of the actions have been changed to
org.freedesktop.login1.reboot etc., but even after replacing the action
names in custom-menu.pkla accordingly, no root authentication is required
before shutting down the computers.

So, what is the correct way to achieve my goal in jessie?

Viele Grüße
  Christoph

Apparmor on SheevaPlug

[Christoph Pleger]

Hello,

I want to enable apparmor on my SheevaPlug device. This requires the
kernel command line parameters "apparmor=1 security=apparmor" to be set.
But I do not know how to set kernel command line parameters for the uboot
boot loader, which is required for the SheevaPlug. Apparently, the way how
to do that even differs for the various devices supported by uboot. Can
anybody help me?

Regards
  Christoph

Re: create /etc/udev/rules.d/70-persistent-net.rules

[Christoph Pleger]

Hello,

 On my NFS diskless client the 70-persistent-net.rules *is* created and
 updated when booting.  Therefore your strategy would work in my
 environment.  In my diskless boot environment my
 70-persistent-net.rules file would grow and grow and grow as I booted
 different hardware if I didn't actively prune it.

 Therefore I ask, why doesn't it get created in your NFS boot environment?

I do not know. I once debootstrapped an older Debian release into a
directory on the nfs server, added some packages, updated the whole thing
to jessie some days ago and then netbooted the client.

 Are you actively preventing it from being created?

Not by intention.

 Other related ideas: After you have PXE booted your NFS diskless
 client you will know the ethernet address of your network device.
 That would allow you to differentiate the different NICs from each
 other later.  Read through the /lib/udev/write_net_rules script and
 see how you can drive it as you desire.

I know how to create 70-persistent-net.rules manually, but the thing is
that this has to work for about 250 computers, so I cannot do it by hand.

Regards
  Christoph



-- 
To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org 
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
https://lists.debian.org/5cd12e660494ce167c74fecacecdab07.squir...@postweb.cs.tu-dortmund.de

create /etc/udev/rules.d/70-persistent-net.rules

[Christoph Pleger]

Hello,

I want to boot a computer from network by PXE, with an NFS filesystem as
root fs, install a basic system on the local disk and then boot the
computer from the disk. After booting from disk, the names of the network
interfaces should be the same as before with the NFS root. So, I thought
that I can simply copy /etc/udev/rules.d/70-persistent-net.rules from my
NFS root into the directory ${TARGET}//etc/udev/rules.d/, where $TARGET
becomes / later on the local disk. But unfortunately, that file is not
created when booting from network, so it cannot be copied. Therefore, I
wanted the file to be created later and found the following solution,
which worked on a computer where I had deleted
/etc/udev/rules.d/70-persistent-net.rules before, for that:

for file in /sys/class/net/*/uevent; do
  echo add  $file
done

But on the computer with NFS as root fs, this also did not work. Does
somebody have a suggestion how I can still let the file be created?

Regards
  Christoph




-- 
To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org 
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
https://lists.debian.org/361ca026a3dbdea4addf29d9856b2f8b.squir...@postweb.cs.tu-dortmund.de

Re: Insert a script into systemd boot order at a specific location

[Christoph Pleger]

Hello,

 What you probably want, is hook into basic.target or sysinit.target, use
 DefaultDependencies=no, and specify the dependencies/orderings
 explicitly.

a post from debian-user-ger...@lists.debian.org helped me further: I do
not have to change anything, just calling update-rc.d for my init script
works, just like it did before in wheezy. I had read that systemd supports
LSB init scripts, but i did not expect that this compatibility goes so
far.

But there is still one problem: The output of my script is not displayed
on the screen.

Regards
  Christoph


-- 
To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org 
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
https://lists.debian.org/52321ce3bb99851883ac52fe9491bc37.squir...@postweb.cs.tu-dortmund.de

Insert a script into systemd boot order at a specific location

[Christoph Pleger]

Hello,

for many years and up to Debian 7, I am using update-rc.d to define a
specific location in the boot order, where a script is executed which
automatically performs some administrative tasks. The script is executed
after only very basic tasks have been performed, and before all other
tasks. The definition of this boot order is especially easy with the LSB
init script format, because using  Required-Start und X-Start-Before in my
init script are sufficient.

My question now is, how can I achieve almost the same boot order in Debian
8 with systemd? To summarize, the boot order should be like this:

1. Only very basic things, like starting the static network connection and
mounting file systems

2. My script, with no other systemd boot task running concurrently

3. Everything else

Regards
  Christoph


-- 
To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org 
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
https://lists.debian.org/44a83ee7b5362320eab735639d8edcaa.squir...@postweb.cs.tu-dortmund.de

Re: Insert a script into systemd boot order at a specific location

[Christoph Pleger]

Hello,

 According to
 http://www.freedesktop.org/software/systemd/man/systemd.unit.html you
 can specify After= and Before= in order to force your unit to start
 in a specified position. The documentation suggests that you typically
 list your After= units also in Requires= so that starting your unit
 causes the After= units to be started too (but, presumably, if they're
 optional, you wouldn't do that).

As a first attempt, I created a file /lib/systemd/system/script.service,
looking like this:

[Unit]
Description=Execute startup script
Before=multi-user.target
After=basic.target

[Service]
ExecStart=/usr/sbin/script
Type=oneshot

[Install]
RequiredBy=multi-user.target


Then, I called

systemctl enable script.service

Then, I rebooted, and my script was executed, but though I had defined it
to be executed before multi-user, for example gdm was started before my
script was finished.

So, I changed script.service:

[Unit]
Description=Execute startup script

[Service]
ExecStart=/usr/sbin/script
Type=oneshot

[Install]
RequiredBy=script.target

and created a new script.target:

[Unit]
Description=Installation and configuration
Requires=basic.target
Before=multi-user.target
After=basic.target

[Install]
RequiredBy=multi-user.target

Then, I called systemctl to set the correct symlinks for script.target and
script.service.

Then, I rebooted again and the result was the same as before.

Why does systemd not follow these instructions that my script has to be
executed before multi-user?

Regards
  Christoph


-- 
To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org 
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: 
https://lists.debian.org/2ec910d423ca825e84fe0810e2dbbda8.squir...@postweb.cs.tu-dortmund.de

Debmirror problem

[Christoph Pleger]

Hello,

I want to use debmirror ro create a Debian mirror of distributions
sarge,sarge-proposed-updates,etch,etch-proposed-updates and sid.

Though I installed the package debian-archive-keyring and imported the
keys using gpg --import, debmirror stops with an error message that
Release.gpg of distribution sarge cannot be verified because of an
unknown public key.

All of the other distributions mentioned above can be mirrored
successfully. Surprisingly, the shown primary key fingerprint is the
same for sarge as in the others distributions.

Any Ideas? Please send your replies not only to the list but also to my
private email address, because I am not a subscriber of the list.

Regards
  Christoph


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED] 
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

NFS-Root mit NFS Version 3

[Christoph Pleger]

Hallo,

Ich möchte eine NFSROOT-Umgebung von NFS Version 2 auf NFS Version 3
umrüsten. Leider hat das auf meinem Testrechner dazu geführt, dass
dieser nun immer hängenbleibt, sobald die ersten größeren Datei-Aktionen
stattfinden sollen. Ich hab's mit Kernel 2.6.14.7 und 2.6.16.32
ausprobiert.

Bei NFS Version 2 trat dieses Problem nicht auf.

Kennt noch jemand das Problem und weiß eine Lösung?

Viele Grüße
  Christoph Pleger

Festplattenprobleme nach Installation von hdparm

[Christoph Pleger]

Hallo,

ich weiß nicht genau, ob mein Problem hier vielleicht off-topic ist,
aber ich habe vor ca. 1 1/2 Wochen Debian etch auf einem Rechner
installiert und alles lief bis vorgestern problemlos. Dann habe ich
kaffeine installiert und der brachte auch gleich hdparm mit, das ich bis
dahin vergessen hatte zu installieren. In /etc/hdparm.conf habe ich dann
für meine Festplatten folgende Werte gesetzt: multsectio=16, dma=on,
io32support=3. Ich weiß nicht mehr, ob mein Problem direkt nach dem
nächsten Booten auftrat, aber nun kommen während des Bootvorgangs (schon
vor dem Aufruf von hdparm) solche Fehlermeldungen (nur aus meiner
Erinnerung, besonders der Status-Wert muss nicht stimmen):

hde: error waiting for DMA
hde: dma timeout retry: status=0x51 {DriveReady SeekComplete
DataRequest}
hde: dma timeout retry: status=0x51 {DriveStatusError BadCRC}
hde: dma timeout retry: status=0x51 {Busy}

Manchmal hängt sich der Rechner beim Bootvorgang auf, manchmal läuft er
aber auch ohne Fehler durch.

Wenn er mit Fehlermeldungen durchgebootet hat, sind anschließend für hde
DMA, MultiSektor-IO und 32-Bit IO alle deaktiviert. Ein erneuter Aufruf
von hdparm schaltet aber alles problemlos ein und die Platte läuft ohne
weitere Fehler durch. Die Probleme treten also nur beim Booten auf.

Meine Frage ist nun, ob es sicher ein Zufall ist, dass vielleicht kurz
nach der Installation von hdparm meine Platte den Geist aufgibt oder ob
es einen Zusammenhang zwischen der Installation von hdparm und dem
Plattenproblem geben könnte. Oder könnte hdparm sogar den Controller
zerstören?

Gruß
  Christoph

Re: Festplattenprobleme nach Installation von hdparm

[Christoph Pleger]

Hallo,

  In /etc/hdparm.conf habe ich dann
  für meine Festplatten folgende Werte gesetzt: multsectio=16, dma=on,
  io32support=3. Ich weiß nicht mehr, ob mein Problem direkt nach dem
  nächsten Booten auftrat, aber nun kommen während des Bootvorgangs
  (schon vor dem Aufruf von hdparm) solche Fehlermeldungen (nur aus
  meiner Erinnerung, besonders der Status-Wert muss nicht stimmen):
  
 Deine Festplatten können aber diese Werte vertragen?

Das DMA dürfte kein Problem sein, denn damit ist die Platte schon vorher
gelaufen (hatte vorher SuSE drauf). Laut hdparm behauptet zumindest die
Platte, dass sie MultiSectorIO mit Maximalwert 16 kann. Den 32-Bit
Support habe ich einfach mal eingeschaltet, bis jetzt hatte ich noch nie
Probleme damit, auch nicht bei Platten, die älter sind als die, die
jetzt Probleme macht.
 
 Was passiert denn wenn du die hdparm-Einstellungen deaktivierst und
 dann die Maschine neu startest?

Bleiben denn die gesetzten Werte bei einem Reboot (auch dann, wenn der
Rechner ausgeschaltet war) erhalten? 

Gruß
  Christoph

Re: Festplattenprobleme nach Installation von hdparm

[Christoph Pleger]

Hallo,

  Bleiben denn die gesetzten Werte bei einem Reboot (auch dann, wenn
  der Rechner ausgeschaltet war) erhalten? 
 
 Welche Werte? Die, die du per hdparm setzt? Ich hatte damit bislang
 wenig Probleme. Meiner Meinung nach werden die gespeichert.

Hm. Mag sein, dass die gespeichert werden, aber welchen Sinn soll es
dann haben, hdparm bei jedem Booten durch ein Init-Skript zu starten?

Ich bin wirklich höchst unentschlossen. Die Frage ist nämlich, ob ich
dringend eine neue Platte brauche, um noch rechtzeitig die Daten vor dem
Verlust zu retten, oder ob ich bei einer neuen Festplatte feststelle,
dass es gar nicht an der Platte lag und ich mir das Geld, den
Einbau/Ausbau von Platten und die Kopierarbeit hätte sparen können.

Gruß
  Christoph

Re: Festplattenprobleme nach Installation von hdparm

[Christoph Pleger]

Hallo,

  Ich bin wirklich höchst unentschlossen. Die Frage ist nämlich, ob
  ich dringend eine neue Platte brauche, um noch rechtzeitig die Daten
  vor dem Verlust zu retten, oder ob ich bei einer neuen Festplatte
  feststelle, dass es gar nicht an der Platte lag und ich mir das
  Geld, den Einbau/Ausbau von Platten und die Kopierarbeit hätte
  sparen können.
  
 
 Ein Backup schadet nie ;-)

Wichtige Sachen habe ich schon gesichert, so dass ich nach einer
Neuinstallation von Etch-DVD relativ schnell wieder an den jetzigen
Paketstatus und andere Einstellungen käme. Aber einfach kopieren wäre
leichter.

 Wenn die Fehler auch ohne deine Parameter noch auftreten würde ich dir
 empfehlen die Platte mit dem Hersteller-Tool (soweit vorhanden) zu
 überprüfen.

Ich habe gerade mal an einem anderen Rechner (der Problemrechner ist
weit von hier entfernt) einen Test gemacht und festgestellt, dass die
hdparm-Werte nach einem Reboot nicht erhalten bleiben.

Gruß
  Christoph 

Geschwindigkeit der Netzwerkkarte

[Christoph Pleger]

Hallo,

Ich habe eine neue Netzwerkkarte Intel EtherExpress Pro/1000 GT PCI
unter Kernel 2.4.33.3. Leider wird beim Booten des Rechners nur eine
Netzwerkgeschwindigkeit von 100 Mbit/s statt der vorgesehehen 1000
Mbit/s angezeigt. Geschwindigkeitsmessungen und die Lampen an der Karte
bestätigen dies. Der Cisco-Switch, mit dem die Netzwerkkarte verbunden
ist, kann aber 1 Gbit/s und zeigt auch an, dass die Netzwerkverbindung
mit 1 Gbit/s läuft.

Hat jemand sowas schon mal gehört? Woran kann es liegen, dass nur 100
Mbit/s statt 1 Gbit/s benutzt werden?

Gruß
  Christoph

Re: Fragen zu 3ware unter debian

[Christoph Pleger]

Hallo,

On Tue, 05 Sep 2006 17:49:39 +0200
Peter Jordan [EMAIL PROTECTED] wrote:


 Unit  UnitType  Status %Cmpl  Stripe  Size(GB)  Cache  AVerify
 IgnECC
 -
 - u0RAID-1OK -  -   298.09ON  
   -
 -
 
 Port   Status   Unit   SizeBlocksSerial
 ---
 p0 OK   u0 298.09 GB   625142448
 WD-WCAPD2823665
 
 p1 OK   u0 298.09 GB   625142448
 WD-WCAPD1209902
 
 
 
 Damit dürfte das RAID doch wieder laufen, richtig?

Ja, wenn das RAID nicht wieder konsistent wäre, wäre sowohl beim RAID
(also u0) als auch bei der nicht aktuellen Platte (p0 oder p1)
DEGRADED als Status angegeben.

Gruß
  Christoph

Re: initgroups und NIS

[Christoph Pleger]

Hallo,

On Wed, 06 Sep 2006 00:22:34 +0200
Bernd Schubert [EMAIL PROTECTED] wrote:

 mich wundert ein wenig, dass wir bisher noch nicht das Problem hatten
 und bei uns sind es über 50 clients. Allerdings sind unsere
 Gruppeneinträge auch nur minimal. 

Bei uns sind es ca. 70 Gruppen. Und wenn viele Rechner gleichzeitig
group.byname vom NIS-Server holen, macht das schon was aus.

 Aus der manpage von initgroups() ist mir nicht ganz klar, ob die
 Funktion nur für die /etc/group oder auch für alles, was in der
 nsswitch.conf für für die Gruppen drin steht aufgerufen wird.

Wohl für alles. In neueren glibc-Versionen unterstützt der nscd ja auch
initgroups().

 Im letzteren Fall sollte das
 auch mit dem ldap nachvollziehbar sein. Wie genau bist Du denn darauf
 gekommen, dass es am initgroups() Aufruf liegt?

Ich habe in die Sourcen von cron geschaut und der Aufruf von
initgroups() war die einzige Stelle, an der ich mir die Abfrage von
group.byname erklären konnte. Und nachdem ich den Aufruf entfernt hatte
(so dass der jeweilige Cron-User nur Mitglied seiner primären Gruppe
war), fanden die Abfragen von group.byname nicht mehr statt.

Gruß
  Christoph

Re: initgroups und NIS

[Christoph Pleger]

Hallo,

On Mon, 4 Sep 2006 18:24:12 +0200
Martin Reising [EMAIL PROTECTED] wrote:

 On Mon, Sep 04, 2006 at 01:25:31PM +0200, Christoph Pleger wrote:
  Allerdings frage ich mich, warum die Daten nicht aus dem nscd-Cache
  geholt werden. Hat jemand eine Ahnung?
 
 Entweder ist positive-time-to-live und/oder suggested-size zu klein
 gewählt.
 
 man nscd.conf

 suggested-size service prime-number
 
   This option sets the size of the hash that is used to store the
   cache entries. As this is a hash,it should be reasonably larger than
   the maximum number of entries that is expected to be cached
   simultaneously and should be a prime number. It defaults to a size
   of 211 entries.
 
 Wenn es lokal und per NIS mehr als 211 EintrÄge in passwd oder group
 gibt hilft ein nicht angepaßter nscd nur begrenzt.

Nee, daran liegt's leider nicht. Ich habe noch ein wenig weiter
geforscht und dabei festgestellt, dass im nscd von glibc 2.3.2 (die von
sarge) die Funktion initgroups() schlicht und einfach nicht
implementiert ist. Die nächste glibc-Version, die nscd-initgroups
unterstützt und die ich noch irgendwo als Debian-Sourcen gefunden habe,
ist Version 2.3.5. Die lässt sich aber aufgrund von Build-Dependencies
(von denen wahrscheinlich wieder niemand so genau weiß, ob sie wirklich
nötig sind) leider nicht für sarge übersetzen. Da kann man wohl nichts
machen. :-(

Gruß
  Christoph

Re: Fragen zu 3ware unter debian

[Christoph Pleger]

Hallo Peter,

On Tue, 05 Sep 2006 09:32:42 +0200
Peter Jordan [EMAIL PROTECTED] wrote:

 ich habe einen Server mit folgendem Raid-Controller : 3Ware Escalade
 8006-02LP (2 SATA Kanäle).

Habe mir letztens die gleiche Karte gekauft.

 
 Kann ich jetzt davon ausgehen, dass die beiden Platten wieder synchron
 laufen?

Wahrscheinlich ja. Du kannst Dir aber den Status mit Hilfe des bei 3ware
downloadbaren Software CLI anschauen. Die kannst Du einfach unter
http://www.3ware.com/support/download.asp herunterladen. 
 
 Gibt es irgendeine Möglichkeit den Status des Raids überwachen zu
 lassen, so dass root eine Mail bekommt, wenn eine Platte ausfällt?

Gute Frage... Ich hoffe, dass der Treiber irgendeine Meldung in die
Logfiles schreibt, die das Wort failed enthält und logcheck mir dann
eine Mail zuschickt.

Gruß
  Christoph

initgroups und NIS

[Christoph Pleger]

Hallo,

Jetzt habe ich wohl die Ursache für mein NIS-Problem (siehe ypbind und
NIS): Der Cron ruft bei jedem Ausführen eines Jobs die Funktion
initgroups() aus, die jedes Mal den kompletten Datensatz group.byname
vom NIS-Server holt. Wenn das 37 Rechner gleichzeitig machen, geht die
Auslastung des NIS-Servers natürlich in die Höhe.

Allerdings frage ich mich, warum die Daten nicht aus dem nscd-Cache
geholt werden. Hat jemand eine Ahnung?

Gruß
  Christoph  

Re: ypbind auf NIS-Client

[Christoph Pleger]

Hallo,

 Die fünf Minuten sind mir neu, sicher, dass es ypbind ist?

Nein, es ist nicht ypbind; es ist cron oder die damit zusammenhängende
Authentifizierung. Hätte ich mir auch denken können, wenn die Anfragen -
wie ich in meiner ursprünglichen Mail geschrieben habe - alle 0-59/5
nach cron-Notation stattfinden. Allerdings hatte ich vor der
Ursprungs-Mail nur nach cron-jobs gesucht, die direkt irgendwelche
NIS-Anfragen stellen, das heißt, als Teil des auszuführenden Jobs.
Offenbar finden die Anfragen an den NIS-Server aber bei jedem Cron-Job
statt, sogar dann, wenn der Job unter dem lokalen Root-Account läuft.
Weiß
jemand, wozu das denn gut sein soll? Zumal laut Aussage des
NIS-Server-Administrators bei diesen Anfragen eine erhebliche Datenmenge
über das Netzwerk geschickt wird?

Gruß
  Christoph

Re: ypbind auf NIS-Client

[Christoph Pleger]

Hallo,

On Thu, 31 Aug 2006 14:44:10 +0200
Bernd Schubert [EMAIL PROTECTED] wrote:

 Christoph Pleger wrote:

 Was steht denn in der nsswitch.conf?

Ich habe die Datei angehängt.

Gruß
  Christoph


# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc Name Service Switch' for information about this file.

passwd: compat
group:  files nis 
shadow: compat

hosts:  files nis dns
networks:   files

protocols:  db files
services:   db files
ethers: db files
rpc:db files

netgroup:   nis

Re: ypbind auf NIS-Client

[Christoph Pleger]

Hallo,

On Thu, 31 Aug 2006 16:02:31 +0200
Martin Reising [EMAIL PROTECTED] wrote:


 Entweder nscd verwenden, der ist genau für solche Szenarien(NIS,LDAP)
 entworfen worden, 

nscd läuft schon.

Christoph

Re: ypbind auf NIS-Client

[Christoph Pleger]

Hallo,

On Thu, 31 Aug 2006 14:44:10 +0200
Bernd Schubert [EMAIL PROTECTED] wrote:

 Was steht denn in der nsswitch.conf?

Ich habe jetzt mal in nsswitch.conf das compat bei passwd und shadow
durch files ersetzt. Trotzdem finden noch bei jedem Ausführen eines
Cron-Jobs Anfragen an den NIS-Server statt. Merkwürdigerweise kann ich
mich auch noch unter meinem Nicht-Root-Account per ssh mit Benutzernamen
und Kennwort anmelden, obwohl in der sshd_config PasswordAuthentication
no gesetzt ist. Was ist denn da los?

Christoph

Re: ypbind auf NIS-Client

[Christoph Pleger]

Hallo,

On Thu, 31 Aug 2006 17:31:22 +0200
Bernd Schubert [EMAIL PROTECTED] wrote:

 Christoph Pleger wrote:

  Ich habe die Datei angehängt.
 
 Versuch doch mal das etwas zu ändern, immer in files nis. In der
 passwd, group, shadow solltest Du dann auch die + Zeilen
 herausnehmen.

Wie Du inzwischen vielleicht gelesen hast, habe ich schon bei passwd und
shadow sogar nur files eingetragen, trotzdem wurde das Problem nicht
gelöst. Die +-Zeilen aus /etc/passwd und /etc/shadow habe ich auch
schon entfernt.

Aber selbst wenn das beschriebene Problem durch files nis gelöst
würde, könnte ich damit nichts anfangen, weil wir keine einfachen
+-Zeilen in /etc/passwd und /etc/shadow stehen haben, sondern - um die
Formulierung aus man nsswitch.conf zu verwenden - die volle
+-Semantik benötigen.

Christoph

Re: ypbind auf NIS-Client

[Christoph Pleger]

Hallo,

On Thu, 31 Aug 2006 18:39:35 +0200
Bernd Schubert [EMAIL PROTECTED] wrote:

 Christoph Pleger wrote:

  Ich habe jetzt mal in nsswitch.conf das compat bei passwd und
  shadow durch files ersetzt. Trotzdem finden noch bei jedem
  Ausführen eines Cron-Jobs Anfragen an den NIS-Server statt.
  Merkwürdigerweise kann ich mich auch noch unter meinem
  Nicht-Root-Account per ssh mit Benutzernamen und Kennwort anmelden,
  obwohl in der sshd_config PasswordAuthentication no gesetzt ist.
  Was ist denn da los?
 
 Kurz zusammengefasst, zur Zeit ist das nis im Prinzip für passwd und
 shadow deaktiviert, weil Du es aus der nsswitch.conf ausgetragen hast
 und auch die + Zeilen in den passwd, group und shadow Dateien
 entfernt hast? Trotzdem funktioniert aber noch ein login mit einem NIS
 Benutzernamen? Das liegt vermutlich am nscd, der hat jetzt einige
 Einträge im cache. Stoppe den doch mal und führe dann ein getent
 passwd aus.

Oops, böser Fehler von mir, Entschuldigung. Das kommt davon, wenn man
auf dem Desktop zuviele Fenster geöffnet hat und der Tag schon etwas
weiter fortgeschritten ist. Ich habe nämlich aus Versehen nsswitch.conf,
passwd und shadow auf dem falschen Rechner (dessen Name sehr dem meines
Testrechners ähnelt) editiert, aber die Tests bzgl. cron und ssh
weiterhin auf dem vorgesehenen Testrechner durchgeführt. :-((

Nun habe ich die Dateien auf dem richtigen Rechner bearbeitet und ssh
zeigt jetzt das erwartete Verhalten. Cron stellt aber weiterhin die
Anfragen an den NIS-Server.

Gruß
  Christoph

ypbind auf NIS-Client

[Christoph Pleger]

Hallo,

Wir haben hier mehrere sarge-Rechner, die als NIS-Clients eines unter
Solaris betriebenen Servers laufen. Wir haben nun festgestellt, dass die
Clients regelmäßig (alle fünf Minuten, in cron-Notation genau alle
0-59/5) Anfragen an den Server stellen, die diesen ziemlich stark
auslasten. Da ich - wenn ich nichts übersehen habe - alle anderen
Möglichkeiten ausgeschlossen habe, bleibt als Verursacher dieser
Anfragen nur noch ypbind übrig. 

Weiß jemand, welche Anfragen ypbind regelmäßig im Abstand von fünf
Minuten stellt und wie man die Anzahl reduzieren kann?

Gruß
  Christoph

CPU-Auslastung bei Xeon-Rechner

[Christoph Pleger]

Hallo,

Mit welchem Tool kann man sich unter Debian sarge die Auslastung der
einzelnen CPUs auf einem Xeon-Doppelprozessorrechner mit Hyper-Threading
anschauen?

Gruß
  Christoph

Hotplug-Problem

[Christoph Pleger]

Hallo,

Ich habe einen DVB-T USB-Stick gekauft, Typ Nova-T mit USB 2.0. Ich weiß
nicht genau, ob dieser Stick von Kernel 2.6 überhaupt unterstützt wird,
weil ich bei der Kernelkonfiguration zwar einen Nova-T USB-Stick
auswählen kann, die im Kernel angegebene Device-ID aber nicht mit der ID
übereinstimmt, die lsusb ausgibt. Daher habe ich gemogelt und die
Device-IDs im Kernel-Source so angepasst, dass sie mit den von lsusb
gelieferten übereinstimmen, mit der geringen Hoffnung, dass trotz
unterschiedlicher IDs die Hardware ähnlich genug ist, um mit dem Treiber
zu funktionieren.

Die Module werden nun auch korrekt geladen, sobald ich den Stick
einstecke. Aber das Laden der Firmware klappt nicht. Allerdings liegt
das nicht daran, dass die Firmware nicht die richtige für den Stick ist
und die Firmware-Datei befindet sich auch an der richtigen Stelle.
Vielmehr wird gar nicht erst versucht, die Firmware zu laden, d.h.
/etc/hotplug/firmware.agent wird nicht aufgerufen. 

Woran kann das liegen?

Christoph  

Re: zahlreiche SSH-login-Versuche unterbinden

[Christoph Pleger]

Hallo,

On Thu, 18 May 2006 01:19:22 +0200
Hans-Georg Bork [EMAIL PROTECTED] wrote:

  [ ] Du suchst fail2ban:
  http://fail2ban.sourceforge.net/
 
 die testing/unstable version laesst sich auch ohne weiteres auf einem
 reinen sarge installieren ...

Ich habe das Paket mal unter sarge ausprobiert. Tatsächlich ließ sich
die Version aus unstable problemlos auf einem sarge-Rechner
installieren. Allerdings funktioniert das Sperren einer IP nur dann,
wenn versucht wird, sich mit nicht existierenden Accounts anzumelden,
bei existierenden Accounts, für die ein falsches Passwort angegeben
wird, passiert nichts.

Ich vermute, dass mit dem regulären Ausdruck unten in /etc/fail2ban.conf
was nicht stimmt, so dass der Teil error: PAM: aus der auth.log-Zeile
nicht richtig verarbeitet wird.

Beispielzeile aus /var/log/auth.log:

May 22 12:56:16 pizza sshd[7672]: error: PAM: Authentication failure for
root from pommes

Ich habe keinen unstable-Rechner zum Testen; kann es sein, dass bei
unstable das error: PAM: nicht steht?

Viele Grüße
  Christoph

Automatisches Entfernen von Modulen

[Christoph Pleger]

Hallo,

Bis vor einigen Minuten habe ich angenommen, dass Kernel-Module, die
automatisch oder per modprobe -k geladen wurden, nach zweimaligem
Aufruf von rmmod -a wieder entfernt werden, falls die Module unbenutzt
sind. Aber gerade habe ich festgestellt, dass das weder bei kernel
2.4.30 noch bei Kernel 2.6.11.12 funktioniert.

Hat jemand Erfahrungen mit dem automatischen Entfernen von Modulen?

Gruß
  Christoph

Re: Swap: Hilfe!!!

[Christoph Pleger]

Hallo,

On Mon, 29 Aug 2005 18:31:14 +0200
Richard Mittendorfer [EMAIL PROTECTED] wrote:

  Der Partitionstyp ist bereits richtig gesetzt.
 
 Das ist *sehr* interessant. Das Mounten der Swaps geschieht
 in /etc/init.d/mountall.sh mit eine swapon -a. D.h., wenn die fstab ok
 ist (evtl. neu schreiben), ...hmm. Probier mal, ob ein haendisches 
 Unmounten vor dem Reboot eine Besserung, bzw. das kaputte swapon -a
 eine Fehlermeldung bringt.

Die Fehlermeldung von swapon ist ja eben, dass /dev/sdb1, /dev/sdc1 und
/dev/sdd1 Invalid arguments seien.

Das swapon -a funktioniert ja eigentlich auch (würde es doch nicht,
wenn die fstab nicht korrekt wäre, oder irre ich mich da), aber eben
nur, wenn alle Swap-Partitionen anhand ihrer Signatur als Swap-Bereich
gekennzeichnet sind. Und genau diese Swap-Signatur geht anscheinend bei
einem Reboot verloren, so dass mkswap noch einmal aufgerufen werden
muss.  

Gruß
  Christoph

Swap: Hilfe!!!

[Christoph Pleger]

Hallo,

Wie haben hier einen Rechner mit sehr viel RAM-Speicher und vier
Festplatten. Auf jeder der Platten befindet sich eine Swap-Partition mit
2048 MB Größe.

Merkwürdigerweiwe hat der Rechner nach jedem Reboot alle
Swap-Partitionen mit Ausnahme derjenigen auf der ersten Platte
vergessen. Das heißt, ich muss nach jedem Reboot folgende Befehle
ausführen, um den gesamten Swap-Bereich nutzen zu können:

swapoff -a
mkswap /dev/sdb1
mkswap /dev/sdc1
mkswap /dev/sdd1
swapon -a

Was passiert denn da beim Reboot mit meinen Swap-Partitionen?

Gruß
  Christoph

Re: Swap: Hilfe!!!

[Christoph Pleger]

Hallo,

On Mon, 29 Aug 2005 13:38:18 +0200
Christian Frommeyer [EMAIL PROTECTED] wrote:

  Merkwürdigerweiwe hat der Rechner nach jedem Reboot alle
  Swap-Partitionen mit Ausnahme derjenigen auf der ersten Platte
 
 Sind die Swap-Partitionen in der /etc/fstab eingetragen?

Ja. Übrigens läuft ein anderer Rechner von uns problemlos mit drei
Swap-Partitionen, die allerdings alle auf derselben Festplatte liegen.

Christoph

Re: Swap: Hilfe!!!

[Christoph Pleger]

Hallo,

On Mon, 29 Aug 2005 13:48:37 +0200
Richard Mittendorfer [EMAIL PROTECTED] wrote:


  Merkwürdigerweiwe hat der Rechner nach jedem Reboot alle
  Swap-Partitionen mit Ausnahme derjenigen auf der ersten Platte
  vergessen. Das heißt, ich muss nach jedem Reboot folgende Befehle
  ausführen, um den gesamten Swap-Bereich nutzen zu können:
  
  swapoff -a
  mkswap /dev/sdb1
  mkswap /dev/sdc1
  mkswap /dev/sdd1
 
 mkswap -v1 ? (mit 2.6)

Das müsste von mkswap per Default gemacht werden (Kernel = 2.6.11.12).

 
  swapon -a
 
 alleine reicht nicht?

Nein, ohne vorheriges mkswap behauptet swapon, die angegebenen
Partitionen seien Invalid arguments.


  Was passiert denn da beim Reboot mit meinen Swap-Partitionen?
 
 Wie sieht denn deine /etc/fstab aus?
 /dev/sda1  none  swap sw,pri=10   0
 /dev/sdb1  none  swap sw,pri=10   0
 /dev/sdc1  none  swap sw,pri=10   0

Ich habe als Mount-Option einfach defaults gesetzt, glaube aber nicht,
dass das eine Rolle spielt. Auf einem anderen Rechner mit drei
Swap-Partitionen auf derselben Festplatte funktioniert es so.  
 
 
 Vielleicht hilft's den FS-Type auf 82 AKA swap zu setzen.

Der Partitionstyp ist bereits richtig gesetzt.

Christoph

Re: Swap: Hilfe!!!

[Christoph Pleger]

Hallo,

On Mon, 29 Aug 2005 15:58:53 +0200
Florian Schnabel [EMAIL PROTECTED] wrote:

 also so langsam werde ich neugierig ..
 ich habe mich ja schon über die config mehrere swap auf verscheidenen 
 platten etwas gewundert, aber mehrere swap auf der selben platte ??
 
 wozu soll das denn gut sein ?

Es waren 8 GB Swap erwünscht, aber ein Swap-Bereich kann sinnvoll max. 2
GB groß sein. Also braucht man halt mehrere.

Christoph

Re: 64-Bit Programm kompilieren

[Christoph Pleger]

Hallo,

On Mon, 1 Aug 2005 18:00:45 +0200
Evgeni Golov [EMAIL PROTECTED] wrote:

  Das führt zu der Fehlermeldung:
  
  /usr/bin/ld: cannot find -lgcc_s_64
  collect2: ld returned 1 exit status
 
 $ apt-cache search gcc 64
 lib64gcc1 - GCC support library (64bit)

Das war genau der richtige Tipp - jetzt geht's.

Gruß
  Christoph

64-Bit Programm kompilieren

[Christoph Pleger]

Hallo,

Ich habe hier einen Doppelprozessor-Opteron-Rechner mit 64-Bit Kernel,
aber die restliche Software (mit Ausnahme von iptables) ist ein 32-Bit
i386 sarge.

Durch Ausführen einer einfachen Testanwendung habe ich festgestellt,
dass trotz des 64-Bit Kernels eine Anwendung nur ca. 4 GB Speicher
allokieren kann. Ich hoffte, das Problem dadurch lösen zu können, dass
ich beim Kompilieren 64-Bit Code erstellen lasse, aber leider klappt das
Compilieren nicht.

Meine Frage lautet also: Wie kann ich auf einem Rechner mit 64-Bit
Kernel eine 64-Bit-Anwendung erzeugen, wenn das Debian-System nur aus
32-Bit Paketen besteht?

Die Pakete amd64-libs und amd64-libs-dev sind installiert.

Gruß
  Christoph

Re: 64-Bit Programm kompilieren

[Christoph Pleger]

Hallo,

On Mon, 01 Aug 2005 17:35:11 +0200
Sven Hartge [EMAIL PROTECTED] wrote:

 Christoph Pleger [EMAIL PROTECTED] wrote:
 
  Meine Frage lautet also: Wie kann ich auf einem Rechner mit 64-Bit
  Kernel eine 64-Bit-Anwendung erzeugen, wenn das Debian-System nur
  aus 32-Bit Paketen besteht?
 
 man gcc - -m 64
 
 (Ohne Garantie auf irgendetwas. Michelle wird sicherlich etwas dazu
 beitragen.)

Das führt zu der Fehlermeldung:

/usr/bin/ld: cannot find -lgcc_s_64
collect2: ld returned 1 exit status

Gruß
  Christoph

iptables mit AMD64-Kernel

[Christoph Pleger]

Hallo,

Ich habe hier einen Rechner mit einem 64-bittigen Opteron-Kernel. Alle
Software auf dem Rechner ist aber 32-Bit. 

Unter Verwendung der 32-Bit Emulation läuft die Software - soweit ich es
bisher feststellen konnte - fehlerfrei, mit einer Ausnahme: iptables
beschwert sich über falsche Versionen der Netfilter-Module. 

Ich habe nun versucht, iptables neu zu übersetzen und dabei eine 64-Bit
Version zu erzeugen. Aber leider bricht die Compilierung mit
Fehlermeldungen über falsche Register rax und rdx ab.

Kann mir da jemand weiterhelfen?

Gruß
  Christoph

Re: NFSv4,Kerberos, PAM und SSH

[Christoph Pleger]

Hallo,

On Sun, 10 Jul 2005 13:20:00 +0200 (CEST)
Jens Ruehmkorf [EMAIL PROTECTED] wrote:

 habe doch die Haelfte vergessen. Aus der sshd_config (5), evtl. musst
 Du auch die Option UsePAM anschalten. 
 
 UsePAM:
 Enables PAM authentication (via challenge-response) and
 session set up.  If you enable this, you should probably disable
 PasswordAuthentication.  If you enable then you will not be
 able to run sshd as a non-root user.  The default is ``no''.
 
 UsePrivilegeSeparation:
 Specifies whether sshd separates privileges by creating an
 unprivileged child process to deal with incoming network traffic. 
 After successful authentication, another process will be created that
 has the privilege of the authenticated user.  The goal of privilege
 separation is to prevent privilege escalation by containing any
 corruption within the unprivileged processes.  The default is ``yes''.

UsePAM war schon eingeschaltet. Aber der Hinweis auf
UsePrivilegeSeparation war gut, denn ich habe das jetzt mal auf no
gesetzt und siehe da, ich habe ein Kerberos Ticket bekommen.

Es ist nur schade, dass durch UsePrivilegeSeparation no die Sicherheit
reduziert wird.

Christoph


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: NFSv4,Kerberos, PAM und SSH

[Christoph Pleger]

Hallo,

  Aber er braucht doch kein Ticket? Er hat doch kein AFS.
 
 So wie ich NFS _v4_ verstehe, braucht er eins.

Nun ja, NFS 4 braucht nicht zwingend Kerberos, man kann auch AUTH_SYS
benutzen. Aber Kerberos ist der Grund, warum ich NFSv4 einsetzen möchte
(obwohl Kerberos-Authentifizierung auch bei älteren NFS-Versionen
eingesetzt werden kann).

Christoph

Re: NFSv4,Kerberos, PAM und SSH

[Christoph Pleger]

Hallo,

  Ich habe eine kleine Testumgebung für NFSv4 in Kombination mit
  Kerberos-Auhentifizierung aufgebaut. Im Prinzip funktioniert. Da ich
  den Benutzern die Benutzung von kinit direkt nach dem Einloggen
  ersparen will, benutze ich das PAM-Modul pam_krb5.so in
  /etc/pam.d/common-auth. Leider kann sich aber ein Benutzer nur bei
  einem lokalen Login auf einem Rechner per Kerberos-Passwort
  erfolgreich anmelden und auch sofort auf sein Home-Verzeichnis
  zugreifen. Bei einem Remote-Login per ssh funktioniert zwar das
  Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis
  (Permission denied).
 
 ehm, so was wollte ich auch mal bauen. An welcher Doku hast du dich 
 orientiert? Das was ich habe ist zur Zeit irgendwie widersprüchlich.

Ich habe mich an http://www.citi.umich.edu/projects/nfsv4/linux/
orientiert.

Zuerst habe ich den Kernel 2.6.12 mit den bei CITI (siehe Link oben) zur
Verfügung stehenden Patches versorgt, kompiliert und auf Server und
Client installiert. Dann habe ich auf beiden Rechnern folgende Zeile zu
/etc/apt/sources.list hinzugefügt, wie unten auf
http://www.citi.umich.edu/projects/nfsv4/linux/user-build.html
beschrieben:

deb http://www.citi.umich.edu/projects/nfsv4/debian unstable main


Dann apt-get update; apt-get dist-upgrade.

Dann habe ich - wie auf
http://www.citi.umich.edu/projects/nfsv4/linux/using-nfsv4.html
beschrieben - die notwendigen Verzeichnisse (v4recovery,rpc_pipefs)
angelegt. Die Einträge in der fstab sind gar nicht nötig, die Mounts
werden schon durch die NFS-Startskripte vorgenommen. Dann habe ich die
exports-Datei angelegt.

Dann habe ich auf dem NFS-Server die Pakete krb5-admin-server, krb5-kdc
und krb5-config installiert und konfiguriert, auf dem Client die Pakete
krb5-config und krb5-user. Dann habe ich NFS-Server und NFS-Client zu
Kerberos hinzugefügt, wie auf
http://www.citi.umich.edu/projects/nfsv4/linux/krb5-setup.html
beschrieben. Danach habe ich noch einen Benutzer zu Kerberos
hinzugefügt, auch mit addprinc. 

Danach konnte ich dann das Verzeichnis mounten und als Benutzer nach
einem kinit [EMAIL PROTECTED] auch darauf zugreifen.

Ich hoffe, dass Dir das erstmal hilft. Falls es Probleme gibt, kannst Du
mich gerne fragen.

Christoph

Re: NFSv4,Kerberos, PAM und SSH

[Christoph Pleger]

Hallo,

 Ah gut. Ich hatte bis jetzt nur die beiden NFSv4-Artikel aus der iX
 gelesen (Ausgaben 05/2005 und 06/2005). 
 
 Mich wuerde vor allem interessieren was Du von NFSv4 in ein paar
 Wochen noch haeltst.

Dazu werde ich nichts sagen können, da ich es - sobald alles erstmal im
Kleinen wie gewünscht läuft - erst einmal nicht mehr benutzen werde. Ich
wollte mich nur ein wenig einarbeiten, damit ich nicht für den
wahrscheinlichen Fall, dass wir das mittelfristig einsetzen wollen,
völlig unvorbereitet bin.

 Vom Prinzip her wuerde ich gerne einige Daten-Partitionen
 bei uns durch NFSv4 ersetzen. Ist es schon reif fuer den
 Produktionsbetrieb?

Nach dem Lesen der bisherigen Dokumentation und der Aussagen der
Projektentwickler bin ich zu dem Ergebnis gekommen, dass es momentan
noch nicht reif für den Produktionsbetrieb ist.
 
Gruß
  Christoph

NFSv4,Kerberos, PAM und SSH

[Christoph Pleger]

Hallo,

Ich habe eine kleine Testumgebung für NFSv4 in Kombination mit
Kerberos-Auhentifizierung aufgebaut. Im Prinzip funktioniert. Da ich den
Benutzern die Benutzung von kinit direkt nach dem Einloggen ersparen
will, benutze ich das PAM-Modul pam_krb5.so in /etc/pam.d/common-auth.
Leider kann sich aber ein Benutzer nur bei einem lokalen Login auf einem
Rechner per Kerberos-Passwort erfolgreich anmelden und auch sofort auf
sein Home-Verzeichnis zugreifen. Bei einem Remote-Login per ssh
funktioniert zwar das Einloggen, aber nicht der Zugriff auf das
Home-Verzeichnis (Permission denied).

Kann mir jemand weiterhelfen?

Christoph  

Re: NFSv4,Kerberos, PAM und SSH

[Christoph Pleger]

Hallo,

On Thu, 7 Jul 2005 18:01:10 +0200 (CEST)
Jens Ruehmkorf [EMAIL PROTECTED] wrote:

  Bei einem Remote-Login per ssh funktioniert zwar das
  Einloggen, aber nicht der Zugriff auf das Home-Verzeichnis
  (Permission denied).
 
 Benutzt Du das Pakete ssh-krb5?

Nein, aber ich glaube, dass das auch nicht nötig ist, weil ich ja
Kerberos für NFS benutzen will und nicht für SSH.

Christoph

Debian AMD64

[Christoph Pleger]

Hallo,

Auf amd64.debian.net scheint es zwei unterschiedliche Archive zu geben:
debian-amd64 und debian-pure64.

Kennt jemand den Unterschied / die Bedeutung dieser beiden Verzeichnisse
und weiß, welches davon bevorzugt werden sollte?

Gruß
  Christoph

Welches Problem bei udev mit Kernel 2.6.11.x?

[Christoph Pleger]

Hallo,

Mit Interesse habe ich den Thread über die Verwendbarkeit von Kerneln 
2.6.11.x unter sarge gelesen. Mehrere Male wurden dort auch Probleme mit
udev angesprochen, aber leider konnte ich nirgendwo konkrete Hinweise
darauf finden, um welche Probleme es sich handelt.

Was genau funktioniert denn mit Kernel 2.6.12 und sarge-udev nicht?

MfG
  Christoph Pleger 

NFS Version 4

[Christoph Pleger]

Hallo,

Funktioniert NFS Version 4 (Server und Client) unter Debian sarge und
falls ja, gibt es eine Anleitung speziell für sarge?

Christoph

aptitude und dpkg

[Christoph Pleger]

Hallo,

Ich habe auf einem Rechner, auf dem nur sehr wenige Pakete installiert
waren, mit Hilfe von dpkg --set-selections eine ziemlich umfangreiche
Paketauswahl gesetzt. Durch ein apt-get dselect-upgrade wurden die
gewünschten Pakete dann auch alle installiert.

Danach habe ich dieselbe Pakteliste auf einem anderen Rechner gesetzt,
habe danach allerdings nicht per apt-get dselect-upgrade, sondern
aptitude install ausgeführt. Leider wurde dann aber kein einziges
meiner gewünschten Pakete installiert.

Woran kann das liegen? Mit nur einem durch dpkg --set-selections
gesetzten Paket hatte das funktioniert. 

Ich möchte dpkg und aptitude zusammen verwenden, weil ich einerseits
sozusagen atomar eine Paketauswahl ohne Benutzerinteraktion (in einem
Skript) setzen können möchte, andererseits aber die Fähigkeit von
aptitude nutzen möchte, zwischen explizit und implizit installierten
Programmen zu unterscheiden. Gibt es da noch eine Möglichkeit ohne
aptitude?

Gruß
  Christoph Pleger

Re: Udev-Probleme

[Christoph Pleger]

Hallo,

On Wed, 4 May 2005 20:22:54 +0200
gerhard [EMAIL PROTECTED] wrote:


  udevtest `udevinfo -q path -n ttyS0`:

 nimm bitte auch noch die Zollteichen () weg:

Das hatte ich natürlich gemacht. Die Anführungszeichen habe ich nur in
der Mail benutzt, um anzudeuten, dass das dazwichen der String war, den
ich eingetippt habe.

Christoph

Re: Udev-Probleme

[Christoph Pleger]

Hallo,

On Wed, 4 May 2005 16:07:50 +0200
[EMAIL PROTECTED] (Walter Saner) wrote:

 Christoph Pleger schrieb:
 
  udevinfo -q path -n ttyS0:
  
  device not found in database
 
 Konfiguration und/oder Datenbank kaputt.

Es handelt sich aber um einen frisch installierten Rechner mit frisch
installiertem udev. Die Konfiguration/Datenbank müsste also genau so
sein, wie sie von Debian kommt. Wie wird denn die Datenbank erzeugt?

Christoph 

msttcorefonts

[Christoph Pleger]

Hallo,

Weiß jemand, was mit dem Server belnet.dl.sourceforge.net los ist? Bei
mir kommt immer Connection Tomeout, so dass das Paket msttcorefonts
nicht konfiguriert werden kann.

Gruß
  Christoph

Re: Udev-Probleme

[Christoph Pleger]

Hallo,

On Tue, 3 May 2005 19:46:01 +0200
[EMAIL PROTECTED] (Walter Saner) wrote:

 Christoph Pleger schrieb:
 
  Ich habe zwei Probleme mit udev:
 
 Welches System, welcher Kernel?

Debian Sarge (Stand von gestern), Kernel 2.6.11.8, udev 056-2.

 
  1. Wenn ich als udev_root /dev benutze, werden die Devices für die
  seriellen Schnittstellen (ttyS0 usw.) nicht von udev angelegt,
  obwohl die entsprechenden Module für die serielle Schnittstelle
  geladen sind.
 
 Was sagt udevtest `udevinfo -q path -n ttyS0` ?

Die Ausgabe lautet:

version 056
looking at 'udevinfo -q path -n ttyS0'
sysfs_open_class_device_path failed

Gruß
  Christoph

Re: Udev-Probleme

[Christoph Pleger]

Hallo,

On Wed, 4 May 2005 09:57:19 +0200
[EMAIL PROTECTED] (Walter Saner) wrote:

 Christoph Pleger schrieb:
 
  On Tue, 3 May 2005 19:46:01 +0200
  [EMAIL PROTECTED] (Walter Saner) wrote:
  
   Was sagt udevtest `udevinfo -q path -n ttyS0` ?
  
  looking at 'udevinfo -q path -n ttyS0'
 
 Benutze backticks (`), nicht single quotes (')!
 udevtest soll den Pfad, den udevinfo ausgibt, prüfen.

udevtest `udevinfo -q path -n ttyS0`:

version 056
Usage: udevtest devpath [subsystem]



udevinfo -q path -n ttyS0:

device not found in database

Gruß
  Christoph

Udev-Probleme

[Christoph Pleger]

Hallo,

Ich habe zwei Probleme mit udev:

1. Wenn ich als udev_root /dev benutze, werden die Devices für die
seriellen Schnittstellen (ttyS0 usw.) nicht von udev angelegt, obwohl
die entsprechenden Module für die serielle Schnittstelle geladen sind.
Das führte bei mir dazu, dass ein Programm zur automatischen Erkennung
von angeschlossenen Mäusen eine serielle Maus nicht erkennen konnte.

2. Zur Lösung des ersten Problems habe ich udev mit udev_root=/udev
gestartet. Aber leider werden nun beim Einstecken eines USB-Sticks die
entsprechenden Devices /udev/ub* nicht angelegt. Außerdem weiß ich auch
nicht, ob hal noch richtig laüft, wenn udev_root != /dev ist.

Kann mir jemand bei der Lösung dieser Probleme weiterhelfen?

Gruß
  Christoph

Automatische Mauserkennung

[Christoph Pleger]

Hallo,

Kennt jemand ein Programm, das unter Kernel 2.6 automatisch
angeschlossenen Mäuse erkennt? Das Programm mdetect funktioniert nämlich
bei Kernel 2.6 anscheinend nicht: Eine PS/2 Maus wird auch dann erkannt,
wenn gar keine angeschlossen ist und serielle Mäuse werden gar nicht
erkannt.

Gruß
  Christoph

Cron will manchmal nicht

[Christoph Pleger]

Hallo,

Einer unserer User hat auf einem woody-Rechner eine umfangreichere
Crontab angelegt. Die Jobs laufen manchmal zu den vorgegebenen Zeiten,
manchmal aber auch nicht. Es sind aber dieselben Jobs, die mal
funktionieren und mal nicht.

Bei den fehlgeschlagenen Jobs steht hinterher in /var/log/cron.log User
not known to the underlying authentication module. Das Einloggen auf
dem Rechner hat aber nie Probleme gemacht.

Hat jemand eine Idee dazu?

Viele Grüße
  Christoph

Re: Cron will manchmal nicht

[Christoph Pleger]

Hallo,

On Mon, 04 Apr 2005 12:36:09 +0200
Martin Dickopp [EMAIL PROTECTED] wrote:

 Christoph Pleger [EMAIL PROTECTED] writes:
 
  Einer unserer User hat auf einem woody-Rechner eine umfangreichere
  Crontab angelegt. Die Jobs laufen manchmal zu den vorgegebenen
  Zeiten, manchmal aber auch nicht. Es sind aber dieselben Jobs, die
  mal funktionieren und mal nicht.
 
  Bei den fehlgeschlagenen Jobs steht hinterher in /var/log/cron.log
  User not known to the underlying authentication module. Das
  Einloggen auf dem Rechner hat aber nie Probleme gemacht.
 
 Es könnte eventuell an /etc/pam.d/cron liegen. Gibt es diese Datei
 bei Dir, und wenn ja, was steht darin?

Es gibt die Datei mit Rechten 644, Owner root, Gruppe root. Der Inhalt
ist:

account required pam_unix.so
auth required pam_unix.so nullok
auth required pam_env.so
session required pam_unix.so

Ich kann mich nicht erinnern, die Datei mal editiert zu haben, also
müsste das der Standardinhalt sein.

Christoph

Re: Cron will manchmal nicht

[Christoph Pleger]

Hallo,m

On Mon, 04 Apr 2005 13:27:53 +0200
Martin Dickopp [EMAIL PROTECTED] wrote:

 Christoph Pleger [EMAIL PROTECTED] writes:

  Es könnte eventuell an /etc/pam.d/cron liegen. Gibt es diese Datei
  bei Dir, und wenn ja, was steht darin?
 
  Es gibt die Datei mit Rechten 644, Owner root, Gruppe root. Der
  Inhalt ist:
 
  account required pam_unix.so
  auth required pam_unix.so nullok
  auth required pam_env.so
  session required pam_unix.so
 
 Das sieht okay aus. Hast Du eine Datei /etc/pam.conf, und wenn ja, was
 enthält sie?
 
 Ein Blick in den Sourcecode von cron und PAM bestätigt, daß es sich
 bei der Meldung User not known to the underlying authentication
 module um eine PAM-Fehlermeldung handelt. Außerdem loggt PAM in
 diesem Fall could not identify user (from uid=...) oder could not
 identify user (from getpwnam(...)) in /var/log/auth.log. Zumindest
 ist das bei Sid der Fall (ich habe kein Woody-System mehr). Wird eine
 solche Log-Meldung auch bei Dir produziert, und wenn ja, wie lautet
 sie genau?

Bei mir gibt es diese Meldung auch, sie lautet: (pam_unix) could not
identify user (from getpwnam(name)) 
 
 Setzt Du NIS o.ä. ein, und wenn ja, könnte es sein, daß cron
 aufgrund einer Netzwerkstörung oder einer Störung des NIS-Servers
 den Usernamen oder die UID des Users tatsächlich nicht auflösen
 konnte?

NIS wird eingesetzt, also kann es theoretisch sein, dass es sich um ein
solches Problem handelt. Allerdings macht normales Einloggen keine
Probleme.

Gruß
  Christoph 

aptitude und sel-selections

[Christoph Pleger]

Hallo,

Vor einigen Tagen habe ich getestet ob folgendes funktioniert:

echo tuxracer install | dpkg --set-selections
aptitude install

Das hat auch das erwünschte Ergebnis gebracht, das heißt, dass sowohl
tuxracer als auch die dafür nötigen anderen zusätzlichen Pakete
installiert wurden.

Vorhin wollte ich dann mit dpkg --set-selections  dateiname ein
sarge-System, auf dem nur eine minimale Auswahl an Software installiert
war, zu einem Desktop-System machen; die Paketliste war also ziemlich
umfangreich. Leider hat aptitude install danach aber gar nichts
installiert, obwohl State in /var/lib/dpkg/status und Dselect-State
in /var/lib/aptitude korrekt gesetzt wurden.

Weiß jemand, wo das Problem liegt?

Gruß
  Christoph

Fehlerberichte

[Christoph Pleger]

Hallo,

Hat hier jemand auch schon einmal einen Bugreport an Debian geschickt
und niemand hat darauf reagiert? Ich habe jetzt schon seit drei Wochen
keine Rückmeldung erhalten, obwohl ich eine vermutlich richtige Lösung
drangehängt habe.

Weiß jemand, wohin man sich in so einem Fall wenden kann? Bei dem
beanstandeten Paket handelt es sich um ein PAM-Modul zur
Authentifizierung; eine Lösung des Problems ist also nicht so ganz
unwichtig.

Gruß
  Christoph

Re: Fehlerberichte

[Christoph Pleger]

Hallo,

On Thu, 10 Mar 2005 14:18:52 +0100
Frank Küster [EMAIL PROTECTED] wrote:

 Welcher Bug ist es denn?  

Der Fehler befindet sich im Paket libpam-unix2 und führt dazu, dass man
sich bei Verwendung von pam_unix2 anstelle von pam_unix in
/etc/pam.d/common-auth (in sarge) nach der Verwendung eines Screensavers
diesen nicht mehr beenden kann. Das betrifft zumindest kcheckpass,
xscreensaver, xlock und vlock.
   
 Wenn er sicherheitsrelevant ist, 

Hm, wenn man sich nach einem Screenlock gar nicht mehr wieder anmelden
kann, ist das natürlich sehr sicher. In diesem Sinne wird die Sicherheit
des Systems durch den Bug sogar sehr erhöht. :-))

 sollte die
 Severity korrekt gesetzt sein, vielleicht macht das allein dem
 Maintainer Beine. 

Leider habe ich mich beim Verfassen des Reports darauf verlassen, dass
der Maintainer eine geeignete Priorität setzt und es daher bei Normal
bug gelassen.

 Ansonsten solltest du mal über alle Bugs des Pakets
 drüber lesen, evtl. auch über jüngst geschlossene.  Es gibt
 Maintainer, die sind sehr schweigsam, aber früher oder später kommt
 dann doch der Upload, in dem das Problem gefixt ist.  Ich finde das
 zwar dämlich (v.a. weil man dann nicht schwer nachvollziehen kann,
 woran es wirklich lag), aber es ist wohl akzeptabel.

Andere Bugreports zu dem Paket gibt es nicht.

 Wenn andererseits viele Bugreports da sind, die eine Antwort erfordern
 würden (z.B. Rückfragen, Forward an die Upstream-Entwickler oder
 reassign 123456 irgendein-anderes-paket), aber nichts dergleichen
 haben, ist der Maintainer möglicherweise nicht mehr daran interessiert
 - oder ganz verschwunden.  In diesem Fall ist es sinnvoll, bei
 [EMAIL PROTECTED] nachzufragen (auf englisch).  Aber wirklich nur wenn
 wirklich der Eindruck besteht, der Maintainer mache nichts an dem
 Paket, obwohl es was zu tun gibt.

Danke, dann versuche ich es mal mit dieser Adresse.

Gruß
  Christoph

Verhalten von apt-get dselect-upgrade

[Christoph Pleger]

Hallo,

Ich habe ein Problem mit dem Verhalten von apt-get dselect-upgrade:

Auf einem meiner Rechner habe ich dpkg --set-selections eine
Paketauswahl gesetzt und diese dann mit apt-get dselect-upgrade
realisiert. Die Paketauswahl enthält unter anderem auch das Paket
mozilla. Dieses wird beim ersten dselect-upgrade auch installiert, aber
wenn ich dann dieselbe Paketauswahl noch einmal setze und ein
dselect-upgrade ausführe, wird mozilla wieder deinstalliert, beim
nächsten Mal wieder installiert, dann wieder deinstalliert, usw. usw. 

Woran kann das liegen?

Viele Grüße
  Christoph


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

iptables und bootp/dhcpd

[Christoph Pleger]

Hallo,

ich benutze folgende Befehle, um direkt am Anfang meiner INPUT-Chain und
OUTPUT-Chain den Zugriff auf den bootps-Port eines Rechners zu
verbieten:

iptables -I INPUT -i eth0 -p tcp --destination-port bootps -j DROP
iptables -I INPUT -i eth0 -p udp --destination-port bootps -j DROP
iptables -I INPUT -o eth0 -p tcp --source-port bootps -j DROP
iptables -I INPUT -o eth0 -p udp --source-port bootps -j DROP

Trotzdem gibt eben dieser Rechner einem anderen Rechner eine Antwort auf
eine BOOTP-Anfrage, die ich mit dem Programm bootpc veranlasst habe (es
ist ausgeschlossen, dass die Antwort von woanders kommt). Die Statistik
von iptables zeigt zwar an, dass UDP-Pakete an den Port bootps verworfen
wurden, aber das ist offensichtlich nicht wirklich geschehen, wie
tcpdump gezeigt hat. Verworfene ausgehende Pakete von Port bootps
tauchen in der Statistik nicht auf. 

Wenn ich in den obigen Regeln den Port bootps durch einen anderen
ersetze (z.B. 20003), werden die Pakete tatsächlich geblockt.

Weiß jemand Rat?

Viele Grüße
  Christoph Pleger


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)