Re: NFS Server
Hallo, Klemens Kittan [EMAIL PROTECTED]: wir haben einen Fileserver (Server mit externem RAID) der die Homeverzeichnisse bereithält. An unserem Institut konnte ich ein zweites Hardware-Raid auftreiben. Dort möchte ich die Sourcen und Updates (Debian) lokal bereitstellen und auf einem zweiten Volume (LVM) die Homeverzeichnisse quasi als Hotstandby ablegen. Die Frage ist, wie kann ich die RAIDs abgleichen? Kann ich nur ein Snapshot mit rsync machen oder gibt es ein Tool wo die Daten konstant gehalten werden könne? Vieleicht kann das ja LVM schon? Das geht mit DRBD, http://www.drbd.org/ . Das ist quasi ein RAID-1 über Netzwerk. Dafür sollte man allerdings ein physisch eigenes Netzwerk bereit stellen, denn die Performance von DRBD hängt stark von der Netzlast ab. Je nach Verfügbarkeitsanforderungen kann durchaus ein nächtliches rsync die bessere Wahl sein. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Weils so schö n ist noch eine tunneling-Frage
Hallo, Dirk Salva [EMAIL PROTECTED]: Wenn du ein hinreichend neues PuTTY hast, gibt es den Menüpunkt Connection - Proxy. Dort stellst du als Proxy type HTTP ein und gibst unter Proxy hostname den Namen/IP-Adresse und bei Port den Proxy-Port (8080?) ein. Dann klappt's auch mit den Nachbarn. Das habe ich natürlich von Anfang an gemacht. Hilft nur leider nicht. Wenn du es richtig eingestellt hast und die Verbindung trotzdem in einen Timeout läuft, dann hat wohl der Proxy kein Recht, auf den Port 22 zuzugreifen (z.B. per Firewall-Regeln). Am besten sprichst du mal mit dem Proxy-Administrator. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Weils so schö n ist noch eine tunneling-Frage
Hallo, Dirk Salva [EMAIL PROTECTED]: Hmm. Ich habe mal probehalber den sshd auf dem Zielrechner auf Port443 laufen lassen und dann direkt versucht, eine Verbindung auf 443 zu machen (80 geht nicht, weil da ein httpd läuft). Ergebnis: ich bekomme zwar kein 403 forbidden, aber auch keine Möglichkeit, im Fenster mein Passwort einzugeben. Es wirkt so, als ob putty sich totwartet. Offenbar verhindert eine Firewall den direkten Zugriff auf den externen SSH Server. Wenn du ein hinreichend neues PuTTY hast, gibt es den Menüpunkt Connection - Proxy. Dort stellst du als Proxy type HTTP ein und gibst unter Proxy hostname den Namen/IP-Adresse und bei Port den Proxy-Port (8080?) ein. Dann klappt's auch mit den Nachbarn. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: too many open files, die Zweite
Hallo, Friedemann Schorer [EMAIL PROTECTED]: vs2066134:~# cat /proc/sys/fs/file-max 262144 vs2066134:~# lsof | grep -c / 1411 vs2066134:~# lsof -U | grep -c / 13 vs2066134:~# Soweit nichts besonderes. Die beiden letzten Befehle sind von diversen Fehlermeldungen der Form lsof: no pwd entry for UID 0 begleitet. Da scheint es einen Fehler in deiner /etc/passwd oder /etc/group zu geben. Kann es sein, dass der Eintrag für User/Gruppe 0 (root) fehlt oder korrupt ist? Ich bekomme aber trotzdem ständig Fehler Too many open files ?!? Das geht soweit, daß ich mich teilweise nicht einloggen kann, weil der SSH die PAM-Authorisierung nicht vornehmen kann! Es gibt, wie schon in einer anderen Antwort genannt, auch ein Limit für offene Files pro Prozess. Siehe ulimit -a und /etc/security/limits.conf. Es wäre hilfreich, wenn du herausfinden könntest, welches Prozess diese Fehlermeldung generiert. Steht irgendwas in den Logfiles? Bei der Durchsicht des Outputs von 'lsof' fiel mir auf, daß TLS sehr viele Prozesse offen hat (lsof | grep -c tls ergibt 323) - ist das normal auf einer Box, die einen fast nur privat genutzten SSL-Apache (PHP4), MySQL für localhost, exim4 mit TLS-Unterstützung und FTP nach aussen anbietet? Ja. tls ist kein Prozess, sondern ein Pfadbestandteil zahlreicher Libraries unter /lib/tls/libxxx.so. Jeder Prozess hält während seiner Ausführung zu jeder seiner dynamisch gelinkten Library ein offenes Filehandle. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: pure-ftpd-wrapper probelm...
Hallo, norman bundey [EMAIL PROTECTED]: ich habe mit dem pure-ftpd probleme. ich starte den mit inetd. und zum starten habe ich mir mit # echo option /etc/pure-ftpd/conf/Datei die folgenden schalter gesetzt: ich habe es mit verschiedenen virtuellen usern versucht für alles das gleiche. wenn ich den server aber so starte: pure-ftpd -B -F -A -E -K -j -l puredb:/etc/pure-ftpd/pureftpd.pdb dann kann ich mich mit dern benutzern einloggen. weiss einer rat? pure-ftpd-wrapper macht auch nichts anderes, als die Konfigurations- direktiven in Kommandozeilenparameter zu übersetzen. Sie werden beim Start des init.d Skriptes angezeigt. In der Standardkonfiguration sieht das so aus: shadowland:~# /etc/init.d/pure-ftpd start Starting ftp server: Running: /usr/sbin/pure-ftpd -l pam -u 1000 -E -O clf:/var/log/pure-ftpd/transfer.log -B Hast du mal verglichen, ob die Optionen bei der Debian-Konfiguration mit den händisch gesetzten übereinstimmen? Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Reihenfolge des Ladens von Modulen
Hallo, Til Obes [EMAIL PROTECTED]: Mein Problem ist, dass das Modul e1000 vor dem Modul e100 geladen wird und somit eth0 die Gigabitkarte ist und eth1 die 100er. Die Benamung der Netzwerk-Interfaces lässt sich auf folgende Weise leicht von der Lade-Reihenfolge der Module entkoppeln: Das Kommando nameif auf dem Paket net-tools kann die Zuordnung des Interface- Namens zur darunter liegenden Hardware über die MAC Adresse statisch zuordnen. Dazu liest es die Datei /etc/mactab aus, in der die Zuordnung z.B. wie folgt definiert wird: eth2 00:12:79:5E:D1:63 eth1 00:0E:2E:29:B0:AE eth0 00:0E:2E:2A:2F:7E nameif muss aufgerufen werden, solange alle Interfaces DOWN sind. Daher schreibt man den Aufruf am einfachsten in die Datei /etc/init.d/networking unmittelbar vor ifup -a. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Apache: mod_rewrite Problem
Hallo,
Philipp Flesch [EMAIL PROTECTED]:
Directory /daten/srv/www/htdocs_www/fileadmin/
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} audio|video [nc]
RewriteRule ^(.*)$ /download.php?file=$1
/directory
Das funktioniert auch sehr gut.
Nur will ich aber, dass wenn ich auf das Verzeichnis ueber den Symlink (im
Dateisystem) download - ./fileadmin
zugreife, soll er kein Rewrite durchfuehren.
Directory ist dazu ungeeignet, da es sich auf das Filesystem bezieht, d.h.
die Links werden aufgelöst. Verwende Location.
Ein
Directory /daten/srv/www/htdocs_www/download/
RewriteEngine off
/directory
bringt leider nicht den gewuenschten Erfolg :-(
Kann es nicht, da dieses Directory nie ausgewertet wird.
Gruß, Harald
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Interner und externer DNS auf einem Server
Hallo,
Philipp Flesch [EMAIL PROTECTED]:
irgendwie habe ich bisher keine (schoene) Loesung gefunden, auf ein und dem
selben Server internen UND externen DNS zu betreiben.
Auf der einen Seite moechte ich nicht, dass jemand von Aussen unsere ganzen
internen Sachen abfragt - zum anderen am liebsten alles in einem BIND haben ...
Gibt es da so etwas wie Zugriffsrechte auf einzelne Eintraege oder wie habt ihr
das geloest?
Falls du Bind9 benutzst, geht das recht einfach mit Views. Definiere
eine interne und eine externe View und binde dort jeweils die
gewünschten Zonen ein.
view internal {
match-clients { 127.0.0.0/8; };
recursion yes;
...
include /etc/bind/named.conf.local.common;
include /etc/bind/named.conf.local.internal;
};
view external {
match-clients { any; };
recursion no; // Keine Rekursion
additional-from-auth no; // Keine Addtional Infos
additional-from-cache no; // Keine Infos aus dem Cache
...
include /etc/bind/named.conf.local.common;
include /etc/bind/named.conf.local.external;
};
Wahrscheinlich wird mir nichts anderes uebrig bleiben als 2 Instanzen zu haben
und die externen Anfragen auf einen anderen Port mit dem zweiten Bind
umzubiegen, oder?
Nein, das geht ganz ohne IP/Port/Instanzen-Akrobatik.
Die Eintraege kann ich ja dann mittels einer include ein wenig vereinfachen ...
oder geht so ein include nur in den bind configs und nicht in den Zone-Files?
Include geht in allen Konfig-Dateien, auch über mehrere Ebenen.
Gruß, Harald
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Newbie: Firewall selbst machen - statt vom Provider mieten
Hallo, Mag. Arno Schoblocher [EMAIL PROTECTED]: Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall zur Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre macht insgesamt EUR 1.764. Da frage ich mich, ob ich nicht stattdessen meinen alten Server mit debiam hernehmen soll (Serverhardware, PII 266Mhz, 256MB RAM, 2x 8GB SCSI). - Die Firewall wäre einmalig einzurichten, grossartige Änderungen sind nicht zu erwarten. Das war bei der bisher 3 Jahre gemieteten Firewall auch schon so. Technisch ist es kein Problem, deine Anforderungen mit einer einfachen, schlanken Debian-Maschine zu lösen. Ob eine Alternative zu dem Provider-Angebot sinnvoll ist oder nicht, hängt im wesentlichen von den Faktoren ab: - welches Sicherheitsniveau willst du erreichen? - welches Know-How hast du? - wie viel darf das ganze kosten? Ein Provider bietet in der Regel ein mittleres Sicherheitsniveau. Er kann es besser als ein Laie, aber wenn er nicht gerade auf Security spezialisiert ist, würde ich die Firewall bei hohen Anforderungen eher einem Security-Experten überlassen. Oder selbst zum Experten werden. Was mein Ihr, wäre die Konfiguration eines solchen Linux Firewall-Servers überkompliziert oder eher einfach? (Wie gesagt, ich hab kein Problem mit console/manpages/konfigurationsdatein, auch wenn mich vim nervös macht) Mit fundiertem Netzwerk Know-How ist das sehr einfach; ohne ziemlich schwierig, insbesondere wenn es auch sicher sein soll. Wäre es möglich den Server auch als Proxy zu verwenden? Wenn es ein Web-/Mail-Proxy sein soll, ja. Für andere Dienste müsste man überprüfen, inwiefern es für diese Protokolle Proxy-Software gibt. Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je einfacher desto besser) Meine Empfehlungen sind Paketfilter: FWconf, http://www.weidner.ch/fwconf.html Web-Proxy: Squid, evtl. mit Squidguard Mail-Proxy: Postfix aber die Geschmäcker sind bekanntlich verschieden. ;-) Auf jeden Fall ist es wichtig, sämtliche Anwendungsdiente in chroot- Umgebungen mit streng limitierten Rechten zu betreien, was mit Squid und Postfix gut machbar ist. Welche debian Version soll ich nehmen? Derzeit liegt mir die Version 3.0 r3 woody vor, nicht gerade hyperaktuell aber fraglich ist, ob mein alter Server eine viel neuere Version verträgt. Vielleicht tut es woody mit aktuellen Versionen der einzusetzenden Software auch. Ich weiss nicht, was für eine Hardware du hast, aber für den genannten Anwendungsbereich würde ich eine aktuelle Debian-3.1 mit Kernel 2.6 verwenden, wenn es irgendwie geht. wären LiveCD's wie IPCop oder Gibraltar für mich eher empfehlenswert? Ich kenne IPCop nur oberflächlich und Gibraltar überhaupt nicht. Aber Lösungen dieser Art haben meiner Erfahrung nach oft Probleme mit dem Online Update im laufenden Betrieb, was eine der Stärken von Debian ist. Außerdem hängt die Weiterentwicklung oft von wenigen Personen ab; während der Fortbestand von Debian über alle Zweifel erhaben ist. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Probleme mit crontab
Hallo, Thomas Pfaffinger [EMAIL PROTECTED]: Subject: Cron [EMAIL PROTECTED] /backup/bin/backup.sh KW$(date + /bin/sh: -c: line 1: unexpected EOF while looking for matching `)' /bin/sh: -c: line 2: syntax error: unexpected end of file #Tagesbackup 00 22 2-31* 1-4 root/backup/bin/backup.sh $(date +%A) / Sieht jemand den fehler? Ich bin ratlos :-( Das %-Zeichen hat in der Crontab eine spezielle Bedeutung und muss daher escaped werden: /backup/bin/backup.sh $(date +\%A) Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ntpd und zu schnelle Uhren
Hallo, Markus Schulz [EMAIL PROTECTED]: Ich habe einen debian Gast in einem NT-2003 VMWare Host wo die Systemclock viel zu schnell läuft. Alle Problemlösungen dagegen, die so im Netz kursieren haben bisher versagt. Ausser einer etwas langsameren Systemclock führte bisher nichts zu einem Erfolg. Daher muss es ntpd jetzt richten. NTP in einem VMware-Gast ist nicht sinnvoll. Das Problem ist bekannt, und wie man es richtig macht, steht hier: http://www.vmware.com/support/kb/enduser/std_adp.php?p_faqid=1420 Kurzzusammenfassung: - im Gastsystem kein NTP benutzen - im Gast VMware-Tools installieren - diverse Kernel-Parameter aktivieren - auf dem Hostsystem die VM-Konfiguration dahingehend ändern, dass die Uhrzeit zwischen Host und Gast synchronisiert wird Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Mail-Server Umstellung
Hallo, Sebastian Niehaus [EMAIL PROTECTED]: listenname: :include:/etc/postfix/lists/listenname Wer bekommt eventuelle Bounces? In diesem Fall der Autor der Mail. Es ist aber möglich, in der /etc/aliases dafür zu sorgen, dass die Envelope-Absender bei Mailinglisten umgeschrieben werden. Dazu muss in die main.cf die Zeile expand_owner_alias = yes eingetragen werden. Sie bewirkt, dass z.B. folgende Einträge listenname: :include:/etc/postfix/lists/listenname owner-listenname: listenname-request listenname-request: listmaster bewirken, dass Mails an listenname beim Verteilen an die Adressen aus /etc/postfix/lists/listenname den Envelope-Absender [EMAIL PROTECTED] bekommen. Bounces gehen an diese Adresse und werden somit an listmaster weitergeleitet. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [solved] joe ohne Umlaute als root
Hallo, Ich meinte eigentlich nach dem Start von cat (ohne Parameter). Da kann man direkt auf der Console tippen, ohne jegliches Filtern seitens der bash/libreadline. ach so, ja, das geht bei beiden Usern. Was heißt das? Das heisst, dass die Console Umlaute prinzipiell unterstützt, der Fehler also nicht bei Programmen wie ssh, sshd, telnet, telnetd, rlogin, rlogind, putty, xterm, konsole, screen etc. zu suchen ist. Sondern bei den Anwendungen. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [Beschwerde] Mails, die nicht korrekt ankommen...
Hallo, Patrick Plattes [EMAIL PROTECTED]: Die Programme, welche zum Verteilen der Mails zuständig sind (z.B. Majordomo) fügen das Feld 'X-Mailing-List' in dem Header hinzu. Dieses Feld ist dazu gedacht, dass man E-Mails korrekt filtern kann. Ich lese sehr viele Mailinglisten, aber mit Ausnahme der Debian- Listen (die meines Wissens SmartList verwenden) setzt keine Liste ein X-Mailing-List: Feld. Neuere Majordomo-Versionen setzen List-Post: , Mailman setzt List-Id: , ezmlm setzt X-Mailinglist: (aber ohne Domainnamen hinter dem Listenname), List-Post: (mit mailto: vor der Adresse) und Mailing-List: (mit einem -help zwischen Listenname und @Domainname). Andere Listensoftware verwendet wieder andere Felder, die zudem i.d.R. noch konfigurierbar sind. Wenn man das alles filtern wollte, hätte man viel zu tun, und wenn der Listenbetreiber die Software wechselt, fallen die Filter trotzdem auf die Nase. Der Listennamen im To: oder Cc: ist dagegen ein halbwegs verlässliches, softwareunabhängiges Kriterium. Nicht umsonst schreibt z.B. Mailman in der Default-Konfiguration vor, dass eine Mail an eine Liste immer die Listenadresse im To: oder Cc: stehen haben muss. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: joe ohne Umlaute als root
Hallo, ich habe das merkwürdige Problem, dass mein Lieblingseditor joe als root Umlaute nicht korrekt darstellt, es erscheinen Sonderzeichen. Als Benutzer klappt's. Hat jemand einen Tipp für mich, an welcher Schraube ich drehen könnte? Um Umlaute im joe verwenden zu können, muss in der /etc/joe/joerc die Option -asis aktiviert (=das Leerzeichen davor entfernt werden). Danach klappt es auch als root, jedenfalls bei mir (sarge). Kannst du denn im cat-Kommando Umlaute eingeben? Das ganze übrigens über eine ssh-Shell, ich glaube man unterscheidet da ja auch zwischen login-Shells und interaktiven Shells (das wären dann die lokalen?), ist das richtig? Diesen Unterschied gibt es, aber mit Umlauten hat er allenfalls am Rande zu tun. Eine Login-Shell unterscheidet sich von einer nicht-login Shell im Wesentlichen dadurch, dass bei ersterer die /etc/profile und ~/.profile bzw. ~/.bash_profile eingelesen werden. In der Manual- Page zur bash kann man unter dem Stichwort INVOCATION mehr dazu nachlesen. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [solved] joe ohne Umlaute als root
Hallo, Kannst du denn im cat-Kommando Umlaute eingeben? nein, 'cat ä' produziert bei mir wildes Blinken (ich bin in screen), Ich meinte eigentlich nach dem Start von cat (ohne Parameter). Da kann man direkt auf der Console tippen, ohne jegliches Filtern seitens der bash/libreadline. Sprachlich ist mir der Unterschied der Shell-Arten nicht klar, da ich mich doch in beiden einloggen muss - ist also eine Login-Shell quasi eine Remote-Shell und eine nicht-login-Shell eine lokale? Die Login-Shell ist dazu da, den initialen Kontext einer Benutzersession herzustellen. Dazu gehört, so Dinge wie PS1 (Shellprompt), HOME, USER oder MAIL zu setzen, aber auch z.B. eine Message of the day anzuzeigen, You have new mail oder sowas auszugeben, etc. Nicht-Login Shells sind solche Shells, die während einer Sitzung oder während der Ausführung eines Skriptes automatisch erzeugt werden, z.B. durch Konstrukte wie ( cmd1 ; cmd2 ) | cmd 3 Hier möchte man dagegen i.d.R. keine veränderten Environment- Variablen und keine Ausgaben auf der Konsole, da das die Skript- Ausführung stören könnte. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: welchen https-tunnel?
Hallo, [EMAIL PROTECTED]: ich suche einen https-tunnel, der besondere Anforderungen erfüllt um einen Zwangsproxy zu überwinden. HTTPtunnel http://www.nocrew.org/software/httptunnel.html Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: AppleTalk Services
Hallo, Kann mir bitte mal jemand in kürze erzählen wozu ich den AppleTalk Service benötige? Der nervt nämlich enorm beim Systemstart. Meinst Du Netatalk? Das ist ein Datei-/Druckserver-Dienst für Macintosh-Rechner als Clients, so was ähnliches wie Samba für Windows-Clients. AppleTalk selber ist das Netzwerkprotokoll, auf dem Mac Netzdienste basieren. Wenn Du keinen Mac hast, brauchst Du kein Netatalk und auch kein AppleTalk. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] Python oder Perl
Hallo,
[Python]
import os
list = os.listdir('/tmp')
for filename in list:
print filename,
if os.path.isdir(filename):
print is a directory
else:
print is a regular file
[Ruby]
dir = Dir.new('/tmp')
dir.each { |filename|
print filename
if filename.stat.directory?
print is a directory
else
print is a regular file
end
}
Und hier der Vollständigkeit halber das gleiche in Perl.
opendir(LIST, /tmp);
while(defined($filename = readdir LIST)) {
print $filename;
if(-d /tmp/$filename) {
print is a directory.\n;
} else {
print is a regular file.\n;
}
}
closedir(LIST);
Gruß, Harald
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: route DSL
Hallo, David Burau [EMAIL PROTECTED]: route add -net 0.0.0.0 dev ppp0 Aber normal ist es doch nicht, dass man das von Hand machen muss oder? Ist das in Ordnung so, oder ist es ein Zeichen dafür, das ihrgend etwas im argen ist? pppd setzt die Defaultroute genau dann von selber, wenn die Option defaultroute angegeben wird. Diese kann entweder im Options-File stehen oder in der Kommandozeile angegeben werden. Beim Original rp-pppoe gibt es in der /etc/ppp/pppoe.conf eine Zeile DEFAULTROUTE=yes oder no. Wenn dort yes steht, dann ruft adsl-start den pppd mit der Option defaultroute auf. Ob das bei den Debian-Paketen auch so funktioniert, weiss ich nicht. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN unter Linux, Clienten = alles mögliche
Hallo, Was mir allerdings noch nicht klar ist: Kommt man da auch mit nem Win98SE drauf? Ich bin durchaus zu allen Schandtaten (openVPN, FreeSwan, IPsec) bereit. Wichtig ist halt nur, dass es am Clienten einfach einzurichten + nutzen ist (ich muss das meinen Eltern übers Tel. verklickern). Wenn es auch PPTP sein darf: das läuft zumindest unter Windows ME sehr stabil und ist einfach einzurichten. Ich schätze mal, dass es auch Win98 unterstützt, zumal das Protokoll ja von MS ist. Auf Linux-Seite benötigt man dazu Poptop und PPPD. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: postfix broken?
Hallo, [EMAIL PROTECTED]: Ich habe heute Postfix neu installiert, und bei der Konfiguration Nummer 2. (Internet Site) gewählt. Feb 2 17:53:43 superbyte postfix/master[1076]: warning: master_wakeup_timer_event: service public/qmgr: No such file or directory [...] Was sagt denn postfix check? Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Problem mit zwei Netzwerkkarten und Postfix
Hallo, Sebastian Meier [EMAIL PROTECTED]: ich habe mal eine Frage, die sich auf die Verwendung von zwei Netzwerkkarten (eth0 und eth1) bezieht. Wie sieht das nun mit Postfix in diesem Zusammenhang aus. Soweit ich weis kann Postfix doch nicht mehrere Hostnamen händeln oder? Falls es Dir um den Hostnamen geht, der beim Verbindungsaufbau an Port 25 angezeigt wird: doch, das geht. Man definiert in der master.cf zwei SMTP-Daemons und läßt beide auf den unterschiedlichen Netzwerkkarten lauschen. ip1:smtp inet n - - - - smtpd -o myhostname=host1 ip2:smtp inet n - - - - smtpd -o myhostname=host2 Dabei sind ip1 und ip2 die IP-Adressen der jeweiligen Interfaces; host1 und host2 die Namen, die in der SMTP Begrüßung angezeigt werden sollen. [EMAIL PROTECTED]:~ telnet host1 smtp 220 host1 ESMTP Postfix (Debian/GNU) QUIT 221 Bye Connection closed by foreign host. [EMAIL PROTECTED]:~ telnet host2 smtp 220 host2 ESMTP Postfix (Debian/GNU) QUIT 221 Bye Connection closed by foreign host. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Mailingliste
Hallo, Ingo Juergensmann [EMAIL PROTECTED]: Mailing listen sind per definitionem Mail-basierend. Webbasierende Dienste nennen sich z.B. Foren. Vielleicht sucht er etwas in der Art: http://de.groups.yahoo.com/ Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: remote copy im Script - Empfehlung gesucht
Hallo, So viel ich weiß, ist es nicht möglich als root auf einen NFS-share zu schreiben. Täusche ich mich? Das Problem kannst Du beseitigen, wenn in der NFS Freigabe (/etc/exports) die Option no_root_squash gesetzt wird. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: automatisch nderungen in /etc sichern
Hallo, Frank Dietrich [EMAIL PROTECTED]: gibt es bereits etwas fertiges was folgendes tut: Nachsehen ob und welche Dateien sich in /etc geändert haben und dann einen Report, inkl. den Änderungen, darüber erstellt? AIDE. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Seltsame Kernel-Meldungen von iptables gestern
Hallo, Dirk Salva [EMAIL PROTECTED]: gestern Abend habe ich eine ziemlich seltsame Fehlermeldung im Syslog von meinem Server entdeckt (wie man sieht, direkt nach dem Einwaehlen): Nov 8 00:14:02 server pppd[3334]: local IP address 83.135.131.120 Nov 8 00:14:02 server pppd[3334]: remote IP address 62.214.64.75 Nov 8 00:14:02 server kernel: Invalid FORWARD:IN=ppp0 OUT=ppp0SRC=83.135.139.254 DST=83.135.138.50 LEN=48 TOS=0x00 PREC=0x00 TTL=62 ID=5741 DFPROTO=TCP SPT=4317DPT=445 WINDOW=32768 RES=0x00 SYN URGP=0 [...] Kann mir jemand sagen, was da passiert ist? Was hat mein IPTABLES da gemacht? Du bekommst über das ppp0 Interface Pakete, die nicht für Deinen Rechner bestimmt sind (die DST IP-Nr. stimmt nicht mit der local address überein). Dein Kernel lehnt diese Paket aufgrund der iptables Konfiguration ab und protokolliert sie im Log. Vermutlich hat der Einwahlrouter Deines Providers ein Problem, die Zuordnung Port-IP-Nummer zu aktualisieren. Die Pakete sind wohl für den letzten Benutzer gewesen, der vor Dir diesen Einwahlport genutzt hat. Also kein Grund zur Panik. ;-) Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: apt-get remove postfix - inkl. apache?
Hallo, Martin Ruhdorfer [EMAIL PROTECTED]: apt-get -s remove postfix The following packages will be REMOVED: apache apache-ssl at courier-imap logrotate mailx postfix postfix-ldap postfix-pcre qpopper Wieso moechte woody auch den apache bzw. apache-ssl removen? Weil diese eine Dependency zu einem Mail Transport Agent haben. Wenn man Postfix deinstalliert, ohne gleichzeitig einen anderen MTA zu installieren, dann fehlt eben der MTA. Dies waere nicht sonderlich toll, da auch ein paar Vhosts drauf liegen, und ich nicht wirklich lust den apache bzw. apache-ssl wieder zu konfigen. Selbst wenn diese Programme dadurch deinstalliert werden, ist das zwar ärgerlich, aber keine Katastrophe. Die Konfiguration bleibt trotzdem bestehen, und nach der Re-Installation sollten sie wieder funktionieren. Gruß, Harald -- Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fehler mit pdf2ps
Hallo, Ich habe hier ne pdf-Datei, die ich gerne überarbeiten möchte. pdf2ps und pstoedit bringen aber folgende Fehlermeldung: Hat jemand einen Tipp? Manchmal hilft es, die Datei in Acroread oder Xpdf zu laden, einen Postscript-Drucker auszuwählen und dann in eine Datei zu drucken. Gruß, Harald -- Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Perl Script gesucht
Hallo, Udo Mueller [EMAIL PROTECTED]: Damit hast du jetzt was losgetreten: So kommt es mir auch vor. ;-) Da sich das Skript anscheinend großer Beliebtheit erfreut, möchte ich die Quelle angeben, von der ich es damals bezogen habe: http://www.symlink.ch/articles/03/02/05/1841248.shtml Interessant in diesem Zusammenhang ist auch http://www.symlink.ch/slash/03/07/16/1535229.shtml und dort insbesondere der letzte Kommentar mit einem vergleichbaren Skript für Solaris. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Perl Script gesucht
Hallo,
Dominique-Holger SCHRAMM [EMAIL PROTECTED]:
ich bin auf der Suche nach einem Perl oder andere Skript wo ich die
aktuellen Systeminformationen meines Rechenrs (Debian Woody) auslesen
lassen kann und dann ein Bild generieren lasse das ich dann als Signatur
verwenden kann.
[EMAIL PROTECTED]:~$ cat bin/dicksize.sh
#!/bin/sh
echo `uptime|grep days|sed 's/.*up \([0-9]*\) day.*/\1\/10+/'; \
cat /proc/cpuinfo|grep MHz|awk '{print $4/30 +;}'; free|grep '^Mem' \
| awk '{print $3/1024/3+}'; df -P -k -x nfs | grep -v 1k \
| awk '{if ($1 ~ /dev/(scsi|sd)){ s+= $2} s+= $2;} END \
{print s/1024/50/15+70;}'`|bc|sed 's/\(.$\)/.\1cm/'
[EMAIL PROTECTED]:~$ dicksize.sh
40.1cm
SCNR,
Gruß, Harald
--
Harald Weidner [EMAIL PROTECTED]
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Firewall/NAT TCP timeouts (Debian Kernel 2.4.26)
Hallo, Tim Ruehsen [EMAIL PROTECTED]: ich habe hier Probleme mit NATed TCP/IP Verbindungen von 'draussen'. Allerdings nur, wenn die Verbindung längere Zeit stehen bleibt und kein Traffic für ca. 1-2 Minuten erfolgt. Wenn dann der 'interne' Server ein Packet schickt, kommt sofort ein Antwortpacket mit 'RST' Flag gesetzt - die Verbindung wird dann geschlossen. Der Client bekommt überhaupt nichts mit - das Packet kommt also nicht von ihm sondern von der Firewall/NAT Modul. Das ist kein übliches Verhalten des Linux NAT Codes. Hier liegt irgend ein Problem vor. Es muß noch gesagt werden, daß vor meiner Firewall noch ein Router mit NAT sitzt (SpeedTouch 600series). Das Problem könnte also auch dort liegen. Ich würde als erstes vermuten, dass nicht der Linux-Kernel, sondern der Router die RST Pakete erzeugt. Hast Du das schon verifiziert? Kann es sein, dass der Router Dial-on-Demand macht und nach zweiminütiger Inaktivität eine neue IP-Nummer erhält? In diesem Fall wären die Verbindungen über die alte IP-Nummer hinfällig. - Ist dieses Problem jemandem bekannt? Falls ja, ist es Router oder Linux-Firewall? Und wie läßt es sich 'richtig' beheben? Wie gesagt, es ist kein normales Verhalten. Im Gegenteil, wenn Du es nicht explizit verhinderst, dann überleben TCP-Verbindungen durch eine iptables-basierte Firewall hindurch sogar einen Reboot des Firewall-Rechners. Wenn Du sicher bist, dass der Linux-Firewall schuld ist, dann solltest Du mal die iptables-Regel schicken, dann kann man vielleicht mehr dazu sagen. - Wie lasse ich mir die diesbezüglichen Timeouts von iptables (NAT) anzeigen? (Setzen geht angeblich nicht - früher mit ipchains ging es). Du kannst mit cat /proc/net/ip_conntrack alle aktiven TCP Verbindungen anzeigen lassen. Ein fixes Timeout gibt es nicht; das wird dynamisch in Abhängigkeit von der Größe der Verbindungstabelle geregelt. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Masquerading nach MAC?
Hallo, ich suche nach einer Möglichkeit bestimmte MAC Adressen zu maskieren. (Was in die POSTROUTING-Chanin müsste). Leider lässt iptables --mac-source nur bei INPUT, FORWARD, PREROUTING zu. Ich würde es mit einer Markierung versuchen. Umgefähr so (ungetestet): iptables -A FORWARD ... -m mac --mac-source ... -j MARK --set-mark xyz iptables -t nat -A POSTROUTING ... -m mark --mark xyz -j MASQUERADE Wie kann ich erreichen, dass nur die Verbindungen von bestimmten Rechnern maskiert werden? Was spricht eigentlich dagegen, für die MAC Adressen ein statisches DHCP aufzusetzen und dann nach IP-Nummern zu maskieren? MAC Adressen sind nicht authentischer als IP-Nummern. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Bug in Perl?
Hallo, Gernot Sadlo [EMAIL PROTECTED]: nach einem heutigen Upgrade funktioniert Perl nicht mehr. Perl findet irgend welche libs nicht mehr und zeigt aber auch nicht an welche. Das sieht mir eher nach kaputten Dependencies aus. Was sagt denn ldd `which perl` ? Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verschiedene Fragen zu ADSL
Hallo, Eduard Bloch [EMAIL PROTECTED]: Beim rp-pppoe ist es nötig, die Netzwerkkarte vorher als UP ohne IP-Nummer zu konfigurieren, also ein ifconfig eth0 up abzusetzen. Das war mal. Was war mal? Das UP, oder die nicht vorhandene IP-Nummer? Letzteres steht immer noch in der Anleitung. http://www.roaringpenguin.com/products/rp-pppoe/how-to-connect.txt Wegen dieses Problems melden sich nach wie vor oft Leute in Mailinglisten. Daher fand ich es angebracht, darauf hinzuweisen. Eh... Das hat alles welchen Zweck? Die IP wird von PPP verwaltet, das Netzwerkinterface muss lediglich verfügbar und up sein (was pppoe selbst auch sicherstellt) Der Autor des Originalpostings wollte das DSL Modem im hausinternen Netzsegment betreiben. Also hat das Interface neben der PPP IP-Nummer wohl noch eine im Hausnetz. He? War nicht gerade PPPoE dafür gedacht, die Traffic-Kosten für diese PPP-Verbindung abzurechnen? Ich will nicht sagen, dass du Unrecht hast, aber das ist ziemlich unwahrscheinlich. Ich bestreite nicht, dass es unwahrscheinlich ist. Daher habe ich im schlimmsten Fall geschrieben. Fakt ist, dass bei der beschriebenen Konstruktion hausnetzinterne Pakete über die DSL Strecke zum Provider gelangen können. Ob dieser die Pakete snifft, accounted oder zu sonstigen hinterlistigen Zwecken einsetzt, entzieht sich der Kontrolle durch den Kunden. Das ist aber nicht nur eine Netzwerkkarte, u.U. liegt das Modem am anderen Ende des Hauses. Da will man nicht unbedingt eine neue Leitung ziehen. In diesem Fall würde den Standort des PPPoE Rechners überdenken, und falls da nichts zu machen ist, über die Beschaffung eines dedizierten DSL Routers nachdenken. Das bei Debian beiliegende rp-pppoe hat das Problem, dass die ppp Verbindung manchmal nach der Zwangstrennung nicht mehr richtig Das hat mit Debian-pppoe an sich nichts zu tun, vielmehr an dem Config-File, das mit dem Paket kommt. Vermuttlich sind die Timings nicht, angeblich soll lcp-echo-interval 100-200% höher sein als der pppoe-Timeout (siehe -T). Wenn das der Fall ist, führt es schlimmstenfalls zu einer Trennung der DSL Verbindung. Theoretisch sollte bei entsprechender Konfiguration der PPP Daemon trotzdem nicht terminieren, sondern die Verbindung neu aufbauen. Der Hinweis von mir bezog sich darauf, dass das praktisch nicht zuverlässig funktioniert. 1. pppoe aus der /etc/inittab heraus starten, ODER 2. das Skript adsl-start aus der rp-pppoe Source Distribution verwenden Dieses Skript ist ein übler Hack und lässt pppoe in einer Schleife laufen. Was genau ist an dem Skript ein übler Hack? Ich halte es für sauber programmiert und gut lesbar. Das Starten aus der inittab ist auch nichts anderes als eine Schleife. Eine solche Schleife jedwelcher Art ist aber nötig, da der PPP Daemon diese Eigenschaft nicht (verlässlich) mitbringt. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: user eigene .procmailrc
Hallo, Thomas Letzner [EMAIL PROTECTED]: MAILDIR=/var/spool/cyrus/mail/user/thomas DEFAULT=$MAILDIR LOGFILE=$MAILDIR/procmail.log :0: *^To: [EMAIL PROTECTED] DebianML Wieso warden die Mails denn nicht sortiert?? Mangels weiterer Informationen kann man hier nur raten: - Offenbar verwendest Du Cyrus IMAP. Das benutzt per Default kein Procmail. Hast Du die nötigen Schritte eingeleitet, um Procmail einzubinden? - Hat der User, unter dem Procmail ausgeführt wird, Schreibrecht unter /var/spool/cyrus/mail/user/thomas? - Neben [EMAIL PROTECTED] gibt (gab?) es mehrere andere gültige Adressen dieser Mailingliste, z.B. [EMAIL PROTECTED] oder [EMAIL PROTECTED] Ausserdem muss die Adresse nicht zwingend im To: Header stehen, und dort nicht zwingend an erster Stelle. Besser wäre es, nach einer Headerzeile zu filtern, die von der Mailingliste _erzeugt_ wird, z.B. X-Mailing-List: Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: user eigene .procmailrc
Hallo, - Offenbar verwendest Du Cyrus IMAP. Das benutzt per Default kein Procmail. Hast Du die nötigen Schritte eingeleitet, um Procmail einzubinden? Ja genau hier läuft Cyrus, wie soll ich denn Procmal in Cyrus einbinden? Das hängt vom MTA ab. Welchen verwendest Du denn? Wenn ich das falsch verstanden habe sagt es mir, ansonsten läuft procmail aber eigentlich schon und sortiert auch schon SPAM in die IMAP-Ordner. Stehen diese Regeln in der /etc/procmailrc? Hast Du mal versucht, die Regeln für die Mailingliste dort ebenfalls einzutragen? Eine weitere Ursache für Dein Problem könnte nämlich sein, dass die Variable $USER nicht passend zum Empfänger der Mail gesetzt ist und die procmailrc des Benutzers gar nicht gefunden wird. Auch das hängt vom MTA ab; beispielsweise ruft Postfix in der Standardkonfiguration immer Cyrus unter der Userkennung cyrus auf, so dass $USER = cyrus ist. Leider sind Procmail und Cyrus nicht füreinander geschaffen. Sie verfolgen unterschiedliche Konzepte, und wenn man versucht, sie zu kombinieren, stößt man auf Probleme. Die sind zwar alle irgendwie lösbar, aber erfordern Expertenwissen und unkonventionelle Lösungen aka Gebastel. Die kanonische Lösung besteht darin, entweder Cyrus durch Courier zu ersetzen, oder Procmail durch Sieve. Ersteres ist meine persönliche Präferenz, aber letztlich ist es Geschmackssache. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verschiedene Fragen zu ADSL
Hallo, Tobias Kraus [EMAIL PROTECTED]: - Sehe ich das richtig, dass es gar nicht notwendig ist, an der Netzwerkkarte irgendwelche Einstellungen (z.B. DHCP) vorzunehmen (ausser Treiber laden)? Beim rp-pppoe ist es nötig, die Netzwerkkarte vorher als UP ohne IP-Nummer zu konfigurieren, also ein ifconfig eth0 up abzusetzen. - Ist es möglich, das DSL-Modem an das Switch für das Hausnetzwerk anzuschliessen (also nur eine Netzwerkkarte im Einwahlrechner zu verwenden) und als Interface z.B. eth0:1 zu verwenden (also so, als ob man einer Netzwerkkarte zwei IP-Einstellungen zuweist)? Ja, das ist möglich, un man braucht dazu keinen Alias. Allerdings muss man die Reihenfolge einhalten 1. Netzwerkipterface auf UP ohne IP-Nummer setzen 2. pppoe starten 3. IP-Nummer zuweisen. Jedesmal, wenn die Verbindung getrennt wird, muss man die IP-Nummer wieder entfernen; andernfalls funktioniert kein erneuter Connect. Ausserdem muss man das DSL Modem mit einem gekreuzten Kabel an den Switch anschalten, außer der Switch erkennt das automatisch. Wenn ja, gibt es irgendwelche Sicherheitsprobleme mit dieser Konstruktion Die gibt es. Der gesamte Broadcast-Traffic aus dem Hausnetz liegt am Port des DSL Modems an. Je nach Intelligenz des Modems kann es passieren, dass dieser Traffic über die DSL Strecke übertragen wird, die Bandbreite belegt und vom Provider gesnifft werden kann. Im schlimmsten Fall kann es sogar sein, dass der Traffic in die Volumenkosten mit eingeht. Und wenn der Switch in Wirklichkeit ein Hub ist, geht sogar der gesamte Traffic zum Modem, nicht nur die Broadcasts. Eine PCI Ethernetkarte mit 10 MBit/s bekommt man auf Ebay für unter 10 Euro. Daran sollte man nicht sparen... - Da es ein Volumentarif ist und der Server nicht durchlaufen soll ist es mit einfachen Mitteln möglich, die durch iptables protokollierte übertragene Datenrate über einen Reboot zu retten (ohne sie mit jedem Initialisieren der Firewall manuell mittels --set-counter auf den alten Wert zu setzen). Ich verwende für das Accounting von rp-pppoe einfach den Counter von pppd. Der schreibt am Ende einer Verbindung ins Syslog etwas in der Art May 17 04:45:48 shadowland pppd[12260]: Modem hangup May 17 04:45:48 shadowland pppd[12260]: Connection terminated. May 17 04:45:48 shadowland pppd[12260]: Connect time 1440.1 minutes. May 17 04:45:48 shadowland pppd[12260]: Sent 12276374 bytes, received 180446264 bytes. May 17 04:45:49 shadowland pppd[12260]: Exit. Diese Counter lassen sich gut parsen und aufaddieren. - Gibt es sonst etwas besonderes zu beachten? Das bei Debian beiliegende rp-pppoe hat das Problem, dass die ppp Verbindung manchmal nach der Zwangstrennung nicht mehr richtig hoch kommt, selbst wenn die ppp Konfiguration dies erzwingt. Dieses Problem wurde hier schon öfter diskutiert. Die Lösungen lassen sich mit Google finden; in Kürze: 1. pppoe aus der /etc/inittab heraus starten, ODER 2. das Skript adsl-start aus der rp-pppoe Source Distribution verwenden Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: rbash als Loginshell?
Hallo,
Kai Hildebrandt [EMAIL PROTECTED]:
Auf meinem Woody-System zeigt sich das selbe Verhalten
Version?
Version der Bash? 2.05b-2woody3
Ein Kollege von mir hat mit bash-2.05a.0(1) mir einen Account auf seinem
Server eingerichtet.
In der ${MYHOME}/.bash_profile steht lediglich
PATH=/home/{MYUSER}/bin
...und es tut komischerweise! :-?
Ich glaube nicht, dass das mit der Bash zu tun hat. Vielleicht hat
er eine andere Version des SSHD, oder er hat UseLogin = yes in der
/etc/ssh/sshd_config gesetzt.
Man kann das Problem umgehen, indem man dem Nutzer eine normale bash
gibt und in seine Profile- und rc-Datei ein exec /bin/rbash schreibt,
dann klappt's. Aber das ist vielleicht dann nicht so sicher? Außerdem
sieht es nach Flickwerk aus. :-(
Das ist ziemliches Flickwerk und lässt sich auf mindestens zwei
Arten aushebeln. Erstens dadurch, dass ein User seine Dotfiles
selber editieren kann, auch wenn er unter rbash arbeitet. Also
wirft er einfach die exec's raus und hat wieder eine normale Bash.
Zweitens wird durch Eingabe von
ssh [EMAIL PROTECTED] /bin/sh
der Dotfile-Mechanismus komplett umgangen. (Wer's ausprobiert, sollte
sich nicht wundern, dass er keinen Prompt bekommt; arbeiten kann er
trotzdem.)
Gruß, Harald
--
Harald Weidner [EMAIL PROTECTED]
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: kleine verstaendisfrage zu iptables
Implementierungsfehler anfällig sind. Die Administratoren haben längst alle Vorkommen von rlogin, rsh und rcp auf ihren Systemen eliminiert und durch SSH ersetzt. Dennoch gibt es alternde Doktoranden und Habilitanten, die, anstelle endlich ihre Arbeit zzum Abschluss zu bringen, eine Arbeitsumgebung wie in den Anfängen erwarten. Daher unterstützt SSH die Semantik des Einloggens ohne Passwort zwischen Maschinen im selben Rechnercluster weiterhin. Natürlich unterwandert von Public Key Verschlüsselung mit Host Keys und anderem modernen Schnickschnack, aber für den Benutzer transparent. Nur taucht auch hier das selbe Problem von damals auf: ein SSH Client, der von Quellports = 1024 kommuniziert, kann potenziell gefälscht sein; dem Usernamen, den er überträgt, kann nicht vertraut werden. Also setzt man den systemweit zur Verfügung gestellten Original-SSH-Client setuid-root; denn dieses Merkmal kann kein Benutzer fälschen. Die Zeiten haben sich geändert, und die Manpage von OpenSSH sagt dazu: [Note to the administrator: /etc/hosts.equiv, $HOME/.rhosts, and the rlogin/rsh protocol in general, are inherently insecure and should be disabled if security is desired.] Dennoch, sollten die Studenten, Assistenten, Habilitanten und Professoren von damals nicht gestorben, emeritiert oder exmatrikuliert sein, dann leben sie noch heute, loggen sich auf dem universitären UNIX-Cluster per rlogin ein und merken von der Migration auf SSH genau nichts. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Internal compiler error bei Bauen von Kernel (2.6.*)
Hallo, Christoph Bersch [EMAIL PROTECTED]: Bekomme immer beliebige (Segmentation fault, fatal signal 11, Error 139 etc pp) interne Fehler des Compiler beim Versuch, den 2.6.(4|5) Kernel unter sarge mit make-kpkg zu kompilieren. Diese Fehler treten mit dem gcc in den Versionen 3.3.3 (Debian versionen 3.3.3-1 oder 3.3.3-6), 3.2.3 und 2.95.4 auf. Immer in anderen Teilen des Codes :-( Signal 11 beim Compilieren mit GCC deutet fast immer auf defekten Hauptspeicher hin. Du solltest mal mit memtest testen und im BIOS die Timing Einstellungen auf konservativere Werte setzen. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: kleine verstaendisfrage zu iptables
Hallo, Andreas Pakulat [EMAIL PROTECTED]: Im Übrigen gibt es durchaus SSH-Clients, die einen Sourceport 1024 verwenden, z.B. weil sie setuid root laufen. Mal aus Interesse: Aus welchem Grund laeuft ein ssh client setuid root? Um die .rhosts Semantik von rlogin/rsh/rcp nachbilden zu können. Diese besagt, dass sich User unter gleichem Benutzernamen auf der Zielmaschine ohne Passwort einloggen können, wenn die Zielmaschine der Quellmaschine entsprechend vertraut. Das setzt authentische Informationen über den Benutzernamen auf der Quellmaschine voraus. Verbindungen von Quellports = 1024 sind dazu nicht geeignet, da prinzipiell jeder Benutzer einem modifizierten rlogin Client mit gefaktem Benutzernamen selber compilieren könnte. Und selbst dann denke ich wird der client eher nicht auf nem Port 1024 die Verbindung aufmachen, solange man ihn nicht dazu zwingt (geht das ueberhaupt??) Programme, die unter root laufen, bekommen vom Betriebssystem per Default einen Source Port 1024, sofern sie nicht einen anderen explizit anfordern. Generell ist die Angabe eines Sourceports in einer TCP-Regel fast immer sinnfrei. Wieso dass? Wenn ich z.B. verhindern moechte das bestimmte Dienste nach aussen angeboten werden ist der sport ja doch die einzig sinnvolle Moeglichkeit bei tcp oder? Dienste idenzifizieren sich bei TCP immer über den Zielport eines initialen (SYN) Paketes. Der Quellport hat den Zweck, verschiedene Verbindungen vom selben Rechner auf den selben Dienst unterscheidbar zu machen. Wenn Du einen Dienst sperren willst, sperre in der INPUT Queue SYN Pakete bzw. --state NEW auf den entsprechenden Port. Die einzige zusätzliche Semantik des Quellports bei TCP besteht in der Unterscheidung zwischen den privilegierten und nicht privilegierten Ports (1-1023 bzw. 1024-65535). Diese wird aber mehr und mehr verwässert, da kaum noch Dienste im Einsatz sind, die diese Unterscheidung zu Authentifikationszwecken benutzen. Bei UDP sieht das alles ein bisschen anders aus. Hier wird der Quellport manchmal zur Unterscheidung des Nutzungsszenarios verwendet, z.B. bei DNS: Port 53 - Port 53: Server-zu-Server Kommunikation Port =1024 - Port 53: Client-zu-Server Kommunikation Oder bei bootp (DHCP), wo Clients immer den Port 68 (bootpc) und Server den Port 67 (bootps) verwenden sollen. Auch hier sollten aber keine sicherheitskritischen Entscheidungen aufgrund des Quellports getroffen werden, da er von jedem root gefälscht werden kann. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: rbash als Loginshell?
Hallo, Kai Hildebrandt [EMAIL PROTECTED]: Wenn ich mich nun als dieser Benutzer an einer Konsole oder via ssh einlogge, bekomme ich aber eine normale Login-Shell, die zwar rbash heißt, aber nicht eingeschränkt ist (sprich: eine normale bash). Wechsle ich hingegen von root via su (nicht su -) zu diesem Benutzer, funktioniert es. Schließen sich die Shell-Optionen Login Shell und Restricted Shell gegenseitig aus, z.B. als Sicherheitsfeature, dass man sich nicht selbst aussperrt? Ich benutze Debian sarge mit bash 2.05b.0(1). Auf meinem Woody-System zeigt sich das selbe Verhalten, und ich vermute als Ursache eine viel banalere: Die Bash erkennt an zwei Kriterien, dass sie im restricted mode laufen soll: am Programmnamen rbash oder an der Option -r in der Kommandozeile. Beim Login mit SSH setzt der SSH Daemon aber den Namen der Shell auf -rbash. Das - Zeichen dient dazu, der Shell anzuzeigen, dass sie eine Login-Shell sein soll. Es verhindert aber, dass sie sich als rbash identifiziert. Selbiges gilt bei su -, nicht jedoch bei su, da su keine Login shell erzeugt. Eine restricted login shell bekommt man mit su username -c 'bash -r -l' Die Shell selber scheint also kein entsprechendes Sicherheitsfeature zu haben. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: kleine verstaendisfrage zu iptables
Hallo, Zoli [EMAIL PROTECTED]: -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT [...] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT [...] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Diese kombination funktioniert Aber wenn ich -A OUTPUT -p tcp -m tcp --dport 22 --sport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT mach und die letzte Zeile auskomentiere geht es nicht mehr. Die erste Variante erlaubt alle ausgehenden Pakete zu existierenden TCP-Verbindungen. Das schliesst auch Antwortpakete zu den in der ersten Zeile erlaubten einkommenden SSH-Verbindungen ein. Die zweite Variante schließt diese explizit aus. Im Übrigen gibt es durchaus SSH-Clients, die einen Sourceport 1024 verwenden, z.B. weil sie setuid root laufen. Generell ist die Angabe eines Sourceports in einer TCP-Regel fast immer sinnfrei. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Putty auf Woody...
Hallo, Christian Schmidt [EMAIL PROTECTED]: An Paketen mit font im Namen bzw. der Beschreibung findet dpkg folgende: [...] Probiere mal, die xfonts-75dpi zu installieren und in die XF86config geeignet einzutragen. Wenn das nichts hilft, würde ich noch empfehlen, den xfs zu installieren. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage an Experten / Fehlerhafter Verbindungsaufbau / telnet SMTP
Hallo, Ulrich Sucker [EMAIL PROTECTED]: Von meiner Debian-Maschine aus kann ich zu bestimmten Maschinen (vermutlich Windows-Server) keine Verbindung aufbauen. Telnet 212.227.15.129 25 schlägt auch fehl. Tests mit verschiedenen Maschinen zeigen, das es sich wohl um ein Debian-Problem handelt, das auch in verschiedenen Kernel-Versionen auftaucht. Dabei taucht das Problem auf, unabhängig ob die Maschine hinter einer FireWall steht, oder nicht. Kann es sein, dass die Ziel-Maschine erst eine DNS-Abfrage auf die IP-Nummer der einkommenden Verbindung macht? Und wenn es keinen Eintrag gibt, oder wenn Forward- und Reverse Lookup nicht übereinstimmen, die Verbindung ablehnt? Nur so ein Gedanke... Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Putty auf Woody...
Hallo, Christian Schmidt [EMAIL PROTECTED]: die SSH-Client-Software Putty gibt es ja seit kurzem auch fuer unixoide Betriebssysteme. Leider kann ich nichts lesen, weil jeder Buchstabe nur als hochkant stehendes Rechteck dar. Ich vermute, mir fehlt lediglich eine Library oder etwas in der Art. Das klingt für mich nach Problemen mit Fonts. Hat jemand vielleicht einen Hinweis? Aehnliche Erlebnisse? Bei mir funktioniert putty unter Unix einwandfrei. Ich habe eine Debian Woody Standardinstallation mit XFree86 3.3.6 (SVGA Server) und zusätzlich KDE 3.1 (Debian-Pakete von ftp.kde.org). Es laufen xfs und xfs-ttf. Vielleicht schreibst Du mal genaueres über Dein Setup. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Hallo, Michelle Konzack [EMAIL PROTECTED]: Nur dann geht das ganze nicht mehr mit Win98. Die Frage ist jetzt nur, wie mach ich das mit Win95 ? Keine Ahnung. Mit Windows ME geht es jedenfalls problemlos. Die Aufrufsyntax ist: pptp 192.168.1.130 call peername Dann kriege ich ne Fehlermeldung, das kein ttySxx definiert ist. Er kann keine Ports finden. Dann solltest Du die Zeile /dev/ttySxx aus der /etc/ppp/peers/... löschen. Oder kann es sein, dass eine /etc/ppp/options existiert und darin die Zeile /dev/ttySxx enthält? Wenn ja, solltest Du diese löschen, oder noch besser die gesamte Datei. Das ist was ich nicht verstehe ! Wie soll der Client eine Verbindung zum pppd aufbauen/benutzen, wenn der garnicht verwendet wird. Ich verstehe nicht, was Du meinst. Der Client, sofern er unter Unix/Linux läuft, ist das Programm pptp. Dieses baut die Verbindung auf und ruft dann den pppd auf, welcher die eigentliche Kommunikation durchführt. Serverseitig läuft das Programm pptpd, welches nach erfolgreichem Verbindungsaufbau ebenso den pppd aufruft. Aber die Kunden sind ja bereits im Netzwerk durch das WaveLAN. Ja, und? PPTP basiert auf einer bereits funktionierenden IP-Verbindung zwischen Client und Server. Sollte dazu bereits ein pppd am Laufen sein, dann laufen eben anschliessend zwei. Ich finde keine Beispiele, wie sich Clients uber pptp authentifizieren, wenn diese per fester IP oder DHCP sich ins Netzwerk einklinken. Unter http://poptop.sourceforge.net/dox/ (wenn es denn wieder erreichbar ist) findest Du Hinweise zur Konfiguration des Servers sowie der Clients unter Linux und diversen Windows-Betriebssystemen. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Hallo, Michelle Konzack [EMAIL PROTECTED]: In Morocca habe die aber fast alle nur Win95 und dann Win98. Laut der poptop Homepage geht es ja auch mit denen. Nur habe ich keine Erfahrungen damit. /etc/ppp/options Da habe ich die, die als example dabei war. Dann solltest Du die mal umbenennen, z.B. nach /etc/ppp/options.orig. Ansonsten liest pppd sie zusätzlich zur Optionsdatei des pptp ein, was zu bizarren Resultaten führen kann. Er versucht aber irgend was anderes aufzubauen... Und mukiert sich, das was fehlt. Nur weis ich nicht was... Ohne konkrete Fehlermeldungen kann ich hier wenig zu sagen... Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Hallo, Michelle Konzack [EMAIL PROTECTED]: Gut, ich habe den 'pptpd' von WOODY installiert und in der Config steht, das das Teil nicht besonderst sicher ist, wenn ich meinen Kernel nicht mit MPPE patche... oder ist das bereits im 2.4.25 ? Nein, ist es nicht. Es gibt diverse MPPE Patche im Netz. Ich empfehle dringend, den aus dem Paket ppp-2.4.2 (oder neuer) einzusetzen, und den dazu passenden pppd zu verwenden. Als Authentifikationsmechanismen sollte man nur mschap-v2 zulassen, als Verschlüsselung nur MPPE-128. Das sind die jeweils sichersten Algorithmen. Je nach Windows-Version und Patchlevel kann es sein, dass man den Microsoft Windows High Encryption Pack von www.microsoft.com herunterladen und installieren muss. Z.B. für Windows 2000: http://www.microsoft.com/windows2000/downloads/recommended/encryption/ Mit der config des pptpd habe ich allerdings ein problem... Das erste Subnet das ich für die WaveLAN-Cleints verwende hat 128 IP's. Dafür habe ich netmask 255.255.255.128 angegeben. Wi kann ich jetzt aber weitere 256-IP-Blöcke hinzufügen ? Ich kriege von RIPE leider nur nicht zusammenhängende IP-Blöcke. Insgesamt 16 x 256 IP's In der Konfigurationdatei pptpd.conf können mehrere Ranges angegeben werden, z.B. remoteip 10.1.2.1-254,192.168.3.10-240,172.20.120.1-254 Steht alles in der Manpage (man pptpd.conf). Wie soll ich jetzt pppd verwenden, wenn ich schon längst eine Verbindung zum AP habe ? Hatte den 'pptp 192.168.1.130' aufgerufen aber nichts geht... Die Aufrufsyntax ist: pptp 192.168.1.130 call peername wobei peername der Name der Verbindung ist (d.h. ein File gleichen Namens unter /etc/ppp/peers). Was muß ich für optionen an pppd übergeben ? Gar keine. Das macht pptp automatisch. Der Inhalt des pppd Konfigfiles ist von der Version abhängig; bei ppp-2.4.2 sollte etwas in der Art name ... remotename ... require-mschap-v2 require-mppe-128 mtu ... mru ... nodefaultroute darin stehen. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Spiegel- Server
Hallo, ich möchte gerne zwei unabhängige Linuxrechner als Samba- und Firebird-Datenbank Server betreiben. Auf Server A wird normal zugegriffen, Server B dient als Spiegelserver für Server A und soll bei Ausfall von Server A möglichst ohne Bedienereingriff einspringen. Da Samba ein solches Feature nicht selbst unterstützt, muss es von der Hardware oder vom Betriebssystem gelöst werden. Denkbare Hardwarelösungen sind Speichernetze (Storage Array Networks, SAN) oder Speicher-Appliances (Network Attached Storage, NAS). Das funktioniert durchaus mit Linux, ist aber nicht ganz billig. Eine reine Softwarelösung ist das Coda-Filesystem von der CMU. Es unterstützt mehrseitige Replikation und bietet auch Mechanismen für das Behandeln der Konflikte, die dabei auftreten können. Coda ist nicht trivial einzurichten, aber es gibt gute Anleitungen im Netz. Bei der Replikation einer Datenbank rate ich dringend dazu, die eingebauten Mechanismen des jeweiligen Datenbankmanagement-Systems zu verwenden. Mit Firebird kenne ich mich leider zu wenig aus; MySQL und auch PostgreSQL (mit einem Patch) bieten eine einseitige Replikation (d.h. Master-Spiegel), und die großen kommerziellen DBMS bieten wie Orace oder DB2 sowieso. Es würde mich wundern, wenn das nicht auch mit Firebird ginge. Wenn das DBMS dies unterstützt, kann die Datenbank auch auf einem SAN bzw. NAS betrieben werden. Der Betrieb einer DB auf NAS, SAN oder Coda ohne entsprechende Unterstützung im DBMS geht dagegen garantiert schief, da ein DBMS fast immer zentrale Verwaltungsinformationen im Hauptspeicher vorhält. Für das automatische Umschalten beim Ausfall des Hauptservers eignet sich Heartbeat. Das gibt es als Debian-Package. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] brauche Mailingliste
Hallo, Wo könnte ich also meine Low-Traffic Liste hosten lassen? Yahho! Groups find ich für sowas sehr praktisch. http://de.groups.yahoo.com/ Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: postfix - Mails mehrerer Accounts versenden geht nicht
[EMAIL PROTECTED]: für alle unsere Familienmitglieder bestehen bei gmx Mail-Accounts. Leider funktioniert der Mailversand immer nur für einen Account, da ich nur eine Möglichkeit finde, die Account-Daten einzugeben. Der Autor von Postfix weigert sich beharrlich, ein entsprechendes Feature einzubauen, da Postfix für sowas nicht gedacht ist. Mit einem Trick geht es aber trotzdem: Mit Hilfe der Option header_checks in der main.cf kann man dafür sorgen, dass jede Mail durch einen Filter läuft. Hier kann man bei Eintreffen bestimmter Bedingungen (regexps) spezielle Aktionen ausführen. Hier kann man z.B. auf eine bestimmte Absenderadresse matchen und dann die Mail über einen eigenen Transport versenden: /^From: [EMAIL PROTECTED]/ FILTER smtp_user:mail.gmx.net Den Transport smtp_user definiert man in der master.cf: smtp_user unix - - -- - smtp -o smtp_sasl_password_maps=hash:/etc/postfix/smtp_auth_user Somit benutzt dieser Transport eine eigene smtp_auth Datei, in der man ein neues Kundennummer/Passwort Paar angeben kann. Diese Methode hat den Nachteil, dass sie nur auf den From: Header matchen kann. Wenn Envelope-Sender und From: Header sich unterscheiden, was ja durchaus legitim sein kann, werden diese Mails trotzdem über die Hauptkennung abgeschickt; GMX wird sie höchstwahrscheinlich ablehnen. Mit Hilfe der access Tabelle kann man auf Envelope-Sender matchen. Das sieht etwa so aus: [EMAIL PROTECTED]FILTER smtp_user:mail.gmx.net Damit wird das beschriebene Problem vermieden. Die access Tabelle hat aber den Nachteil, dass sie nur für Mails verwendet wird, die über SMTP eingeliefert werden. Lokale Mails, die über /usr/sbin/sendmail abgeschickt werden, werden nicht gefiltert. Je nach Einsatzszenario empfiehlt es sich ggf. beide Ansätze zu verwenden. Gruß, Harald P.S.: ich verwende Postfix-2.0.16 von www.backports.org und bin mir nicht sicher, ob die beschriebene Methode auch mit älteren Versionen funktioniert -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Programm zur Passwortverwaltung
Hallo, Alexander Bruckner [EMAIL PROTECTED]: Kennt eigentlich jemand von euch ein Programm mit dem man, unter Linux, verschlüsselt seine Passwörter verwalten kann? Einfach etwas für Bank PIN bis Chatpassword. Auf meiner Homepage kannst Du pwstore.sh herunter laden. Es basiert auf GPG und shred und funktioniert im Gegensatz zu allen Fertiglösungen, die ich dazu gefunden habe, auch ohne X11. www.weidner.ch/download.html (ganz unten) Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: /bin/sh: bad interpreter: Permission denied
Hallo, Klaus Becker [EMAIL PROTECTED]: Worin besteht der Unterschied zwischen fstab und mtab ? Ich hab' noch nie mtab angefasst benutze Linux (vor allem Mandrake) seit jahren. fstab wird von der Distribution angelegt und vom Administrator ggf. von Hand verändert. Es enthält alle Mounts, die beim Booten ausgeführt werden (Default) und evtl. noch weitere (Option noauto). mtab wird von dem Kommando mount gepflegt. Es enthält genau die Mounts, die in diesem Moment gerade aktuell sind. mtab sollte nicht von Hand verändert werden, da das (a) nichts bringt, (b) beim Shutdown zu Problemen führen könnte und (c) beim nächsten Booten sowieso wieder überschrieben wird. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: /bin/sh: bad interpreter: Permission denied
Hallo, Klaus Becker [EMAIL PROTECTED]: Das Programm ist unter /home/user/opt/... installiert und läuft unter Mandrake, aber unter Knoppix bekomme ich diese Meldung, auch als root. Welche Versionen verwendest Du? Bei mir läuft Mozilla Firebird 0.7 ohne Probleme auf einer Festplatteninstallation von Knoppix 3.2. Ein generelles Problem dieser Kombination ist mir nicht bekannt. Man beachte, dass es zwei Versionen von Firebird für Linux gibt: MozillaFirebird-0.7-i686-linux-gtk2+xft.tar.gz MozillaFirebird-0.7-i686-pc-linux-gnu.tar.gz Die erste ist dynamisch gegen diverse GTK- und andere Bibliotheken gelinkt und läuft i.d.R. nicht out-of-the-box. In der zweiten sind die exotischeren Bibliotheken alle statisch integriert, so dass sie auf fast allen halbwegs aktuellen Linux-Installationen laufen sollte. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Systemzeit und Zeitzonen
Hallo, Ändern mit date hat zur Folge, daß dann unter MS-Windows die Uhrzeit eine Stunde zu früh ist. Nun kann ich mir natürlich helfen, indem ich auf beiden Systemen GMT als Zeitzone angebe, dann wird bei beiden die selbe Zeit angezeigt. Das ist aber keine gute Lösung. Kann mir jemand einen Rat geben? Linux hält die Uhrzeit intern immer in GMT, und lediglich die Tools wie date, ls, ... sorgen dafür, dass bei Ausgaben entsprechend umgerechnet wird. Windows führt dagegen die Zeit in der konkreten Zeitzone mit, was zur Folge hat, dass sie zweimal im Jahr angepasst werden muss (oder bei Reisen in andere Zeitzonen noch öfter). Um (Debian-) Linux beizubringen, dass die Zeit in der Hardwareuhr als Lokalzeit zu interpretieren und daher beim Booten umzurechnen ist, muss in /etc/defauls/rcS der Parameter UTC auf no gesetzt werden. Anschliessend unter Windows die korrekte Zeit einstellen. Beim nächsten Linux-Boot sollte alles stimmen. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Automatisch generierte HTML mails verschicken (Content-Type)
Hallo, Rupert Wenzel [EMAIL PROTECTED]: ich moechte per crontab html formatierte Mails versenden. Wer hat eine Loesung, es muss natuerlich nicht mutt sein. Kann ich eventuell direkt per Skript mit postfix sprechen (ohne mutt) #!/bin/sh /usr/sbin/sendmail -f [EMAIL PROTECTED] -t EOF Subject: Vorsicht, HTML Mail From: Absender [EMAIL PROTECTED] To: Empfaenger [EMAIL PROTECTED] Content-Type: text/html body Das ist eine HTML-Mail. /body EOF Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fragen zu Root-Kit
Hallo, Andreas Kretschmer [EMAIL PROTECTED]: | Es bietet eine per Passwort | geschützte entfernt nutzbare Shell, die durch ein gefälschtes Paket | (das die meisten Firewall-Konfigurationen umgeht) gestartet wird, und | versteckt Prozesse, Dateien und Verbindungen. Mich interessiert der letzte Satz. Ich interpretiere ihn so, daß auch iptables löchrig ist, oder wird es nur löchrig durch das Root-Kit? Nach meinem Verständnis geht es in dem obigen Satz eher um vorgelagerte Firewall-Systeme, die zwischen dem Internet und dem angegriffenen System filtern und selber noch nicht kompromittiert wurden. Einige kommerzielle Firewall-Produkte sind lassen z.B. jegliche UDP Pakete passieren, wenn als Absender-Portnummer 53 gewählt wird. Andere lassen grundsätzlich alle Paket mit Protokollnummer 50 (ESP) oder 47 (GRE) durch, wenn in der Konfiguration VPN angeklickt wurde. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verstndnissfrage zu Timeout und MaxClients
Hallo, Torsten Schneider [EMAIL PROTECTED]: Der Wert Timeout steht auf 300 Nein, die werden für 300 Sekunden offen gehalten, wenn der Client sie nicht vorher explizit geschlossen hat. Bei HTTP/1.1 gibt es die Möglichkeit, nach dem Senden eines Files nicht sofort die Verbindung abzubauen, damit weitere Files transferiert werden können. Was Du beschreibst, ist der Parameter KeepAliveTimeout. Timeout bezieht sich auf die Situation, wenn innerhalb einer laufenden Transaktion nichts mehr geht. Z.B. weil der Client abgestürzt ist oder das Netzwerk gestört ist. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umlaute nach Rücksicherung
Hallo, Gregor Klemens [EMAIL PROTECTED]: nach einer Rücksicherung von einem Bandlaufwerk mittels tar, werden die Umlaute in Windows-Dateinamen nicht korrekt dargestellt. Das hat zur folge, dass unter Sambashares diese kaputten Dateien oder Ordner gar nicht zu sehen sind. Gibt es eine Möglichkeit diese Umlaute wiederherzustellen? Werden die Umlaute denn unter Linux korrekt dargestellt? Wenn ja, ist es ein Konfigurationsproblem von Samba. Schaue mal in der smb.conf nach den Einstellungen characer set und client code page. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: i-net-Zugang eines Clients zeitlich begrenzen
Hallo,
Martin Roth [EMAIL PROTECTED]:
Vier der Clients sollen nun weiter den Internetzugang ohne Einschränkungen
nutzen können, während ein Client Zugang nur in einem bestimmten Zeitfenster
(z.b. 12-20Uhr) zu diesem Dienst hat.
1. Frage: Wie könnte man dieses Problem einfach lösen?
Mit Hilfe von iptables Regeln, die per cron zeitgesteuert verändert
werden, lässt sich der Zugriff nach IP-Nummern oder, falls es sich
um Ethernet handelt, nach MAC-Adressen filtern.
Allerdings sind sowohl IP-Nummern als auch MAC Adressen fälschbar. Eine
wirklich sichere Lösung ist nur mit einem VPN zu erreichen.
Jetzt wird es ein wenig kompliziert. Man möchte diesen (eingeschränkten)
Zugang in Einheiten vergeben. Eine Einheit entspricht dabei einer Stunde.
Mit einer Einheit kann man so, im oben erwähnten Zeitfenster (z.b.
12-20Uhr), den Internetdienst eine Stunde lang nutzen.
2. Frage: Ich weis hier nun überhaupt nicht, wie und wo ich ansetzen
muss und bin so für jeden Hinweis dankbar.
Wenn Du ein auf PPP basierendes VPN (z.B. PPTP oder PPPoE) verwendest,
dann kannst Du in einem /etc/ppp/ip-{up,down}.d Skript eine Aktion
starten, mit der die Nutzungszeiten erfasst werden.
Die Nutzungszeiten würde ich, zusammen mit den Gutschriften, als SOLL
und HABEN Posten in eine Datenbank schreiben. Die Abrechnung ist dann
simple Kredit/Debit Buchhaltung, wofür es in guten Lehrbüchern über
Wirtschaftsinformatik sicherlich schon vorgefertigte SQL-Prozeduren
gibt.
Für den Rest ist Handarbeit angesagt, da es meines Wissens keine fertige
Lösung gibt.
sorry
- für das posten via Outlook
- das ich mir nicht die Mühe gemacht habe, selbst zu recherchieren (mir
fehlt im Moment einfach nur die zeit)
/sorry
Sowas kann man natürlich auch bei jemandem in Auftrag geben, der
sich damit auskennt...
Gruß, Harald
--
Harald Weidner [EMAIL PROTECTED]
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Transparenter Squid
Hallo, Andreas Kretschmer [EMAIL PROTECTED]: iptables -t nat -A PREROUTING -p tcp -s ! $PROXY --dport 80 -j DNAT --to $PROXY:3128 Der Proxy arbeitet korrekt, wenn ich im Client-Browser ihn angebe. Aber er soll ja transparent sein, und das geht nicht. Er bekommt zwar Pakete via dem DNAT, aber er stellt sich doof. Woher weisst Du, dass er die Pakete bekommt? Was genau ist mein Denkfehler? In Ermangelung von Informationen kann man hier nur spekulieren. - Ist auf dem Router das IP Forwarding aktiviert? - Erlaubt der Router Pakete, bei denen ein- und ausgehendes Interface gleich sind? - Gibt es weitere iptables-Regeln auf dem Router? Wie sind die Default-Policies? - Gibt es iptables-Regeln für den Proxy-Rechner? - Hat der Proxy-Rechner ein Problem mit Paketen, deren Absender-IP- Nummer nicht zur MAC-Adresse passt? - In der beschriebenen Konfiguration kann der Proxy nur dann zuverlässig funktionieren, wenn die Browser in jeder Anfrage einen gültigen Host-Header senden. Tun sie das? Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Transparenter Squid
Hallo, Andreas Kretschmer [EMAIL PROTECTED]: Örks. Nun bin ich verwirrt: Die Sache funktioniert Out-of-The-Box, wenn ich Masquerading für das Netz einschalten. Will ich aber eher nicht. Muß ich das zwingend? Das erhärtet den Verdacht, dass es auf dem Router mehr iptables-Regeln als nur die genannte gibt. Falls Du Filterregeln mit Connection Tracking (-m state) verwendest, dann ist Dein Netz möglicherweise empfindlich gegenüber asymmetrischem Routing. Genau das bekommst Du aber mit der genannten DNAT Regel, denn die Antwortpakete des Proxy-Rechners gehen nicht über den Router. Eine mögliche Abhilfe ist, die Client-Zugriffe gegenüber dem Proxy-Rechner zu MASQUERADEn. Sie hat aber den Nachteil, dass man im Proxy-Log die Quelle der Anfragen nicht mehr sieht. Eine andere Möglichkeit ist ein ACCEPT für alle Pakete mit -i $INTDEV -o INTDEV (ohne -m state). Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Gefaelschte MAC-Addys finden
Hallo, Rainer Wiener [EMAIL PROTECTED]: ich habe hier einen dhcp laufen der die IPs auf Basis der MAC-Addy vergibt. Desweiteren wird über die IP ein Traffic-Volumen berechnet. Nun ist es ja möglich MAC-Addys zu fälschen. Gibt es eine möglichkeit festzustellen ob jemand mit einer gefälschten MAC unterwegs is? Dieses Problem tritt in vielen Studentenwohnheimen oder WGs auf und ist mir auch schon in Firmen begegnet. Eine effektive Lösung ist nur mit einem VPN möglich. Das Routing auf dem Ethernet wird auf das Hausnetz beschränkt und ist kostenlos. Irgendwo im Netz wird ein VPN Server eingerichtet und das Accounting durchgeführt. Am einfachsten geht das mit PPTP (PoPToP) und statischen IP-Nummern für die Benutzer. Windows-Clients bringen einen PPTP-Client gleich mit, und unter Linux ist die Installation nicht schwer, wenn man auf MPPE- Verschlüsselung verzichten kann. Andernfalls muss man den Kernel patchen. Für diejenigen Bewohner, die keinen PPTP Client verwenden können oder wollen, bietet sich folgende Option an: Das Routing im Ethernet wird zunächst auf das Hausnetz beschränkt. Über ein Web-basiertes Frontend kann man mit Passwort das globale Routing für die aktuelle IP-Nummer und MAC-Adresse freischalten. Die Frei- schaltung wieder wieder aufgehoben - nach expliziter Abmeldung per Web-Interface - nach 5-minütiger Inaktivität - spätestens eine Stunde nach der Freischaltung. Das ist keine hundertprozentig sichere Lösung. Man kann nicht verhindern, dass ein Angreifer die IP-Nummer und MAC-Adresse eines authentifizierten Benutzers klaut, merkt es aber daran, dass eigener Datentransfer nicht mehr geht. Durch die Timeouts wird Schadensbegrenzung durchgeführt; man kann nicht auf Kosten eines Bewohners surfen, der seit Stunden im Hörsaal sitzt. Diese Lösung ist nicht schwer zu implementieren. In einer eigenen iptables-Chain wird pro freigeschaltetem Benutzer und pro Richtung eine Regel mit IP-Nummer und MAC geführt, deren Target auf eine Chain mit weiterem Regeln/Accounting zeigt. Am Ende der ersten Chain steht eine DROP Regel. Wichtig ist, das Accounting erst ganz am Ende zu machen; sonst könnte ein Angreifer auf Kosten eines Bewohners Pakete ins DENY blasen. Alle paar Minuten überprüft ein Cronjob, ob Pakete eines frei- geschalteten Benutzers im Accounting auftauchen und/oder ob die Stunde um ist. Ein weiterer Vorteil dieser Lösung ist, dass sie für den Benutzer unbequem ist und ihn sanft zur Nutzung des VPN bekehrt. ;-) Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: procmail-regel
Hallo, Michelle Konzack [EMAIL PROTECTED]: wie muss ich die Regel in Procmail machen, damit, wenn eine mail mit einem Bestimten 'subject' erscheint, durch einen Filter (bashscript) gejagt, manipuliert und wieder an procmail zurückgeschickt wird, damit die anderen Filterregeln abgearbeitet werden ? :0 fw * ^Subject: irgendwas | /pfad/zum/skript In vielen Fällen braucht man gar kein Skript zu schreiben, sondern kann eine der vielen Filtermöglichkeiten des Programms formail verwenden, das Bestandteil des Paketes procmail ist. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Transparenter Squid
Hallo, Andreas Kretschmer [EMAIL PROTECTED]: Eine andere Möglichkeit ist ein ACCEPT für alle Pakete mit -i $INTDEV -o INTDEV (ohne -m state). Ja, das probiere ich. Ähm, wo, in INPUT? Nein, FORWARD. Etwas in der Art (ungetestet) iptables -A FORWARD -i $INTDEV -o $INTDEV -j ACCEPT am Anfang des Regelsatzes sollte es tun. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall für xdsl konfigurieren: ppp0/eth0/eth1
Hallo, Andreas Bohnert [EMAIL PROTECTED]: über eth0 (intern) versorge ich meine übrigen rechner mit internet. muss ich zusätzlich noch was beachten, wenn ich masquerading freigebe oder passt das dann so? Es kommt darauf an, welches Sicherheitsniveau Du erreichen willst. Einfach nur Masquerading freizugeben hiesse, dass alle Rechner im inneren Netz beliebige Verbindungen nach außen öffnen und damit nach Hause telefonieren dürfen. In meinem privaten Netz sind auch von innen nach außen nur sehr wenige Dienste erlaubt. Fast alles, insbesondere auch HTTP und HTTPS, muss über einen Proxy mit Authentifikation. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: firewall für xdsl konfigurieren: ppp0/eth0/eth1
Hallo, Andreas Bohnert [EMAIL PROTECTED]: eth0 ist mein privates Netzwerk (192.168.0.1). eth1 bekommt eine lokale ip vom xdsl router (subnet 10.x.x.x). über pptp erstelle ich dann einen tunnel zum router. jetzt habe ich ppp0, mein xdsl interface. soweit, so gut. die verbindung kann ich herstellen, doch wie konfiguriere ich meine firewall? ppp0 ist nun mein externes interface, aber was ist mit eth1 (das mit dem router verbunden ist)? eth1 ist in diesem Fall weder innen noch außen, sondern muss separat konfiguriert werden. Da Du PPTP darüber fahren willst, müssen TCP-Verbindungen zu Port 1723 des Routers und das Protokoll 47 (GRE) bidirektional geöffnet sein. Mehr würde ich nicht öffnen, außer der Router ist unter Deiner Kontrolle und Du bist sicher, daß er gut geschützt ist. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: pppd stirbt nach Zwangstrennung
Hallo, Alexander Stellwag [EMAIL PROTECTED]: mein pppd stirbt nach jeder Zwangstrennung (T-DSL). Damit laufen Optionen wir persists voll ins Nirwana. Google und das Archiv bringen mir zwar ein paar References auf das Problem, aber irgendwie keine Lösung dafür. Dafür gibt es (mindestens) zwei Lösungen: - Aufruf des pppd aus ein Shellskript heraus, das den pppd überwacht und ggf. neu startet. Das Skript adsl-start aus dem Originalpaket rp-pppoe von www.roaringpenguin.com macht das so. - Start des pppd aus der /etc/inittab heraus. Dann wird er automatisch neu gestartet, wenn er wegfliegt. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: pppd stirbt nach Zwangstrennung
Hallo, Peter Blancke [EMAIL PROTECTED]: - Start des pppd aus der /etc/inittab heraus. Dann wird er automatisch neu gestartet, wenn er wegfliegt. Hast Du das im praktischen Einsatz? Ja, allerdings nicht im Zusammenhang mit pppoe, sondern mit pptp (poptop). Die Loesung klingt ueberzeugend, ist aber nach meinen Recherchen noch nirgends genannt worden. Deshalb interessiert mich, ob diese Loesung Stabilitaet in die PPPD-Existenz bringt. Diese Methode steht in irgendeinem HowTo zu poptop. Ich habe sie aber auch schon in diversen Linux-Mailinglisten gesehen und auch selber empfohlen. Stabilitätsprobleme habe ich bisher keine festgestellt. Sicherheitstechnisch sollte man beachten, dass eventuelle Firewall-Regeln vor dem Start des Daemons aus der inittab gesetzt werden, damit es keinen Zeitraum gibt, innerhalb dessen alles offen ist. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: pppd stirbt nach Zwangstrennung
Hallo, - Start des pppd aus der /etc/inittab heraus. Dann wird er automatisch neu gestartet, wenn er wegfliegt. Hast Du das im praktischen Einsatz? Ja, allerdings nicht im Zusammenhang mit pppoe, sondern mit pptp (poptop). Da mich einige Leute gefragt haben, hier der dafür nötige Eintrag in der /etc/inittab: pptp:2345:respawn:/usr/local/sbin/pptpd -f Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fetchnews alle zehn Minuten
Hallo, [EMAIL PROTECTED]: Gibt es für fetchnews von leafnode auch eine Deamon-Option wie bei fetchmail. Ich häte nämlich gerne das die News alle 10 Minuten verschickt werden. Dafür würde ich einfach cron bzw. crontab verwenden. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: HD Kopie
Hallo, Markus Maiwald [EMAIL PROTECTED]: Was sollte an cp -a nicht akzeptabel sein? Werkzeuge zur Dateisicherung unter Unix cp: Sichert einzelne Dateien, probleme bei SymLinks. Braucht Dateisystem als Ziel, Bänder scheiden dadurch aus. [...] Das ist aber keine Antwort auf meine Frage. cp aus den Linux-coreutils hat mit der Option -a definitiv keine Probleme mit Symlinks, und kopiert auch Devices, Pipes und Sockets ohne Schwierigkeiten. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: HD Kopie
Hallo, Kurz, ich müsste eine der bestehenden Harddisk Kopieren / Clonen. Gemäss der Anleitung 'Hard Disk Upgrade Mini How-To' eine Kopie erstellt. Was auch geklappt hat, leider konnte ich nach dem Upgrade von Debian nicht mehr booten. Der Bootvorgang brach mit 'l 66' ab. Zur Erklärung; der Bildschirm wurde mit der zahl 6 gefüllt. Ich weiss nicht, was in diesem Howto steht, aber nach dem Clonen muss in fast allen Fällen lilo aufgerufen werden, damit die zum Booten benötigten Informationen neu erstellt werden. Mit Knoppix gebootet und einfach mit dd if=/dev/hda of=/dev/hdc die Platte kopiert. Mit dem Ergebniss, das der Bootprozess mit einem Kernel Panic auf beiden Platten (original und Kopie) abbricht!!! Kernel Panic ist hässlich; da spukt Dir wohl irgendeine instabil unterstützte Hardware dazwischen. Ansonsten funktioniert die dd= Methode nur dann, wenn es sich um bezüglich ihrer Geometrie identische Platten handelt. Ich hoffe ihr könnt mir helfen und mir einfachere Methoden vorschlagen. Ich clone Harddisks immer so: - Stoppen aller Daemons und Programme, die die Harddisk verändern - Partitionierung und mkfs der Zielplatte von Hand - Anlegen der Mountpoints auf der Zielplatte; ineinandermounten in ein geeignetes Verzeichnis - umount /proc - Kopieren mit cp -av - in das neue root-Verzeichnis wechseln. - chroot . - ggf. etc/fstab anpassen - ggf. etc/lilo.conf anpassen - lilo aufrufen - Rechner herunter fahren, alte Platte ausbauen, neu booten Falls beide Platten nicht gleichzeitig eingebaut sein dürfen, kann statt des cp -av ein .tar.gz Archiv angelegt und auf einem Netzwerk-Share abgelegt werden. Dabei sollte die Option -p (Preserve) von tar verwendet werden. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: HD Kopie
Hallo, Markus Maiwald [EMAIL PROTECTED]: Ein cp -a ist nicht akzeptabel, da ist cpio auf jeden Fall besser geeignet! Was sollte an cp -a nicht akzeptabel sein? Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fetchmail/procmail/imap: $LOGNAME immer root
Hallo, meine /etc/fetchmailrc mda /usr/bin/procmail -t -a \$EXTENSION Warum wird denn die mail nicht an user.bjoern geliefert, dafür hatte ich ja mit cyradm auch entsprechende Folder angelegt. Weil ein fetchmail-Daemon procmail explizit den Usernamen mitteilen muss, an den zugestellt werden soll. Probiere es mal mit mda /usr/bin/procmail -t -f '%F' -d '%T' Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Maillisten verwalten (mutt) ?!
Hallo, mich würde einfach mal interessieren wie ihr das enorme Mailaufkommen der Liste handhabt. Wie bewahrt ihr euer Maillisten Folder vor dem Überlaufen? Ich speise alle Listenmails in mein lokales Newssystem (INN) ein. Das Skript dazu habe ich selbst geschrieben; es kann auch von meiner Homepage herunter geladen werden: http://www.weidner.ch/download/ Newsreader sind in der Regel eher dazu geeignet, mit sehr großen Nachrichten-Mengen umzugehen, als Mailreader. Ich persönlich bevorzuge trn4. Die Listenmails werden nach Ablauf des Expiry, das bei mir auf 100 Tagen steht, automatisch gelöscht. Hin und wieder archiviere ich besonders informative Beiträge manuell. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fwd: fsck_zerschießt_ext3-Partition
Hallo, Beim 60. Boot wieder das gleiche, nur diesmal deutlich mehr Fehlermeldungen. Wieder sollte ich mich als root anmelden und fsck manuell starten. Diesmal waren es dann aber endlos viele Fehler und ein fsck-Lauf reichte nicht aus, ich musste es ca. 5 mal starten. Und danach war die ganze Partition hin. Alles, was noch da war, lag in /lost+found. Für mich hört sich das stark nach Hardwareproblemen an, vermutlich fehlerhaftes RAM. Linux puffert viele Meta-Informationen der Filesysteme im RAM und speichert sie zeitverzögert auf der Platte, um die Performance zu erhöhen. Wenn da ein Bit kippt, dann kann nach dem nächsten Sync eine Datei oder die Struktur des Filesystems defekt. Ich würde mal mit memtest den Rechner ein wenig stressen. Noch akuratere Ergebnisse bringt memtest86, das ein eigenständiger Bootkernel ist. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umgebungsvariable MAIL
Hallo, Thilo Engelbracht [EMAIL PROTECTED]: Für die Schüler habe ich Benutzerquotas gesetzt: Jeder Schüler hat x MB Speicherplatz im Heimatverzeichnis. Dies soll auch für E-Mails gelten, damit nicht große Videos o.ä. per E-Mail empfangen werden. Aus diesem Grund sollen alle eingehenden E-Mails in dem Heimatverzeichnis des Users gespeichert werden. Das ist nicht nötig. Wenn Du den Quota-Support fuer die Platte, auf der /var/mail liegt, aktivierst, dann kannst Du den Schuelern auch hier Quotas geben (und den Lehrern unlimited Quota). Dass dabei Mail- und Home-Quota getrennt vergeben werden, würde ich sogar eher als Vorteil ansehen. Die Schüler greifen von mehreren M$-Rechnern über SAMBA auf den Server zu. Natürlich haben sie auf das Heimatverzeichnis vollen Zugriff (lesen und schreiben). Jeder User hat eine eigene ~/.procmailrc-Datei sowie ~/.spamassassin/user_prefs-Datei. Diese können natürlich von den Usern gelöscht werden (z.B. versehentlich). Dieses Problem löse ich immer so, dass ich nicht direkt die Homeverzeichnisse freigebe, sondern ein Unterverzeichnis ~/data . Damit können die Dotfiles über Samba nicht angerührt werden. Eine andere Möglichkeit wäre, Dotfiles von Samba generell ausblenden zu lassen. Das schützt aber meines Wissens nicht vor gezieltem Zugriff auf bekannte Filenamen. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: E-Mail Attatchement ist nicht brauchbar
Hallo, Frank Evers [EMAIL PROTECTED]: Kann mir jemand sagen, was ich machen muß, um die Dateien wieder zu reparieren? begin 666 Gregor von Rosen.vcf M0D5'24XZ5D-!4D0-E9%4E-)3TXZ,BXQ#0I..G9O;B!2;W-E;CM'F5G;W(- [...] Diese Datei wurde mit uuencode kodiert und kann mit uudecode dekodiert werden. Speichere den Mailbody in eine Datei und führe uudecode dateiname aus. Dann sollte eine Datei Gregor von Rosen.vcf entstehen. Ältere Versionen von uudecode haben ein Problem mit Leerzeichen im Dateinamen. Das kannst Du umgehen, indem Du die erste Zeile nach begin 666 Gregor_von_Rosen.vcf abänderst. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Keine Festplatten mehr unter /dev/hd*
Hallo, Johann Maier [EMAIL PROTECTED]: Aber unter /dev/ fehlen alle Laufwerke! Diese Laufwerke sind nun in /dev/ide/bus0/target0/lun0/disk(oder so ähnlich ;-)) Nun habe ich Lilo so konfiguriert, dass die Root-Partition /dev/ide/bus0/target0/lun0/part3 ist. Nur so lässt sich dieser Kernel starten. Aber der alte Kernel erzeugt die notwendigen Einträge in /dev/. Ansonsten scheint alles super zu funktionieren. Kann mir das mal einer erklären? Kann es sein, dass Dein alter Kernel die Optionen /dev file system support und Automatically mount at boot aktiviert hatte, und der neue die zweite oder beide Optionen nicht mehr hat? Suche mal nach den Einträgen mit CONFIG_DEVFS im Kernel .config File und vergleiche sie mit der Konfig des alten Kernels (sofern Du sie aufbewahrt hast...) Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] SCO
Hallo, Sebastian Steins [EMAIL PROTECTED]: Aber irgendwie verstehe ich die Sachlage nicht ganz: SCO behauptet, Rechte an Teilen des Linux-Codes zu besitzen (Patentrechte). Novell behauptet nun aber, dass die fraglichen Teile gar nicht SCO gehören, sondern ihnen selber, also Novell. Ich lese die Infos nur auf pro-linux.de, aber nach dem, was dort stand, geht es bei SCO vs. IBM um Urheberrechte. Es soll angeblich Original-Unix-Sourcecode, den IBM von SCO per Sourcecode-Lizenz bekommen hat, in den Linux-Kernel eingebaut worden sein. Den Beweis ist SCO bisher allerdings schuldig geblieben. Die betroffenen Codesegmente wurden nicht öffentlich benannt. Und selbst wenn es gleichlautende Abschnitte gibt, dann muss noch der Nachweis erbracht werden, dass die Zeilen von Unix in Linux kopiert wurden und nicht umgekehrt. Sidn Patentschriften nicht offen zugänglich? Gilt so etwas wie der Freedom of Information Act nicht auch für Patente? Patentschriften sind öffentlich einsehbar, neuere in der Regel sogar elektronisch erhältlich. Die Unix-Patente sind aber uralt, und es steht garantiert noch ATT als Antragsteller drin. Warum hat dann noch kein Jurist nachgesehen, wer (Novell oder SCO) nun Recht hat? Möglicherweise, weil niemand weiß, welche Teile des Codes schlussendlich betroffen sind, aber woher weiß das Novell? Ob Novell neben den Urheberrechten auch die Patente an Caldera übertragen hat, hängt von dem Vertragstext zwischen den beiden Firmen ab, und da der sehr schwammig sein soll, wird das wohl erst von einem Gericht geklärt werden. Was ist SCO für eine Firma? Die existieren doch nur noch, um ihre angeblichen Ansprüche geltend zu machen. Warum sonst entfernen sie nach der einstweiligen Verfügung die gesamte deutsche Webseite? SCO war ursprünglich mal ein renommierter Unix-Hersteller, der ganz legal auf Basis des ATT Unix ein eigenes Produkt entwickelt und vertrieben hat. Irgendwann waren sie aber dem Konkurs nahe und wurden von Caldera aufgekauft. Erst vor kurzem hat Caldera sich selbst nach SCO umbenannt, wohl um von dem guten Ruf des Namens zu profitieren. Mit der ursprünglichen SCO hat das aber kaum noch etwas zu tun. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wie APFL-ghostscript 8.0 installieren?
Hallo, Meine Frage ist vielmehr, wie ich den Programmen, vor allem scribus mitteile, dass sie gs8.0 verwenden sollen. Welche Umgebungsvariabel wird für gs gesetzt, wie gebe ich die dem programm mit? Ich kenne scribus nicht, aber wenn der Pfad dort nicht fest eincompiliert ist, dann wird generell dasjenige gs aufgerufen, das zuerst im PATH vorkommt. Wenn dort also /usr/local/bin vor /usr/bin steht, dann wird standardmässig Ghostscript 8.0 verwendet. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: NOAPIC beim Start von Knoppix von Platte
Hallo, Schumacher, Gregor - HLG [EMAIL PROTECTED]: beim Start von Knoppix von der CD konnte ich NOAPIC eingeben und meine Netzwerkkarte lief. Jetzt nach der Installation auf Platte weiß ich nicht wo ich den Befehl unterbringen soll. In Lilo.conf hatte ich es unter append eingetragen aber die Karte funktioniert trotzdem nicht. noapic ist ein korrektes Boot-Argument. Es funktioniert allerdings nur bei SMP-Kernels; bei einem Uniprozessor-Kernel hat es keine Wirkung. Meintest Du vielleicht nicht APIC, sondern ACPI? Dann könnte acpi=off oder pci=noacpi eine Lösung für Dein Problem sein. Mehr Informationen über die verfügbaren Argumente findest Du im Linux BootPrompt-HOWTO. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wie APFL-ghostscript 8.0 installieren?
Hallo, Kann ich das 8.0 einfach installieren (parallel neben dem schon installierten), oder was würdet ihr empfehlen? Ich habe auf meiner Debian-3.0 Kiste den APFL Ghostscript 8.0 aus den Sourcen installiert, und es gibt keine Probleme. Paket Ghostscript auspacken ./configure --prefix=/usr/local make make install cd /usr/local/share/ghostscript Paket Ghostscript-Fonts auspacken Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wie APFL-ghostscript 8.0 installieren?
Hallo, ./configure --prefix=/usr/local Wird damit nicht das alte ghostscript überschrieben? Ist das also nicht problematisch? Debian installiert alle Pakete grundsätzlich unter /usr. /usr/local ist für eigene Erweiterungen und wird von Debian nicht angerührt. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Backupplanung
Rainer Ellinger [EMAIL PROTECTED]: Wenn interessiert schon das Backup, wichtig ist das Restore ;-) Wo er recht hat, hat er recht! CD-R(W)s, Bänder und ähnlich leicht portable Medien sollten möglichst verschlüsselt werden. Es geht primär gar nicht mal um die perfekte Sicherheit. Es reicht schon, wenn jemand, der ein Medium entwendet oder im Müll findet, mit dem Medium alleine keine Daten wieder herstellen kann. Ich würde das Backup auf keinen Fall verschlüsseln. Bei den gängigen Verschlüsselungsverfahren genügt ein einziges gekipptes Bit, um einen ganzen Block oder sogar den ganzen Rest des Backups unlesbar zu machen. Falls die Backups doch verschlüsselt sein müssen, dann sollte man eine Stromchiffre verwenden, bei der sich jedes Bit des Chiffrats aus der XOR-Verknüpfung von Klartext und Schlüssel(-folge) ergibt. Ebenso würde ich Backups nicht komprimieren. Bei den gängigen Verfahren wie bzip2, gzip oder compress genügt ebenfalls ein einziges gekipptes Bit, um den gesamten Rest des Backups unlesbar zu machen. Für meine Backups verwende ich immer noch das gute alte tar. Restores sind damit selbst auf exotischen Systemen kein Problem. -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Antivirus-Konzept
Hallo, Fischer, Andre [EMAIL PROTECTED]: zur Zeit scanne ich meine Mails mit amavis. Als ich mir jetzt überlegte, wie ich samba dazu bekomme on-the-fly nach Viren zu scannen, stellte sich mir die Frage ob man das nicht alles von einem Scanner erledigen lassen kann. Unter http://www.ravantivirus.com/ wird ein Virenscanner angeboten, der speziell mit Samba zusammen arbeitet und im User Space läuft. Er ist unabhängig von der verwendeten Kernel-Version und Distribution (ausser Samba-Version). Andere On-Demand Scanner wie z.B. Kaspersky klinken sich in den Kernel ein und modifizieren dort System Calls. Sie wirken bei jedem Zugriff. Der Nachteil ist, dass sie nur mit speziellen Kernel-Versionen und Filesystemen zusammen arbeiten. Spezialkernel, z.B. mit XFS, werden nicht unterstützt. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: make menuconfig bricht mit Fehler ab (will kernel neu tüddeln)
Hallo, collect2: ld returned 1 exit status Unable to find the Ncurses libraries. You must have Ncurses installed in order to use 'make menuconfig' make[1]: *** [ncurses] Error 1 Das Paket ncurses ist jedoch installiert. was kann ich da machen? Hast Du das Paket libncurses installiert ? Hierin befinden sich die shared libraries die benötigt werden ! Die benötigten Pakete sind + libncurses5 + libncurses5-dev Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Allg. Frage zu Tomcat
Hallo, ich habe ich eine ganz allgemeine Frage zu Tomcat. Ist es möglich bei Tomcat schon kompiliert Programm zu hinterlegen, so das der Quellcode geschützt bleibt? Ja. Einfach die compilierten Servlets (*.class Dateien) nach /var/lib/tomcat4/webapps/application name/WEB-INF/classes kopieren. Beispiele gibt es unter /var/lib/tomcat4/webapps/examples. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: mit scp browsen?
Hallo, [EMAIL PROTECTED]: anders als mit ftp kann man mit scp ja nicht browsen. Gibt es ein Programm das es doch ermöglicht, indem z.B. in einer parallelen Session per 'ssh' und 'ls' gebrowsed wird? sftp. Ist Bestandteil des Paketes ssh. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Merkwrdige IPTables-Meldungen
Hallo, ich habe meinem Paketfilter beigebracht, per default alles zu verweigern und nur bestimmte Ports (SSH, Web, SMTP, POP3, etc) zu öffnen und auch nur in bestimmte Richtungen (SSH und FTP nach aussen sind dicht, aber von aussen offen). Zusätzlich habe ich mit $IPT -A OUT-m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT (OUT ist eine Zusammenfassung von FORWARD und OUTPUT) festgelegt, daß auf jeden Fall bestehende Verbindungen nicht gestört werden sollen. Hast Du sichergestellt, dass diese zusätzlichen Regeln die ersten der jeweiligen Chains sind? Wenn andere Regeln vorher greifen und das Target dort DROP ist, dann ist es vorbei. Speziell bei der OUT Chain (deren Sinn mir unklar ist) musst Du ausserdem darauf achten, dass nicht in den Chains OUTPUT und FORWARD weitere Regeln stehen, die vorher greifen. Trotzdem kriege ich ab und an Meldungen wie diese im syslog kernel: IN= OUT=eth0 SRC=193.111.112.14 DST=134.28.62.2 LEN=100 TOS=0x12 PREC=0x00 TTL=64 ID=41329 DF PROTO=TCP SPT=22 DPT=3293 WINDOW=10944 RES=0x00 ACK PSH URGP=0 kernel: IN= OUT=eth0 SRC=193.111.112.14 DST=134.28.62.2 LEN=164 TOS=0x12 PREC=0x00 TTL=64 ID=41329 DF PROTO=TCP SPT=22 DPT=3293 WINDOW=10944 RES=0x00 ACK PSH URGP=0 Was genau an diesen Logs schlimm sein soll, musst Du noch erklären. Eine solche Zeile entsteht genau dann, wenn eine Regel passt, die ein LOG Target enthält. An welcher Stelle stehen in Deiner Konfiguration LOG Targets? und das oft zeitgleich mit einer urplötzlich abgebrochenen SSH-Verbindung zu besagtem Rechner. Wo liegt mein Denkfehler? Ich dachte, obige iptables-Regel sollte bestehende Verbindungen nicht kappen. Oder habe ich mir einen Trojaner eingefangen? ;*) Bei so wenigen Informationen kann man nur raten, wo das Problem liegt. Wenn ich es richtig verstehe, verdächtigst Du Netfilter, den Zustand der TCP-Verbindungen nicht oder nicht korrekt zu verfolgen. Folgendes fällt mir dazu ein: - Falsche Reihenfolge der Regeln, siehe oben. - Irgendwo im Regelwerk fehlt ein -m state --state NEW bei einer Regel, die eigentlich nur auf neu initiierte Verbindungen greifen sollte. - Zu lange Idle-Zeiten innerhalb einer Verbindung. Der Kernel schmeisst Verbindungen, über die längere Zeit kein Paket geht, aus dem Speicher, um tote Verbindungen nicht ewig zu halten. - Eine der Seiten hat ein TCP RST geschickt - Dein Netfilter läuft als Kernelmodul, und Dein Rechner ist so konfiguriert, dass Kernel-Module nach einiger Zeit der Inaktivität automatisch entladen werden. In diesem Fall vergisst der Kernel die Verbindungen. - Auf einer der Seiten wechselt die IP-Nummer, z.B. weil es sich um eine Dialup-Verbindung mit dynamischer IP-Nummernvergabe handelt. - Die maximale Anzahl gespeicherter Verbindungen wird überschritten (steht bei Kernel 2.4.19 auf 2089, siehe conntrack_core.c). Ich empfehle Dir, mal mein Firewall-Skript auszuprobieren. Du findest es auf meiner Homepage www.weidner.ch unter Download, ziemlich weit unten. Wenn es damit funktioniert, dann ist der Fehler bei Dir vermutlich im Regelsatz. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Merkwrdige IPTables-Meldungen
Hallo, Jens Benecke [EMAIL PROTECTED]: Davor steht nur -P DROP und -m state INVALID -j DROP für in+fw+out. Heisst das, diese Pakete sind ungültig/kaputt? INVALID heisst nur, dass die Pakete zu keiner existierenden Verbindung gehören, d.h. weder NEW noch ESTABLISHED noch RELATED sind. Wenn die Pakete durch diese Regel gehen, werden sie aber nicht geloggt, da Du ja wie unten beschrieben nur am Ende der Chains ein LOG Target hast. Also kann es das nicht sein. OUT ist nur OUTPUT und FOWARD zusammengefasst, da ich nicht beide seperat konfigurieren wollte. Da der Rechner aber nicht routet, ist FORWARD doch eigentlich komplett unnötig, oder? Ja. Einfach Default Policy auf DROP setzen und fertig. Das hatte ich schon vermutet. Brauchst du das komplette Skript? Kannst du gerne haben. Wenn Du es mir schickst, schaue ich es mal an. Mal ganz allgemein: Bringt das was, wenn ich allgemein ESTABLISHED,RELATED zulasse und bei allen expliziten Regeln noch NEW benutze? Dann kann ich doch gleich generell Traffic über die jeweiligen Ports zulassen. Wenn Du das -m state --state NEW weglässt, dann erlaubst Du - auch Paketen, die zu keiner existierenden Verbindung gehören, sowie - je nach weiteren Regeln auch anderen Paketen, die zufällig als Absenderport den offenen Port (SSH o.ä.) haben den Firewall zu passieren. Ob das schlimm ist, kann man so pauschal nicht sagen. Aber das schöne an einem zustandsorientierten Paketfilter ist eben, dass man effektiv nur für verbindungsiniierende Pakete Regelwerke braucht und alles andere über ESTABLISHED und RELATED abwickeln kann. - Zu lange Idle-Zeiten innerhalb einer Verbindung. Das könnte es sehr gut sein. Das kommt jetzt drauf an, wie lange zu lange ist - wenns 1-2 min sind, dann ist es das wahrscheinlich. Die Maschine ist zeitweise ziemlich busy. Nein, es bewegt sich in der Region von Stunden. Die genaue Zahl habe ich leider gerade nicht im Kopf. - Eine der Seiten hat ein TCP RST geschickt Macht sshd das? Oder ssh? Oder passiert das auf einer anderen Ebene? Das macht der TCP-Stack im Kernel des Endsystems (auf dem SSH oder SSHD läuft), wenn ein Paket reinkommt, das entsprechende Program aber nicht (mehr) läuft. - Die maximale Anzahl gespeicherter Verbindungen wird überschritten (steht bei Kernel 2.4.19 auf 2089, siehe conntrack_core.c). Kann man das mittels /proc o.ä. hochschrauben? Nein, das ist in o.g. File hart codiert. Eine Änderung geht nur durch Neucompilieren des Kernels, und ich weiss nicht, welche Nebeneffekte das hat. Ich habe im Regelfall einige -zig bis hundert apache- und mysql-Tasks laufen. Was kommt denn bei lsof -i | grep ESTABLISHED | wc -l? Neue Firewallskripte geben mir bei Rechnern, die 500km entfernt stehen, immer ein mulmiges Gefühl. :-) Das ist allerdings ein Argument... Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables - chains - firewall?
Hallo, Frederik [EMAIL PROTECTED]: Demnach bin ich bei iptables an der richtigen Adresse, oder? Ja. # iptables -L modprobe: Can't locate module ip_tables muss ich meinen Kernel abändern - ich dachte das wäre builtin-standard? Man kann bei einem Linux-Kernel (fast) alles eincompilieren oder weglassen. In diesem Fall fehlt Deinem Kernel die nötige Funktionalität, sie ist weder eincompiliert noch als Modul angegeben. Du wirst also den Kernel neu compilieren müssen. Dabei musst Du unter Networking Options die Option Network packet filtering anwählen und dann unter IP Netfilter Configuration alle Optionen auswählen, entweder als Modul oder fest eincompilieren. Falls Du das noch nie gemacht hast, verrät Dir das Kernel-HOWTO, wie das geht. HOWTO's liegen bei Debian unter /usr/doc/HOWTO, oder sind unter http://www.linux.org/docs/ldp/howto/HOWTO-INDEX/howtos.html verfügbar. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Irgendwas klaut mir 95% meiner CPU-Rechenzeit.
Hallo, [EMAIL PROTECTED]: Hi, was kann das sein? PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND 389 markus20 0 47812 46M 13288 R98.6 18.6 6:44 kdeinit Ein abgestürzter KDE. Das kommt bei mir gelegentlich vor, wenn man beim Einloggen bereits irgendwelche Fenster anklickt, bevor der Desktop komplett aufgebaut ist. KDE beenden und neu starten sollte helfen. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: qmail-src.deb oder qmail-sources installieren?
Hallo, ich will den qmail-Mailserver auf meinem Debian Woody Server einsetzen. Habe dazu 3 Moeglichkeiten gefunden: - qmail-src installieren, build-qmail, dpkg -i qmail.deb - qmail Sourcen (offizielle) installieren [...] Diese beiden Varianten sind gleichwertig. Zwischen woody und sid hat sich qmail nicht mehr verändert. Die aktuelle Version qmail-1.03 ist von 1998. Der Autor hat offenbar das Interesse an der Software verloren, und aufgrund der Lizenzbedingungen kann auch nicht einfach jemand anderer die Pflege übernehmen. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Intel HAM-Modem
Hallo, Ralph Bergmann [EMAIL PROTECTED]: Ich muss Dich entäuschen, war oder ist nicht meine nächste Frage. Den Treiber hab ich gefunden, nur bekomme ich diesen nicht installiert. Bei der Installation hat er nach den Kernel-Sourcen gefragt, wenn ich diese aber installiere will er immer noch nicht, er kann eine Datei nicht finden :-( Die Kernel-Sourcen des aktuell laufenden Kernels müssen unter /usr/src/linux liegen. Das .config File darin muss aktuell sein. So, wie es halt bei Linux üblich ist. Wie hast Du das gemacht??? Wäre für einen Tip oder noch besser für eine Step by Step Anleitung dankbar ;-) Es ist wirklich einfach. - Auswahl des richtigen Treibers. Es gibt (für Kernel 2.4) zwei davon, nämlich für MD5628-L-B und für MD5628D-L-C. Welches Modem Du hast, sollte aus der Systemdokumentation hervorgehen. Wenn nicht, musst Du beide ausprobieren. - Als root auspacken, das readme.txt lesen und die darin gegebene Installationsanleitung befolgen. Sie beschränkt sich auf make clean make ham make install - Nach dem Installieren werden automatisch die benötigten Module hamcore.o und ham.o geladen. Das Modem ist unter /dev/ham verfügbar, d.h. wenn Du z.B. eine PPP-Verbindung mit pppconfig erstellen willst, musst Du /dev/ham anstelle von z.B. /dev/ttyS0 als Device angeben. Es werden auch die für Debian nötigen init-Skripte installiert, d.h. nach dem Booten ist das Device automatisch wieder aktiv. Ich hoffe, das hilft Dir weiter. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: jakarta-tomcat (ohne zusätzliches jdk?)
Hallo, Michael Hilscher [EMAIL PROTECTED]: Nein natürlich nicht - /etc/default/tomcat4 ist die Konfigurationsdatei. In dieser ist: JAVA_HOME=/root/j2sdk1.4.1_01 definiert. ich habe den Pfad nun zusätzlich neben /root/j2sdk1.4.1_01/bin in $PATH aufgenommen und JAVA_BIN in /etc/default/tomcat ebenfalls hinzugefügt. Das Ergebnis bleibt das gleiche: less /var/log/tomcat4/catalina.out The JAVA_HOME environment variable is not defined correctly This environment variable is needed to run this program Das sieht mir stark nach einem Zugriffsrechteproblem aus. /root ist bei Debian normalerweise für alle anderen User gesperrt. Tomcat läuft aber unter der User-Id tomcat. Hast Du mal versucht, die Rechte zu ändern, oder noch besser das JDK in einem anderen Pfad (z.B. /usr/local/lib/java) zu entpacken? Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zu Fetchmail
Hallo, Mario Duve [EMAIL PROTECTED]: Ich möchte mit Fetchmail einen Multidrop Account abrufen. Wie kann ich aber erreichen, das Fetchmail die Mail anstatt an einen locale User wieder an den MTA (Postfix) schickt damit dieser laut der Transportmap die mail für diese Domain an einen anderen SMTP Server schickt? mda /usr/sbin/sendmail -i -oem -f %F %T Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
