Re: Raar login probleem
Hoi Geert en anderen, Op 25-04-2024 om 23:13 schreef Geert Stappers: On Tue, Apr 23, 2024 at 08:12:05PM +0200, Paul van der Vlis wrote: Op 23-04-2024 om 18:36 schreef Geert Stappers: On Tue, Apr 23, 2024 at 11:01:01AM +0200, Paul van der Vlis wrote: Hoi, Ik kreeg melding dat een backup mislukt was, en ik wou kijken. Het bleek dat ik ook niet kon inloggen via SSH. Op een gegeven moment zag ik de melding "ssh Exceeded MaxStartups". Dat lees ik als "ssh te vaak opnieuw opgestart, ik ben er wel klaar mee". En ben wel benieuwd hoe die melding te zien was. Het eerst zag ik hem via telnet, met "telnet host 22". Maar het was ook te zien met "ssh -vvv user@host" -- debug1: identity file /home/auto/.ssh/id_dsa type -1 debug1: identity file /home/auto/.ssh/id_dsa-cert type -1 debug1: Local version string SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u2 debug1: kex_exchange_identification: banner line 0: Exceeded MaxStartups kex_exchange_identification: read: Connection reset by peer Connection reset by 391.918.718.63 port 22 - Op het moment doet hij het soms, en soms niet. Mijn inschatting is dat er heel veel inlogpogingen zijn (van stoute mensen), dat sshd daar druk mee is. Ik zie inderdaad wel inlogpogingen in auth.log, maar niet extreem veel. Ongeveer 1 per minuut. Maar dit komt uit "journalctl -xn -r | less": Apr 26 11:48:06 host dbus-daemon[307]: [system] Activating via systemd: service name='org.freedesktop.login1' unit='dbus-org.freedesktop.login1.service' requested by ':1.1' (uid=0 pid=374 comm="/usr/bin/python3 /usr/share/unattended-upgrades/un") Apr 26 11:48:05 host dbus-daemon[307]: [system] Activation via systemd failed for unit 'dbus-org.freedesktop.login1.service': Unit dbus-org.freedesktop.login1.service is masked. Apr 26 11:48:05 host dbus-daemon[307]: [system] Activating via systemd: service name='org.freedesktop.login1' unit='dbus-org.freedesktop.login1.service' requested by ':1.1' (uid=0 pid=374 comm="/usr/bin/python3 /usr/share/unattended-upgrades/un") Apr 26 11:48:04 host dbus-daemon[307]: [system] Activation via systemd failed for unit 'dbus-org.freedesktop.login1.service': Unit dbus-org.freedesktop.login1.service is masked. Apr 26 11:48:04 host dbus-daemon[307]: [system] Activating via systemd: service name='org.freedesktop.login1' unit='dbus-org.freedesktop.login1.service' requested by ':1.1' (uid=0 pid=374 comm="/usr/bin/python3 /usr/share/unattended-upgrades/un") Apr 26 11:48:02 host dbus-daemon[307]: [system] Activation via systemd failed for unit 'dbus-org.freedesktop.login1.service': Unit dbus-org.freedesktop.login1.service is masked. Hmm, ik zie nu pas dat het om unattended-upgrades gaat... Toch is de machine wel up-to-date. Ik denk dat `ss -t`, socket statistic TCP, die pogingen laat zien. Nee, dat zegt alleen: root@host:~# ss -t State Recv-Q Send-Q Local Address:Port Peer Address:Port Process ESTAB 0 0 91.198.178.63:ssh 188.213.90.187:54410 ESTAB 0 0 91.198.178.63:ssh 188.213.90.187:41406 root@host:~# Danwel dat het iets is om verder uit te zoeken. Machine gereboot, zelfs twee keer. Op een gegeven moment kon ik weer inloggen. Via SSH of via een andere manier? Via SSH. Via een seriele console inloggen ging ook niet. In de logs zie ik dit soort meldingen: A.u.b. een toelichting op "de logs" Ik hoopte op een antwoord als `less /var/log/bestandsnaam` of `journalctl -u naamvanservice` journalctl -r -xn | less Apr 21 00:00:07 fileserver dbus-daemon[318]: [system] Activating via systemd: service name='org.freedesktop.login1' unit='dbus-org.freedesktop.login1.service' requested by ':1.122' (uid=0 pid=197561 comm="/usr/bin/python3 /usr/share/unattended-upgrades/un") - Waarom die regel er uitgelicht? Deze zag ik vele keren, en het was eigenlijk de enige regel. Let ook op de laatste stuk wat eindigt op "un", net alsof er iets is weggevallen. "systemctl unmask dbus-org.freedesktop.login1.service" geeft geen foutmelding, maar hij blijft "masked". systemctl status dbus-org.freedesktop.login1.service Dan zegt hij dit: * dbus-org.freedesktop.login1.service Loaded: masked (Reason: Unit dbus-org.freedesktop.login1.service is masked.) Active: inactive (dead) Maar als ik me niet vergis, is dat eigenlijk normaal. stappers@somehost:~ $ systemctl status dbus-org.freedesktop.login1.service | cat ● systemd-logind.service - User Login Management Loaded: loaded (/usr/lib/systemd/system/systemd-logind.service; static) Drop-In: /usr/lib/systemd/system/systemd-logind.service.d └─dbus.conf Active: active (running) since Wed 2024-04-24 07:31:10 CEST; 1 day 15h ago Docs: man:s
Re: Raar login probleem
Hoi Geert en anderen, Op 23-04-2024 om 18:36 schreef Geert Stappers: On Tue, Apr 23, 2024 at 11:01:01AM +0200, Paul van der Vlis wrote: Hoi, Ik kreeg melding dat een backup mislukt was, en ik wou kijken. Het bleek dat ik ook niet kon inloggen via SSH. Op een gegeven moment zag ik de melding "ssh Exceeded MaxStartups". Dat lees ik als "ssh te vaak opnieuw opgestart, ik ben er wel klaar mee". En ben wel benieuwd hoe die melding te zien was. Het eerst zag ik hem via telnet, met "telnet host 22". Maar het was ook te zien met "ssh -vvv user@host" -- debug1: identity file /home/auto/.ssh/id_dsa type -1 debug1: identity file /home/auto/.ssh/id_dsa-cert type -1 debug1: Local version string SSH-2.0-OpenSSH_9.2p1 Debian-2+deb12u2 debug1: kex_exchange_identification: banner line 0: Exceeded MaxStartups kex_exchange_identification: read: Connection reset by peer Connection reset by 91.198.178.63 port 22 - Op het moment doet hij het soms, en soms niet. Machine gereboot, zelfs twee keer. Op een gegeven moment kon ik weer inloggen. Via SSH of via een andere manier? Via SSH. Via een seriele console inloggen ging ook niet. In de logs zie ik dit soort meldingen: A.u.b. een toelichting op "de logs" Apr 21 00:00:07 fileserver dbus-daemon[318]: [system] Activating via systemd: service name='org.freedesktop.login1' unit='dbus-org.freedesktop.login1.service' requested by ':1.122' (uid=0 pid=197561 comm="/usr/bin/python3 /usr/share/unattended-upgrades/un") - Waarom die regel er uitgelicht? Deze zag ik vele keren, en het was eigenlijk de enige regel. Let ook op de laatste stuk wat eindigt op "un", net alsof er iets is weggevallen. "systemctl unmask dbus-org.freedesktop.login1.service" geeft geen foutmelding, maar hij blijft "masked". systemctl status dbus-org.freedesktop.login1.service Dan zegt hij dit: * dbus-org.freedesktop.login1.service Loaded: masked (Reason: Unit dbus-org.freedesktop.login1.service is masked.) Active: inactive (dead) Maar als ik me niet vergis, is dat eigenlijk normaal. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Raar SSH probleem
Hoi, Ik kreeg melding dat een backup mislukt was, en ik wou kijken. Het bleek dat ik ook niet kon inloggen via SSH. Op een gegeven moment zag ik de melding "ssh Exceeded MaxStartups". Machine gereboot, zelfs twee keer. Op een gegeven moment kon ik weer inloggen. In de logs zie ik dit soort meldingen: Apr 21 00:00:07 fileserver dbus-daemon[318]: [system] Activating via systemd: service name='org.freedesktop.login1' unit='dbus-org.freedesktop.login1.service' requested by ':1.122' (uid=0 pid=197561 comm="/usr/bin/python3 /usr/share/unattended-upgrades/un") - Let ook op de laatste stuk wat eindigt op "un", net alsof er iets is weggevallen. "systemctl unmask dbus-org.freedesktop.login1.service" geeft geen foutmelding, maar hij blijft "masked". Iemand een idee hoe dit te debuggen? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Ethernet werkt niet
Hoi Richard en anderen, Het probleem is ondertussen opgelost, zie ook de reply op het bericht van Geert. Op 18-03-2024 om 18:20 schreef Richard Lucassen: On Mon, 18 Mar 2024 14:13:11 +0100 Paul van der Vlis wrote: Naast networkmanager heb ik ook een verbinding via /etc/network/interfaces geprobeerd, maar daar ook geen succes. Wat ik zie is een boel DHCPDISCOVER maar geen lease. Het lijkt alsof hij geen antwoord krijg via DHCP. En als je Network-Destroyer stopt en gewoon aan de cli kijkt wat er gebeurt? ip link set eth0 up Daarna: dhclient eth0 Ik ga daar eens mee spelen. Toch mooi in een situatie zoals deze. Of ip a a a.b.c.d/nm dev eth0 ip r a default via a.b.c.1 En /etc/resolv.conf even editten Ik heb trouwens een laptop (staat nu 1000km verderop) en die heeft een issue met de hardware of driver (ik weet zo niet uit m'n hoofd welke kaart dat is). Die geeft qua receive niet thuis soms en dan zie je wel dhcp requests maar geen antwoord. Zoiets was dat bij mij ook. Ik vroeg me af of er ook een soort PING was op MAC niveau. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Ethernet werkt niet
Hallo Geert en anderen, Bedankt voor je uitgebreide reactie. Ondertussen werkt het, maar toch interessant. Op 18-03-2024 om 22:34 schreef Geert Stappers: On Mon, Mar 18, 2024 at 02:13:11PM +0100, Paul van der Vlis wrote: Hallo, Ik heb iemand een computer verkocht met een nogal standaard Debian installatie, voor zover ik weet functioneerde het hier prima. Echter bij de klant werkt ethernet niet. Er is ook wifi aanwezig, dat werkt wel. Ik heb wel een keer een verbinding gezien via ethernet, maar NetworkManager bleef "draaien". Een laptop werkt wel bedraad aan dezelfde kabel, aan dezelfde switch, achter dezelfde router. De switch is al een keer gereset, de router (een Fritzbox) nog niet, want hij wordt druk gebruikt. Als het even rustiger is wordt hij opnieuw opgestart. Naast networkmanager heb ik ook een verbinding via /etc/network/interfaces geprobeerd, maar daar ook geen succes. Wat ik zie is een boel DHCPDISCOVER Waar worden die DHCPDISCOVERs gezien? > En hoe? Ik zag dat ze als ik iets deed als: ifup device Dus ik zag het op het device zelf maar geen lease. Het lijkt alsof hij geen antwoord krijg via DHCP. Er zijn bij deze klant vaker problemen geweest met het bekabelde netwerk, het vermoeden was dat er een kabel niet helemaal goed was. Maar deze is niet gemakkelijk te vervangen. We hebben op een gegeven moment wel de switch vervangen, en sindsdien lijkt het beter te gaan. Op wat voor manier kun je een link controleren voordat er een IP is uitgedeeld? ip link show dev enp8s0 En als je package ethtool ge-installeerd hebt: sudo ethtool enp8s0 Vervang mijn enp8s0 door de device naam van de computer in kwestie. Interessant! Ga ik proberen. Het is overigens gewoon een Intel netwerkchip. Er is geen beveiliging op MAC adres in de router volgens de klant (moet ik misschien nog controleren). Controleer ook "beveiling op MAC adres" in de switch. Het is een domme switch. Hebben jullie verder nog tips? Controleer de verbinding tussen router en switch. Dat is een wat matige kabel, maar vaak werkt hij. Maar naar mijn mening is de persoon die het daar uitvoert toch wat chaotisch, waardoor ik verkeerde conclusies getrokken heb. Dat in combinatie met een slechte kabel. Het werkt opeens! Groet, Paul Groet, Paul Dit komt uit de logs: - mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7656] device (enp0s31f6): Activation: starting connection 'Wired connection 1' (81b728a8-8692-467b-9e61-6062a3e8b139) mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7658] device (enp0s31f6): state change: disconnected -> prepare (reason 'none', sys-iface-state: 'managed') mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7667] device (enp0s31f6): state change: prepare -> config (reason 'none', sys-iface-state: 'managed') mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7691] device (enp0s31f6): state change: config -> ip-config (reason 'none', sys-iface-state: 'managed') mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7705] dhcp4 (enp0s31f6): activation: beginning transaction (timeout in 45 seconds) mrt 18 12:56:23 pc7 NetworkManager[615]: [1710762983.7301] device (enp0s31f6): state change: ip-config -> failed (reason 'ip-config-unavailable', sys-iface-state: 'managed') duckduckgo NetworkManager 'ip-config-unavailable', sys-iface-state: 'managed' mrt 18 12:56:23 pc7 NetworkManager[615]: [1710762983.7310] device (enp0s31f6): Activation: failed for connection 'Wired connection 1' ---- Groeten Geert Stappers -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Ethernet werkt niet
Hallo, Ik heb iemand een computer verkocht met een nogal standaard Debian installatie, voor zover ik weet functioneerde het hier prima. Echter bij de klant werkt ethernet niet. Er is ook wifi aanwezig, dat werkt wel. Ik heb wel een keer een verbinding gezien via ethernet, maar NetworkManager bleef "draaien". Een laptop werkt wel bedraad aan dezelfde kabel, aan dezelfde switch, achter dezelfde router. De switch is al een keer gereset, de router (een Fritzbox) nog niet, want hij wordt druk gebruikt. Als het even rustiger is wordt hij opnieuw opgestart. Naast networkmanager heb ik ook een verbinding via /etc/network/interfaces geprobeerd, maar daar ook geen succes. Wat ik zie is een boel DHCPDISCOVER maar geen lease. Het lijkt alsof hij geen antwoord krijg via DHCP. Er zijn bij deze klant vaker problemen geweest met het bekabelde netwerk, het vermoeden was dat er een kabel niet helemaal goed was. Maar deze is niet gemakkelijk te vervangen. We hebben op een gegeven moment wel de switch vervangen, en sindsdien lijkt het beter te gaan. Op wat voor manier kun je een link controleren voordat er een IP is uitgedeeld? Het is overigens gewoon een Intel netwerkchip. Er is geen beveiliging op MAC adres in de router volgens de klant (moet ik misschien nog controleren). Hebben jullie verder nog tips? Ik weet het even niet meer. Groet, Paul Dit komt uit de logs: - mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7656] device (enp0s31f6): Activation: starting connection 'Wired connection 1' (81b728a8-8692-467b-9e61-6062a3e8b139) mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7658] device (enp0s31f6): state change: disconnected -> prepare (reason 'none', sys-iface-state: 'managed') mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7667] device (enp0s31f6): state change: prepare -> config (reason 'none', sys-iface-state: 'managed') mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7691] device (enp0s31f6): state change: config -> ip-config (reason 'none', sys-iface-state: 'managed') mrt 18 12:55:38 pc7 NetworkManager[615]: [1710762938.7705] dhcp4 (enp0s31f6): activation: beginning transaction (timeout in 45 seconds) mrt 18 12:56:23 pc7 NetworkManager[615]: [1710762983.7301] device (enp0s31f6): state change: ip-config -> failed (reason 'ip-config-unavailable', sys-iface-state: 'managed') mrt 18 12:56:23 pc7 NetworkManager[615]: [1710762983.7310] device (enp0s31f6): Activation: failed for connection 'Wired connection 1' ---- -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Booten vanaf USB steeds trager
Hoi Geert en anderen, Op 21-02-2024 om 22:35 schreef Geert Stappers: On Wed, Feb 21, 2024 at 04:02:59PM +0100, Paul van der Vlis wrote: Op 20-02-2024 om 21:02 schreef Geert Stappers: On Tue, Feb 20, 2024 at 09:31:02AM +0100, Paul van der Vlis wrote: Hallo, Ik heb een setup waarbij ik boot vanaf USB met grub. Het valt me op dat dit steeds trager wordt, op dezelfde machine: Debian10: 18 seconden Debian11: 60 seconden Debian12: ruim 120 seconden zestig gedeeld door achttien is dik drie ruim honderdtwing gedeeld door zes is net geen twee Wat vooral lang duurt is "loading initial ramdisk", het lichtje is dan reuze hard aan het knipperen. Het gaat verder allemaal wel goed. Op een snellere machine is het wel wat sneller, maar het blijft onacceptabel traag. Ik heb ook al de kernel-optie "debug" gegeven, dan maakt initramfs een log. Maar omdat er geen tijden bij staan zegt het me weinig over wat nu zo lang duurt. Dmesg geeft wel tijden, maar ik kom er niet uit. Ik zie hetzelfde ook op andere machines. Overigens niet bij een Debian installer of livestick, dat gaat wel goed. Maar als ik echt Debian installeer op een USB device start het traag, dezelfde SSD aan SATA gaat wel goed. Ik heb al verschillende USB naar SATA kabels geprobeerd, maar dat lijkt ook niet het probleem. Hebben jullie ideeën hoe ik dit booten vanaf USB sneller krijg? Ja, ik heb wel een idee. En dat idee wil ik ruilen voor de output van `ls -l /boot` op de getestde versies. Dit is op Debian 10: -- knip -- -rw-r--r-- 1 root root 52343097 jun 3 2021 initrd.img-4.19.0-16-amd64 -- knip -- -rw-r--r-- 1 root root 5287168 mrt 19 2021 vmlinuz-4.19.0-16-amd64 52 miljoen plus 5 miljoen is 57 miljoen. Dit is op Debian 11: -- knip -- -rw-r--r-- 1 root root 57863143 21 feb 15:58 initrd.img-5.10.0-28-amd64 -- knip -- drwx-- 2 root root12288 19 feb 21:24 lost+found -rw-r--r-- 1 root root 7039552 31 jan 22:14 vmlinuz-5.10.0-28-amd64 57m + 7m = 64m 64/57=1,12En 1,12 is echt geen factor drie. Dit is op Debian 12: -- knip -- -rw-r--r-- 1 root root 87651238 19 feb 17:48 initrd.img-6.1.0-15-amd64 -- knip -- drwx-- 2 root root12288 19 feb 16:22 lost+found -rw-r--r-- 1 root root 8140672 9 dec 16:48 vmlinuz-6.1.0-15-amd64 87m + 8m = 95m 95/64 is ongeveer anderhalf. Die anderhalf komt wel in de buurt van factor twee. Terug naar Hebben jullie ideeën hoe ik dit booten vanaf USB sneller krijg? Ja, ik heb wel een idee. Het idee is de kernel en initrd kleiner maken. Of de laad-snelheid groter. Het lijkt er haast op dat dit met een heel lage snelheid gebeurd. Maar wat ook heel goed kan is dat er iets in de initramfs zit wat veel tijd kost. Maar blijkbaar alleen in legacy-mode van het bios, niet bij UEFI. De bijvangst van de `ls -l /boot` is dat "de snelste" geen 'lost+found' heeft. Over verschil in disk partities is nog geen informatie gegeven. Er zijn inderdaad meer verschillen. De twee trage hebben LVM en encryptie en een aparte /boot. Ik had de tijd gemeten tot aan de paswoord prompt van de encryptie. Of bij de oudste tot de berichten van het opstarten van de services begonnen. Nou, ik hoop dat je een goed tip hebt. De initrd is wat groter inderdaad, maar 87MB is niet zo heel groot, met USB3 is dat zo over toch? Groet, Paul Groeten Geert Stappers Verzoek: Meer nieuwsgierigheid, minder mening en nog minder verwachtingen Wellicht waren het wat frustraties... Het ging om iets wat klaar moest, simpel leek, maar onverwachte problemen gaf. En dan ook nog meerdere van dit soort dingen tegelijk. Doe ons allemaal een plezier en ga voor meer nieuwsgierigheid. Stel vragen als "Waar kijk ik tegen aan?", "Hoe het verder te onderzoeken?", "Welk aspect van dichtbij bekijken?". Ik had het beter kunnen formuleren. En ik was er graag dieper in gedoken, maar niet genoeg tijd. Laat meningen op de achtergrond. Verwoord "steeds trager" als "duurt steeds langer". Je bedoeld: een positievere insteek. Mocht je wel een mening hebben, laat dan jouw ego dan aan jouw karma vragen waar die mening "for the greater good" te ventileren. Verwachtingen zijn helemaal van je zelf. Daar moet ik dan zelf ook het meeste mee doen. Zo als geen verwachtingen hebben. Tja, ik heb wel verwachtingen (want ook maar een mens). En ben dan teleurgesteld als het anders gaat. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Booten vanaf USB steeds trager
Hoi allen, Op 20-02-2024 om 09:31 schreef Paul van der Vlis: Hallo, Ik heb een setup waarbij ik boot vanaf USB met grub. Het valt me op dat dit steeds trager wordt, op dezelfde machine: Debian10: 18 seconden Debian11: 60 seconden Debian12: ruim 120 seconden Wat vooral lang duurt is "loading initial ramdisk", het lichtje is dan reuze hard aan het knipperen. Het gaat verder allemaal wel goed. Op een snellere machine is het wel wat sneller, maar het blijft onacceptabel traag. Ik heb ook al de kernel-optie "debug" gegeven, dan maakt initramfs een log. Maar omdat er geen tijden bij staan zegt het me weinig over wat nu zo lang duurt. Dmesg geeft wel tijden, maar ik kom er niet uit. Ik zie hetzelfde ook op andere machines. Overigens niet bij een Debian installer of livestick, dat gaat wel goed. Maar als ik echt Debian installeer op een USB device start het traag, dezelfde SSD aan SATA gaat wel goed. Ik heb al verschillende USB naar SATA kabels geprobeerd, maar dat lijkt ook niet het probleem. Hebben jullie ideeën hoe ik dit booten vanaf USB sneller krijg? Ik heb in elk geval een work-arround. Dit probleem blijkt niet te spelen in UEFI modus. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: sshd Match regel
Hoi Gijs en anderen, Op 20-02-2024 om 21:18 schreef Geert Stappers: On Tue, Feb 20, 2024 at 08:06:22AM +0100, Gijs Hillenius wrote: On 19 February 2024 18:26 Rik Theys, wrote: Beste, On Mon, Feb 19, 2024 at 5:53 PM Gijs Hillenius wrote: Iets als, onderaan sshd_config dit: , | Match User webcams | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss ` ssh lijkt dat te willen snappen. Desondanks verschijnt dezelfde foutmelding in auth.log. De clients bevestigen: "unable to exchange encryption keys." Als ik op de server doe: ssh localhost -Q HostKeyAlgorithms daar zie ik toch ssh-dss en ssh-rsa staan. Maar ... niet de "oude"? Wie heeft een tip De -Q optie geeft een lijst van ondersteunde algorithms, daarom niet degene die actief zijn? Ik zou eens proberen met een Match op het IP adres ipv de gebruikersnaam. Mogelijk is de uitwisseling van de gebruikersnaam pas na het tot stand komen van de encryptie? Ow! dank voor het meedenken, dat helpt. Idd, ik zie in de ssh logs niet die username. Maar , | Match Address 192.168.123.42 | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss ` geeft helaas dezelfde melding in de log. sudo /usr/sbin/sshd -d Dat is inderdaad een heel goede tip om ssh problemen te debuggen. Maar je moet het op de server draaien, en wellicht op een andere poort omdat je jezelf anders buitensluit. En die poort moet uiteraard wel openstaan. Soms kun je wel even de poort van een andere applicatie gebruiken als je die applicatie sluit, bijvoorbeeld poort 80 als je een aanwezige webserver sluit. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Booten vanaf USB steeds trager
Hoi Geert en anderen, Op 20-02-2024 om 21:02 schreef Geert Stappers: On Tue, Feb 20, 2024 at 09:31:02AM +0100, Paul van der Vlis wrote: Hallo, Ik heb een setup waarbij ik boot vanaf USB met grub. Het valt me op dat dit steeds trager wordt, op dezelfde machine: Debian10: 18 seconden Debian11: 60 seconden Debian12: ruim 120 seconden Wat vooral lang duurt is "loading initial ramdisk", het lichtje is dan reuze hard aan het knipperen. Het gaat verder allemaal wel goed. Op een snellere machine is het wel wat sneller, maar het blijft onacceptabel traag. Ik heb ook al de kernel-optie "debug" gegeven, dan maakt initramfs een log. Maar omdat er geen tijden bij staan zegt het me weinig over wat nu zo lang duurt. Dmesg geeft wel tijden, maar ik kom er niet uit. Ik zie hetzelfde ook op andere machines. Overigens niet bij een Debian installer of livestick, dat gaat wel goed. Maar als ik echt Debian installeer op een USB device start het traag, dezelfde SSD aan SATA gaat wel goed. Ik heb al verschillende USB naar SATA kabels geprobeerd, maar dat lijkt ook niet het probleem. Hebben jullie ideeën hoe ik dit booten vanaf USB sneller krijg? Ja, ik heb wel een idee. En dat idee wil ik ruilen voor de output van `ls -l /boot` op de getestde versies. Dit is op Debian 10: -rw-r--r-- 1 root root 206143 okt 18 2020 config-4.19.0-12-amd64 -rw-r--r-- 1 root root 206269 nov 28 2020 config-4.19.0-13-amd64 -rw-r--r-- 1 root root 206242 mrt 19 2021 config-4.19.0-16-amd64 -rw-r--r-- 1 root root 206118 mrt 15 2019 config-4.19.0-4-amd64 -rw-r--r-- 1 root root 206361 nov 11 2019 config-4.19.0-6-amd64 drwxr-xr-x 5 root root 4096 jun 3 2021 grub -rw-r--r-- 1 root root 51780082 nov 30 2020 initrd.img-4.19.0-12-amd64 -rw-r--r-- 1 root root 51874209 dec 28 2020 initrd.img-4.19.0-13-amd64 -rw-r--r-- 1 root root 52343097 jun 3 2021 initrd.img-4.19.0-16-amd64 -rw-r--r-- 1 root root 25616128 okt 29 2019 initrd.img-4.19.0-4-amd64 -rw-r--r-- 1 root root 51705982 nov 30 2020 initrd.img-4.19.0-6-amd64 -rw-r--r-- 1 root root 182704 jun 25 2015 memtest86+.bin -rw-r--r-- 1 root root 184840 jun 25 2015 memtest86+_multiboot.bin -rw-r--r-- 1 root root 3415048 okt 18 2020 System.map-4.19.0-12-amd64 -rw-r--r-- 1 root root 3419998 nov 28 2020 System.map-4.19.0-13-amd64 -rw-r--r-- 1 root root 3421023 mrt 19 2021 System.map-4.19.0-16-amd64 -rw-r--r-- 1 root root 3365519 mrt 15 2019 System.map-4.19.0-4-amd64 -rw-r--r-- 1 root root 3410671 nov 11 2019 System.map-4.19.0-6-amd64 -rw-r--r-- 1 root root 5278960 okt 18 2020 vmlinuz-4.19.0-12-amd64 -rw-r--r-- 1 root root 5283056 nov 28 2020 vmlinuz-4.19.0-13-amd64 -rw-r--r-- 1 root root 5287168 mrt 19 2021 vmlinuz-4.19.0-16-amd64 -rw-r--r-- 1 root root 5213424 mrt 15 2019 vmlinuz-4.19.0-4-amd64 -rw-r--r-- 1 root root 5270768 nov 11 2019 vmlinuz-4.19.0-6-amd64 Dit is op Debian 11: -rw-r--r-- 1 root root 236286 2 sep 2022 config-5.10.0-18-amd64 -rw-r--r-- 1 root root 236364 31 jan 22:14 config-5.10.0-28-amd64 drwxr-xr-x 5 root root 1024 21 feb 15:58 grub -rw-r--r-- 1 root root 50620656 19 feb 21:39 initrd.img-5.10.0-18-amd64 -rw-r--r-- 1 root root 57863143 21 feb 15:58 initrd.img-5.10.0-28-amd64 drwx-- 2 root root12288 19 feb 21:24 lost+found -rw-r--r-- 1 root root 83 2 sep 2022 System.map-5.10.0-18-amd64 -rw-r--r-- 1 root root 83 31 jan 22:14 System.map-5.10.0-28-amd64 -rw-r--r-- 1 root root 6962016 2 sep 2022 vmlinuz-5.10.0-18-amd64 -rw-r--r-- 1 root root 7039552 31 jan 22:14 vmlinuz-5.10.0-28-amd64 Dit is op Debian 12: -rw-r--r-- 1 root root 259455 9 dec 16:48 config-6.1.0-15-amd64 drwxr-xr-x 5 root root 1024 19 feb 16:50 grub -rw-r--r-- 1 root root 87651238 19 feb 17:48 initrd.img-6.1.0-15-amd64 drwx-- 2 root root12288 19 feb 16:22 lost+found -rw-r--r-- 1 root root 83 9 dec 16:48 System.map-6.1.0-15-amd64 -rw-r--r-- 1 root root 8140672 9 dec 16:48 vmlinuz-6.1.0-15-amd64 Nou, ik hoop dat je een goed tip hebt. De initrd is wat groter inderdaad, maar 87MB is niet zo heel groot, met USB3 is dat zo over toch? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Booten vanaf USB steeds trager
Hoi Richard en anderen,
Op 20-02-2024 om 12:27 schreef Richard Lucassen:
On Tue, 20 Feb 2024 09:31:02 +0100
Paul van der Vlis wrote:
Ik heb een setup waarbij ik boot vanaf USB met grub. Het valt me op
dat dit steeds trager wordt, op dezelfde machine:
Debian10: 18 seconden
Debian11: 60 seconden
Debian12: ruim 120 seconden
Ik heb ook zoiets gehad, tijdens het booten geeft-ie aan dat-ie de root
device niet kan vinden en dat duurt dan een tijdje. IIRC helpt een
update-initramfs -u
Dit had ik al geprobeerd, maar hielp niet.
dan, maar zeker weet ik dat niet ('t is alweer een tijdje terug). Met
een monitor erop kun je die meldingen zien. Ik sloop trouwens altijd de
"quiet" optie uit /etc/default/grub (en daarna update-grub). Heb je wel
"rootwait" als kerneloptie meegegeven? Volgens mij moet dat ook. Dit
staat in de cmdline.txt file op mijn Raspberry Pi:
console=serial0,115200 console=tty1 root=PARTUUID=3fc93f64-02
rootfstype=ext4 fsck.repair=yes rootwait
Dit is geen Pi, dus ook geen cmdline.txt
Ben geen guru op dat gebied trouwens.
Ik ook niet...
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Booten vanaf USB steeds trager
Hallo, Ik heb een setup waarbij ik boot vanaf USB met grub. Het valt me op dat dit steeds trager wordt, op dezelfde machine: Debian10: 18 seconden Debian11: 60 seconden Debian12: ruim 120 seconden Wat vooral lang duurt is "loading initial ramdisk", het lichtje is dan reuze hard aan het knipperen. Het gaat verder allemaal wel goed. Op een snellere machine is het wel wat sneller, maar het blijft onacceptabel traag. Ik heb ook al de kernel-optie "debug" gegeven, dan maakt initramfs een log. Maar omdat er geen tijden bij staan zegt het me weinig over wat nu zo lang duurt. Dmesg geeft wel tijden, maar ik kom er niet uit. Ik zie hetzelfde ook op andere machines. Overigens niet bij een Debian installer of livestick, dat gaat wel goed. Maar als ik echt Debian installeer op een USB device start het traag, dezelfde SSD aan SATA gaat wel goed. Ik heb al verschillende USB naar SATA kabels geprobeerd, maar dat lijkt ook niet het probleem. Hebben jullie ideeën hoe ik dit booten vanaf USB sneller krijg? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Problemen met rechten LetsEncrypt
Op 27-01-2024 om 23:43 schreef Richard Lucassen: On Sat, 27 Jan 2024 14:16:52 +0100 Paul van der Vlis wrote: Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst uitloggen en weer inloggen voordat de user echt tot de groep hoort. Misschien is dat het? Alles in /etc/letsencrypt was root:root. Dan helpt het niet als een user lid is van een groep. Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat het weer fout gaat bij een nieuw certificaat of bij het verlengen van een certificaat. Ik gebruik ook certbot en ik heb gemerkt dat het af en toe misgaat en dan maakt-ie directories aan met domain.tld-0001 of dirs van gelijke strekking (iets met een nummer als 0001, 0002 etc). Ik heb destijds een quick and dirty script in elkaar gejast: ### #!/bin/dash certbot \ --manual \ --preferred-challenges dns \ certonly \ -d domain.tld \ -d www.domain.tld \ --config-dir ~/share/letsencrypt/etc/ \ --work-dir ~/share/letsencrypt/certs/ \ --logs-dir ~/share/letsencrypt/log/ cd ~/share/letsencrypt/etc/live/domain.tld cat fullchain.pem privkey.pem > domain.tld-bundle.pem scp domain.tld-bundle.pem \ root@:/etc/ssl/domain.tld/ ssh root@ service lighttpd restart ### Op de server zet ik die bundel op chmod 400. De server start toch als root op, leest de spullen uit en gaat dan verder met een unprivileged user. Dat doen sommige applicaties zoals Apache, maar in dit geval gebruikte ik Cyrus-IMAP wat dat blijkbaar niet doet. In de logs stond in elk geval dat hij het niet kon lezen. En alles ging goed nadat ik de rechten veranderde. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Problemen met rechten LetsEncrypt
Op 27-01-2024 om 00:00 schreef Richard Lucassen: On Wed, 24 Jan 2024 15:15:37 +0100 Paul van der Vlis wrote: Op een vers geinstalleerde Debian12 heb ik een raar probleem met LetsEncrypt certificaten. (Ik gebruik certbot, weet niet of dat van belang is.) Eerder was het zo dat gebruikers die lid waren van de groep ssl-cert bij de certicaten en keys mochten, maar nu niet meer. Alleen root mag erbij. Weet iemand hier meer van? Ik zag geen bug. Ik neem aan dat de user wel lid is van de groep ssl-cert. Eerst uitloggen en weer inloggen voordat de user echt tot de groep hoort. Misschien is dat het? Alles in /etc/letsencrypt was root:root. Dan helpt het niet als een user lid is van een groep. Ik heb dit nu gewijzigd, maar met kans op fouten. En ook een kans dat het weer fout gaat bij een nieuw certificaat of bij het verlengen van een certificaat. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Problemen met rechten LetsEncrypt
Hoi allen, Op een vers geinstalleerde Debian12 heb ik een raar probleem met LetsEncrypt certificaten. (Ik gebruik certbot, weet niet of dat van belang is.) Eerder was het zo dat gebruikers die lid waren van de groep ssl-cert bij de certicaten en keys mochten, maar nu niet meer. Alleen root mag erbij. Weet iemand hier meer van? Ik zag geen bug. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: MariaDB problemen met UTF-8
Hoi Geert en anderen, Op 22-01-2024 om 07:00 schreef Geert Stappers: On Sun, Jan 21, 2024 at 11:10:49PM +0100, Paul van der Vlis wrote: Hallo, Ik probeer een database te importeren in MariaDB, A.u.b. iets `head -n 42 de_database_dump` laten zien zodat duidelijk wordt wat de character_set van de database is. Bovenaan staat: SET NAMES utf8; SET foreign_key_checks = 0; En daarna worden de tabellen gedropt en dan aangemaakt met zoiets: -- CREATE TABLE `wp_actionscheduler_actions` ( ) ENGINE=InnoDB AUTO_INCREMENT=15636 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci; - Ik heb "SET NAMES utf8;" gewijzigd in "SET NAMES utf8mb4;" en dat lijkt dit probleem op te lossen! Ik krijg wel weer een volgend probleem, blijkbaar accepteert hij geen lege string als tijd: - ERROR 1292 (22007) at line 182395: Incorrect datetime value: '' for column `edagenda`.`wp_wc_admin_notes`.`date_reminder` at row 1 - Dat kon weer 'opgelost' worden met: SET session sql_mode = 'ALLOW_INVALID_DATES'; Daarna krijg ik: ERROR 1062 (23000) at line 182538: Duplicate entry '0' for key 'user_id' Zo prutsen we verder, of dit goed wordt? maar dit geeft een foutmelding: - ERROR 1366 (22007) at line 139029: Incorrect string value: '\xF0\x9F\x91\x89 S...' for column `edagenda`.`wp_posts`.`post_content` at row 1 - '\xF0\x9F\x91\x89' blijkt een 4-bit UTF-8 teken, het blijkt een handje te zijn: ''. Ik blijk erop te kunnen zoeken en vervangen, maar dan lukt het importeren nog steeds niet en is er weer een ander teken met dit soort problemen. Tja, character sets. Niet mijn sterke kant... Als ik in de SQL code kijk dan wordt "utf8mb4_unicode_520_ci" gebruikt bij het aanmaken van de tabellen. "tabellen" en wat heeft de destination aan charset??? Volgens mij kan dat per database en tabel verschillen, en wordt het dus bepaald door de SQL. Ik heb naar wat andere databasedumps gekeken, daar staat steeds boven: /*!40101 SET NAMES utf8mb4 */; Nu weet ik niet goed of dit commentaar is. Misschien verteld het het default. Iemand een idee? Alleen een wild idee: De database client (connectie) heeft zijn eigen idee over wat de charset moet zijn. De client is in dit geval PHP/Wordpress. Bedankt voor het meedenken! Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
MariaDB problemen met UTF-8
Hallo,
Ik probeer een database te importeren in MariaDB, maar dit geeft een
foutmelding:
-
ERROR 1366 (22007) at line 139029: Incorrect string value:
'\xF0\x9F\x91\x89 S...' for column `edagenda`.`wp_posts`.`post_content`
at row 1
-
'\xF0\x9F\x91\x89' blijkt een 4-bit UTF-8 teken, het blijkt een handje
te zijn: ''. Ik blijk erop te kunnen zoeken en vervangen, maar dan
lukt het importeren nog steeds niet en is er weer een ander teken met
dit soort problemen.
Als ik in de SQL code kijk dan wordt "utf8mb4_unicode_520_ci" gebruikt
bij het aanmaken van de tabellen. Ik heb dit met zoek en vervang al
geprobeerd te vervangen door 'utf8mb4_general_ci' maar dat helpt niet.
Zoiets is het dus na zoek en vervang:
CREATE TABLE `wp_posts` (
`ID` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
`post_author` bigint(20) unsigned NOT NULL DEFAULT '0',
`post_date` datetime NOT NULL DEFAULT '-00-00 00:00:00',
`post_date_gmt` datetime NOT NULL DEFAULT '-00-00 00:00:00',
`post_content` longtext COLLATE utf8mb4_general_ci NOT NULL,
`post_title` text COLLATE utf8mb4_general_ci NOT NULL,
`post_excerpt` text COLLATE utf8mb4_general_ci NOT NULL,
`post_status` varchar(20) COLLATE utf8mb4_general_ci NOT NULL DEFAULT
'publish',
`comment_status` varchar(20) COLLATE utf8mb4_general_ci NOT NULL
DEFAULT 'open',
`ping_status` varchar(20) COLLATE utf8mb4_general_ci NOT NULL DEFAULT
'open',
`post_password` varchar(255) COLLATE utf8mb4_general_ci NOT NULL
DEFAULT '',
`post_name` varchar(200) COLLATE utf8mb4_general_ci NOT NULL DEFAULT '',
`to_ping` text COLLATE utf8mb4_general_ci NOT NULL,
`pinged` text COLLATE utf8mb4_general_ci NOT NULL,
`post_modified` datetime NOT NULL DEFAULT '-00-00 00:00:00',
`post_modified_gmt` datetime NOT NULL DEFAULT '-00-00 00:00:00',
`post_content_filtered` longtext COLLATE utf8mb4_general_ci NOT NULL,
`post_parent` bigint(20) unsigned NOT NULL DEFAULT '0',
`guid` varchar(255) COLLATE utf8mb4_general_ci NOT NULL DEFAULT '',
`menu_order` int(11) NOT NULL DEFAULT '0',
`post_type` varchar(20) COLLATE utf8mb4_general_ci NOT NULL DEFAULT
'post',
`post_mime_type` varchar(100) COLLATE utf8mb4_general_ci NOT NULL
DEFAULT '',
`comment_count` bigint(20) NOT NULL DEFAULT '0',
PRIMARY KEY (`ID`),
KEY `post_name` (`post_name`(191)),
KEY `type_status_date` (`post_type`,`post_status`,`post_date`,`ID`),
KEY `post_parent` (`post_parent`),
KEY `post_author` (`post_author`)
) ENGINE=InnoDB AUTO_INCREMENT=9000 DEFAULT CHARSET=utf8mb4
COLLATE=utf8mb4_general_ci;
-
Ik heb wat testjes gedaan zoals hier voorgesteld:
https://sebhastian.com/mysql-incorrect-string-value/
Maar als ik een tabel test aanmaak dan doet-ie dat goed:
---
MariaDB [edagenda]> CREATE TABLE `Test` (
`names` varchar(255)
)
MariaDB [edagenda]> SHOW CREATE TABLE Test \G
Table: Test
Create Table: CREATE TABLE `Test` (
`names` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci
DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci
1 row in set (0,000 sec)
-
Echter, als ik dan een speciaal teken invoer gaat het niet goed:
MariaDB [edagenda]> INSERT INTO Test VALUES('ぴ');
ERROR 1366 (22007): Incorrect string value: '\xF0\x93\x81\xB4' for
column `edagenda`.`Test`.`names` at row 1
MariaDB [edagenda]> INSERT INTO Test VALUES('a');
Query OK, 1 row affected (0,004 sec)
Iemand een idee?
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Re: Fail2ban, grote logfiles
Op 10-01-2024 om 11:15 schreef Paul van der Vlis: Misschien heb ik de oplosssing. Ik heb de loglevel van "3" veranderd in "INFO". Het probleem is hierdoor opgelost ;-) Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Fail2ban, grote logfiles
Hoi Gijs en anderen,
Op 10-01-2024 om 10:12 schreef Gijs Hillenius:
On 10 January 2024 09:06 Paul van der Vlis, wrote:
Hoi,
Sinds kort heb ik er last van dat fail2ban erg grote logfiles heeft,
nu is hij bijvoorbeeld alweer 5,9GB. Volgens mij gaat het om SSH
aanvallen. Ik heb maar weinig machines waar SSH openstaat voor de
wereld, daarom kan ik niet goed vergelijken. Mijn pogingen om de logs
minder verbose te maken hielpen niet, er is iets anders aan de hand
denk ik.
Dit soort dingen staan er in:
-
2024-01-10 08:58:03,574 fail2ban.filter [790516]: HEAVY
Looking for failregex 20 - '^(?P(?PAccepted
\\w+)) for (?P\\S+) from
(?:\\[?(?:(?:::f{4,6}:)?(?P(?:\\d{1,3}\\.){3}\\d{1,3})|(?P(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):)))\\]?|(?P[\\w\\-.^_]*\\w))(?:\\s|$)'
Zegt jullie dit misschien iets?
Dag Paul!
Ik zie deze ^^^ meldingen niet in mijn logs. Maar dat zegt weinig.
bij mij is het loglevel = INFO
Ik had het al nog lager gezet. Toch lijken dit debug-meldingen.
Misschien heb ik de oplosssing. Ik heb de loglevel van "3" veranderd in
"INFO". Dit staat in /etc/fail2ban/fail2ban.local:
# [Definition]
# loglevel = 4
#
# Option: loglevel
# Notes.: Set the log level output.
# 1 = ERROR
# 2 = WARN
# 3 = INFO
# 4 = DEBUG
# Values: [ NUM ] Default: 1
#
Dan zou je een "3" verwachten. Maar in fail2ban.conf staan voorbeelden
met b.v. "INFO".
Ondertussen al 15 minuten geen verbose meldingen meer in de logs!
Wat ik niet goed begrijp uit je post: is de maat van de log file een
probleem?
Ja, het kost veel ruimte, ook in de backups.
Lost logrotate dat niet op?
Het maakt het kleiner, dat wel.
Mijn servertje had lang geleden moeitje met de groeiende maat van de
Sqlite3 file, die werd te zwaar voor het geheugen van de host. Ik heb
(toen) in fail2ban.conf de purge op 24 uur aangezet, dat houdt het
beperkt: dbpurgeage = 86400
du -h /var/lib/fail2ban/fail2ban.sqlite3 -> 187M
OK. Leuk om te onthouden. Vooral voor servers met weinig geheugen.
Maar ondertussen ook gezien dat er een alternatief voor fail2ban is,
misschien moet ik daar ook eens naar gaan kijken, want ik vind de
support van Fail2ban maar matig.
https://packages.debian.org/bookworm/crowdsec
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Fail2ban, grote logfiles
Hoi,
Sinds kort heb ik er last van dat fail2ban erg grote logfiles heeft, nu
is hij bijvoorbeeld alweer 5,9GB. Volgens mij gaat het om SSH aanvallen.
Ik heb maar weinig machines waar SSH openstaat voor de wereld, daarom
kan ik niet goed vergelijken. Mijn pogingen om de logs minder verbose te
maken hielpen niet, er is iets anders aan de hand denk ik.
Dit soort dingen staan er in:
-
2024-01-10 08:58:03,574 fail2ban.filter [790516]: HEAVY
Looking for failregex 20 - '^(?P(?PAccepted \\w+))
for (?P\\S+) from
(?:\\[?(?:(?:::f{4,6}:)?(?P(?:\\d{1,3}\\.){3}\\d{1,3})|(?P(?:[0-9a-fA-F]{1,4}::?|::){1,7}(?:[0-9a-fA-F]{1,4}|(?<=:):)))\\]?|(?P[\\w\\-.^_]*\\w))(?:\\s|$)'
Zegt jullie dit misschien iets?
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Re: Filezilla werkt niet?
Hoi Arjen, Op 05-01-2024 om 17:54 schreef Arjen Bax: Hoi Paul, Verbazingwekkend dat sftp met filezilla niet werkt en met de standaard sftp-client wel. Inderdaad heel raar. Bij twee Windows klanten lukte het wel met WinSCP, en mij lukte het ook wel met gFTP. Hetzelfde probleem ook bij een andere host. De melding 'connection refused' betekent dat er op de gecontacteerde poort van de server geen listener actief is. Ik kreeg haast de indruk dat het naar een andere machine ging... Maar dus alleen bij Filezilla. Uiteraard de hostname goed gecontroleerd, en ook een IP-adres geprobeerd. Het blijft een raadsel. Ik vermoed dat je de snelverbindingsmethode van filezilla gebruikt. Deze methode probeert een aantal protocols uit en ik denk dat daar iets fout gaat. Als je op het keiltje direct rechts van de [Snelverbinden]-knop klikt, zie je dan in de pull-downlijst je connectie-url ertussen zitten? Gebruik in plaats van "snelverbinden" een exact geconfigureerde verbindingsmethode via Bestand->Sitebeheer. Dat geeft een dialoog waar je het protocol (sftp), de hostnaam, het poortnummer en de usernaam expliciet kunt opgeven. Ik gebruik inderdaad normaal de snelverbind methode, maar in dit geval had ik ook methode via sitebeheer geprobeerd. Hij doet het dus ondertussen weer met FileZilla, en ik heb een testaccount in sitebeheer die het nu doet, en waarmee ik een volgende keer kan testen. Groet, Paul. Succes! Vriendelijke groet / Kind regards / Vennlig hilsen, Arjen Bax Op ma 1 jan 2024 om 23:50 schreef Paul van der Vlis : Hoi, Raar probleem met Filezilla, ik kan er opeens niet meer mee connecten via SFTP. Ik krijg een "connection refused". Mijn klant krijgt een timeout. Een paar dagen geleden deed het het nog, zowel bij mij als bij klant. En wat helemaal raar is: geen meldingen in de logs op de server, ook niet als het loglevel op debug staat. En nee, de IP's komen niet voor in de firewall of in hosts.deny. Zelf gebruik ik FileZilla niet veel, maar ik raad het aan klanten aan omdat het voor allerlei OS-en beschikbaar is, en ik het kan supporten vanuit Debian. Klant draait het op Windows. Als ik gFTP of sftp gebruik dan gaat het goed, en krijg ik ook meldingen in de logs. Het lijkt dus niet aan de server-kant te liggen. Werkt het bij jullie wel? Je krijgt automatisch SFTP als je poort 22 gebruikt. Ik doe dit op Debian 11. Groet, Paul PS: weten jullie hoe je dat "snoopy" loggen uit kunt schakelen in auth.log? Heel irritant vind ik dat. Als je ergens op zoekt krijg je steeds je eigen vraag als resultaat van het grep-commando. -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/ -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Filezilla werkt niet?
Op 01-01-2024 om 23:49 schreef Paul van der Vlis: Hoi, Raar probleem met Filezilla, ik kan er opeens niet meer mee connecten via SFTP. Ik krijg een "connection refused". Mijn klant krijgt een timeout. Een paar dagen geleden deed het het nog, zowel bij mij als bij klant. En wat helemaal raar is: geen meldingen in de logs op de server, ook niet als het loglevel op debug staat. En nee, de IP's komen niet voor in de firewall of in hosts.deny. Zelf gebruik ik FileZilla niet veel, maar ik raad het aan klanten aan omdat het voor allerlei OS-en beschikbaar is, en ik het kan supporten vanuit Debian. Klant draait het op Windows. Als ik gFTP of sftp gebruik dan gaat het goed, en krijg ik ook meldingen in de logs. Het lijkt dus niet aan de server-kant te liggen. Werkt het bij jullie wel? Je krijgt automatisch SFTP als je poort 22 gebruikt. Ik doe dit op Debian 11. Ik kreeg van een heel andere klant op een heel andere server (Debian 12) hetzelfde probleem. Maar het werkt weer Heel vaag wat nu het probleem was. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Filezilla werkt niet?
Hoi, Raar probleem met Filezilla, ik kan er opeens niet meer mee connecten via SFTP. Ik krijg een "connection refused". Mijn klant krijgt een timeout. Een paar dagen geleden deed het het nog, zowel bij mij als bij klant. En wat helemaal raar is: geen meldingen in de logs op de server, ook niet als het loglevel op debug staat. En nee, de IP's komen niet voor in de firewall of in hosts.deny. Zelf gebruik ik FileZilla niet veel, maar ik raad het aan klanten aan omdat het voor allerlei OS-en beschikbaar is, en ik het kan supporten vanuit Debian. Klant draait het op Windows. Als ik gFTP of sftp gebruik dan gaat het goed, en krijg ik ook meldingen in de logs. Het lijkt dus niet aan de server-kant te liggen. Werkt het bij jullie wel? Je krijgt automatisch SFTP als je poort 22 gebruikt. Ik doe dit op Debian 11. Groet, Paul PS: weten jullie hoe je dat "snoopy" loggen uit kunt schakelen in auth.log? Heel irritant vind ik dat. Als je ergens op zoekt krijg je steeds je eigen vraag als resultaat van het grep-commando. -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Hoge resolutie scherm
Hoi, Raar genoeg heb ik niet zo vaak te maken met hoge resolutie schermen. De letters daarop leesbaar maken zonder vergrootglas is soms nog wel een uitdaging. In de desktop-environment (DE) die ik tegenwoordig gebruikt, MATE, is het geen probleem meer, daar gaat het automatisch wel goed. Ik denk dat het in vele andere ook geen probleem meer zal zijn. Een ander verhaal is het opstarten, de consoles (ctr-alt-F2 e.d.), en LightDM (wat ik gebruik als display manager (DM), je ziet het vooral bij het inloggen). Grub is te wijzigen door dit bestand te wijzigen: /etc/default/grub En daar dit aanpassen of toevoegen: GRUB_GFXMODE=1024x768x32 GRUB_GFXPAYLOAD_LINUX=keep Of die laatste regel echt nodig is weet ik niet, maar het wordt overal aanbevolen. Daarna uiteraard 'update-grub'. Je kunt 1024x768x32 niet zomaar wijzigen in een willekeurige resolutie, er zijn er maar weinig mogelijk. Welke kun je zien met het commando "videoinfo" in de grub-console. Die krijg je door in grub "c" te tikken. De console is te wijzigen door dit bestand te wijzigen: /etc/default/console-setup En daar een regel aanpassen tot dit: FONTSIZE="16x32" Er valt ook te kiezen uit een aantal fonts, die niet allemaal deze resolutie ondersteunen. De console is ook te veranderen met het commando "dpkg-reconfigure console-setup". De letters worden hiermee een stuk groter en ik vind het bruikbaar, maar van mij mogen ze nog wel groter. Mocht iemand hier iets beters weten dan graag, want je hebt tegenwoordig zelfs al 8K monitoren volgens mij... LightDM is te wijzigen door dit bestand aan te passen: /etc/lightdm/lightdm.conf En wijzig daar dit: greeter-setup-script=xrandr -s 1920x1080 Wellicht zijn ook andere resoluties bruikbaar. Een andere optie is het installeren van een andere "greeter" die automatisch hoge resolutie ondersteund. Dit kan door het pakket "slick-greeter" te installeren, het wordt dan automatisch gebruikt. Het ziet er mooi uit, en ik denk erover het standaard te gaan gebruiken. Maar nog weinig ervaring mee. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Qemu vraagje
Hallo Wouter en anderen, Op 09-11-2023 om 11:55 schreef Wouter Verhelst: On Wed, Oct 11, 2023 at 09:34:19PM +0200, Paul van der Vlis wrote: Kan iemand me misschien uitleggen waarom het aanmaken van een disk via virt-manager anders is? En of hier misschien iets aan te doen is? Je hebt al het antwoord gehad dat het een sparse file was. Je kan het formaat van een bestaand image wijzigen, als je dat wilt: qemu-img convert -O qcow2 -f raw input.raw output.qcow2 Dit leest het bestand "input.raw" in, en schrijft een bestand "output.qcow2". Het eerste bestand is in raw formaat (want "-f raw"), het tweede bestand is in qcow2-formaat (want -O qcow2). Dit gaat ervan uit dat virt-manager een raw formaat disk aanmaakt, ik heb echter de indruk dat dit niet zo is, alleen al omdat de extensie ".qcow2" is... Het is mogelijk dat in de XML-definitie van je VM het formaat opgegeven wordt. Als dat het geval is, dan moet je dat bijwerken na de conversie. "virsh edit domein", of in virt-manager de VM openen, op het lampje klikken links bovenaan op de opties te zien, op de disk klikken die je geconverteerd hebt, en dan naar het tabblad XML gaan. Je kan verder ook het standaard gebruikte formaat instellen. Hiervoor moet je de storage pool XML bewerken. Dat kan je doen op twee manieren: - via virsh: "virsh pool-edit ", bijvoorbeeld "virsh pool-edit default" voor de standaard pool die bij het installeren van libvirt aangemaakt wordt. - via virt-manager: menu "Bewerken", optie "Verbinding details", dan naar tabblad "Storage" gaan en vervolgens het tabblad "XML". Daarin voeg je een element toe: ... Zorg ervoor dat je de andere zaken niet wijzigt. Daarna zou een nieuw-aangemaakt VM het formaat qcow2 moeten hebben. Een volledige lijst met alle ondersteunde formaten voor een directory pool vind je op https://libvirt.org/storage.html#directory-pool, en de details van het element zijn gedocumenteerd op https://libvirt.org/formatstorage.html Ik heb je links bekeken, en zag wel interessante dingen. Mijn oplossing voor het probleem is nu dat ik eerst op de server een disk aanmaak met iets als dit: qemu-img create -f qcow2 /path/naam.qcow2 1000G Deze gebruik ik dan in virt-manager. Ik had het mooier gevonden zo'n groeiende disk waarop "ls" normaal antwoord geeft ook met virt-manager aan te kunnen maken. Maar de disk aanmaken via een script heeft voor mij ook nog wat andere voordelen, zoals dat ik via het script log waarvoor de virtuele machine bedoeld is, het alvast een IP-nummer geef, en dergelijke. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Qemu vraagje, 100GB disken van een paar kilo Byte
Hallo Geert en anderen, Op 12-10-2023 om 20:44 schreef Geert Stappers: On Wed, Oct 11, 2023 at 11:01:45PM +0200, Paul van der Vlis wrote: Op 11-10-2023 om 22:06 schreef Geert Stappers: On Wed, Oct 11, 2023 at 09:34:19PM +0200, Paul van der Vlis wrote: Hallo, Als ik een virtuele disk aanmaak met: qemu-img create -f qcow2 /path/naam.qcow2 1000G Dan krijg ik een disk die volgens "ls" maar een paar KB groot is, en die groeit naarmate ik hem gebruik. Die disk kan ik gebruiken met het commando "virt-install". Maar ik ben nu bezig met virt-manager. Als ik een virtuele disk aanmaak met virt-manager, dan is zo'n disk van 1000GB volgens "ls" opeens 1000GB groot. Die ruimte neemt het niet echt in beslag, want volgens "du" is hij veel kleiner. Ik ben gewend om via "ls" te kijken hoe groot een bestand is, daarom vind ik het niet prettig hoe virt-manager disks aanmaakt. Verder vind ik het raar, ik zou denken dat het ook "qemu-img" gebruikt. Kan iemand me misschien uitleggen waarom het aanmaken van een disk via virt-manager anders is? En of hier misschien iets aan te doen is? Het wordt "sparse file" genoemd. Wat ik van de e-mail begrijp, maakt qemu-img default sparse files aan. En is de wens dat virt-manager dat ook doet. Ik weet echter niet hoe. Mijn staat iets bij dat ik ooit een "checkbox" ( "vinkje" ) voor gezien heb. (En voor meer heb ik geen tijd.) Bedankt dat je toch even wou reageren. Wat je bedoeld is waarschijnlijk de checkbox "allocate entire volume now". Dit plaatje vond ik daarover op internet: https://postimg.cc/ctBrm5C5 Maar dat is juist niet wat ik wil. En heb ik dus ook niet aangevinkt. Met het gewenste effect, dat weglaten van vink "allocate entire volume? [ja/nee/...] Nee. Oftewel.. het volume wordt niet helemaal gereserveerd. Alleen "ls" ziet dat wel zo. Ik heb het niet getest met het vinkje aan, het staat default uit. Ik zag dat er een mailinglist is voor virt-manager, misschien moet ik het daar eens gaan vragen. https://listman.redhat.com/mailman/listinfo/virt-tools-list Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Qemu vraagje, 100GB disken van een paar kilo Byte
Op 11-10-2023 om 22:06 schreef Geert Stappers: On Wed, Oct 11, 2023 at 09:34:19PM +0200, Paul van der Vlis wrote: Hallo, Als ik een virtuele disk aanmaak met: qemu-img create -f qcow2 /path/naam.qcow2 1000G Dan krijg ik een disk die volgens "ls" maar een paar KB groot is, en die groeit naarmate ik hem gebruik. Die disk kan ik gebruiken met het commando "virt-install". Maar ik ben nu bezig met virt-manager. Als ik een virtuele disk aanmaak met virt-manager, dan is zo'n disk van 1000GB volgens "ls" opeens 1000GB groot. Die ruimte neemt het niet echt in beslag, want volgens "du" is hij veel kleiner. Ik ben gewend om via "ls" te kijken hoe groot een bestand is, daarom vind ik het niet prettig hoe virt-manager disks aanmaakt. Verder vind ik het raar, ik zou denken dat het ook "qemu-img" gebruikt. Kan iemand me misschien uitleggen waarom het aanmaken van een disk via virt-manager anders is? En of hier misschien iets aan te doen is? Het wordt "sparse file" genoemd. Wat ik van de e-mail begrijp, maakt qemu-img default sparse files aan. En is de wens dat virt-manager dat ook doet. Ik weet echter niet hoe. Mijn staat iets bij dat ik ooit een "checkbox" ( "vinkje" ) voor gezien heb. (En voor meer heb ik geen tijd.) Bedankt dat je toch even wou reageren. Wat je bedoeld is waarschijnlijk de checkbox "allocate entire volume now". Dit plaatje vond ik daarover op internet: https://postimg.cc/ctBrm5C5 Maar dat is juist niet wat ik wil. En heb ik dus ook niet aangevinkt. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Qemu vraagje
Hallo, Als ik een virtuele disk aanmaak met: qemu-img create -f qcow2 /path/naam.qcow2 1000G Dan krijg ik een disk die volgens "ls" maar een paar KB groot is, en die groeit naarmate ik hem gebruik. Die disk kan ik gebruiken met het commando "virt-install". Maar ik ben nu bezig met virt-manager. Als ik een virtuele disk aanmaak met virt-manager, dan is zo'n disk van 1000GB volgens "ls" opeens 1000GB groot. Die ruimte neemt het niet echt in beslag, want volgens "du" is hij veel kleiner. Ik ben gewend om via "ls" te kijken hoe groot een bestand is, daarom vind ik het niet prettig hoe virt-manager disks aanmaakt. Verder vind ik het raar, ik zou denken dat het ook "qemu-img" gebruikt. Kan iemand me misschien uitleggen waarom het aanmaken van een disk via virt-manager anders is? En of hier misschien iets aan te doen is? ( Het is me (nog) niet gelukt om een disk aan te maken met "qemu-img" en deze dan te gebruiken in virt-manager. ) Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: libdvd-pkg’s postinst script is broken
Op 03-09-2023 om 15:01 schreef Paul van der Vlis:
Hoi Cecil, Geert, en anderen,
Op 03-09-2023 om 00:13 schreef Cecil Westerhof:
Geert Stappers writes:
On Sat, Sep 02, 2023 at 06:02:16PM +0200, Cecil Westerhof wrote:
Cecil Westerhof writes:
Tijdens een apt upgrade krijg ik:
libdvd-pkg: Checking orig.tar integrity...
/usr/src/libdvd-pkg/libdvdcss_1.4.3.orig.tar.bz2: OK
libdvd-pkg: `apt-get check` failed, you may have broken
packages. Aborting...
libdvd-pkg’s postinst script is broken.
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=994081
Dat bugreport heeft severity 'important' en is binnen
twee weken twee jaar oud. Zullen we eens kijken of we het kunnen
aftikken?
Nu je het zegt: dat was me helemaal niet opgevallen.
Raar dat er nog niets aan gedaan is, want de oplossing lijkt relatief
simpel.
Matthew Vernon afgelopen februari:
I went looking to try and see where the check was being carried
out, and
it's in:
/usr/lib/libdvd-pkg/b-i_libdvdcss.sh
apt-get check >/dev/null 2>&1
if [ "$?" -ne 0 ]; then
echo "${PKGI}: \`apt-get check\` failed, you may have broken
packages. Aborting..."
exit 0
fi
Which is why there's no useful information in the error message.
So I
edited that file on my system and ran apt autoremove so force a
trigger
run, and that gets:
/usr/src/libdvd-pkg/libdvdcss_1.4.3.orig.tar.bz2: OK
E: Could not get lock /var/lib/dpkg/lock-frontend. It is held by
process
29788 (apt)
N: Be aware that removing the lock file is not a solution and may
break
your system.
E: Unable to acquire the dpkg frontend lock
(/var/lib/dpkg/lock-frontend), is another process using it?
libdvd-pkg: `apt-get check` failed, you may have broken packages.
Aborting...
So I'm afraid the problem is that running this script from apt
(as it is
evidently intended to be run) can never work, because apt-get check
tries to hold the dpkg lock, but it's help by apt.
So I think this is RC, do you agree?
Wat is het effect van de "dry run" die
in https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=994081#37
voorgesteld word?
Dat kan ik pas doen als er een upgrade klaar staat.
En ik denk dat dit eigenlijk bedoeld is voor in het apt script om het
probleem op te lossen.
Heb in /usr/lib/libdvd-pkg/b-i_libdvdcss.sh deze aanpassing gemaakt:
# dry-run toegevoegd en /dev/null redirection verwijderd
apt-get check --dry-run # >/dev/null 2>&1
Nu wachten totdat er een upgrade nodig is. :-D
Ik denk dat het de bedoeling is dat je het in de source wijzigt, en het
versienummer verhoogt. Zoiets:
Ik heb mijn eigen regels code uitgevoerd...
sudo apt install dpkg-dev debhelper-compat
mkdir libdvd-pkg; cd libdvd-pkg
apt-get source libdvd-pkg
cd `find ./ -maxdepth 1 -type d | tail -n1` # ga naar directory
nano debian/changelog # nieuw versienummer bovenaan toevoegen
Dit kwam wel precies, vooral de laatste regel wie het gedaan had.
nano debian/b-i_libdvdcss.sh # --dry-run toevoegen
Hier was ik het belangrijkste vergeten...:
dpkg-buildpackage -uc -us
cd ..
sudo dpkg -i *.deb # nu moet het goed zijn.
Ja, het is nu goed.
Maar hoe het dan verder gaat weet Geert denk ik beter...
Nu heb ik de bug gefixed volgens mij. Maar wat te doen met het resultaat?
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Re: libdvd-pkg’s postinst script is broken
Hoi Cecil, Geert, en anderen,
Op 03-09-2023 om 00:13 schreef Cecil Westerhof:
Geert Stappers writes:
On Sat, Sep 02, 2023 at 06:02:16PM +0200, Cecil Westerhof wrote:
Cecil Westerhof writes:
Tijdens een apt upgrade krijg ik:
libdvd-pkg: Checking orig.tar integrity...
/usr/src/libdvd-pkg/libdvdcss_1.4.3.orig.tar.bz2: OK
libdvd-pkg: `apt-get check` failed, you may have broken
packages. Aborting...
libdvd-pkg’s postinst script is broken.
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=994081
Dat bugreport heeft severity 'important' en is binnen
twee weken twee jaar oud. Zullen we eens kijken of we het kunnen
aftikken?
Nu je het zegt: dat was me helemaal niet opgevallen.
Raar dat er nog niets aan gedaan is, want de oplossing lijkt relatief
simpel.
Matthew Vernon afgelopen februari:
I went looking to try and see where the check was being carried out, and
it's in:
/usr/lib/libdvd-pkg/b-i_libdvdcss.sh
apt-get check >/dev/null 2>&1
if [ "$?" -ne 0 ]; then
echo "${PKGI}: \`apt-get check\` failed, you may have broken
packages. Aborting..."
exit 0
fi
Which is why there's no useful information in the error message. So I
edited that file on my system and ran apt autoremove so force a trigger
run, and that gets:
/usr/src/libdvd-pkg/libdvdcss_1.4.3.orig.tar.bz2: OK
E: Could not get lock /var/lib/dpkg/lock-frontend. It is held by process
29788 (apt)
N: Be aware that removing the lock file is not a solution and may break
your system.
E: Unable to acquire the dpkg frontend lock
(/var/lib/dpkg/lock-frontend), is another process using it?
libdvd-pkg: `apt-get check` failed, you may have broken packages.
Aborting...
So I'm afraid the problem is that running this script from apt (as it is
evidently intended to be run) can never work, because apt-get check
tries to hold the dpkg lock, but it's help by apt.
So I think this is RC, do you agree?
Wat is het effect van de "dry run" die
in https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=994081#37
voorgesteld word?
Dat kan ik pas doen als er een upgrade klaar staat.
En ik denk dat dit eigenlijk bedoeld is voor in het apt script om het
probleem op te lossen.
Heb in /usr/lib/libdvd-pkg/b-i_libdvdcss.sh deze aanpassing gemaakt:
# dry-run toegevoegd en /dev/null redirection verwijderd
apt-get check --dry-run # >/dev/null 2>&1
Nu wachten totdat er een upgrade nodig is. :-D
Ik denk dat het de bedoeling is dat je het in de source wijzigt, en het
versienummer verhoogt. Zoiets:
sudo apt install dpkg-dev debhelper-compat
mkdir libdvd-pkg; cd libdvd-pkg
apt-get source libdvd-pkg
cd `find ./ -maxdepth 1 -type d | tail -n1` # ga naar directory
nano debian/changelog # nieuw versienummer bovenaan toevoegen
nano debian/b-i_libdvdcss.sh # --dry-run toevoegen
cd ..
sudo dpkg -i *.deb # nu moet het goed zijn.
Maar hoe het dan verder gaat weet Geert denk ik beter...
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Re: systemd service user uit configuratie bestand indirect zoeken
Op 01-09-2023 om 20:51 schreef Geert Stappers: On Fri, Sep 01, 2023 at 02:03:31PM +0200, Paul van der Vlis wrote: Op 01-09-2023 om 10:44 schreef Paul van der Vlis: Zou zoiets niet kunnen? ExecStart="su - baz -c /usr/bin/foo /etc/foo/config" Nee fout. Ik had je vraag niet goed gelezen. Nou, het is wel een mogelijkheid om bij oplossing te komen. Namelijk 'User=' weg uit systemd unit en met su, switch user, het proces onder de gewenste user te laten draaien. Ik weet niet of dat beter is dat "User=" gebruiken. Maar als ik me niet vergis moet het commando achter "-c" tussen aanhalingstekens als er een spatie in staat. Dus wellicht iets als: ExecStart="su - baz -c '/usr/bin/foo /etc/foo/config'" Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: systemd service user uit configuratie bestand indirect zoeken
Op 01-09-2023 om 10:44 schreef Paul van der Vlis: Zou zoiets niet kunnen? ExecStart="su - baz -c /usr/bin/foo /etc/foo/config" Nee fout. Ik had je vraag niet goed gelezen. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: systemd service user uit configuratie bestand indirect zoeken
Hallo Geert en anderen, Op 30-08-2023 om 19:43 schreef Geert Stappers: Hoi, Hoe in systemd service bestand de waarde voor 'User' zetten met wat nog opgezocht moet worden? Lange versie van dezelfde vraag: Er is bestand `/etc/foo/config` met een inhoud als: ```yaml foo: topdir: /srv/foo interval: 3600 ``` Command `ls -ld /srv/foo/` geeft ```text drwxr-xr-x 3 baz www-data 4096 27 aug 10:26 /srv/foo/ ``` Het is die `baz`, eigenaar van "topdir", die op de plaats van de puntjes in systemd service unit zou moeten komen. ```text [Unit] Description=Foo-tastic [Service] ExecStart=/usr/bin/foo/etc/foo/config User= Zou zoiets niet kunnen? ExecStart="su - baz -c /usr/bin/foo /etc/foo/config" Of eventueel een script aanroepen wat dit uitvoert? Groet, Paul [Install] WantedBy=multi-user.target ``` Hoe zou dat kunnen? Groeten Geert Stappers -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: muis /sys/devices/platform/i8042/serio1/ "speed" ontbreekt
Op 31-08-2023 om 09:53 schreef Gijs Hillenius: [...] Standaard staat hij tegenwoordig wel erg langzaam inderdaad. xinput --set-prop "TPPS/2 Elan TrackPoint" "libinput Accel Speed" 1 Als het een Elan Trackpoint is dan is - volgens mij - op dit moment het enige wat ik kan instellen. In Gnome toont ie dan in de settings: "fast". Dit blijkt een ALPS trackpoint te zijn, dus inderdaad een andere. Overigens had ik eerder gezegd dat ik testte met een Thinkpad T480s, dat was een vergissing, het is een T490. Wat voor machine gebruik jij? Het mag echt nog wel sneller, om een kromme muisvinger te voorkomen, maar affijn. Er zijn belangrijker dingen Mocht je het willen weten: Ik heb met deze trackpad ook af en toe last van een wegdrijvende muis-aanwijzer (Lenovo erkent dat dit gebeurt... er zijn wel eens bugfixes voor die "Fixed long drift issue of ELAN TrackPoint". Dat is dat de muispointer helemaal vanzelf en zeer halstarrig naar links (of rechts) schuift. Moet je ff wachten tot het stopt, of naar een andere desktop springen. Dat heb ik ook weleens gehad met een laptop. Ik weet alleen niet meer zo goed wat ik ertegen gedaan heb. Waarschijnlijk een paar keer flink alle kanten op bewogen, of het rubbertje vervangen. Mijn backup-laptop, vorige generatie uit dezelfde serie, heeft een andere Trackpoint. Die is zo snel .. Wellicht gebruik je een nieuwe laptop, met kans op kinderziektes. Wellicht zou je het backports kernel kunnen proberen dan, wellicht is het probleem daar opgelost. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: muis /sys/devices/platform/i8042/serio1/ "speed" ontbreekt
Op 30-08-2023 om 21:05 schreef Paul van der Vlis: Op 30-08-2023 om 11:01 schreef Gijs Hillenius: Goedenmorgen! Ik probeer mijn Thinkpad trackpoint te versnellen. Dat ging vroeger met iets als: echo 255 > /sys/devices/platform/i8042/serio1/speed en ook echo 200 > /sys/devices/platform/i8042/serio1/sensitivity maar "speed" bestaat niet (meer). sensitivy verhogen, dat helpt al iets maar wat mij betreft mag het nog sneller. Ik doe nu: xinput --set-prop "TPPS/2 Elan TrackPoint" "libinput Accel Speed" 1 maar da's echt nog niet genoeg. Iemand een idee? Ik heb Duckduckgo en Google gebruikt, maar .. dat levert vooral verouderde informatie. Bedoel je dat rode ding in het toetsenbord? Als je die een klein beetje naar b.v. links beweegt dan gaat de muis traag naar links, maar beweeg je hem ver naar links dan beweegt hij reuze snel naar links. Daarom is instellen volgens mij niet nodig, het is een kwestie van hoe je hem gebruikt. Ik heb honderden Thinkpads verkocht, nog nooit is deze vraag gekomen. Wellicht is dit interessant, voor de techniek die ze gebruiken: https://github.com/VP1147/thinker/issues/1 Ik heb het even bekeken op een Thinkpad T480s, daar reageert hij in elk geval op de instellingen in het configuratiescherm (MATE). Standaard staat hij tegenwoordig wel erg langzaam inderdaad. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: muis /sys/devices/platform/i8042/serio1/ "speed" ontbreekt
Op 30-08-2023 om 11:01 schreef Gijs Hillenius: Goedenmorgen! Ik probeer mijn Thinkpad trackpoint te versnellen. Dat ging vroeger met iets als: echo 255 > /sys/devices/platform/i8042/serio1/speed en ook echo 200 > /sys/devices/platform/i8042/serio1/sensitivity maar "speed" bestaat niet (meer). sensitivy verhogen, dat helpt al iets maar wat mij betreft mag het nog sneller. Ik doe nu: xinput --set-prop "TPPS/2 Elan TrackPoint" "libinput Accel Speed" 1 maar da's echt nog niet genoeg. Iemand een idee? Ik heb Duckduckgo en Google gebruikt, maar .. dat levert vooral verouderde informatie. Bedoel je dat rode ding in het toetsenbord? Als je die een klein beetje naar b.v. links beweegt dan gaat de muis traag naar links, maar beweeg je hem ver naar links dan beweegt hij reuze snel naar links. Daarom is instellen volgens mij niet nodig, het is een kwestie van hoe je hem gebruikt. Ik heb honderden Thinkpads verkocht, nog nooit is deze vraag gekomen. Wellicht is dit interessant, voor de techniek die ze gebruiken: https://github.com/VP1147/thinker/issues/1 Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: UEFI op servers, of niet?
Op 22-08-2023 om 23:01 schreef Paul van der Vlis: Oh ja, ook om te checken of er een voeding is. Ik bedoelde: om te checken of er een voeding defect is. De computers die ik gebruik hebben een dubbele voeding, als er eentje defect is moet je dat wel weten om hem te kunnen vervangen. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: UEFI op servers, of niet?
Hoi Dennis, en anderen natuurlijk, Op 22-08-2023 om 12:22 schreef Dennis van Dok: On 22-08-2023 11:54, Paul van der Vlis wrote: Hallo Dennis en anderen, Op 22-08-2023 om 10:45 schreef Dennis van Dok: On 15-08-2023 12:13, Paul van der Vlis wrote: We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal over op EFI boot aangezien de nieuwere systemen legacy helemaal niet meer ondersteunen. Daar heb ik nog geen last van bij servers, bij welke fabrikanten zie je dat? IIRC Dell en Lenovo, in combinatie met ondersteuning voor PXE boot en grote NVMe drives. Hebben ze dan helemaal geen "legacy" meer? Of wordt dat steeds beperkter? Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden. Ik ken dit eigenlijk alleen van kleinere systemen om eerlijk te zijn, bijvoorbeeld van Dell. Maar qua 19" systemen gebruik ik Supermicro en dat doet nog niet mee. Dit is wat ik bedoel: https://packages.debian.org/bullseye/fwupd https://fwupd.org/ Ik ga daar nog wel eens naar kijken want het lijkt me toch wel handig om te automatiseren (als dat kan). En natuurlijk altijd met de Bewuste Keuze™ welke updates je doorvoert! Het punt is dat het nogal automatisch gaat, ik heb het nog niet helemaal onder controle. Dit komt ook omdat de hardware die ikzelf gebruik het niet ondersteund. Ik gebruik in de praktijk geen software van de fabrikant, het is allemaal Debian. DELL heeft racadm en dat werkt nog vrij aardig standalone, maar we stappen meer en meer over op redfish. Dat kende ik nog niet, ik vond hier wel wat informatie: https://en.wikipedia.org/wiki/Redfish_(specification) Maar helemaal duidelijk is het me nog niet wat het doet. Ik gebruik IPMI en serial-over-lan: https://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface Maar daar staat: "The successor to the IPMI is Redfish" Dus wellicht moet ik er wel naar gaan kijken. Zijn er OSS tools voor om bijvoorbeeld het bootproces en de bios remote te bekijken? Dat is eigenlijk het enige waar ik het voor gebruik. Oh ja, ook om te checken of er een voeding is. Ik heb altijd met software RAID gewerkt en zie niet veel voordelen aan hardware RAID. Er zijn wel voordelen, maar ook nadelen. Voordelen van software RAID vind ik: - Het is heel generiek, een disk past zo in een andere machine zonder dat die ook zo'n kaart nodig heeft. Doe je dat dan vaak, schijven uitwisselen tussen apparaten? Nee, maar het is toch wel belangrijk als nood-scenario, en om te migreren naar nieuwe hardware. Er zou maar een moederbord kapot gaan, dat is me weleens gebeurd. Ik zet er dan een andere machine neer, en zet de disks over. Ik heb reserve machines (oudere machines die het nog doen). - De RAID kaart kan kapot gaan, je moet eigenlijk een spare hebben. Dit is nou een van de componenten die ik zelden tot nooit heb zien falen. Toch is mij altijd geleerd dat je zo'n kaart op voorraad moet hebben, anders kun je je disks niet meer lezen, ook niet met een andere machine. Wellicht hebben jullie vele machines met dezelfde RAID kaarten, dan speelt dat minder. - Tools zijn vaak closed source, en complex. We configgen die meuk direct vanuit het BIOS (of laten dat vooraf doen door de leverancier) of anders is het Megaraid storcli (ja, beetje ingewikkeld wel). Je moet het toch monitoren, je wilt weten dat er een disk kapot is. En ik wil met opensource software werken. Dat geheel maakt het wel lastig. - Volgens mij moet je bij hardware RAID rebooten als je een disk wilt vervangen. (En misschien zelfs wachten tijdens het rebuilden.) Al onze storage systemen doen hot-swapping dus misschien moet je een ander merk uitkiezen? Misschien is het inderdaad simpel. Ik heb ooit ergens een disk verwisseld waar het toch een gedoe was. Maar weinig ervaring met hardware raid eigenlijk. - Je zit directer op de disk, er zit geen kaart tussen En wat is daarvan nou het specifieke voordeel? Ik stel het me zo voor dat als je bijvoorbeeld SMART tools gebruikt, je niet direct bij de disk kunt. - Reuze veel mogelijkheden Ben ook benieuwd! https://raid.wiki.kernel.org/index.php/A_guide_to_mdadm Kun jij bijvoorbeeld disks vervangen door grotere, de partities en het filesystemen vergroten, terwijl alles gewoon doordraait? Ik wel. Nadelen van software RAID vind ik: - Niet geschikt voor systemen met heel veel disks (in elk geval was dat vroeger zo). Ik weet dat we ook wel eens een wat grotere software raid setup hebben gedraaid (in de speeltuin) en dat werkte ook prima. Het had te maken met het feit dat het meer dataverkeer gaf op de PCI bus, want elke disk moest apart worden aangestuurd. En bij hardware RAID moest alleen de RAID kaart worden aangestuurd. Maar dit kan ondertussen alweer anders zijn. Voor zover ik weet is het een niet echt sneller dan het ander, maar misschien vergis ik me daarin. Nee, dat zal ook niet het argument zijn. Er
Re: UEFI op servers, of niet?
Hallo Dennis en anderen, Op 22-08-2023 om 10:45 schreef Dennis van Dok: On 15-08-2023 12:13, Paul van der Vlis wrote: Hallo, Wat is jullie mening over UEFI? Ik vind het nogal een complex gebeuren waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder veilig dan "legacy". Niet per se, maar moderne systemen hebben steeds meer management aan boord die op zich weer een aanvalsvector kan vormen. Het beangstigendste daarbij is hoezeer deze verweven zijn met het systeem, onder het OS niveau. Dus aanvallen om private keys uit het geheugen te vissen zonder dat je dat in het OS in de gaten hebt bijvoorbeeld. Inderdaad. We zijn (bij Nikhef, plusminus 500 systemen) al een paar jaar helemaal over op EFI boot aangezien de nieuwere systemen legacy helemaal niet meer ondersteunen. Daar heb ik nog geen last van bij servers, bij welke fabrikanten zie je dat? Met netboot en grub-efi werkt bijna alles als voorheen, en ik zie de boot manager zelfs wel as een pre. Maar inderdaad is het vooral een kwestie van de kernel booten en dat is het. Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-) Welke systemen doen dit? Wij moeten altijd zelf onze firmware bijhouden. Ik ken dit eigenlijk alleen van kleinere systemen om eerlijk te zijn, bijvoorbeeld van Dell. Maar qua 19" systemen gebruik ik Supermicro en dat doet nog niet mee. Dit is wat ik bedoel: https://packages.debian.org/bullseye/fwupd https://fwupd.org/ Hoewel $VENDOR1 een systeem biedt om dat te automatiseren gebruiken wij dat liever niet want dan zit je daaraan vast, terwijl we ook spullen van $VENDOR2 willen kunnen kopen en gebruiken. Ik gebruik in de praktijk geen software van de fabrikant, het is allemaal Debian. Het enige voorbeeld wat me te binnen schiet zijn de 'intelligente' lampen die je met een app kunt dimmen. Die deden het niet meer toen ik hun internettoegang uitschakelde. Dat soort dingen heb ik graag lokaal geregeld ;-) Ik wil graag dat alles op RAID1 komt (mdadm, maar ook alternatieven zijn bespreekbaar), en het liefst ook op LVM of soortgelijk. Wees dapper en die RAID0 all the way. (geintje). Volgens mij ondersteund de Debian installer dit wel. Als je een redelijke RAID kaart hebt kun je het beter aan de hardware overlaten, lijkt me. Ik heb altijd met software RAID gewerkt en zie niet veel voordelen aan hardware RAID. Er zijn wel voordelen, maar ook nadelen. Voordelen van software RAID vind ik: - Het is heel generiek, een disk past zo in een andere machine zonder dat die ook zo'n kaart nodig heeft. - De RAID kaart kan kapot gaan, je moet eigenlijk een spare hebben. - Tools zijn vaak closed source, en complex. - Volgens mij moet je bij hardware RAID rebooten als je een disk wilt vervangen. (En misschien zelfs wachten tijdens het rebuilden.) - Je zit directer op de disk, er zit geen kaart tussen - Reuze veel mogelijkheden Nadelen van software RAID vind ik: - Defecte disk verwisselen is iets lastiger - Als de boot-disk defect is, wil het systeem soms niet meer booten zonder andere actie zoals het bios aanpassen of disks verwisselen - Inrichten (en wellicht bijhouden) is ingewikkelder, je moet bijvoorbeeld Grub twee keer installeren, en wellicht EFI kopieren. - Niet geschikt voor systemen met heel veel disks (in elk geval was dat vroeger zo). Voor zover ik weet is het een niet echt sneller dan het ander, maar misschien vergis ik me daarin. Als je veel systemen hebt met allemaal dezelfde hardware RAID, ziet het plaatje er misschien iets anders uit. Ik heb nog geen ervaring om de EFI partitie op mdadm RAID1 te zetten, maar misschien dat het wel kan. Wat ik in de praktijk doe is de partitie kopiëren naar de andere disk met dd. De EFI partitie moet leesbaar zijn voor de firmware. Met hardware RAID is dat volgens mij geen probleem, maar het komt me voor dat de BIOS niet snapt wat een software raid partitie is. Dat snappen ze inderdaad niet, maar ze kunnen het volgens mij wel gewoon lezen en booten. Dat doen ze dan van de individule disk, niet van de RAID. Als ze erop schrijven (ik weet niet zeker of ze dat weleens doen), zullen ze ook op de disk schrijven en niet op de RAID. Misschien is een los klein SSD'tje dan een idee? Een andere mogelijkheid is om op één schijf de EFI partitie te maken en op de andere dezelfde ruimte te benutten als swap ofzo. Dan houd je de geometrie op de resterende ruimte over voor software raid 1. Mijn punt is dat dit een single point of failure is. Bij software RAID kan ik met IPMI in het bios de bootdisk wijzigen, en dan boot hij weer. Of fysiek de disks wisselen. Dit is overigens wel complexer dan bij hardware RAID. Jammer dat er geen biossen zijn (voor zover ik weet) die dit netjes oplossen (zonder fakeraid). Ik denk dat LVM het native ook kan maar dat heb ik nooit geprobeerd. Ook grote disks kunnen ook zonder EFI, maa
Re: UEFI op servers, of niet?
Hallo Geert en anderen, Op 16-08-2023 om 22:26 schreef Geert Stappers: On Tue, Aug 15, 2023 at 12:13:54PM +0200, Paul van der Vlis wrote: Hallo, Wat is jullie mening over UEFI? Het is vooral een "bootloader" Ik gebruik GRUB als bootloader, maar wellicht is dit een wat vaag begrip. Ik geloof dat UEFI ook een Linux kernel kan laden, maar dit weet ik niet precies. Dit komt van Wikipedia: UEFI is a specification that defines the architecture of the platform firmware used for booting and its interface for interaction with the operating system. Ik vind het nogal een complex gebeuren waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder veilig dan "legacy". Ik vind belangrijk dat een bootloader bootloader-dingen doet. En ook niet veel meer dan dat. UEFI is volgens mij bijna een operating system. GRUB overigens ook. Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de fabrikant Nog niet mee gemaakt. Niet elke fabrikant doet er aan mee. vind ik niet prettig. Als je dat die "auto firmware update by firmware" kunt aantonen, ga dan ingesprek met je leverancier. Het is een "feature" van UEFI. De firmware updated niet de firmware, dat doet bijvoorbeeld: https://packages.debian.org/bullseye/fwupd Dit wordt standaard geïnstalleerd door Debian volgens mij. De leverancier stopt het in: https://fwupd.org/ De betere leverancier is ook al eerder aanspreekbaar. Dit heeft niet zoveel met de leverancier te maken, ik vind het goed dat ze de firmware uploaden. Ik vind dat het alleen nogal automatisch gebeurd allemaal. Vroeger was het motto: "vervang firmware alleen als er een probleem is". Een vriendin zei ooit: "alles wat in software kan, kan ook in hardware. Hardware is alleen wat minder flexibel". Die updates zorgen voor meer flexibele hardware, waar ik niet perse voor ben. Want veelal draait er in de praktijk closed source firmware op, die steeds belangrijker wordt. Maar dit is vast uit te zetten ;-) Read the fine manual ;-) Inderdaad, nu ja, soms staat die "f" ook weleens voor wat anders... Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
UEFI op servers, of niet?
Hallo, Wat is jullie mening over UEFI? Ik vind het nogal een complex gebeuren waarbij aardig wat dingen mee mis kunnen gaan. En wellicht ook minder veilig dan "legacy". Het feit dat er vrij automatisch firmware wordt geïnstalleerd van de fabrikant vind ik niet prettig. Maar dit is vast uit te zetten ;-) Ik wil graag dat alles op RAID1 komt (mdadm, maar ook alternatieven zijn bespreekbaar), en het liefst ook op LVM of soortgelijk. Ik heb nog geen ervaring om de EFI partitie op mdadm RAID1 te zetten, maar misschien dat het wel kan. Wat ik in de praktijk doe is de partitie kopiëren naar de andere disk met dd. Ook grote disks kunnen ook zonder EFI, maar dan is er een BIOS BOOT partitie nodig. Ik weet niet goed of dat op RAID1 kan. Ik zag overigens ook iemand die mdadm gebruikte op de hele schijf, dus niet op partities. Ik had problemen om in de rescue-mode van de debian-installer de RAID5 te maken (er was een disk defect). Wat vinden jullie van deze constructie? Zal dit ook b.v. de boot-sector en partitie-tabel automatisch in de RAID opnemen? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Banken en apps
Hoi Geert en anderen, Op 11-08-2023 om 12:54 schreef Geert Stappers: Subject: Re: [linux] "Internet" bankieren voortgangsbericht Reply-To: In-Reply-To: On Fri, Aug 11, 2023 at 12:41:32PM +0200, Harry Harmsen wrote: Uiteraard benieuwd om welke bank het gaat Hoeveel respect banken voor Internet hebben, gaan ze zelf vertellen. Wat ik zie, zijn hulpeloze banken die van alles weggeven aan techreuzen. En ik zie soms ook dat het minder triest is. Dat banken nog wel wat zelf voor elkaar krijgen. en waarom je niet met een app kunt/wilt werken. Er zijn heel veel applicaties waarmee ik kan en wil werken. En die apps heb ik zelf uitgezocht, heel soms ook zelf geschreven. Vandaar dat ik het zo belangrijk vind dat source code beschikbaar is. Ik denk hier hetzelfde over, en installeer alleen open source apps op mijn telefoon. Wat ik ook nog wil is dat men derden niet weigert het te compileren en te distribueren, zoals bij Signal. Overigens bestaan er open source banking apps, maar ik heb daar nog geen ervaring mee. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: "Internet" bankieren voortgangsbericht
Hoi Geert en anderen, Op 11-08-2023 om 12:37 schreef Geert Stappers: Hoi, Lang geleden vond mijn toenmalige bank dat ik hun gekozen webbrowser moest gebruiken. Ik ben van bank gewisseld. Minder lang geleden was ik bij mijn bank voor een nieuwe batterij voor het authenticatieaparaatje. Of ik een smartphone heb, was de wedervraag. Met toevoeging dat er een "app" is. Ik ben de bank uitgelopen. Met "low battery" op de authenticator her en der ge-informeerd wat mijn mogelijkheden zijn. Andere uitdagingen gevonden. Afgelopen weekend was de batterij helemaal leeg. Niet online het kaartje kunnen kopen wat ik graag had. Wel "Komt goed uit dat ik vrijdag vrij ben". Vandaag bank bezocht: B: Goede dag, hoe kan ik U helpen? I: Ik wil weer banktransacties kunnen doen, batterij van dit dingetje is leeg. B: Daar gaan we afscheid van nemem. Er is nu banknaam-app. I: banknaam-app? B: Ja, de banknaam-app I: Vertel eens meer over banknaam-app Bankmedewerker vertelde verhaaltje wat ik vol ongeloof aanhoorde. I: Dus ik moet eerst weg naar andere winkel, daar wat kopen en dan mag ik terugkomen? Bankmedewerker vond het minder erg, want digitale winkels. I: Het gaat tussen jullie en mij, laat andere winkels er buiten. B: Er is ook browser code I: Vertel eens meer over browser code Bankmedewerker vertelde dat het inlogscherm (op website) onder de de grote knoppen ook nog andere opties heeft. Met een goed gevoel weer naar huis gegaan. Thuis met webbrowser website bank bezocht en mijzelf ge-identificeerd met behulp van controle-codes terugsturen die de bank mij gestuurd over andere kanalen dan webbrowser. En jawel ik kan weer Internet bankieren. Dus zonder flauwekul van "apps". Het zal wel een Volksbank-label zijn (ASN, SNS, of Regiobank). Je moet wel hun cookies bewaren, anders mag je je elke keer weer identificeren. Verder kun je geen hoge bedragen overmaken. Standaard niet meer dan 1000 euro per dag, dit is te verhogen tot 5000 euro. En hoe veilig het nu is? Discutabel. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: The Debian Administrator's Handbook
Op 11-08-2023 om 10:41 schreef Cecil Westerhof: Paul van der Vlis writes: Op 10-08-2023 om 14:44 schreef Cecil Westerhof: Het lijkt me handig om wat dieper te duiken in Debian. Ik heb daarom The Debian Administrator's Handbook gedownload. Die is echter in PDF niet later als 10 beschikbaar. (Ik zie epub en mobipocket niet zitten.) Ik gebruik 11 en moet eigenlijk overstappen op 12. Is het handboek voor 10 goed genoeg, of zijn er grote verschillen? Wel wat verschillen natuurlijk. Raar dat Debian 11 er niet in PDF is. En ook de geprinte versie niet. Misschien is converteren nog een optie? https://askubuntu.com/questions/299747/converting-epub-files-to-pdf-format Dat heb ik in het verleden weleens geprobeerd en gaf niet bijster goede resultaten. Maar dat is best lang geleden, dus misschien is het verbeterd. Maar als ik naar het verschil in grote kijk heb ik het gevoel dat de PDF meer data bevat. Ik probeer dan eerst maar de huidige versie en als ik er tegenaanloop dat er te grote verschillen zijn, dan ga ik proberen te converteren. Het wordt overigens bijgehouden in GIT: https://salsa.debian.org/hertzog/debian-handbook Ik zag dat het mogelijk is een PDF te maken in Debian 10, maar in nieuwere versies is er een probleem, een soort FTBFS: https://salsa.debian.org/hertzog/debian-handbook/-/issues/49 Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: rtkit-daemon problemen
Op 10-08-2023 om 12:11 schreef Cecil Westerhof: Ik zie met journalctl meldingen als: rtkit-daemon[1749779]: Warning: Reached maximum concurrent process limit for user '1000', denying request. Dit is voor realtime behaviour als ik het goed begrijp. Volgens mij heb ik dit helemaal niet geïnstalleerd. Is het een probleem als ik rtkit verwijder? Moet ik me zorgen maken over deze meldingen? Ik kende dit proces ook niet, maar het blijkt bij mij ook op verschillende machines te draaien. Maar niet op alle. root@laptopp:~# systemctl status rtkit-daemon ● rtkit-daemon.service - RealtimeKit Scheduling Policy Service Loaded: loaded (/lib/systemd/system/rtkit-daemon.service; disabled; vendor preset: enabled) Active: active (running) since Mon 2023-07-03 18:17:21 CEST; 1 months 8 days ago root@server:/var/log# systemctl status rtkit-daemon ● rtkit-daemon.service - RealtimeKit Scheduling Policy Service Loaded: loaded (/lib/systemd/system/rtkit-daemon.service; enabled; vendor preset: enabled) Active: active (running) since Tue 2023-08-01 09:28:56 CEST; 1 weeks 3 days ago root@sigmund:~# systemctl status rtkit-daemon Unit rtkit-daemon.service could not be found. root@hosting:~# systemctl status rtkit-daemom Unit rtkit-daemom.service could not be found. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: The Debian Administrator's Handbook
Op 10-08-2023 om 14:44 schreef Cecil Westerhof: Het lijkt me handig om wat dieper te duiken in Debian. Ik heb daarom The Debian Administrator's Handbook gedownload. Die is echter in PDF niet later als 10 beschikbaar. (Ik zie epub en mobipocket niet zitten.) Ik gebruik 11 en moet eigenlijk overstappen op 12. Is het handboek voor 10 goed genoeg, of zijn er grote verschillen? Wel wat verschillen natuurlijk. Raar dat Debian 11 er niet in PDF is. En ook de geprinte versie niet. Misschien is converteren nog een optie? https://askubuntu.com/questions/299747/converting-epub-files-to-pdf-format Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: proposed updates
Hoi Gijs, Op 04-08-2023 om 16:44 schreef Gijs Hillenius: On 4 August 2023 15:03 Paul van der Vlis, wrote: Hoi Gijs, Op 04-08-2023 om 10:34 schreef Gijs Hillenius: De handleiding: https://www.debian.org/releases/bookworm/amd64/release-notes/ch-upgrading.en.html#proposed-updates 4.2.9. The proposed-updates section If you have listed the proposed-updates section in your APT source-list files, you should remove it before attempting to upgrade your system. This is a precaution to reduce the likelihood of conflicts. Nu heb je het over proposed-updates, en niet over release-updates. "Proposed" betekent "voorgesteld", proposed-updates is bedoeld om de updates te testen voordat ze gereleased worden. Right. Dank. hier https://wiki.debian.org/StableUpdates staat: "All packages from stable-updates will be included in point releases." en "This path will be used for updates which many users may wish to install on their systems before the next point release is made, such as updates to virus scanners and timezone data." Ik vind dit wat onduidelijk moet ik zeggen. Ik heb zelf nooit proposed-updates gebruikt om die reden, ik vind stable-updates genoeg, en proposed-updates meer een testplatform daarvoor. Maar misschien denken anderen daar anders over. Bedenk dat het ook om updates van de virusscanner zelf gaat, niet om de virusdefinities, die gaan apart. Dat klinkt niet alsof dit gaat om "cyrus-imap met een majeure update". Ik weet niet zo goed wat je bedoeld met "majeure update". Dit was duidelijk geen security update maar een "andere belangrijke kleine update". Ik zie bij Debian langzaam een tendens dat er meer kleine wijzigingen komen via stable-updates, dit is daar een voorbeeld van. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Debian Bookworm en Cyrus? Stap nog ff niet over
Hoi Gijs, Op 04-08-2023 om 10:32 schreef Gijs Hillenius: On 3 August 2023 23:43 Paul van der Vlis, wrote: Hoi Gijs, Op 29-07-2023 om 08:36 schreef Gijs Hillenius: On 28 July 2023 19:10 Wouter Verhelst, wrote: On Wed, Jul 19, 2023 at 01:10:04PM +0200, Gijs Hillenius wrote: On 19 July 2023 09:20 Paul van der Vlis, wrote: [...] Het officiele relocate script zit ook in Debian, als ik het goed begrijp: /usr/lib/cyrus/bin/relocate_by_id Yep. Maar dat werkt niet (meer) op de nieuwe lege inboxen. Manual: https://www.cyrusimap.org/imap/reference/manpages/systemcommands/relocate_by_id.html Dit is ook interessant: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1007965 https://cyrus.topicbox.com/groups/info/T3e85440ddbb44ec6-Maf769decd0dd45d4572145b8 Volgens een van de Debian packagers: (in de bug report https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1037346) "the patch needed to update to 3.6 is included in version 3.2.6-2+deb11u2." Ik heb die aanwijzing nog niet teruggevonden; al is het voor mij mosterd na het zinken van het schip. https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1037346#55 https://packages.debian.org/bullseye/cyrus-imapd Basically: je moet er eerst voor zorgen dat je bullseye-installatie helemaal up to date is. Zoals altijd. Yep. Dat was geheel het geval; netjes de handleiding gevolgd. FWIW, op de cyrus mailinglist kwamen er 1 of 2 andere Debian cyrus admins voorbij die hun systeem zagen uitgleiden. Dat script uit de bugmelding lost het weer op, maar het is geen doen voor systemen met veel gebruikers. Ik ben het nog aan het bestuderen, ik wil niet dat het bij mij ook misgaat ;-) Zou het kunnen dat de regel met "bullseye-updates" bij jou mistte in /etc/apt/sources.list van Debian 11? Die cyrus-imapd update met patch was namelijk geen security update, maar een minor-update in Debian 11.4: https://www.debian.org/News/2022/20220709 Ik volg tamelijke nauwgezet alle updates, en point releasese, en bij mij draaide Cyrus 3.2.6-2+deb11u2. "grep cyrus upgrade-bookwormstep.script" geeft onder meer: "Unpacking cyrus-imapd (3.6.1-4) over (3.2.6-2+deb11u2)" Tja, dat lijkt toch goed. en daarin zit de patch: ,[ changelog ] | cyrus-imapd (3.2.6-2+deb11u2) bullseye; urgency=medium | | * Ensure that ctl_cyrusdb -r and reconstruct now ensure the "uniqueid" field | is present in and synchronised between mailboxes.db and cyrus.header. | Required before 3.6.x upgrade ` Maar volgens Ellie's antwoord gisteren was dat onvoldoende. Wellicht mbexamine en reconstruct draaien als de mailboxen oud zijn. Cyrus 3.6 ondersteund geen BerkeleyDB meer, dat moet gewijzigd. Ze noemt onder meer: relocate_by_id .. Dat is volgens mij iets wat in de nieuwe versie 3.6 moet zitten, en dat zit er in. Het wordt alleen niet automatisch gestart. En het lijkt ook niet verplicht te zijn, al is het wel het default voor nieuwe mailboxen (maar dat kun je wijzigen). Cyrus heeft nogal de neiging om heel veel mogelijkheden te bieden, dat kunnen ze volgens mij niet allemaal goed testen. Wellicht is er een alternatieve route via snapshot? http://snapshot.debian.org/binary/cyrus-imapd/ Ik zie daar geen 3.2.10 (or later), of 3.4.4 (or later). Een tarball installeren zou kunnen. Moraal van het verhaal: vergeet niet die "*-updates" in sources.list. Naast security updates zijn er soms ook nog andere updates! Ik vraag me af waarom dit een aparte regel is eigenlijk, waarom die updates niet gewoon in de Debian-versie komen bij een minor update. StableUpdates: official Debian repository for changes that cannot wait for the next point release, packages are also added to StableProposedUpdates for inclusion in the next point release Ik bestudeer nu apt/sources.list en ik zie dat die regel er wel staat voor Debian 8, 9, en 10, maar niet voor 11 (omgebouwd voor) 12 (verdikkeme). Maar het is dus niet perse nodig? Graag advies! Perse niet. Maar het lijkt me heel verstandig en ik zie geen goede reden om het niet te doen. Maar ik denk toch dat je hem gehad hebt, anders had je niet die 3.2.6-2+deb11u2 lijkt me. Omzichtig: de (zeer-gewaardeerde) packagers gebruiken kennelijk zelf geen cyrus (meer), en gingen lijkt het af op de aanwijzing van upstream. Ik vermoed dat er een stap mist - relocate_by_id of zo.. Het kan ook zijn dat "autocreate" verboden had moeten zijn. Het is sowieso een moeilijke update als ik het zo lees, er kan meer misgaan: https://www.cyrusimap.org/3.6/imap/download/upgrade.html De link is van de officiele documentatie, eigenlijk is de Debian documentatie leading. Is de Debian documentatie van een pakket eigenlijk al ergens te lezen voor je dat pakket installeert? je kan de deb downloaden en uitpakken.. Niet erg handig, er is vast een andere manier. Mocht niemand met een goed idee komen dan ga ik Cyrus maar installeren op een machine die geen mail nodig heeft, alleen voor het
Re: proposed updates (was: Debian Bookworm en Cyrus? Stap nog ff niet over)
Hoi Gijs, Op 04-08-2023 om 10:34 schreef Gijs Hillenius: De handleiding: https://www.debian.org/releases/bookworm/amd64/release-notes/ch-upgrading.en.html#proposed-updates 4.2.9. The proposed-updates section If you have listed the proposed-updates section in your APT source-list files, you should remove it before attempting to upgrade your system. This is a precaution to reduce the likelihood of conflicts. Nu heb je het over proposed-updates, en niet over release-updates. "Proposed" betekent "voorgesteld", proposed-updates is bedoeld om de updates te testen voordat ze gereleased worden. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Debian Bookworm en Cyrus? Stap nog ff niet over
Hoi Gijs, Op 29-07-2023 om 08:36 schreef Gijs Hillenius: On 28 July 2023 19:10 Wouter Verhelst, wrote: On Wed, Jul 19, 2023 at 01:10:04PM +0200, Gijs Hillenius wrote: On 19 July 2023 09:20 Paul van der Vlis, wrote: [...] Het officiele relocate script zit ook in Debian, als ik het goed begrijp: /usr/lib/cyrus/bin/relocate_by_id Yep. Maar dat werkt niet (meer) op de nieuwe lege inboxen. Manual: https://www.cyrusimap.org/imap/reference/manpages/systemcommands/relocate_by_id.html Dit is ook interessant: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1007965 https://cyrus.topicbox.com/groups/info/T3e85440ddbb44ec6-Maf769decd0dd45d4572145b8 Volgens een van de Debian packagers: (in de bug report https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1037346) "the patch needed to update to 3.6 is included in version 3.2.6-2+deb11u2." Ik heb die aanwijzing nog niet teruggevonden; al is het voor mij mosterd na het zinken van het schip. https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1037346#55 https://packages.debian.org/bullseye/cyrus-imapd Basically: je moet er eerst voor zorgen dat je bullseye-installatie helemaal up to date is. Zoals altijd. Yep. Dat was geheel het geval; netjes de handleiding gevolgd. FWIW, op de cyrus mailinglist kwamen er 1 of 2 andere Debian cyrus admins voorbij die hun systeem zagen uitgleiden. Dat script uit de bugmelding lost het weer op, maar het is geen doen voor systemen met veel gebruikers. Ik ben het nog aan het bestuderen, ik wil niet dat het bij mij ook misgaat ;-) Zou het kunnen dat de regel met "bullseye-updates" bij jou mistte in /etc/apt/sources.list van Debian 11? Die cyrus-imapd update met patch was namelijk geen security update, maar een minor-update in Debian 11.4: https://www.debian.org/News/2022/20220709 Moraal van het verhaal: vergeet niet die "*-updates" in sources.list. Naast security updates zijn er soms ook nog andere updates! Ik vraag me af waarom dit een aparte regel is eigenlijk, waarom die updates niet gewoon in de Debian-versie komen bij een minor update. Omzichtig: de (zeer-gewaardeerde) packagers gebruiken kennelijk zelf geen cyrus (meer), en gingen lijkt het af op de aanwijzing van upstream. Ik vermoed dat er een stap mist - relocate_by_id of zo.. Het kan ook zijn dat "autocreate" verboden had moeten zijn. Het is sowieso een moeilijke update als ik het zo lees, er kan meer misgaan: https://www.cyrusimap.org/3.6/imap/download/upgrade.html De link is van de officiele documentatie, eigenlijk is de Debian documentatie leading. Is de Debian documentatie van een pakket eigenlijk al ergens te lezen voor je dat pakket installeert? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Bluetooth muis
Nog even een toevoeging: Op 29-07-2023 om 22:34 schreef Paul van der Vlis: Hallo Martijn, Op 29-07-2023 om 22:10 schreef Martijn van de Streek: Paul van der Vlis schreef op za 29-07-2023 om 21:38 [+0200]: Is er hier iemand met ervaring met een bluetooth muis? Ik gebruik al een paar jaar Bluetoothmuizen van Microsoft en Logitech. De eerste machine vind hem helemaal niet (ondanks drukken op knopje). De tweede machine vind hem wel, ik kan hem koppelen en als vertrouwd aanmelden. Maar als ik op verbinden druk dan geeft hij een input/output error. Ik zie dat hij hem wil verbinden als HID device, maar ook als "A2DP bron" en "A2DP zink". Die laaste twee dingen gaan volgens mij over audio.. Waar of met welke tool(s) zie je deze meldingen/foutmeldingen precies? In zo'n grafisch tooltje, blueman. Ik klik dan rechts op het device, en als ik met de muis boven "verbinden" sta zie ik dat dan. Het is Nederlands, wellicht is "zink" een vertaling van "sink". Ik kan ook op "info" drukken. Daar zie ik dat hij "paired" is en "trusted", niet "blocked", geen "legacy pairing", en niet "connected". hcitool zegt dit: - root@laptop:~# hcitool info DC:2C:26:A8:DD:7C Requesting information ... BD Address: DC:2C:26:A8:DD:7C OUI Company: Iton Technology Limited (DC-2C-26) Device Name: Bluetooth 3.0 Mouse LMP Version: 3.0 (0x5) LMP Subversion: 0x2211 Manufacturer: Broadcom Corporation (15) Features page 0: 0xbf 0x06 0x86 0x78 0x00 0x06 0x59 0x87 <3-slot packets> <5-slot packets> Features page 1: 0x01 0x00 0x00 0x00 0x00 0x00 0x00 0x00 --- root@laptop:~# hcitool inq Inquiring ... DC:2C:26:A8:DD:7C clock offset: 0x1cb6class: 0x002580 En "0x002580" is volgens deze website gewoon een muis: https://domoticx.com/bluetooth-class-of-device-lijst-cod/ Ik kan "hcitool cc DC:2C:26:A8:DD:7C" doen zonder foutmelding, echter het apparaat is dan niet connected volgens "hcitool con". Groet, Paul Wat is jullie ervaring met bluetooth input devices als muizen en toetsenborden? Voor mij werkt het op meerdere machines heel soepel. Alleen op het loginscherm werkt de muis niet, waarschijnlijk omdat dan de bluetooth- software nog niet (volledig) geladen is en de "per user" apparaat- pairings nog niet bekend zijn. Interessant. Optie is natuurlijk dat loginscherm uit te zetten. Om een muis de eerste keer te gebruiken, hoef ik alleen op de "pairing" knop te drukken terwijl het Bluetooth-configuratiescherm in Gnome open is. Na een paar seconden verschijnt dan de muis in de lijst ongekoppelde apparaten. Na een klik (met een andere muis) werkt het apparaat dan direct. Volgens mij werkt het in andere desktop-omgevingen (in elk geval KDE) op ongeveer dezelfde manier. Ik deed het in Cinnamon, maar klinkt erg hetzelfde als bij jou. Sommige muizen gaan na een tijdje niet gebruikt te zijn uit en zijn dan pas na een klik weer te gebruiken (persoonlijk vind ik dit onhandig/vervelend, want ik vergeet altijd of het OS die eerste klik ook registreert). Andere muizen gaan gewoon "aan" op beweging zoals reguliere draadloze muizen. Bedankt voor de info. Ik gebruik bijna nooit bluetooth. Heb in het verleden wat slechte ervaring met bluetooth audio gehad. Het functioneerde wel, maar na een reboot gaf het altijd weer gedoe het aan de praat te krijgen. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Bluetooth muis
Hallo Martijn, Op 29-07-2023 om 22:10 schreef Martijn van de Streek: Paul van der Vlis schreef op za 29-07-2023 om 21:38 [+0200]: Is er hier iemand met ervaring met een bluetooth muis? Ik gebruik al een paar jaar Bluetoothmuizen van Microsoft en Logitech. De eerste machine vind hem helemaal niet (ondanks drukken op knopje). De tweede machine vind hem wel, ik kan hem koppelen en als vertrouwd aanmelden. Maar als ik op verbinden druk dan geeft hij een input/output error. Ik zie dat hij hem wil verbinden als HID device, maar ook als "A2DP bron" en "A2DP zink". Die laaste twee dingen gaan volgens mij over audio.. Waar of met welke tool(s) zie je deze meldingen/foutmeldingen precies? In zo'n grafisch tooltje, blueman. Ik klik dan rechts op het device, en als ik met de muis boven "verbinden" sta zie ik dat dan. Het is Nederlands, wellicht is "zink" een vertaling van "sink". Ik kan ook op "info" drukken. Daar zie ik dat hij "paired" is en "trusted", niet "blocked", geen "legacy pairing", en niet "connected". hcitool zegt dit: - root@laptop:~# hcitool info DC:2C:26:A8:DD:7C Requesting information ... BD Address: DC:2C:26:A8:DD:7C OUI Company: Iton Technology Limited (DC-2C-26) Device Name: Bluetooth 3.0 Mouse LMP Version: 3.0 (0x5) LMP Subversion: 0x2211 Manufacturer: Broadcom Corporation (15) Features page 0: 0xbf 0x06 0x86 0x78 0x00 0x06 0x59 0x87 <3-slot packets> <5-slot packets> Features page 1: 0x01 0x00 0x00 0x00 0x00 0x00 0x00 0x00 --- Wat is jullie ervaring met bluetooth input devices als muizen en toetsenborden? Voor mij werkt het op meerdere machines heel soepel. Alleen op het loginscherm werkt de muis niet, waarschijnlijk omdat dan de bluetooth- software nog niet (volledig) geladen is en de "per user" apparaat- pairings nog niet bekend zijn. Interessant. Optie is natuurlijk dat loginscherm uit te zetten. Om een muis de eerste keer te gebruiken, hoef ik alleen op de "pairing" knop te drukken terwijl het Bluetooth-configuratiescherm in Gnome open is. Na een paar seconden verschijnt dan de muis in de lijst ongekoppelde apparaten. Na een klik (met een andere muis) werkt het apparaat dan direct. Volgens mij werkt het in andere desktop-omgevingen (in elk geval KDE) op ongeveer dezelfde manier. Ik deed het in Cinnamon, maar klinkt erg hetzelfde als bij jou. Sommige muizen gaan na een tijdje niet gebruikt te zijn uit en zijn dan pas na een klik weer te gebruiken (persoonlijk vind ik dit onhandig/vervelend, want ik vergeet altijd of het OS die eerste klik ook registreert). Andere muizen gaan gewoon "aan" op beweging zoals reguliere draadloze muizen. Bedankt voor de info. Ik gebruik bijna nooit bluetooth. Heb in het verleden wat slechte ervaring met bluetooth audio gehad. Het functioneerde wel, maar na een reboot gaf het altijd weer gedoe het aan de praat te krijgen. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Bluetooth muis
Hallo, Is er hier iemand met ervaring met een bluetooth muis? Er was hier een klant met zo'n muis, hij zou perfect werken onder Windows. Maar onder Linux krijg ik hem niet aan de gang. Geprobeerd op verschillende machines. De eerste machine vind hem helemaal niet (ondanks drukken op knopje). De tweede machine vind hem wel, ik kan hem koppelen en als vertrouwd aanmelden. Maar als ik op verbinden druk dan geeft hij een input/output error. Ik zie dat hij hem wil verbinden als HID device, maar ook als "A2DP bron" en "A2DP zink". Die laaste twee dingen gaan volgens mij over audio.. Wat is jullie ervaring met bluetooth input devices als muizen en toetsenborden? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Debian Bookworm en Cyrus? Stap nog ff niet over
Op 18-07-2023 om 17:10 schreef Gijs Hillenius: On 18 July 2023 16:15 Paul van der Vlis, wrote: Hoi Gijs en anderen, Op 18-07-2023 om 10:47 schreef Gijs Hillenius: Paul en anderen Als je systemen beheert met Cyrus imapd gebruiker, stap dan nog even niet over naar Debian Bookworm. Alle Cyrus gebruikers verliezen dan - op dit moment - toegang tot hun mail. https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1037346 Wat er nu aan de hand is, begrijp ik eigenlijk nog steeds niet. Onder meer een compleet ander files storage systeem. En zonder tussen-versie is de stap te groot. In Cyrus Bullseye zit de mail in /var/spool/cyrus/mail/a/user/aap /var/spool/cyrus/mail/n/user/noot /var/spool/cyrus/mail/g/user/gijs en dan zag je in de folder /var/spool/cyrus/mail/m/user/mies ook alle subfolders: mailvanteun, mailvanwim, spam, boekhouder, Sent, Trash, etcetera In Cyrus Bookworm is die logica verdwenen en vraag je om de locatie van iemands mailbox met mpath user.vuur en dan krijg je iets als /var/spool/cyrus/mail/uuid/h/f/hfvmgnikes2mcawo3dq1bhbg ditto voor subfolders : mpath user.vuur.mailvanteun /var/spool/cyrus/mail/uuid/4/a/4art11kgg10v22mb6p49k9t1 ! En je ziet niet langer de subfolders in de "inbox" folder. Blijkbaar kunnen de mensen na upgrade niet meer bij hun mail... De migratie mislukt. Op mijn systeem werden vier gebruikers automatisch opnieuw aangemaakt - die hadden allemaal een fonkelnagelnieuwe inbox (leeg). Anderen (bij mij 8) werd overgeslagen. Hun inkomende mail werd geweigerd: "mailbox does not exist" (of ziets). Het script, bij elkaar gezet door 2 wakkere admins met ditzelfde distro-update probleem, dat maakt een lijst van de oorspronkelijke mailboxen (die staan nog op het systeem), maakt die mailboxen (als het ware opnieuw) aan in de nieuwe hierarchie, en linkt dan ieder bericht afzonderlijk tussen de 'oude' en 'nieuwe' folder. Script(scripts) is(gaan) niet zonder struikelfouten. Mappen met een ' in de naam gaan mis, niet alle subfolders worden opgepikt.. etcetera. Dus veel nakijken en met de hand toevoegen. Submappen met submappen? Gebruiker raakt mail kwijt. Krijg je wel weer terug, maar ... Gebruikers die niet waren gemis-migreerd, die moet je opnieuw aanmaken. En dan met die scripts de mail files weer aan elkaar linken. En dan heb je alleen je mail. Als je, zoals ik, ook nog Cyrus sieve gebruikt voor server-side mail filters, dan eh. Nou ik weet dus nog niet hoe ik dat terugzet. Het officiele relocate script zit ook in Debian, als ik het goed begrijp: /usr/lib/cyrus/bin/relocate_by_id Manual: https://www.cyrusimap.org/imap/reference/manpages/systemcommands/relocate_by_id.html Dit is ook interessant: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1007965 https://cyrus.topicbox.com/groups/info/T3e85440ddbb44ec6-Maf769decd0dd45d4572145b8 Ik heb er nog niet echt goed naar gekeken. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Debian Bookworm en Cyrus? Stap nog ff niet over
Hoi Gijs en anderen, Op 18-07-2023 om 10:47 schreef Gijs Hillenius: Paul en anderen Als je systemen beheert met Cyrus imapd gebruiker, stap dan nog even niet over naar Debian Bookworm. Alle Cyrus gebruikers verliezen dan - op dit moment - toegang tot hun mail. https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1037346 Wat er nu aan de hand is, begrijp ik eigenlijk nog steeds niet. Blijkbaar kunnen de mensen na upgrade niet meer bij hun mail... Die bug komt met een fix (niet van het Debian cyrus team) , maar dat geeft heel veel gedoe. Daar zit ik niet op te wachten uiteraard. Het is eveneens al te laat voor de tussenstap via Bullseye-backports, die versie is al te hoog, zie hier https://www.cyrusimap.org/3.6/imap/download/upgrade.html#versions-to-upgrade-from > Wellicht dat je via Debian snapshot problemen kan voorkomen. Je moet blijkbaar eerst upgraden naar 3.2.10 (or later), of 3.4.4 (or later). Die zitten ook niet in snapshots: http://snapshot.debian.org/binary/cyrus-imapd/ Tenzij de packagers nog iets speciaals hebben gedaan (patches). Raar dat blijkbaar niemand die problemen heeft opgemerkt in de backports, dat is immers ook al 3.6. Of die is anders. Bedankt voor je waarschuwing! Groet, Paul Ik heb het snel ff opgesomd op https://hillenius.net/post/cyrus-debian-bookworm/ (maar daar hoef je nu niet meer heen) Grt G -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Waarom aparte boot-partitie ?
Hallo, Ik snap best dat een aparte /boot soms zinvol kan zijn, bijvoorbeeld omdat je systeem verder encrypted is. Of omdat bepaalde hardware het misschien vraagt. Maar wat is de verdere meerwaarde eigenlijk? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Script uitvoeren via initramfs
Hallo Wouter en anderen, Op 28-05-2023 om 19:53 schreef Wouter Verhelst: On Sun, May 28, 2023 at 10:39:45AM +0200, Paul van der Vlis wrote: Hallo, Een klant vroeg me iets te doen via initramfs. Ik vertelde hem dat ik daar weinig verstand van had. En dat ik dat ook wel kon via een chroot. Toch wou hij graag dat ik eens ging kijken naar initramfs. En dat blijkt leuk ;-) Al vrij snel kon ik wat ik wou, maar dat doe ik door de initrd uit te pakken, het script "init" aan te passen, en de boel weer in te pakken. En dan rebooten. Dat hacken in "init" lijkt me niet echt de bedoeling. Ik heb geprobeerd mijn scriptje in /etc/initramfs-tools/conf.d/ te stoppen, maar het wordt dan uitgevoerd tijdens het maken van de initrd en dat is niet wat ik wil. Wat ik wil is dat mijn scriptje uitgevoerd wordt na een reboot voordat het filesystem gemount wordt. Wie weet een goede manier? Je moet een script aanmaken in /usr/share/initramfs-tools/hooks dat de nodige bestanden kopiëert naar de "staging area" die mkinitramfs aanmaakt. Een voorbeeld (met uitgebreide commentaar als documentatie) vind je op https://salsa.debian.org/kernel-team/initramfs-tools/-/blob/master/docs/example_hook Ik wou in elk geval hartelijk bedanken voor de tips. Ik heb het gelezen en er ook wel wat aan gehad. Maar uiteindelijk heb ik het (deze keer) toch gedaan op een iets minder nette manier. De initrd is namelijk maar voor eenmalig gebruik (een migratie). Normaal draaien de systemen zonder initrd. Het gaat om een hele vloot raspberry Pi's die op afstand moeten worden geupgraded van een 32-bit systeem naar een 64-bit systeem. Ik maak een mapje /new in het systeem, en vervang /boot (met daarin een initrd). Dan, tijdens de initrd, vervang ik het root filesystem, zoiets: mount -t ext4 /dev/mmcblk0p2 /mnt mv /mnt/* /mnt/old/ mv /mnt/old/new/* /mnt/ umount /mnt Daarna boot ik door naar het nieuwe systeem en ruim nog wat dingen op, zoals die initrd zodat hij niet nogmaals actief wordt. Werkt heel mooi ;-) Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Script uitvoeren via initramfs
Hallo, Een klant vroeg me iets te doen via initramfs. Ik vertelde hem dat ik daar weinig verstand van had. En dat ik dat ook wel kon via een chroot. Toch wou hij graag dat ik eens ging kijken naar initramfs. En dat blijkt leuk ;-) Al vrij snel kon ik wat ik wou, maar dat doe ik door de initrd uit te pakken, het script "init" aan te passen, en de boel weer in te pakken. En dan rebooten. Dat hacken in "init" lijkt me niet echt de bedoeling. Ik heb geprobeerd mijn scriptje in /etc/initramfs-tools/conf.d/ te stoppen, maar het wordt dan uitgevoerd tijdens het maken van de initrd en dat is niet wat ik wil. Wat ik wil is dat mijn scriptje uitgevoerd wordt na een reboot voordat het filesystem gemount wordt. Wie weet een goede manier? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Icon voor script
Op 17-05-2023 om 11:47 schreef Roland Clobus: Hallo Paul en anderen, De specificatie voor de .desktop-bestanden staat hier [1]: https://www.freedesktop.org/wiki/Specifications/desktop-entry-spec/ en voor icon-themas [2]: https://freedesktop.org/wiki/Specifications/icon-theme-spec/ Als bij 'Icon' een absoluut pad staat, wordt dat gebruikt, zo niet, dan wordt in 'Icon Lookup' van [2] beschreven, hoe het icon gevonden wordt. Het thema 'hicolor' is altijd beschikbaar. In 'Installing Application Icons' van [2] staat dat je minimaal een 48x48 icon voor hicolor moet aanbieden. Daarnaast wordt een .svg variant aanbevolen. Hallo Roland, Ik ben er nog niet aan toegekomen om dit in de praktijk te testen, het wachten is nog op de icoontjes in het juiste formaat. Maar ik wil je hartelijk bedanken voor de informatie. Dit lijkt heel bruikbaar! Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Icon voor script
Hallo Haijo en anderen, Op 16-05-2023 om 15:15 schreef Haijo7: Maar die van firefox-esr dus blijkbaar ook in /usr/share/firefox-esr/ Klopt, nu dat ik er even over heb nagedacht denk ik niet dat deze gebruikt worden. Je zou een .deb van een bestand kunnen downloaden van een bestaand programma en die handmatig uitpakken om te kijken hoe het zit met de icons. Wellicht wordt er inderdaad iets aangeroepen. Als ik een .deb bestand uitpak vind ik onder andere een bestand genaamd data.tar.gz. De inhoud van data.tar.gz is wat in de root word gezet bij een installatie. in mij geval een directory genaamd usr en subdirectories voor onder andere de binary, een icon, een .desktop en een aantal andere dingen. Ik had hier toevallig de source van het programma Gajim uitgepakt staan. In het .desktop bestand staat "Icon=", gevolgd door de naam van het programma. De naam komt overeen met die van de afbeelding voor het icon. Bij Gajim staat in het .desktop file: "Icon=org.gajim.Gajim". Dus niet de naam van de binary: "Exec=gajim %u". Het .desktop file heeft overigens ook zo'n naam: /usr/share/applications/org.gajim.Gajim.desktop Ik wil gewoon een klein icoontje voor in het menu, wat voor maat is daarvoor geschikt? Op een een scherm met een hogere resolutie heb je ook een icon met een hogere resolutie nodig. Ook zijn er verschillende menus die van grootte verschillen op verschillende desktops. Daar zit wat in. Maar wat is belangrijk? Als je een .svg gebruikt zou je je niet druk hoeven maken over de grootte van het icon. Die zou in /usr/share/icons/hicolor/scalable/apps/ moeten komen te staan lijkt het. Iemand heeft icons voor me gemaakt in .png formaat. Verder zie ik dat bij Gajim er een .svg is, maar ook .png's in de maten 48x48 en 64x64. Ik heb nog twee andere applicaties bekeken (Authenticator en Caja) en daar heb je ook zowel een .svg als verschillende .png's. Hmm, lastig hoor. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Icon voor script
Op 16-05-2023 om 14:11 schreef Haijo7: Hallo Paul, Als ik kijk naar firefox staan de bestanden hier /usr/share/firefox-esr/browser/chrome/icons/default Daar staan bestanden, maar of ze gebruikt worden? Er staan op veel meer plaatsen firefox-esr icoontjes, zoals bijvoorbeeld in /usr/share/icons/ Maar ik zie heir over niets in /usr/share/applications/firefox-esr.desktop Nee, daar staat dan alleen een naam. Het lijkt met de naam van de binary te werken. Volgens mij is er een soort zoek-path. Iets als: kijk hier, en dan daar en dan daar. Maar helemaal snappen doe ik het niet. Vandaar mijn vraag. Als ik kijk naar de source code voor een icon theme zie ik dat alle afbeeldingen aaltijd de naam van de binary gebruiken (of mogelijk dat van het .desktop bestand), zelfs voor flatpaks. Op zich wel interessant... Icons staan altijd in /usr/share/icons/ Maar die van firefox-esr dus blijkbaar ook in /usr/share/firefox-esr/ of in ~/.local/share/icons/ Inderdaad, maar ik wil iets globaals voor alle users. Je zou kunnen kijken of je je icon in een van die twee directories kan zetten om het te laten werken. Maar binnen /usr/share/icons/ zijn er nog vele directories en vele maten mogelijk. Ik wil gewoon een klein icoontje voor in het menu, wat voor maat is daarvoor geschikt? Maar je zal hier voor alsnog een .desktop bestand moeten gebruiken, binaries zelf kunnen niet direct een icon bevatten, tenzij je er een .appimage van maakt (een ander formaat). Ik gebruik al een .desktop file. Maar daarin zet je normaal geen absoluut path naar een icon volgens mij. Ik moet er dus voor zorgen dat mijn icoontje gevonden wordt, maar hoe? Ik zou dat natuurlijk kunnen doen via try-and-error, maar eigenlijk wil ik graag de goede manier, anders werkt het straks misschien niet op een desktop die ik nu net niet had getest. Er zal vast ergens informatie beschikbaar zijn, maar die had ik nog niet gevonden. Alhoewel, ik vind hier net iets: https://wiki.archlinux.org/title/Icons , misschien kom ik ermee verder. Bedankt voor het meedenken! Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Icon voor script
Hallo, Ik heb een script voor gebruikers, ze kunnen het starten vanuit het menu en ik "hergebruik" op het moment een bestaande icon in het .desktop bestand. Maar dat is niet zo mooi. Daarom wil ik graag een "eigen" icon, iemand heeft iets voor mij gemaakt. Maar waar moet ik deze plaatsen? En wat zijn zinvolle resoluties? Ik zie allerlei mappen met icons, als ik bijvoorbeeld zoek op chromium.png, dan vind ik dit: /usr/share/icons/hicolor/128x128/apps/chromium.png /usr/share/icons/hicolor/16x16/apps/chromium.png /usr/share/icons/hicolor/24x24/apps/chromium.png /usr/share/icons/hicolor/256x256/apps/chromium.png /usr/share/icons/hicolor/32x32/apps/chromium.png /usr/share/icons/hicolor/48x48/apps/chromium.png /usr/share/icons/hicolor/64x64/apps/chromium.png /usr/share/pixmaps/chromium.png /var/lib/app-info/icons/debian-bullseye-main/48x48/chromium_chromium.png /var/lib/app-info/icons/debian-bullseye-main/64x64/chromium_chromium.png En wellicht zijn er nog meer, want ze kunnen ook van een ander type zijn lijkt me (dus geen .png). Verder zie ik in een desktop-file een verwijzing naar "chromium", dus geen path en geen extensie. Hoe zorg ik ervoor dat mijn icon ook gevonden wordt? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
security.debian.org: internal server error
Hoi, Het viel me op dat security.debian.org niet meer via http te bereiken is. https gebruiken in /etc/apt/sources.list bracht de oplossing. Op een andere machine had ik dit probleem niet. Misschien heeft iemand hier iets aan ;-) Groet, Paul --- root@regie:~# apt update Hit:1 http://deb.debian.org/debian bullseye InRelease Hit:2 http://deb.debian.org/debian bullseye-updates InRelease Hit:3 http://security.debian.org/debian-security bullseye-security InRelease Reading package lists... Done Building dependency tree... Done Reading state information... Done 4 packages can be upgraded. Run 'apt list --upgradable' to see them. root@regie:~# apt dist-upgrade Reading package lists... Done Building dependency tree... Done Reading state information... Done Calculating upgrade... Done The following packages will be upgraded: apache2 apache2-bin apache2-data apache2-utils 4 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 160 kB/2,132 kB of archives. After this operation, 13.3 kB of additional disk space will be used. Do you want to continue? [Y/n] Err:1 http://security.debian.org/debian-security bullseye-security/main amd64 apache2-data all 2.4.56-1~deb11u1 500 Internal Server Error [IP: 199.232.150.132 80] E: Failed to fetch http://security.debian.org/debian-security/pool/updates/main/a/apache2/apache2-data_2.4.56-1%7edeb11u1_all.deb 500 Internal Server Error [IP: 199.232.150.132 80] E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing? root@regie:~# --- -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: ssh -N en alleen maar ssh -N toestaan (succes)
Hoi Geert, Op 27-03-2023 om 23:22 schreef Geert Stappers: On Mon, Mar 27, 2023 at 12:07:38AM +0200, Paul van der Vlis wrote: Op 26-03-2023 om 23:51 schreef Paul van der Vlis: Hoi Geert en anderen, Op 26-03-2023 om 12:50 schreef Geert Stappers: Hoi, Uit `man 1 ssh` -N Do not execute a remote command. This is useful for just forward ports. Nu is `ssh -N` een client kant ding. Hoe aan server kant borgen dat alleen maar port forwarding gebeurd? Ik had gedacht om het dicht te timmeren door aan authorized_keys op de server wat toe te voegen aan de regel met de pubkey voor het account dat de `ssh -N` moet gaan doen. Er is "no-port-forwarding" https://www.ssh.com/academy/ssh/authorized-keys-openssh#no-port-forwarding maar niet iets als "only-port-forwarding" https://www.ssh.com/academy/ssh/authorized-keys-openssh Wat zien jullie zoal aan mogelijkheden om aan server kant er voor te zorgen dat SSH client alleen maar een verbinding voor de portforward maakt, dat shell access niet kan? Wat ik doe aan de server-kant is /usr/sbin/nologin als shell gebruiken. Oh, en ik zie dat ik ook dit nog doe in sshd_config: - UsePAM no Match User een,twee AllowTcpForwarding remote AllowStreamLocalForwarding no X11Forwarding no PermitTTY no PermitEmptyPasswords yes PasswordAuthentication yes - Kritiek is welkom ;-) Stukje zelfkritiek: er voor te zorgen dat SSH client alleen maar een verbinding voor de portforward maakt, dat shell access niet kan? had er voor te zorgen dat SSH client alleen maar een verbinding voor de portforward maakt. zullen zijn. Dat aandacht op "alleen maar een verbinding voor portforward" blijft. Oorspronkelijke vraag heb ik kunnen oplossen door command="echo Don\'t do that" voor de pubkey in ~/.ssh/authorized_keys te zetten. Dat is aan server kant. Als ik `ssh -N -R :127.0.0.1:22 server` doe, krijg ik de gewenste portforward. Als ik iets zonder `-N` doe, komt er "Don't do that" terug. Waarom geen shell die alles weigert? Ik heb trouwens nog een kleine extra beveiliging in de firewall, mensen moeten zich eerst ergens aanmelden, dan pas krijgt hun IP toegang. Met behulp van from="hun IP" voor de pubkey in authorized_keys? Ze moeten eerst ergens naar een webpagina gaan, die triggert een script wat de firewall openzet voor hun IP voor een dag. Normaal staat die firewall dicht. Ze kunnen "inloggen" zonder key en zonder paswoord, maar krijgen dus "nologin" als prompt. Het is alleen bedoeld voor portforward, via die portforward kan ik op hun machine komen voor support. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: ssh -N en alleen maar ssh -N toestaan
Op 26-03-2023 om 23:51 schreef Paul van der Vlis: Hoi Geert en anderen, Op 26-03-2023 om 12:50 schreef Geert Stappers: Hoi, Uit `man 1 ssh` -N Do not execute a remote command. This is useful for just forward ports. Nu is `ssh -N` een client kant ding. Hoe aan server kant borgen dat alleen maar port forwarding gebeurd? Ik had gedacht om het dicht te timmeren door aan authorized_keys op de server wat toe te voegen aan de regel met de pubkey voor het account dat de `ssh -N` moet gaan doen. Er is "no-port-forwarding" https://www.ssh.com/academy/ssh/authorized-keys-openssh#no-port-forwarding maar niet iets als "only-port-forwarding" https://www.ssh.com/academy/ssh/authorized-keys-openssh Wat zien jullie zoal aan mogelijkheden om aan server kant er voor te zorgen dat SSH client alleen maar een verbinding voor de portforward maakt, dat shell access niet kan? Wat ik doe aan de server-kant is /usr/sbin/nologin als shell gebruiken. Oh, en ik zie dat ik ook dit nog doe in sshd_config: - UsePAM no Match User een,twee AllowTcpForwarding remote AllowStreamLocalForwarding no X11Forwarding no PermitTTY no PermitEmptyPasswords yes PasswordAuthentication yes - Kritiek is welkom ;-) Ik heb trouwens nog een kleine extra beveiliging in de firewall, mensen moeten zich eerst ergens aanmelden, dan pas krijgt hun IP toegang. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: ssh -N en alleen maar ssh -N toestaan
Hoi Geert en anderen, Op 26-03-2023 om 12:50 schreef Geert Stappers: Hoi, Uit `man 1 ssh` -N Do not execute a remote command. This is useful for just forward ports. Nu is `ssh -N` een client kant ding. Hoe aan server kant borgen dat alleen maar port forwarding gebeurd? Ik had gedacht om het dicht te timmeren door aan authorized_keys op de server wat toe te voegen aan de regel met de pubkey voor het account dat de `ssh -N` moet gaan doen. Er is "no-port-forwarding" https://www.ssh.com/academy/ssh/authorized-keys-openssh#no-port-forwarding maar niet iets als "only-port-forwarding" https://www.ssh.com/academy/ssh/authorized-keys-openssh Wat zien jullie zoal aan mogelijkheden om aan server kant er voor te zorgen dat SSH client alleen maar een verbinding voor de portforward maakt, dat shell access niet kan? Wat ik doe aan de server-kant is /usr/sbin/nologin als shell gebruiken. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Mailinglist problemen door SPF
Hallo,
Ik heb de indruk dat sommige mensen mijn berichten niet krijgen doordat
ik stricte SPF regels heb. Via DMARC kun je hier rapporten over
opvragen, en dan krijg ik berichten zoals onderstaand. Iemand een idee
wat ik kan doen?
Tja, de debian list-servers staat niet in mijn SPF, maar dat lijkt me
toch ook niet te hoeven.
SPF zou toch moeten kijken naar de "Sender:" header, en niet naar de
"From:"? De Debian mailinglists gebruiken echter geen "Sender" maar
"Resent-Sender" header.
Deze website vond ik interessant: https://dmarc-tester.com/ die
gespoofde mailtjes verstuurd die toch aankomen ondanks SPF. Je vraagt je
dan ook wel af wat de waarde van SPF precies is.
Iemand die tips heeft?
Groeten,
Paul
-
Yahoo
weggeha...@yahooinc.com
1679101851.909633
1679011200
1679097599
vandervlis.nl
r
r
reject
100
82.195.75.100
1
none
pass
fail
vandervlis.nl
vandervlis.nl
default
pass
lists.debian.org
none
---
nog een andere:
---
google.com
noreply-dmarc-supp...@google.com
https://support.google.com/a/answer/2466580
6333444760113420086
1679011200
1679097599
vandervlis.nl
r
r
reject
none
100
82.195.75.100
25
none
pass
fail
vandervlis.nl
vandervlis.nl
pass
default
lists.debian.org
none
2001:41b8:202:deb:216:36ff:fe40:4002
30
none
pass
fail
vandervlis.nl
vandervlis.nl
pass
default
lists.debian.org
none
2600:1901:101::15
1
none
pass
fail
vandervlis.nl
vandervlis.nl
pass
default
lists.debian.org
none
--
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Re: Niet alle packages upgraden
Op 16-03-2023 om 16:28 schreef Cecil Westerhof: Cecil Westerhof writes: Normaal gesproken is het voor mij geen probleem om bij een apt upgrade alles te doen, maar Firefox gooit al een poos roet in het eten. Vroeger kreeg je een melding (met needrestart) dat Firefox eigenlijk opnieuw moest worden opgestart, maar je kon gewoon de lopende oude versie blijven gebruiken en Firefox restarten waaneer je dat zelf uitkwam. Dat is al een poos niet meer zo. Je krijgt geen melding meer, echter op het moment dat je dan terug gaat naar Firefox krijg je een melding dat je Firefox opnieuw moet opstarten en dat moet je ook echt, want Firefox werkt niet meer. Is er een manier om alle upgrades behalve Firefox uit te voeren? En dan later wanneer het geen roet in het eten gooit Firefox alsnog te upgraden? Ik had beter moeten kijken. :'-( Het kan gewoon met: apt-mark hold firefox-esr Dat wist ik ook nog niet. Bedankt voor de info! Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Rare foutmelding in de logs
Hallo, Ik zag in de logs van mijn hostingserver elke seconde dit bericht: - Mar 9 09:56:52 hosting dbus-daemon[305]: [system] Activating via systemd: service name='org.freedesktop.login1' unit='dbus-org.freedesktop.login1.service' requested by ':1.1' (uid=0 pid=419 comm="/usr/bin/python3 /usr/share/unattended-upgrades/un") Die dbus-org.freedesktop.login1.service is masked, maar dat is volgens mij vrij normaal, ook op andere machines is dat zo. Of hij is inactive. Dat bestand /usr/share/unattended-upgrades/un bestaat niet, als ik in /proc/419/cmdline kijk dan zie ik daar dit: /usr/bin/python3^@/usr/share/unattended-upgrades/unattended-upgrade-shutdown^@--wait-for-signal^@ Ik heb unattended-upgrades verwijderd maar de meldingen gingen door, toen heb ik "kill 419" gedaan, en toen stopten ze. Wat me nog opviel is dat er een security update was van een pakket wat een vraag stelde. Dat is eigenlijk niet normaal bij een security update maar komt waarschijnlijk omdat ik een bestand verwijderd had. Mocht iemand hier nog een zinvolle opmerking over hebben, graag! Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: apt search dotfiles
Op 12-01-2023 om 22:40 schreef Geert Stappers: Van de Wat is zoal jullie favoriete tool om "dotfiles" te beheren? is de bedoeling om wat tips te krijgen hoe met "dotfiles" om te gaan. Lang en eigenlijk nog steeds beschouw ik dotfiles als een kussen om op te zitten. Ik wil gewoon op het kussen zitten, niet bezig zijn met het kussen op te schudden en goed te leggen. Recent inzicht is dat het toch wel fijn is om op meerdere plaatsen lekker zittende kussens te hebben liggen. Misschien ben ik opzoek naar hoe makkelijk "kussens" op meerdere servers te krijgen. Ik denk dan ook dat ik benieuwd ben naar hoe jullie omgaan met aanpassing op meerdere servers van dotfiles. Eigenlijk doe ik niet zo heel veel met dotfiles. Maar wat je zou kunnen overwegen is van de inhoud van een mooie homedirectory een tarbal te maken, en deze op een website te zetten. Als je dan een mooie situatie wilt hebben zou je deze kunnen downloaden en dan uitpakken. Ik gebruik in veel gevallen een script, zoiets: wget https://vandervlis.nl/script bash script In dat script kan natuurlijk o.a. staan dat je een tarbal download en uitpakt, of eerst de huidige dotfiles backupped, e.d. Je kunt een script als gewone gebruiker aanroepen, maar ook als root. Zelf doe ik het als root en dan staat er ook zoiets in: lijst=`ls -1 /home` for user in $lijst; do bla done Je zou het ook als root voor een bepaalde user kunnen doen, iets als: bash script piet Wat ook leuk is om de directory "/etc/skel" aan te passen. Daarin staan alle dotfiles die in de homedirectory van een nieuwe gebruiker komen. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: wat zijn de side-effects van LC_ALL="C"
Hallo Gijs en anderen, Op 09-12-2022 om 08:54 schreef Gijs Hillenius: Hoi! Een collega op het werk helpt me met het combineren van super-eenvoudig te schrijven serietje van MarkDown regeltjes, die je dan met een enkel commando: , | nix run git+https://url...dinges-theme/#pandoc-presentation --refresh -- presentation.md ` omzet in een PDF. Het werkt vlekkeloos op zijn machine (100% nix). Het werkt bijna vlekkeloos op een VM ingericht met yum (rpm). Daar moeten we dat commando dan beginnen als: LC_ALL="C" nix run git Op mijn Debian Sid machine krijgen we gekke neven-effecten. Het werkt, net als op die Yum vm niet zonder LC_ALL="C". Maar met LC_ALL="C" verschuift op alle PDF pagina's het logootje, zo gauw als we ook maar een enkel plaatje (JPG) invoeren. Ik heb net https://wiki.debian.org/Locale bestudeerd. /etc/environment is leeg ssh een sshd config bevatten die SendEnv LANG LC_* en AcceptEnv LANG LC_* .. Iemand nog een ander idee? Je moet tegenwoordig /etc/default/locale hebben, maar dat staat vast ook in https://wiki.debian.org/Locale . "LANG=C" geeft soms problemen. Bijvoorbeeld het Python programma "rpl" werkt dan niet meer, en sommige tekens kunnen niet weergegeven worden lijkt me. Overweeg iets anders zoals "LANG=en_US.UTF-8", of wat ik ook vaak gebruik is de Ierse UTF-8 locale. Voordeel van die Ierse locale is b.v. dat ze in Ierland A4 papier gebruiken en Euro's als valuta etc. Eigenlijk staat alles dan vanzelf goed voor een Nederlandse computer die Engels als taal wil. Misschien dat door dat andere papier in de USA (letter) het logo verspringt. Ik zou proberen de SSH config op default te houden, dat heb je volgens mij ook. "SendEnv LANG LC_*" hoort in ssh_config, en "AcceptEnv LANG LC_*" hoort in sshd_config. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: swap disk (was: D A N K ! Re: vraag over raid1 - Debian 11 (her)installatie .. wanneer definieer ik swap en /boot en / (root)?)
Hoi Gijs en anderen, Op 22-10-2022 om 09:53 schreef Gijs Hillenius: De raid1 herinstallatie is grotendeels gelukt. Maar als er iemand tips heeft over de swap file? Ik loop (waarschijnlijk) tegen een race aan tussen het proces dat de raid1 swap file met een random wachtwoord versleuteld, en het proces dat de partitie beschikbaar wil maken. Ik zeg waarschijnlijk, want het kan ook best wat anders zijn. Ik vond dit issue, (wat niet of wel in system te fixen is) https://github.com/systemd/systemd/issues/10179 uit mijn syslog: Failed to start Cryptography Setup for md1_crypt. Dependency failed for Local Encrypted Volumes. cryptsetup.target: Job cryptsetup.target/start failed with result 'dependency'. Reached target Block Device Preparation for /dev/mapper/md1_crypt. > cat /etc/crypttab md1_crypt /dev/md1 /dev/urandom cipher=aes-xts-plain64,size=256,discard uit /etc/fstab /dev/mapper/earplug--raid1--swap--vg-swap--lv none swap sw 0 0 Ik heb nu eerst het systeem gereboot met deze ^^ regel in /etc/fstab uit: # /dev/mapper/earplug--raid1--swap--vg-swap--lv none (etcetera) dan zie ik in de dmesg dmesg | grep md1 [5.142438] md/raid1:md1: not clean -- starting background reconstruction [5.142446] md/raid1:md1: active with 2 out of 2 mirrors [5.142508] md1: detected capacity change from 0 to 1997537280 Soms is het probleem dat je iets eerder fout hebt gedaan, en dat dat niet helemaal goed verwijderd is. Dan vind hij bijvoorbeeld nog steeds die oude raid, of die oude LVM. Het mooiste is dan vaak secure_erase om met een helemaal schone lei te beginnen, maar bij grote harddisks duurt dat best wel lang. https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase https://tinyapps.org/docs/wipe_drives_hdparm.html Bij fdisk heb ik regelmatig gezien dat als je een partitie verwijderd en daarna weer aanmaakt, dat hij dan vraagt of je de oude signatures (o.i.d.) wilt verwijderen, daarop kun je "ja" zeggen. en nu? cryptdisks_start md1_crypt dat gaat ogenschijnlijk ok, maar ik moet ergens (via systemctrl?) die /dev/mapper/earplug--raid1--swap--vg-swap--lv aanzetten, ik weet niet hoe. systemctl toont: systemd-cryptsetup@md1_crypt.service loaded failed failed Cryptography Setup for md1_crypt ok. dan probeer ik dit systemctl restart systemd-cryptsetup@md1_crypt.service dat geeft: systemctl status systemd-cryptsetup@md1_crypt.service ● systemd-cryptsetup@md1_crypt.service - Cryptography Setup for md1_crypt Loaded: loaded (/etc/crypttab; generated) Active: active (exited) since Sat 2022-10-22 09:51:41 CEST; 7s ago Docs: man:crypttab(5) man:systemd-cryptsetup-generator(8) man:systemd-cryptsetup@.service(8) Process: 23788 ExecStart=/lib/systemd/systemd-cryptsetup attach md1_crypt /dev/md1 /dev/urandom cipher=aes-xts-plain64,size=256,discard (code=exited, status=0/SUCCESS) Main PID: 23788 (code=exited, status=0/SUCCESS) CPU: 33ms Oct 22 09:51:40 earplug systemd[1]: Starting Cryptography Setup for md1_crypt... Oct 22 09:51:41 earplug systemd-cryptsetup[23788]: Volume md1_crypt already active. Oct 22 09:51:41 earplug systemd[1]: Finished Cryptography Setup for md1_crypt. maar systemctl status dev-mapper-crypt_swap.device ● dev-mapper-crypt_swap.device - /dev/mapper/crypt_swap Loaded: loaded Active: inactive (dead) als iemand tips heeft over de volgende stap of test, dank! Wat zegt "free", heb je daar swap? Als je daar geen swap hebt, wat doet: swapon /dev/mapper/crypt_swap Is die devicenaam wel goed? Zou het niet een andere naam moeten zijn, bijvoorbeeld iets als /dev/mapper/md1_crypt? Soms start een service bij mij niet goed vanwege timing issues, zoiets stop ik dan vaak in een crontab, zoiets: @reboot root /bin/sleep 10; /path/commando > /tmp/output 2>&1 Hij wacht dan na booten 10 seconden, en dan wordt het commmando uitgevoerd. De output wordt in /tmp/ gezet, waar je eventueel kunt kijken bij problemen. Niet helemaal netjes, maar het werkt wel. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: D A N K ! Re: vraag over raid1 - Debian 11 (her)installatie .. wanneer definieer ik swap en /boot en / (root)?
Hoi Gijs, en anderen, Op 19-10-2022 om 08:18 schreef Gijs Hillenius: Goedenmorgen Paul! We top-posten! Foei ;-) Maar vooraleerst nog maal dank voor de uitleg van die schijfindeling -> de biosboot. (De volautomatische debian installer maakte die overigens ook aan; zag ik bij een toch niet goed verlopen poging.) Ik gebruik hem vaak deels. Dan laat ik hem eerst indelen, en dan ga ik dat weer wijzigen. Het is denk ik een probleem met de trage processor? (Intel Atom). https://github.com/systemd/systemd/issues/10179 Ik heb de link niet goed bestudeerd. Je hebt soms wel eens van die timing issues. Maar eigenlijk denk ik niet dat dat hier het probleem is. Ik ga dat hopenlijk vandaag ergens ontdekken. Nog een ding: ik dacht dat ik 2 G Ram had, dus maakt een swap partitie van 2 G. Ik heb echter 4 G ram. Als dat maar goed gaat. Affijn, ik heb swap eigenlijk niet nodig. Het schijnt toch (bijna) altijd verstandig te zijn. Een swap-file is ook een interessante optie, maar nooit gedaan. En dan: Bij de (manual, maar ook de volautomatische) installatie kan je instellen dat de luks-swap een random password krijgt; dus hij vraagt er bij het booten niet om. Interessant, dat kende ik nog niet! En het is een NAS die meestal/altijd aanstaat, dus zelfs als ik 3 keer een luks wachtwoord in moet tiepen.. die vier/vijf keer per jaar dat ie uitgaat. Ik snap het. Dan heb je dus in principe ook geen LVM nodig. Dat maakt de boel wel simpeler. Groet, Paul PS: ik doe een CC naar de groep. Als je iets private wilt houden, meldt dan dan. Groet! G On 18 October 2022 14:57 Paul van der Vlis, wrote: Ik heb de indruk dat je toch een aparte raid1 hebt gemaakt voor de swap. Kan het zijn dat het deze is? md1 9:10 1.9G 0 raid1 Dat is niet handig, dan is je swap niet encrypted. En als je dat toch doet moet je 2x een paswoord ingeven tijdens het booten. Ik ben toch bang dat het opnieuw moet. Maak beter een volume group met daarin zowel / als swap. Probeer deze commando's eens: vgdisplay # geeft volume groups weer, en hoeveel vrije ruimte. lvdisplay -C # geeft logical volumes weer. Op 18-10-2022 om 13:34 schreef Gijs Hillenius: On 18 October 2022 12:00 Paul van der Vlis, wrote: Hoi Gijs en anderen, Op 18-10-2022 om 11:22 schreef Gijs Hillenius: Wauw Paul, Gedaan zoals je schreef... Het werkt! (nou bijna dan. Ik denk dat ik een foutje maakte met de swap, maar de rest draait.) Fijn om te horen! Swap kun je meestal wel repareren, daarvoor hoef je het niet opnieuw te doen. Dit staat er bij mij in /etc/fstab : /dev/mapper/vol1-swap none swapsw 0 0 hier is het : /dev/mapper/earplug--raid1--swap--vg-swap--lv none swap sw 0 0 (herhaalde spaties verwijderd) Echter, ik vermoed dat ik bij de installatie een stap oversloeg, of vergeten ben op 'finish partition' te muisklikken(™): lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:00 3.6T 0 disk ├─sda1 8:101M 0 part ├─sda2 8:20 4.7G 0 part │ └─md0 9:00 4.7G 0 raid1 /boot ├─sda3 8:30 1.9G 0 part │ └─md1 9:10 1.9G 0 raid1 └─sda4 8:40 3.6T 0 part └─md2 9:20 3.6T 0 raid1 └─md2_crypt 253:00 3.6T 0 crypt └─earplug--raid1--root--vg-root--lv 253:10 3.6T 0 lvm / sdb 8:16 0 3.6T 0 disk ├─sdb1 8:17 01M 0 part ├─sdb2 8:18 0 4.7G 0 part │ └─md0 9:00 4.7G 0 raid1 /boot ├─sdb3 8:19 0 1.9G 0 part │ └─md1 9:10 1.9G 0 raid1 └─sdb4 8:20 0 3.6T 0 part └─md2 9:20 3.6T 0 raid1 └─md2_crypt 253:00 3.6T 0 crypt └─earplug--raid1--root--vg-root--lv 253:10 3.6T 0 lvm / Hierboven, daar zou ik dit verwachten te zien sda3 -> md1 -> md1_crypt -> earplug--raid1--swap--vg--lv Hoe doe ik dat alsnog? De volume group heet "vol1" en het logical volume "swap". Formatteren gaat met iets als: mkswap /dev/mapper/vol1-swap Met iets als dit kun je het aanzetten: swapon /dev/mapper/vol1-swap Kijk ook even in: /etc/initramfs-tools/conf.d/resume Als je daar iets wijzigt moet wellicht nog iets met initramfs doen: update-initramfs -u Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Vooruitgant! Re: vraag over raid1 - Debian 11 (her)installatie .. wanneer definieer ik swap en /boot en / (root)?
Hoi Gijs en anderen, Op 18-10-2022 om 11:47 schreef Gijs Hillenius: Met veel (!) dank aan Paul, Ik heb de Debian installer vanmorgen vroeg een vierde keer gedaan; en .. TADA .. ik heb de NAS draaiend. Kreeg je ook de encryptie draaiend via de installer? De installer kan encrypte en LVM, maar of hij het ook bovenop raid kan, dat wist ik niet. Het moederbord (AD2550B-ITX) ondersteunt (volgens de specificaties in 2012) geen 64 bits, iets met (Due to lack of Intel® 64-bit VGA driver ... powerVR SGX545), maar ik heb vanmorgen de 64 bits installer gedaan: firmware-11.5.0-amd64-netinst.iso. En succes! En die 64 bits dee ik omdat iemand me online vertelde dat 32 bits (besturingssystemen) geen 4 TB schijven aan kunnen. Dat was wellicht de reden van de grub error gisteren; en het was een poging waard. Volgens mij is dat niet waar, maar ik weet het niet zeker. Maar sowieso beter 64-bits, 32-bits gaat er langzaam uit. Inmiddels kreeg ik ook weer meer ervaring met de partition manager :-/ Maar toch nog niet genoeg: er is iets mis met de swap: , | dev-mapper-earplug\x2d\x2draid1\x2d\x2dswap\x2d\x2dvg\x2dswap\x2d\x2dlv.device: | Job | dev-mapper-earplug\x2d\x2draid1\x2d\x2dswap\x2d\x2dvg\x2dswap\x2d\x2dlv.device/start | timed out. | | Timed out waiting for device | /dev/mapper/earplug--raid1--swap--vg-swap--lv. | | Dependency failed for /dev/mapper/earplug--raid1--swap--vg-swap--lv. | | Dependency failed for Swap. ` Daar moet ik nog even goed naar kijken. In het ergste geval de installatie nog eens doen. Wellicht heb je iets aan mijn andere mailtje. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: D A N K ! Re: vraag over raid1 - Debian 11 (her)installatie .. wanneer definieer ik swap en /boot en / (root)?
Hoi Gijs en anderen, Op 18-10-2022 om 11:22 schreef Gijs Hillenius: Wauw Paul, Gedaan zoals je schreef... Het werkt! (nou bijna dan. Ik denk dat ik een foutje maakte met de swap, maar de rest draait.) Fijn om te horen! Swap kun je meestal wel repareren, daarvoor hoef je het niet opnieuw te doen. Dit staat er bij mij in /etc/fstab : /dev/mapper/vol1-swap none swapsw 0 0 De volume group heet "vol1" en het logical volume "swap". Formatteren gaat met iets als: mkswap /dev/mapper/vol1-swap Met iets als dit kun je het aanzetten: swapon /dev/mapper/vol1-swap Kijk ook even in: /etc/initramfs-tools/conf.d/resume Als je daar iets wijzigt moet wellicht nog iets met initramfs doen: update-initramfs -u Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: vraag over raid1 - Debian 11 (her)installatie .. wanneer definieer ik swap en /boot en / (root)?
Hoi Gijs en anderen, Op 17-10-2022 om 09:17 schreef Gijs Hillenius: [...] knip En nu moet ik die herbouwen, met twee nieuwe en grotere schijven. Ik weet niet (meer) in welke stap ik de / /boot en swap partities definieer. Maak ik 1 raid partitie op beide schijven, en verdeel ik daarna met lvm+encryptie de schijf in 3 partities? Of moet ik elke harde schijf in 3 verdelen, en van elke 2 gelijke partities dan één raid1 partitie maken? Als je grotere schijven wilt kunnen gebruiken dan 2TB dan moet je UEFI gebruiken en dan heb je GPT en een "BIOS boot" partitie nodig. Vaak is die maar 1 MB groot. Ik zou hem maken op zowel sda1 als sdb1. Alleen die op sda1 zal worden gebruikt, maar ik zou later als de boel klaar is met dd de inhoud van sda1 kopieren naar sdb1, en op sdb ook grub installeren. Ah, Paul, dank voor die uitleg! Het BIOS is van 2012/2014, en al heeft het UEFI in de naam (16Mb AMI UEFI Legal BIOS with GUI support) zal dat wel de reden zijn dat mijn huis-nas voorlopig niet wil booten. Ja, je hebt volgens mij UEFI en GPT nodig om te kunnen booten vanaf een grote disk. Het gaat niet om de partitie, maar om de disk. Wellicht kan ik booten vanaf een USB-dingetje. Ja, dat kan wel. Of van SSD bijvoorbeeld. Maar je zult wel GPT nodig hebben op de grote disk. Gisteren prikte ik twee 4TB schijven in de kast. Met de Debian 11 installer heb ik daar 1 4TB raid1 device van gemaakt. Vervolgens liep ik helemaal vast in het instellen van de LVM/encrypted ; ergste was nog dat ik de indeling niet ongedaan kreeg. Ik zou de partitietabel verwijderen. Dat kan volgens mij ook met de Debian installer door op de partitietabel een return te geven en een nieuwe partitietabel te maken. Dan is alles in 1x weg. Mocht het niet lukken, dan zou ik parted gebruiken met de optie "mktable", en "destroy data: yes". Maar ... De automatische optie in het menu blijkbaar wel: Raid device #0 #1 1.0 MB K biosgrub #2 512.0 MB ext #3 4.0 TB Ah, het is al gelukt blijkbaar. (hey, waar is de swap?) Die zou ik in LVM zetten. Maar bij het installeren van grub ging dat alsnog mis, het wilde niet in /dev/sdax noch /dev/sdbx. Wat raar, misschien toch geen GPT? -- root@kvms12:~# fdisk /dev/sda Welcome to fdisk (util-linux 2.29.2). Changes will remain in memory only, until you decide to write them. Be careful before using the write command. Command (m for help): p Disk /dev/sda: 2,7 TiB, 3000592982016 bytes, 5860533168 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 4096 bytes / 4096 bytes Disklabel type: gpt Disk identifier: 522C931D-2290-431A-9477-788C76FCEE3B DeviceStartEndSectors Size Type /dev/sda1 2048 4095 20481M BIOS boot /dev/sda2 4096 19535871 19531776 9,3G Linux RAID /dev/sda3 19535872 5860532223 5840996352 2,7T Linux RAID Let op die "disklabel type: gpt". En dat startpunt van de eerste partitie. Dus ik ben terug bij af. Wat doe ik eerst: De 4 TB schijven opdelen in 2 of meer raid devices? Je hebt iets nodig voor tenminste /boot . Of is het 1 4TB raid device, waaroverheen LVM/crypt zijn gang gaat? Dan moet /boot al ergens anders staan. Je moet kunnen booten. Dank voor het meedenken! Een alternatief is nog om het OS niet te encrypten, maar er bovenop een of meerdere virtuele machines te maken en die te encrypten. Er zijn ook nieuwere methoden waar ik geen ervaring mee heb, LVM kan ook RAID, en BTRFS kan ook RAID en wellicht ook encryptie. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: vraag over raid1 - Debian 11 (her)installatie .. wanneer definieer ik swap en /boot en / (root)?
Hoi Geert, en anderen, Op 16-10-2022 om 22:43 schreef Geert Stappers: On Sun, Oct 16, 2022 at 10:05:07PM +0200, Paul van der Vlis wrote: Op 16-10-2022 om 12:52 schreef Gijs Hillenius: Hallo Acht jaar geleden installeerde ik deze raid1: lsblk --fs NAME FSTYPELABEL MOUNTPOINT sdb ├─sdb1 linux_raid_member harde-schijf:0 │ └─md0ext4/boot ├─sdb2 linux_raid_member harde-schijf:2 │ └─md2 │ └─md2_crypt (dm-1) swap[SWAP] └─sdb3 linux_raid_member harde-schijf:1 └─md1crypto_LUKS └─md1_crypt (dm-0) ext4/ sda ├─sda1 linux_raid_member harde-schijf:0 │ └─md0ext4/boot ├─sda2 linux_raid_member harde-schijf:2 │ └─md2 │ └─md2_crypt (dm-1) swap[SWAP] └─sda3 linux_raid_member harde-schijf:1 └─md1crypto_LUKS └─md1_crypt (dm-0) ext4/ En nu moet ik die herbouwen, met twee nieuwe en grotere schijven. Ik weet niet (meer) in welke stap ik de / /boot en swap partities definieer. Maak ik 1 raid partitie op beide schijven, en verdeel ik daarna met lvm+encryptie de schijf in 3 partities? Of moet ik elke harde schijf in 3 verdelen, en van elke 2 gelijke partities dan één raid1 partitie maken? Als ... ... Ik zou hem maken ... zou ik dus ... naar ... ... En verder testen ... Ik zou tijd nemen om e-mail te beantwoorden. Dit zijn ingewikkelde dingen die ik ook niet dagelijks doe. En sindsdien heeft Debian ook niet stilgestaan. Ik denk dat Gijs er toch wel wat aan heeft. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: vraag over raid1 - Debian 11 (her)installatie .. wanneer definieer ik swap en /boot en / (root)?
Op 16-10-2022 om 12:52 schreef Gijs Hillenius: Hallo Acht jaar geleden installeerde ik deze raid1: lsblk --fs NAME FSTYPELABEL MOUNTPOINT sdb ├─sdb1 linux_raid_member harde-schijf:0 │ └─md0ext4/boot ├─sdb2 linux_raid_member harde-schijf:2 │ └─md2 │ └─md2_crypt (dm-1) swap[SWAP] └─sdb3 linux_raid_member harde-schijf:1 └─md1crypto_LUKS └─md1_crypt (dm-0) ext4/ sda ├─sda1 linux_raid_member harde-schijf:0 │ └─md0ext4/boot ├─sda2 linux_raid_member harde-schijf:2 │ └─md2 │ └─md2_crypt (dm-1) swap[SWAP] └─sda3 linux_raid_member harde-schijf:1 └─md1crypto_LUKS └─md1_crypt (dm-0) ext4/ En nu moet ik die herbouwen, met twee nieuwe en grotere schijven. Ik weet niet (meer) in welke stap ik de / /boot en swap partities definieer. Maak ik 1 raid partitie op beide schijven, en verdeel ik daarna met lvm+encryptie de schijf in 3 partities? Of moet ik elke harde schijf in 3 verdelen, en van elke 2 gelijke partities dan één raid1 partitie maken? Als je grotere schijven wilt kunnen gebruiken dan 2TB dan moet je UEFI gebruiken en dan heb je GPT en een "BIOS boot" partitie nodig. Vaak is die maar 1 MB groot. Ik zou hem maken op zowel sda1 als sdb1. Alleen die op sda1 zal worden gebruikt, maar ik zou later als de boel klaar is met dd de inhoud van sda1 kopieren naar sdb1, en op sdb ook grub installeren. De doelstelling is dat sdb sda kan vervangen als deze kapot mocht zijn. Eventueel door hem fysiek op de plek van sda te zetten of in het bios te kiezen voor de andere disk. Dit zou ik ook willen testen (maar later). Dan zou ik van de rest van de disks twee raids maken, eentje voor /boot (niet encrypted) en een andere die je encrypt met cryptsetup en LUKS. In dat encrypted volume maak je dan een LVM volume groep, waarin je weer logical volumes maakt. Een van die logical volumes is je swap, en uiteraard kun je meer volumes maken. Voordeel van LVM is, dan je maar 1 keer je paswoord hoeft in te geven voor meerdere volumes. En ook verder is LVM fijn. Laat altijd nog wat ruimte vrij, zodat je je volumes later nog kunt uitbreiden. Als je klaar bent zou ik dus sda1 kopieren naar sdb1, en grub ook installeren op sdb. En verder testen of het systeem ook wil booten terwijl sdb op de plaats van sda zit. Of evt zonder sda. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Thunderbird 102 & {Cal,Card}DAV
Op 01-10-2022 om 18:44 schreef Paul van der Vlis:
Hoi Geert en anderen,
Op 30-09-2022 om 12:57 schreef Geert Stappers:
Zou ik dat moeten lezen als:
Zorg dat er discovery service is die vertelt waar de Ca{l,rd}DAV
server staat en dan hoef je die in TB niet meer te configuren.
??
Nee. Je setup wordt er wat gemakkelijker van.
Eigenlijk bedoel ik dus "ja". Maar het gaat ook prima met de hand.
Tot de vorige versie werkte autoconfiguratie nog niet bij carddav en
caldav. Misschien nu wel.
Ik heb wel scripts die werken met IMAP, POP, SMTP etc. voor Mozilla.
Er zijn 3 van dit soort autoconfiguratie dingen die van belang zijn,
namelijk die van Mozilla, die van Apple, en die van Microsoft. Onderling
niet compatibel. Ik kwam laatst iets tegen wat alle drie ondersteunde.
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Re: Thunderbird 102 & {Cal,Card}DAV
Hoi Geert en anderen,
Op 30-09-2022 om 12:57 schreef Geert Stappers:
On Thu, Sep 29, 2022 at 10:28:23PM +0200, Richard Lucassen wrote:
On Thu, 29 Sep 2022 21:09:16 +0200 Paul van der Vlis wrote:
Ik ben over op Thunderbird versie 102, die zit bij de security
updates. Tot nu toe bevalt hij me wel.
Ik had wel wat problemen met de nieuwsgroepen support. Eerst was de
nieuwsserver verdwenen. Na afsluiten en opstarten van Thunderbird was
hij er weer, maar hij vroeg wel opnieuw naar username en wachtwoord.
Het adresboek is herschreven en staat nu eindelijk in een tab.
Ook cardav en caldav is nu beter geregeld :)
(hierboven staat ook een :)
In mijn Thunderbird, versie 102.3, installatie vind ik wel agenda en
adresboek dingen. Wat ik nog niet gevonden heb, is de plek voor het
configuren van de CalDAV en/of CardDAV server.
Onder welk menu zou ik beter moeten kijken?
De agenda is wel logisch:
"bestand | nieuw | agenda | op het netwerk".
Het adresboek staat op een rare plaats, namelijk in het adresboek zelf.
Daar zie je een knop "Nieuw adresboek" met daarnaast een pijl naar
beneden, klap dat open. Je ziet daar "Carddav adresboek toevoegen".
Het zou ook kunnen dat ik een plugin mis, dat ik eerst een thunderbird
plugin moet installeren.
Niet nodig.
Ik deed `apt search thunderbird` met de hoop
om het missende onderdeel te vinden.
Zo vond ik Debian package "webext-dav4tbsync".
$ apt show webext-dav4tbsync 2> /dev/null | sed --quiet '/^Descr/,$p'
Description: Provide CalDAV & CardDAV for TbSync
The CalDAV & CardDAV Provider for TbSync to sync contacts, tasks and
calendars to Thunderbird.
.
Most CalDAV & CardDAV servers provide a discovery service, which allows
one to use just the plain server name (FQDN) like "cloud.server.com" as
server URL. TbSync will find all available calendars and address books
and there is no need to know any specific URLs for individual address
books or calendars. If this does not work because your server does not
provide the discovery service, you have to enter the full path to the
dav server itself, like "cloud.server.com/SOGo/dav".
.
This provider also includes some pre-defined service profiles for easy
setup of accounts of iCloud, Yahoo!, Fruux and others.
Zou ik dat moeten lezen als:
Zorg dat er discovery service is die vertelt waar de Ca{l,rd}DAV
server staat en dan hoef je die in TB niet meer te configuren.
??
Nee. Je setup wordt er wat gemakkelijker van.
Of 'Ook cardav en caldav is nu beter geregeld :)' lezen als
De net niet vlekkeloos is nu minder net niet vlekkeloos
??
Het werkt goed. Alleen moet dat aanmaken van een adresboek nog verhuist
worden naar "bestand | nieuw | adresboek", zodat het net zo is als het
instellen van andere accounts.
Ook dan ben ik benieuwd naar de ervaringen. :-)
Voor persoonlijk gebruik werkt het wel goed.
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Re: Thunderbird 102
Op 29-09-2022 om 22:28 schreef Richard Lucassen: On Thu, 29 Sep 2022 21:09:16 +0200 Paul van der Vlis wrote: Ik ben over op Thunderbird versie 102, die zit bij de security updates. Tot nu toe bevalt hij me wel. Ik had wel wat problemen met de nieuwsgroepen support. Eerst was de nieuwsserver verdwenen. Na afsluiten en opstarten van Thunderbird was hij er weer, maar hij vroeg wel opnieuw naar username en wachtwoord. Het adresboek is herschreven en staat nu eindelijk in een tab. Ik ben niet ontevreden tot nu toe! Ook cardav en caldav is nu beter geregeld :) Wat ervaar je als verbeterd? Voor mij werkte het ook goed in de vorige versie. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Thunderbird 102
Hoi, Ik ben over op Thunderbird versie 102, die zit bij de security updates. Tot nu toe bevalt hij me wel. Ik had wel wat problemen met de nieuwsgroepen support. Eerst was de nieuwsserver verdwenen. Na afsluiten en opstarten van Thunderbird was hij er weer, maar hij vroeg wel opnieuw naar username en wachtwoord. Het adresboek is herschreven en staat nu eindelijk in een tab. Ik ben niet ontevreden tot nu toe! Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Linux Raid1: directories plotseling leeg
Op 08-09-2022 om 13:04 schreef Diederik de Haas: On woensdag 7 september 2022 16:34:23 CEST Paul van der Vlis wrote: Btrfs en zfs hebben een beveiliging tegen corrupt geheugen. AFAIK slaan ze checksums op waarmee ze corruptie *op de schijf* kunnen detecteren (en repareren?), maar als de boel in RAM corrupt raakt (voordat het naar schrijf is geschreven), detecteren ze dat niet. Je hebt gelijk, ik zei het helemaal verkeerd. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Linux Raid1: directories plotseling leeg
Hoi, Op 07-09-2022 om 15:24 schreef mailingli...@vanwingerde.net: Op 2022-09-07T11:55:21+0200 schreef Paul van der Vlis in bericht , inzake: het volgende. Je zou nog met S.M.A.R.T. kunnen kijken, maar je zou verwachten dat mdadm diskfouten opvangt... SMART van de twee schijven was en is ook OK. Jammer, het maakt je wel bang. Ik gebruik al ca 20 jaar mdadm raid1 met ext3 of ext4 en ik heb er nooit dergelijke problemen mee gezien. Dit is mijn tweede servertje met raid1. Dat draaide dus al een hele tijd zonder problemen. Wellicht goed eens naar alternatieven te gaan kijken? Welke? Waar ik in eerste instantie aan denk is btrfs, zfs, en raid via lvm. Btrfs en zfs hebben een beveiliging tegen corrupt geheugen. Bij raid1 via lvm weet ik dat niet. > Je moet ondanks raid1 overigens altijd goed backuppen. Ik heb > hiervoor elders een server tevens desktop pc staan. Uiteraard. Ik rsync mijn lokale machines naar een server in het datacenter. En de servers in het datacenter rsync ik naar huis. Wat ik overigens nog niet genoemd had als mogelijke oorzaak is een menselijke fout. Maar als ik je zo hoor, dan denk ik niet dat dat het geval is. Ik dacht van niet, maar je kunt 't nooit helemaal uitsluiten. Aan de andere kant 600 GB wissen? Dat duurt wel even. Het hoeft niet gebeurd te zijn terwijl je er zicht op had. Veel dank voor het meedenken. Het spijt me dat ik geen oplossing had. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Linux Raid1: directories plotseling leeg
Hallo, Op 06-09-2022 om 22:50 schreef mailingli...@vanwingerde.net: Heren! Ik heb de server uit het netwerk gehaald en een en ander bekeken. mdadmin en fsck gaven geen problemen aan. Daarna tesdtdisk gedraaid. Die gaf het advies 'fsck.ext4 -p -b884736 -B 4096' te draaien. Ik voegde daar nog '-z fsck.txt'aan toe. Dit leverde een fsck.txt file van 57,9 MB op. In dit bestand staat niks bijzonders: heel veel 00 en ff en wat kleine flarden oninteressante logs. Ik trof dus geen resten van (mnetadata van) verdwenen bestanden aan. Nu 2,509 TB vrije plek aanwezig op de schijf. Eerst was dat 2,3 TB. Er is ongeveer 600 GB aan bestanden zoek. Ik had dus verwacht dat er nu 2,9 TB vrije plek aanwezig zou zijn. Je zou nog met S.M.A.R.T. kunnen kijken, maar je zou verwachten dat mdadm diskfouten opvangt... Op dit moment wordt de var-directory uit de laatste backup via usb > sata op een schijf gezet. Morgen zet ik een en ander terug. Daarna moet ik de var directory met 'cp -al' aan de laatste backup toevoegen om te voorkomen dat rsync 600 GB over de adsl-verbindingen gaat pompen. Ik heb dus geen duidelijke oorzaak van de crash van var gevonden. Er is 600 GB aan bestanden verdwenen, maar de beschreven schijf werd slechts 200 GB kleiner. Jammer, het maakt je wel bang. Ik gebruik al ca 20 jaar mdadm raid1 met ext3 of ext4 en ik heb er nooit dergelijke problemen mee gezien. Wellicht goed eens naar alternatieven te gaan kijken? Wat ik overigens nog niet genoemd had als mogelijke oorzaak is een menselijke fout. Maar als ik je zo hoor, dan denk ik niet dat dat het geval is. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Linux Raid1: directories plotseling leeg
Op 06-09-2022 om 21:51 schreef mailingli...@vanwingerde.net: Heb je gekeken met fsck of er iets te repareren valt aan het filesysteem? umount /dev/md2 fsck -f /dev/md2 Ja. fsck zegt 0 = OK. Die -f staat niet in de manpage: https://manpages.debian.org/bullseye/util-linux/fsck.8.en.html Opties die hij niet begrijpt stuurt hij door naar de filesystem specific deel. Ik was er vanuit gegaan dat dat ext4 was, misschien niet juist. https://www.systutorials.com/docs/linux/man/8-fsck.ext4/ Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Linux Raid1: directories plotseling leeg
Hallo Jaap en anderen, Op 02-09-2022 om 14:41 schreef mailingli...@vanwingerde.net: Heren (dames ook), Ik heb een servertje (met Debian 11) thuis met een aparte data schijf: ext4. Deze software raid bestaat uit twee sata-schijven van 2x 4 'TB'. Deze schijf is gemount naar /media/data/ en er is van 3,6 TB nog 2,3 beschikbaar. Verder heb ik met bind een flink aantal directories naar het normale bestandssysteem gemount. Dit gaat om bijvoorbeeld /home/jaap/data en directories in /var, zoals /var/cache, var/repository, /var/log, /var/lib/acme, /var/www-ssl en /var/music. Veel van deze directories zijn ook met NFS vanaf de desktop computers in huis bereibaar. Voorbeelden uit /etc/fstab: /dev/md2 /media/data ext4 rw,relatime,lazytime,user_xattr,acl 02 /media/data/var/repository /var/repository none bind,relatime,lazytime,rw,suid,acl,user_xattr 0 0 Zou het kunnen dat je dingen dubbel gemount hebt? Gisteren bleek dat alle directories in /media/data/var leeg waren. Dat merkte ik omdat deze niet meer op mijn desktop computer verschenen. Tot mijn stomme verbazing stonden de bestanden nog wel in de op de server met bind gemounte directories, zoals /var/music. Volgen MDadm was en is alles OK. DE smart status van de schijven is ook goed. Ik heb toen de server opnieuw opgestart en daarna waren zowel de met bind gemounte directories als de directories op de data schijf leeg. Daardoor deden apache, postfix, dovecot en openvpn het niet meer. Gelukkig deed ssh het nog wel. Door het aanmaken van wat directories in /var/log en het uit de backup halen van /var/lib/acme en /var/www-ssl deed een en ander het weer. Heb je gekeken met mdadm of alles ook nu nog steeds goed is? cat /proc/mdstat Het is opvallend dat er nog steeds 2,3 TB op de schijf beschikbaar is. In de verdwenen directories staan naar schatting meer dan 600 GB aan bestanden. Heb je gekeken met fsck of er iets te repareren valt aan het filesysteem? umount /dev/md2 fsck -f /dev/md2 Ik heb geen idee wat er aan de hand is. Ik kan een schijf tijdelijk uit de raid halen en via usb onderzoeken, Ik zou de boel zoveel mogelijk testen in de raid. Eventueel met de debian installer in rescue mode. Deze kan ook uitstekend omgaan met software raid, encryptie, LVM, etc. Je moet alleen wat vaak op return drukken bij het opstarten ;-) USB is sowieso minder goed bij problemen dan echte SATA. maar ik wil eerst meer weten over mogelijke oorzaken. Mijn backup staat elders en het overpiepen via een adsl up en down link gaat natuurlijk eeuwen duren. Ik zal dan wel met een harde schijf over straat moeten. Naar dat wil ik pas doen als de oorzaak bekend is. Google was hierbij mijn vriend niet. Hebben jullie enig idee waar ik de oorzaak moet zoeken? Misschien in het filesysteem. Misschien in de hardware. Groeten en succes! Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: spamhaus spamassassin-dqs
Hoi Gijs, Op 30-08-2022 om 17:56 schreef Gijs Hillenius: Ik geef een update, met een nieuw onderwerp-regel. Als het te lang is, excuses! Mijn kleine server - Debian stable - draait onder meer Exim en Spamassassin. Enige tijd terug begon Spamhuis aangeroepen via Exim mail te bouncen van onder meer een grote internetzoekmachine, een internet-betalingen-dienstaanbieder, en enkele andere grote commerciële domeinen. Was erg onhandig, ivm enkele internet-bestellingen. Ik heb om te beginnen in Exim de blocklists uitgezet; daarmee komen die mails weer gewoon aan. Maar waarschijnlijk heb je ook meer spam. En ik doe een poging om van Spamhaus de DQS plugin te gebruiken: https://github.com/spamhaus/spamassassin-dqs- "Data Query Service (DQS) is a set of DNSBLs, updated in real-time, operated by Spamhaus Technology" > Daar heb ik onder meer unbound voor geinstalleerd. Je hebt dus zo'n DQS aangevraagd? Dat heb ik niet gedaan. Volgens mij is het niet nodig als je niet de DNS van Cloudflare gebruikt. Ik heb het dus opgelost door op die machine een eigen DNS te installeren. Moest je betalen voor die DQS? En de firewalld aangepast voor DNS. Vaak is dat niet nodig lijkt me, omdat je meestal uitgaand verkeer en antwoorden daarop doorlaat. En verkeer naar localhost ook. Maar uiteraard ken ik jouw firewall niet. De installatie en configuratie van de plugin zelf is recht toe recht aan. (Maar: ik lees gehaast als altijd vaak over de belangrijke details heen.) > Affijn: tot nog toe worden alle test-mails, die je kan laten verzenden via blt.spamhaus.com door spamassassin gewoon als OK doorgelaten. Als ik doe spamassassin -D < testmail Ik ken spamassasin niet goed. Ik configureer de spamlijsten in Postfix. In Postfix gebruik ik dit soort regels: reject_rbl_client bl.spamcop.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, Postfix checkt dan bij die blocklists of hij ze mag doorlaten. Zo niet, dan komt het in de logs. Interessant daaraan is ook, dat bij afwijzing de mail helemaal niet wordt binnengelaten. Hij wordt meteen bij de voordeur gestopt, er hoeven dus ook geen bounces te worden verstuurd bij afwijzing. In Exim kun je vast ook zoiets doen, zie b.v. hier: https://www.linuxlookup.com/howto/dns_blacklist_exim als user Debian-spamd, want zo draait spamd op mijn systeem, en met testmail een van de testmails van blt.spamhaus.com (gekopieerd vanuit mijn eigen Inbox naar /tmp/testmail. In zo'n mail zit dan bijvoorbeeld een domain waarop spamassassin moet aanslaan.. zrdtest.com hieronder). zie ik in de enorme output onder meer: plugin: loading Mail::SpamAssassin::Plugin::SH from /etc/spamassassin/SH.pm > dus die plugin lijkt me correct geïnstalleerd. ik zie ook heel veel meldingen die me vertellen dat er verkeer van spamassassin naar "mijn" spamhaus account gaat: async: query 17181/IN/A/zrdtest.com.my-key-here.dbl.dq.spamhaus.net already done, re-using for SH:zrdtest.com.my-key-here.dbl.dq.spamhaus.net, callback SHPlugin: _finish_lookup on zrdtest.com / SH_DBL_ABUSED_FULLHOST / ^127.0.1.10[2-6]$ Mij lijkt het alsof hierdoor (SH_DBL_ABUSED_FULLHOST) de spam waarde omhoog moet met 6, want de plugin komt met een bestand "sh_scores.cf" en daarin: "score SH_DBL_ABUSED_FULLHOST 6" Maar .. de spam waarde is uiteidelijke netjes 0.989 > Vraag: zou ik SH_DBL_ABUSED_FULLHOST moeten terugzien in dit gedeelte, bijna onderin, van de output van "spamassassin -d < testmail" check: is spam? score=0.989 required=3.5 check: tests=`SPF_HELO_PASS,SPF_PASS,T_SCC_BODY_TEXT_LINE,UNPARSEABLE_RELAY,URIBL_ZRD Ik weet hier weinig zinvols op te zeggen, want ik gebruik het niet. Maar wellicht hebben Spamassasin en Spamd ook voordelen boven hoe ik het doe... Groeten, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: verouderde instellingen exim en spamhaus? + DNS ??
Hoi Geert en anderen, Op 28-08-2022 om 12:51 schreef Geert Stappers: On Sun, Aug 28, 2022 at 09:44:09AM +0200, Gijs Hillenius wrote: Ik zit nu naar Unbound te kijken. Dat lijkt minder complex? Is dit *echt* alles ? https://unbound.docs.nlnetlabs.nl/en/latest/getting-started/configuration.html Mij ontgaat hoe een eigen tussenschakel kan helpen bij het probleem van een twijfelachtige CHECK_RCPT_IP_DNSBLS configuratie. Er is wat veranderd bij Spamhaus, lees dat artikel maar eens. Een oplossing is om een eigen DNS server te gebruiken, daarmee had ik succes. Maar wellicht kun je ook gewoon een andere DNS server gebruiken, b.v. die van Google, of die van je ISP. Maar Cloudflare gebruiken is dus geen goed idee. Groeten, Paul Groeten Geert Stappers P.S. Iets wat ik wel geinig vind: | $ dig +short 42km-mi.unit @dns.toys | "42.00 Kilometer (km) = 26.10 Mile (mi)" -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: verouderde instellingen exim en spamhaus?
Op 28-08-2022 om 09:44 schreef Gijs Hillenius: On 27 August 2022 20:43 Paul van der Vlis, wrote: Op 18-08-2022 om 12:20 schreef Gijs Hillenius: Mijn exim4.conf.templat bevat .ifndef CHECK_RCPT_IP_DNSBLS CHECK_RCPT_IP_DNSBLS = \ cbl.abuseat.org : \ virbl.dnsbl.bit.nl : \ zen.spamhaus.org .endif maar .. ik krijg het idee dat deze regels achterhaald zijn. die eerste (cbl) is blijkbaar al een paar jaar terug vervangen door xbl.spamhaus.org, lees ik nu net op https://www.abuseat.org/cutover.html Zou dit verklaren waarom ik de laatste tijd meldingen krijg over bounces van bendel.debian.org en van lists.gnu.org? voorbeeld: 2022-08-18 12:10:01 H=lists.gnu.org [209.51.188.17] X=TLS1.2:ECDHE_SECP256R1__RSA_SHA256__AES_256_GCM:256 CV=no F= rejected RCPT : 209.51.188.17 is listed at cbl.abuseat.org (127.255.255.254: Error: open resolver; https://www.spamhaus.org/returnc/pub/2400:cb00:71:1024::a29e:52ca) Je gebruikt wellicht de verkeerde DNS, let op dat "open resolver": https://www.spamhaus.com/resource-center/if-you-query-spamhaus-projects-dnsbls-via-cloudflares-dns-move-to-the-free-data-query-service/ Jij gebruikt blijkbaar Exim, dat ken ik niet zo goed. Toen ik begon met Debian was dat de default. Het is maar een mini servertje, voor een handvol actieve mail-ontvangers/verzenders. Ik gebruik Postfix, belangrijk daarbij is dat je na wijzigen DNS Postfix echt uitzet en weer opnieuw start, anders gebruikt het nog de oude DNS. Ik had hier ook problemen mee bij een klant, toen ben ik eigen DNS gaan draaien daar. Dank! En daar (ik moet aan de DNS) lijkt het op! Enkele jaren terug deed ik al eens een echt poging met Bind; en dat samen met iemand die er best verstand van heeft. Dat lukte ons toen in een paar uur worstelen toch niet. Ik zit nu naar Unbound te kijken. Dat lijkt minder complex? Is dit *echt* alles ? https://unbound.docs.nlnetlabs.nl/en/latest/getting-started/configuration.html Ik gebruik Bind9. Gewoon installeren, starten en de machine zo instellen dat de DNS 127.0.0.1 is. Zolang hij niet verantwoordelijk is voor bepaalde zone's is het simpel. Dus goed mogelijk dat Unbound ook heel simpel is. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: verouderde instellingen exim en spamhaus?
Op 18-08-2022 om 12:20 schreef Gijs Hillenius: Mijn exim4.conf.templat bevat .ifndef CHECK_RCPT_IP_DNSBLS CHECK_RCPT_IP_DNSBLS = \ cbl.abuseat.org : \ virbl.dnsbl.bit.nl : \ zen.spamhaus.org .endif maar .. ik krijg het idee dat deze regels achterhaald zijn. die eerste (cbl) is blijkbaar al een paar jaar terug vervangen door xbl.spamhaus.org, lees ik nu net op https://www.abuseat.org/cutover.html Zou dit verklaren waarom ik de laatste tijd meldingen krijg over bounces van bendel.debian.org en van lists.gnu.org? voorbeeld: 2022-08-18 12:10:01 H=lists.gnu.org [209.51.188.17] X=TLS1.2:ECDHE_SECP256R1__RSA_SHA256__AES_256_GCM:256 CV=no F= rejected RCPT : 209.51.188.17 is listed at cbl.abuseat.org (127.255.255.254: Error: open resolver; https://www.spamhaus.org/returnc/pub/2400:cb00:71:1024::a29e:52ca) Je gebruikt wellicht de verkeerde DNS, let op dat "open resolver": https://www.spamhaus.com/resource-center/if-you-query-spamhaus-projects-dnsbls-via-cloudflares-dns-move-to-the-free-data-query-service/ Jij gebruikt blijkbaar Exim, dat ken ik niet zo goed. Ik gebruik Postfix, belangrijk daarbij is dat je na wijzigen DNS Postfix echt uitzet en weer opnieuw start, anders gebruikt het nog de oude DNS. Ik had hier ook problemen mee bij een klant, toen ben ik eigen DNS gaan draaien daar. Groeten, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Update en videokaart issues
Op 07-08-2022 om 10:30 schreef Westly Montroos: Hoi, Bedankt voor jouw info. Dus dan moet ik ergens in Debian aanpassen dat ik automatisch overstap naar Debian testing? Dat hoeft helemaal niet. Maar als je nogal nieuwe hardware gebruikt, dan zul je wellicht een actueel kernel nodig hebben. Vandaar dat je gevraagd werd naar de hardware. Zelf zou ik in zo'n geval een kernel uit backports gaan gebruiken: https://backports.debian.org/ Veelal is het handiger geen erg nieuwe hardware te gebruiken. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Update en videokaart issues
Op 06-08-2022 om 20:49 schreef Westly Montroos: Hoi, Ten eerste, ik ben noob wat betreft Debian. Ik heb wel ervaring met Ubuntu, truenas scale en Linux mint/raspberry pi, en vanwege raspberry pi wil ik Debian een kans geven. Maar het blijkt moeilijker te zijn dan gedacht. Ik heb een net.iso gebruikt om Debian te installeren. Dat ging goed, alleen het updaten hiervan lukt niet. Wat heb ik allemaal geprobeerd: Terminal, ingelogd als su om etc/apt/sources.list aan te passen. Ik moet ergens de cdroms items verwijderen, maar ik zie geen cd-rom instaan. Zoiets heb je als je DVD iso's gebruikt om te installeren. Niet als je de net iso gebruikt. Waarom denk je dat je de cdrom items moet verwijderen? Ten tweede, computer ging daarna in rust, maar toen de computer ontwaakte, had ik geen beeld. Dus ik heb jullie hulp nodig. Dat klinkt alsof je hardware hebt die niet helemaal goed ondersteund wordt. Ik zou een kernel uit backports gaan gebruiken. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Debian testing op de desktop bij Google
Op 06-08-2022 om 12:04 schreef Cecil Westerhof: Paul van der Vlis writes: Zelf vind ik het ook wel een boel gedoe, steeds die upgrades om de twee jaar, dus ik vind er wel wat inzitten. Ik vind dat wel meevallen. (En de stabiliteit maakt het meer dan acceptabel.) Het ligt er denk ik maar aan om hoeveel machines het gaat. Het enige dat ik vervelend vind is dat de defaults terug worden gezet. Als er nieuwe system-wide configfiles zijn dan krijg je daar een vraag over inderdaad. Vaak is het te voorkomen door wijzigingen in de .d directories te zetten, bijvoorbeeld in /etc/sudoers.d/ of in /etc/sshd_config.d/ zodat je de configfiles niet wijzigt. Hiermee bedoel ik dat applicaties die ik verwijderd heb terug worden gezet en applicaties die ik heb geïnstalleerd verdwijnen. Dus als iemand weet hoe ik dat kan voorkomen … Dat is helemaal niet zo... Applicaties die je hebt verwijderd komen niet terug, en applicaties die je hebt geinstalleerd verdwijnen niet bij een upgrade... Vertel anders eens hoe je dat doet. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: Debian testing op de desktop bij Google
Op 04-08-2022 om 15:15 schreef hanbenes: Stapt Debian helemaal over op rolling? Nee, stable blijft bestaan, en dat is niet rolling. ( Behalve een paar pakketten zoals Thunderbird, Firefox, en Chromium. Deze bleken niet goed te handhaven als stable pakket, de security fixes waren te moeilijk. ) Naast stable heb je echter ook "unstable" en "testing", die twee zijn wel rolling. "Rolling" betekent dat je elke keer nieuwe versies krijgt van allerlei programma's. Daarbij kan meer mis gaan dan bij "stable", waar dat niet zo is. Groet, Paul. -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Debian testing op de desktop bij Google
Hoi, Ik dacht altijd dat Google Ubuntu gebruikte op de desktop. Ze blijken dat echter vervangen te hebben door Debian testing. Ik vond onderstaande een interessant verhaal: https://cloud.google.com/blog/topics/developers-practitioners/how-google-got-to-rolling-linux-releases-for-desktops Zelf vind ik het ook wel een boel gedoe, steeds die upgrades om de twee jaar, dus ik vind er wel wat inzitten. Ook hun servers schijnen Debian-based te zijn heb ik ooit gelezen, echter heel veel is aangepast. Groeten, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: HFS+ RW
Op 28-07-2022 om 18:37 schreef Geert Stappers: On Wed, Jul 27, 2022 at 01:25:39PM +0200, Paul van der Vlis wrote: Hallo, Iemand vroeg me bestanden te kopieren naar een HFS+ geformatteerde disk (Apple filesysteem). "Waarom?" Omdat hij een mooie grote HFS+ geformatteerde USB-schijf heeft, waarop nog veel ruimte vrij is. En ik zijn andere schijf wou gebruiken als schijf voor een Linux backup... Het viel me op dat het read-only was. Nu schijn je het ook wel RW te kunnen mount met iets als "-o force", maar of dat nu een goed idee is? Wat ik lees is dat Linux niet goed kan omgaan met de journalling opties van HFS+. Wat betekent dat in de praktijk als je toch zou mounten en kopieren? Tijden terug, toen NTFS nog belangrijk was, waren er ook zulke "problemen". Tegenwoordig kun je prima schrijven op NTFS. Al weet ik niet zeker of helemaal alles wordt ondersteund (b.v. encryptie). Wel weet ik dat het tegenwoordig ook zonder FUSE kan, dus een driver direct in de kernel: https://www.phoronix.com/news/NTFS3-For-Linux-5.15 Dit is nog Debian 10, is er nog steeds een probleem met die journalling options van HFS+ in Debian 11? Mijn inziens moet je schrijven naar een filesystem overlaten aan het operating system waar het bij hoort. Dat is wel ideaal inderdaad. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: DMARC problemen
Op 28-07-2022 om 18:19 schreef Geert Stappers: On Thu, Jul 28, 2022 at 06:00:32PM +0200, Paul van der Vlis wrote: Hallo, Na een upgrade van Debian9 naar Debian10 naar Debian11 op mijn mailserver heb ik een raar probleem met DMARC. Vooral Ziggo maar ook b.v. Webreus blokkeren opeens e-mail van mailinglists (mailman). Ik gebruik nog de oude mailman2 (uit Debian10). Overgaan naar Mailman3 is een volgende stap, maar nog niet gedaan dus. Als ik de logs eerder afzoek op DMARC zie ik nergens bounces, maar nu opeens meldingen als: - 554 5.7.1 Your message was rejected due to ziggo.nl's DMARC policy. - en: (host mx-in-2.webreus.nl[46.235.44.240] said: 550 #5.7.1 DMARC unauthenticated mail is prohibited. Nu heb ik geen DMARC, al overweeg ik het te gaan gebruiken. Maar net nu ik deze upgrade heb gedaan krijg ik dit soort problemen. Iemand een idee waarom?? Ga er niet vanuit dat het door de upgrade komt. En zelfs als het wel door de upgrade komt, behandel het als een gewone storing. Ik denk dat je gelijk hebt, maar het verbaasd me wel reuze dat het nu optreed, en niet eerder. Ik heb het nu wellicht weten op te lossen door de afzender te herschrijven. Zie https://wiki.list.org/DEV/DMARC Groeten Geert Stappers P.S. Ik krijg op mijn mailserver heb ik een raar probleem met DMARC en Nu heb ik geen DMARC niet met elkaar gecombineert ... Het zijn anderen die mail weigeren. Waarschijnlijk omdat de afzender van de e-mail DMARC heeft. Dus stel jij hebt DMARC op stappers.nl, en je verstuurt e-mail via een mailinglist die ik host. Dan wordt er dus stappers.nl mail verstuurd vanaf mijn mailserver, en dat mag wellicht niet volgens jouw DMARC. Maar goed, ik herschrijf nu dus, dus de afzender en dat is nu een maildomein van van mij zonder DMARC. Maar misschien moet ik het toch een keer implementeren... Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
DMARC problemen na upgrade
Hallo, Na een upgrade van Debian9 naar Debian10 naar Debian11 op mijn mailserver heb ik een raar probleem met DMARC. Vooral Ziggo maar ook b.v. Webreus blokkeren opeens e-mail van mailinglists (mailman). Ik gebruik nog de oude mailman2 (uit Debian10). Overgaan naar Mailman3 is een volgende stap, maar nog niet gedaan dus. Als ik de logs eerder afzoek op DMARC zie ik nergens bounces, maar nu opeens meldingen als: - 554 5.7.1 Your message was rejected due to ziggo.nl's DMARC policy. - en: (host mx-in-2.webreus.nl[46.235.44.240] said: 550 #5.7.1 DMARC unauthenticated mail is prohibited. Nu heb ik geen DMARC, al overweeg ik het te gaan gebruiken. Maar net nu ik deze upgrade heb gedaan krijg ik dit soort problemen. Iemand een idee waarom?? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
HFS+ RW
Hallo, Iemand vroeg me bestanden te kopieren naar een HFS+ geformatteerde disk (Apple filesysteem). Het viel me op dat het read-only was. Nu schijn je het ook wel RW te kunnen mount met iets als "-o force", maar of dat nu een goed idee is? Wat ik lees is dat Linux niet goed kan omgaan met de journalling opties van HFS+. Wat betekent dat in de praktijk als je toch zou mounten en kopieren? Dit is nog Debian 10, is er nog steeds een probleem met die journalling options van HFS+ in Debian 11? Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
