Re: .xsession und WM Auswahl

[Elmar W. Tischhauser]

Hallo!

On 11 Oct 2004 at 17:36 +0200, Andreas Pakulat wrote:

> mit meiner .xsession wollte ich ermoeglichen, dass ich den WM mittels
> der Variable WINDOW_MANAGER setzen kann. Das geht auch wunderbar,
> allerdings funktioniert das ganze nicht mehr wenn ich die Variable
> nicht habe. 

Wenn ich mich nicht irre, sollte das Folgende das Verhalten erklären:

| $ test -x && echo true || echo false
| true
| $ 

D.h. ein leerer Existenztest wird als wahr gewertet und der erste
if-Zweig ausgewertet, ...

> realstart='/usr/bin/xterm'
> if [ -x $WINDOW_MANAGER ] ; then
>   realstart=$WINDOW_MANAGER
> elif [ -x /usr/bin/x-session-manager ]; then
>   realstart="/usr/bin/x-session-manager"
> fi
> exec $realstart

... also am besten noch ein [ -z "$WINDOW_MANAGER" ] o.ä. einbauen. Das
sollte dann klappen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An apple a day makes 365 apples a year.


pgp3OnIqwu8l2.pgp
Description: PGP signature

Re: (Bind) Namensauflösung im lokalen Netzwerk

[Elmar W. Tischhauser]

Hallo!

On 28 Sep 2004 at 07:55 +0200, Martin Reising wrote:

> On Mon, Sep 27, 2004 at 11:04:18PM +0200, Elmar W. Tischhauser wrote:

> > ::192.168.0.1
> > 
> > (alternativ natürlich auch mit -Präfix oder in Hexadezimalnotation).
> 
> Hm, ich kenne nur ::: mit IPv4 als Hexadezimal oder Dezimal für
> IPv4-in-IPv6-Adressen.

Das ist korrekt. Adressen vom Typ :::a.b.c.d sind die so genannten
"IPv4-mapped IPv6 addresses" und werden dazu genutzt, um die Adressen
von reinen IPv4-Interfaces in einer IPv6-Umgebung zu definieren.

Die von mir erwähnte "::a.b.c.d"-Notation wird "IPv4-compatible IPv6
address" genannt und bedeutet, dass das so adressierte Interface sowohl
mit IPv6- als auch mit IPv4-Paketen umgehen kann.

Welche Form für den OP die Richtige ist (und ob es bei ihm überhaupt
einen Unterschied bedeutet, welche verwendet wird), wird man nur bei
genauer Kenntnis seiner Netzinfrastruktur und der Konfiguration der
Netzwerksoftware sagen können. Es ist allerdings zu vermuten, dass beide
Formen für korrekte IPv6-Namensauflösung sorgen werden.

> In welchem RFC kann man denn obige Definition nachlesen?

RFC 3513, Abschnitt 2.5.5.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Geschehenes erkennt auch ein Tor.   -- Homer, Ilias


pgpeJ7jjJECtW.pgp
Description: PGP signature

Re: (Bind) Namensauflösung im lokalen Netzwerk

[Elmar W. Tischhauser]

Hallo!

On 27 Sep 2004 at 17:45 +0200, Michelino Caroselli wrote:

> Habe ich schon, es werden die Nameserver der root-zone kontaktiert
> (192.228.79.201, 128.63.2.53, 128.8.10.90...). Hier mal ein Auszug der
> Anfrage:
> | 20:40:02.618579 IP 80.140.36.54.35298 > 192.33.4.12.53:  27887% [1au]
> ? jupiter. (36)
> | 23:40:07.168083 IP 80.140.36.54.35298 > 198.41.0.4.53:  34344% [1au]
> ? jupiter. (36)
> | 03:00:04.547707 IP 80.140.36.54.35298 > 192.33.4.12.53:  38458% [1au]
> ? jupiter. (36)

 bedeutet offensichtlich, dass deine Rechner DNS-Anfragen nach
IPv6-Adressen absetzen, welche weder lokal noch durch den Nameserver
aufgelöst werden können; daher kommt eventuell der Einwahlversuch zur
Namensauflösung.

Um dieses zumindest als Ursache ausschließen zu können, würde ich IN
-Records für sämtliche lokalen Rechner setzen. Wie man das in der
BIND-Konfiguration genau bewerkstelligt, kann ich nicht sagen, solche
"IPv4-in-IPv6-Adressen" haben aber allgemein zum Beispiel die Form:

::192.168.0.1

(alternativ natürlich auch mit -Präfix oder in Hexadezimalnotation).
Testweise kannst du auch mal solche Einträge in der /etc/hosts eines
betroffenen Rechners machen, dann wäre die Form beispielhaft etwa:

::192.168.0.1hostname.domainhostname

Dann sollten zumindest die IPv6-DNS-Queries verschwinden.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An apple a day makes 365 apples a year.


pgpLpHGPgIojx.pgp
Description: PGP signature

Threading (was: Abenteuerliche Spekulationen)

[Elmar W. Tischhauser]

Hallo!

On 23 Sep 2004 at 12:51 +0200, Christian Frommeyer wrote:

> Gerhard Brauer schrieb am Dienstag, 21. September 2004 20:50:

[Threading-Ansätze: In-Reply-To: und References:]
> > Sei konservativ bei dem was du sendest,
> > und liberal bei dem, was du empfängst.
> 
> Das hilft leider meinem Knode nicht :(

Was der Tatsache geschuldet sein dürfte, dass in Mail meist beides
(In-Reply-To: und References:) verwendet wird, während IIRC sowohl RFC
1036 als auch die Usefor-Drafts bei Newsartikeln immer "nur" von
References: ausgehen. 

Sprich: Vernünftiges Threaden in Newsreadern steht und fällt mit dem
References:-Header, während Mailprogramme mit dem In-Reply-To: mitunter
noch eine zweite Informationsquelle haben. Nichtsdestotrotz wäre meiner
Meinung nach der weiter oben im Thread propagierte Ansatz des reinen
Threadens nach In-Reply-To:-Header wesentlich fehleranfälliger als via
References: Ist der direkte Bezugsartikel nicht verfügbar, kann der
Artikel nicht eingeordnet werden. Bei gesetztem References:-Header kann
man dann zumindest noch die Vorvorgänger usf. berücksichtigen. Das ist
bei Mail wie News von Vorteil.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Die eigene Erfahrung hat den Vorteil völliger Gewißheit.
  -- Schopenhauer


pgpZNvn0gL7fG.pgp
Description: PGP signature

Re: [OT] awk-Akrobatik

[Elmar W. Tischhauser]

Hallo!

On 22 Sep 2004 at 14:01 +0200, Christian Schmidt wrote:

> gerade tueftele ich an einem Wrapper fuer "vacation" herum, der ein
> ~/.forward-File in folgendem Format erzeugen soll:
> benutzername, "| vacation -A alias benutzername"

> Der Alias stellt dabei das Konstrukt Vorname.Nachname dar; die Aliasse
> aller Benutzer liegen in _einer_ Datei:
> Vorname.Nachname: benutzername

> Beissen sich die Variablendeklarationen mit den "intern" von awk
> verwendeten?

Ja. Wenn man Shellvariablen an AWK übergeben will, muss man entweder mit
Quotingakrobatik arbeiten oder (komfortabler) awk die Variablen per
'-v'-Parameter übergeben, der für diesen Zweck vorgesehen ist.

Für deine konkrete Problemstellung würde ich etwas à la

#!/bin/sh

ALIASFILE="aliases.ls"

awk -F": " -v USERNAME="${1}" \
'$2 ~ USERNAME { print $2 ", \"| vacation -A " $1 " " $2 "\"" }' $ALIASFILE

probieren. Das '~' bewirkt ein Regex-Matching, d.h. du kannst bei Bedarf
den Skriptparameter leer lassen und somit eine Gesamtübersicht bekommen
oder mit einem beliebige regulären Ausdruck arbeiten. Wenn natürlich
einige Benutzernamen als Teilstring von anderen vorkommen können, wäre
'==' besser.

Übrigens: Wenn das Leerzeichen nach dem ':' nicht garantiert ist,
arbeitest du besser mit ":" an Stelle von ": " als Feldtrenner und
trimmst wenn nötig das Leerzeichen in $2 mit gsub o.ä. weg.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  There is no sadder sight than a young pessimist.


pgpEwLmWCC4wt.pgp
Description: PGP signature

Re: Komplette man-pages installieren?

[Elmar W. Tischhauser]

Hallo!

On 21 Sep 2004 at 16:46 +0200, Jan Kesten wrote:

> Kurze Frage am Rande: Gibt es eine (einfache) Möglichkeit auf einem
> speziellen Server alle existierenden Man-Pages zu installieren (also
> im Prinzip einen Server aufsetzen mit kompletter Doku) ohne die
> entsprechende Software dazu?

Neben den Möglichkeiten, die Markus bereits angedeutet hat, möchte ich
nur kurz darauf hinweisen, dass man sich durchaus "on-the-fly" Dateien
aus Debian-Paketen extrahieren kann, ohne die Pakete dazu installieren
zu müssen. Das Schema dazu wäre beispielhaft etwa:

$ ar p courier-mta_0.37.3-2.1_i386.deb data.tar.gz | \
  tar xz ./usr/share/man/man8/esmtpd.8.gz -O | gunzip -cf | man -l -

bzw. mit einem anderen Viewer - je nach Dateityp. Aufzählen lassen kann
man sich die Manpages (bzw. die Dokumentation unter /usr/share/doc/) mit
'tar tz' samt grep oder awk-Filter an Stelle von 'tar xz'. Mit ein paar
Wrapper-Skripten (die etwa alle nach Doku aussehende Dateien eines
Pakets als Menü präsentieren und entsprechende Viewer starten) sollte
das sogar recht komfortabel werden können.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An algorithm must be seen to be believed.-- Donald E. Knuth


pgpgHQDjpt4gX.pgp
Description: PGP signature

Re: vsftpd Problem mit TLS/SSL

[Elmar W. Tischhauser]

Hallo!

On 19 Sep 2004 at 22:27 +0200, Gerald Holl wrote:

> Ich verwende ein iptables [1]Firewall-Skript, welches ich zuerst in
> Verdacht hatte. Es werden nämlich ein paar Pakets gedropped:
> Sep 19 21:55:48 jimbo kernel: fp=TCP:1 a=DROP IN=eth0 OUT= MAC=
> SRC=xxx.xx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=48 TOS=0x00 PREC=0x00 TTL=116
> ID=207 DF PROTO=TCP SPT=1046 DPT=37584 WINDOW=64240 RES=0x00 SYN URGP=0
[...]
> Wenn ich im vsftpd SSL disable, funktioniert die Verbindung jedoch
> problemlos ...
> Ich dachte zuerst an ein connection tracking Problem, doch conntrack ist
> im Kernel (2.6.7) fix einkompiliert.

Das dürfte ganz einfach daran liegen, dass alles Firewalling und
Connection Tracking bei FTP-over-SSL schlicht hilflos ist. FTP ist aus
Protokollsicht wegen der getrennten Kontroll- und Datenkanäle (und der
damit verbundenen Portaushandlung) eben 'broken by design'.

Normalerweise kann ein zustandsbasierter Paketfilter die über den
Kontrollkanal ausgetauschten Ports mitlesen und selektiv öffnen bzw.
nach Verbindungsabbau wieder schließen (das ist das sog. Connection
Tracking). Wird nun wie bei FTP-over-SSL der Kontrollkanal
verschlüsselt, funktioniert das prinzipbedingt nicht mehr - der
Paketfilter müsste die Daten entschlüsseln, um noch mitzukommen. Auch im
Zusammenspiel mit Transfers hinter einem NAT-Gateway kann es bei
FTP-over-SSL zu Problemen kommen (alles außer Passive FTP von Client
hinter NAT zu fester IP oder aktivem FTP bei Server hinter NAT ist
problematisch).

Da das großflächige präventive Öffnen von hohen Portnummern inakzeptabel
ist, wäre die einzige "Lösung", die Firewall auch zum Endpunkt der
öffentlichen SSL-Verbindung zu machen (Proxying) und eine weitere
"private" zwischen Proxy und FTP-Server einzurichten. Dabei ist aber zu
bedenken, dass wohl, was die Überprüfung der Authentizität des
FTP-over-SSL-Servers anbelangt, Kompromisse geschlossen werden müssen,
da aus Clientsicht ein SSL-Zertifikat für einen anderen Rechner (den
Proxy) gesehen wird, und nicht dasjenige des eigentlichen FTP-Servers.

Im Großen und Ganzen gehört FTP (auch mit SSL) verdient auf den
Müllhaufen der Geschichte. Mit HTTPS, SFTP (aus dem SSH-Paket) oder
SSL-gesichertem WebDAV gibt es ausreichend funktionierende Alternativen,
die aus Sicherheitssicht weit weniger Kopfschmerzen verursachen.

Lesetipp:


Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  What is wanted is not the will to believe, but the will to find out
  - which is the exact opposite.  -- Bertrand Russell


pgpB4iYU75Q7G.pgp
Description: PGP signature

Re: Cups: Testseite/KDE ok, Konsole/Mozilla nicht

[Elmar W. Tischhauser]

[Da diese Mail von Donnerstagnachmittag immer noch nicht angekommen zu
sein scheint, schicke ich sie ein weiteres Mal. Sorry, falls dadurch ein
Duplikat entstehen sollte.]

Hallo!

On 16 Sep 2004 at 09:20 +0200, Marcus Walther wrote:

> ># strace -o /tmp/LOG -v -tt -f -s256 -p `pidof cupsd`

> Ich habe die Logs unter 
> bzw.  abgelegt.

Dann wollen wir mal...

Generell scheint der grobe Programmablauf in Ordnung zu sein: cupsd
akzeptiert den Job und startet korrekt die Filter texttops und pstops
sowie das HTTP-Backend.

texttops hatten wir ja schon als unschuldig ausgeschlossen, pstops liest
zumindest die passende PPD ein und müsste damit eigentlich gehalten
sein, eine Wandlung von PS Level 3 auf Level 2 vornehmen (ich kürze hier
auf der Liste mal die recht langen Timestamps):

| 3506 execve("/usr/lib/cups/filter/pstops", [..., "PPD=/etc/cups/ppd/fs1010.ppd"
| 3506 open("/etc/cups/ppd/fs1010.ppd", O_RDONLY) = 3
| 3506 read(3, "*PPD-Adobe: \"4.3\"\n ...

Allerdings gibt pstops offenbar nichtsdestotrotz PS Level 3 aus. Da ist
es vermutlich auch kein Trost, dass die PJL-Befehle korrekt aus der PPD
übernommen worden zu sein scheinen:

| 3506 write(1, "[EMAIL PROTECTED]@PJL JOB NAME = \"text.txt\" ... \
|@PJL ENTER LANGUAGE=POSTSCRIPT\n%!PS-Adobe-3.0 ...
| [...]
| 3506 write(1, "%%Trailer\n%%Pages: [EMAIL PROTECTED] EOJ\n\33%-12345X"

Und sogar die EOJ-Markierung stimmt. Auch werden diese Daten korrekt vom
HTTP-Backend eingelesen:

| 3507 execve("/usr/lib/cups/backend/http", ["http://192.168.100.98:631/ipp";, ...
| [...]
| 3507 read(4, "[EMAIL PROTECTED]@PJL JOB NAME = \"text.txt\" ..., 131072) = 131072
| 3507 send(3, "[EMAIL PROTECTED]@PJL JOB NAME = \"text.txt\" ..., 32768, 0) = 32768
| 3507 send(3, "c7d27582b3894 ..." 32768, 0) = 32768
| [...]
| 3507 recv(3, "HTTP/1.1 200 OK\r\nPragma: no-cache\r\nConnection: close ...

Hier fällt jedoch auf, dass die (ersten) 128 KiB der Job-Datei gelesen
werden (die von texttops/pstops erzeugte Datei also >= 131072 Bytes groß
sein muss), vom Printserver aber schon nach erfolgreicher Übertragung
von 2x32 KiB eine 'Connection: close'-Nachricht versendet wird. Beim
funktionieren Druckjob geschieht das erst nach Empfang des gesamten
Jobs, so wie es sein sollte.

Ich kann mir das spontan nur damit erklären, dass sich der
PS-Interpreter des Druckers am falschen PS-Level verschluckt und der
Printserver daraufhin (noch während CUPS immer neue Daten schickt) die
Verbindung beendet.

Da die PPD (welche ja explizit Level 2 fordert) von jedem Filter
zumindest eingelesen wird, bleibt fast nur noch ein CUPS-Bug in puncto
PS-Wandlung/Erzeugung übrig. Das HTTP-Backend scheint soweit zu
funktionieren (Ob es auch korrekt IPP spricht, haben wir allerdings noch
nicht überprüft).

Natürlich ist ein strace-Durchlauf kein Ersatz für ein ausführliches
Debugging, aber ich denke, dass wir das ab jetzt den CUPS-Entwicklern
überlassen sollten. Ich denke auch, dass du mittlerweile so viele
Informationen über das Fehlverhalten gesammelt hast, dass dir ein
vorbildlicher Bug-Report möglich wird.

Es wäre prima, wenn du die Liste dann abschließend kurz über das
Ergebnis informieren könntest (z.B. durch Verweis aufs CUPS-ML-Archiv
oder eine Bug-Nummer).

> Mir auffällige Fehlermeldungen finden sich in beiden Logs.

Welche genau meinst du? Mir ist (abgesehen von Obigem) nichts Unübliches
aufgefallen, und ein paar ENOENTs z.B. sind normal, wenn potentiell
existente Dateien durchprobiert werden...

Gruß und viel Erfolg,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Die eigene Erfahrung hat den Vorteil völliger Gewißheit.
  -- Schopenhauer


pgp73drscvNxq.pgp
Description: PGP signature

Re: SFTP und max. Dateigroesse

[Elmar W. Tischhauser]

Hallo!

On 16 Sep 2004 at 09:58 +0200, [EMAIL PROTECTED] wrote:

> wollte mir neulich eine Datei > 2 GB von einem auf den anderen Rechner per
> sftp ziehen.
> 
> sftp hat mit der (leider deutschen) Fehlermeldung 2042 MB ETA Die maximale
> Dateigröße ist überschritten abgebrochen.

Wenn ich das richtig sehe, wird diese Fehlermeldung nicht von sftp,
sondern von der glibc erzeugt. Bist du dir sicher, dass das Zielsystem
überhaupt Dateien größer 2 GiB verträgt?

Ich habe (auf Woody, Dateisystem ext2, glibc 2.2.5, Kernel 2.4.25,
OpenSSH 1:3.4p1-1.woody.3) eben eine 2050 MiB-Datei mit sftp von
localhost nach localhost kopiert - das hat anstandslos funktioniert. Und
dass der Largefile-Support bei der SSH-Version in testing schlechter
geworden sein soll als in Woody, ist unwahrscheinlich.

Wenn das Zielsystem also wirklich so große Dateien verträgt, könnte
immer noch SSH ohne Largefile-Support übersetzt worden sein. Hier
liefert zum Beispiel 

$ objdump -T /usr/bin/sftp | grep 64$
08049054  DF *UND*  00b7  GLIBC_2.2   readdir64
08049284  DF *UND*  0069  GLIBC_2.1   lseek64
080492a4  DF *UND*  0197  GLIBC_2.2   __xstat64
08049334  DF *UND*  0034  GLIBC_2.1   open64
08049364  DF *UND*  009f  GLIBC_2.1   fopen64
080493a4  DF *UND*  0197  GLIBC_2.2   __lxstat64
08049484  DF *UND*  0197  GLIBC_2.2   __fxstat64

korrekt die Largefile-Varianten der entsprechenden Systemfunktionen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An algorithm must be seen to be believed.-- Donald E. Knuth


pgpELnb4vahlr.pgp
Description: PGP signature

Re: daily mail von leafnode

[Elmar W. Tischhauser]

Hallo!

On 16 Sep 2004 at 12:06 +0200, Steffen Hey wrote:

> beim update von leafnode (1.10.5.rel-1) ist anscheinend etwas schief
> gegangen.

Wenn sich das "schief gegangen" lediglich auf das unten beschriebene
Symptom bezieht, würde ich das verneinen.

> Allmorgendlich bekomme ich eine Mail mit der Nachricht:
> 
> Anacron job 'cron.daily'
> 
> /etc/cron.daily/leafnode:
> Cannot obtain lock file, aborting.
> 
> Woran kann das liegen?

Im Wesentlichen ist die Aufgabe von /etc/cron.daily/leafnode, täglich
texpire aufzurufen und damit die Größe des Newsspools nicht beliebig
anwachsen zu lassen.

Die einfachste und IMHO einleuchtendste Erklärung für obige Meldung
wäre, dass texpire angestoßen wird, während fetchnews neue Artikel holt.
Da nicht beide gleichzeitig im Spool herumfuhrwerken dürfen und
fetchnews zuerst da war (Locking), beendet sich texpire. Alles ganz
normal also :-)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  There is no sadder sight than a young pessimist.


pgpZbgfzZfF0O.pgp
Description: PGP signature

Re: [X-Windows] generell: passenden WindowManager auswaehlen

[Elmar W. Tischhauser]

Hallo!

On 15 Sep 2004 at 20:58 +0200, Oliver Thieke wrote:

> Und X sollte nun noch nen passenden Manager kriegen.

Das ist ja das Schöne am X *Window* System[1], dass man sich sehr leicht
eine vollkommen an die eigenen Bedürfnisse/Ideen angepasste
Arbeitsumgebung zurechtzimmern kann.

Ich versuche im Folgenden mal, deine Kriterienliste für den fvwm
durchzugehen:

>   + Ressourcenverbrauch

Gering. Im Moment verbraucht er bei mir (fvwm 2.4.6) gerade 2.2 MByte
Hauptspeicher. Auch ansonsten ist er sehr flott. Allerdings zählen
Zusatzmodule wie FvwmPager, FvwmButtons usw. als eigene Prozesse einzeln
dazu (typischerweise wenig mehr als 1 MByte pro Modul).

>   + Unterstuetzung von Hotkeys

Beliebig konfigurierbar.

>   + Untestuetzung anderer GUI-Libs (?) - GTK, Qt, GNUStep

Nicht nötig, da fvwm keine eigene mitbringt.

>   + Emulation der GUIs anderer OS

z.B. mit fvwm95.

>   + Themes

Der fvwm ist manuell ziemlich frei einstellbar. Ab den
Entwicklerversionen (2.5.x) gibt es Themes, darunter bestimmt auch ein
MacOS- oder Luna-Thema, wenn du das oben meintest.

>   + grafische Konfig-Tools

Hm. Es gibt dotfiles-fvwm2 und ab 2.5.x ein Tcl-basiertes
Grob-Konfigurationstool. Wirklich ausreizen kann man ihn IMNSHO aber nur
via Konfigurationsdatei.

>   + einfache/schwierige Konfig

Die .fvwmrc hat für Einsteiger wohl eine etwas gewöhnungsbedürftige
Syntax, ist aber nicht besonders kryptisch. Die Manpage ist sehr
ausführlich, bei Debian gibt es ein sinnvolles Hook-System, über das
jeder Benutzer lediglich seine persönlichen, von den globalen
Einstellungen abweichenden Bedürfnisse einstellen kann.

Zum Beispiel kann ich einfach mittels folgender .fvwm/init.hook:

| + "I" Exec xosview -geometry -10-10

gleich mein unverzichtbares xosview unten rechts starten, dessen
Anzeigestil ich in der .fvwm/post.hook via

| Style   "xosview"   NoTitle, Sticky, NoHandles, CirculateSkip

einstellen kann usw. Auch einfache Makros sind möglich. Sehr praktisch
ist auch das Modul FvwmButtons (eine Art Panel), dessen Geometrie und
Gitterstruktur man frei einstellen kann, und in welches man sogar
"normale" X11-Applikationen, d.h. nicht nur speziell angepasste Applets,
integrieren kann, wie z.B. xclock, coolmail oder xisdnload.

>   + Doku

Die Manpages sind sehr ausführlich, und es gibt eine FAQ sowie viele
kommentierte Beispieldateien.

>   + Integration zusaetzlicher Tools

Hier weiß ich nicht genau, was du damit meinst.

>   + Stabilitaet

Sehr hoch, fvwm hat schon ein paar Jahre auf dem Buckel. In den
2.5er-Entwicklerversionen könnte das aber hin und wieder ein wenig
anders aussehen.

>   + Sessions, Slits, Workspaces...

Alles kein Problem.

>   + ...

Ein fvwm-Hacker hat sich IIRC mal seinen fvwm so konfiguriert, dass die
Icons der minimierten Anwendungsfenster aktuelle Screenshots waren.
Läuft wohl aber unter Spielerei...

> Ich hoffe Ihr hab da nen Tip ;-) !

Gerne. Aber am Ausprobieren dürfte dennoch kein Weg vorbei führen.
Schließlich musst du nachher damit arbeiten wollen, nicht wir :-)

Gruß,
Elmar

[1] man X:

| The X Consortium requests that the following names be used
| when referring to this software:
|
| X
|  X Window System
|X Version 11
|X Window System, Version 11
|X11

(auf das Anhängen eines 's' wird gelegentlich allergisch reagiert, daher
der ausführliche Hinweis... ;-)

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Heisenberg might have been here.


pgpwQ4rro62GV.pgp
Description: PGP signature

Re: Cups: Testseite/KDE ok, Konsole/Mozilla nicht

[Elmar W. Tischhauser]

Hallo!

On 15 Sep 2004 at 09:20 +0200, Marcus Walther wrote:
> Am Tue, 14 Sep 2004 23:50:08 +0200 schrieb "Elmar W. Tischhauser"

> Du meinst zunächst ein strace von "lp" oder von cupsd?

Von cupsd. lp wird nur den CUPS-Daemon kontaktieren, der dann den
gesamten Rasterprozess anstößt.

Da nur das Verhalten während des Spoolens eines Text-Druckauftrags von
Interesse ist, würde es ausreichen, sich direkt vor dem Absetzen des
Druckenbefehls an den cupsd-Prozess anzuhängen:

# strace -o /tmp/LOG -v -tt -f -s256 -p `pidof cupsd`

und dann via 'lp test.txt' zu drucken (natürlich muss, um Seiten zu
sparen, der Drucker nicht eingeschaltet sein). Dann zuerst mit Strg+C
den strace-Prozess und dann mit 'cancel' den Druckjob abbrechen.

> >Ansonsten bleibt dir natürlich noch, eine CUPS-spezifische
> >Mailingliste zu befragen.

> Gleich die cups.bugs oder erstmal .general?

Ich kenne die CUPS-Mailinglisten nicht näher, wenn auf cups.org keine
nähere Zuständigkeitsbeschreibung zu finden sein sollte, würde ich
zunächst die normale User-Liste (wohl 'general') wählen. Dann können die
Entwickler bei Bedarf immer noch einen Umzug vorschlagen.

> Diese Seite kann ich problemlos drucken, sie liegt im Original
> allerdings auch als Version 3 vor. Damit klappt eigentlich auch die
> Umwandlung auf Version 2...

Gute Beobachtung. Dann ist wohl "nur" das Zusammenspiel der Filter oder
eben der Netzwerk/IPP-Teil problematisch.

> Ich habe in der man-Page von pstops keine Option gefunden, die das
> Konvertieren in eine andere PS-Version erledigt. Kann man das manuell
> ausprobieren?

pstops(1) ist wahrscheinlich auch bei Testing eine Manpage aus dem Paket
'psutils', welches nichts mit CUPS zu tun hat.

> In der PPD und auf der gedruckten Testseite steht das auch. Oder kann
> es sein, dass die Angabe auf der Testseite vom Drucker gesetzt wird?

Sehr wahrscheinlich. (Oder er wird aus der PPD gelesen.)

> PS: Ich habe den Printserver auf die neueste Firmware gebracht,
> brachte auch keine Besserung.

Der ist zurzeit auch unverdächtig :-)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Geschehenes erkennt auch ein Tor.   -- Homer, Ilias


pgpxeZHssYN3n.pgp
Description: PGP signature

Re: Cups: Testseite/KDE ok, Konsole/Mozilla nicht

[Elmar W. Tischhauser]

Hallo!

On 14 Sep 2004 at 19:41 +0200, Marcus Walther wrote:

> Am Tue, 14 Sep 2004 17:50:14 +0200 schrieb "Elmar W. Tischhauser"

> >Irgendwie riecht es inzwischen sehr stark nach einem Bug in CUPS.
> 
> Das wäre dann u.U. im Prozess der Weiterübertragung von Druckdaten per
> IPP oder direkt die PS-Erzeugung.

Genau. Das PS scheint ja in Ordnung zu sein, von daher kommen eigentlich
nur noch Fehler in der lokalen 'filter -> backend'-Übertragung oder im
Netzwerk/IPP-Code in Frage.

Es stellt sich die Frage, wie wir jenen nun zu Leibe rücken wollen. Ein
'strace -v -f' wäre eine erste Möglichkeit, das Laufenlassen des
Textdruckbefehls und/oder des CUPS-Daemons in gdb eine andere (dabei
könnte es sinnvoll sein, CUPS mit eingeschaltetem Debugging neu zu
übersetzen).

Ansonsten bleibt dir natürlich noch, eine CUPS-spezifische Mailingliste
zu befragen. Spätestens die Entwickler werden aber gleichfalls an einem
strace oder dem Output einer Debugging-Session interessiert sein.

> KDE verwendet AFAIK eine eigene PS-Engine.

Ja, die wird von Qt bereitgestellt. Aber auch CUPS scheint ja
ordentliches PS zu erzeugen (siehe unten), es dann aber irgendwie
schlecht weiterzuverarbeiten.

> Und kann es sein, dass die Cups-Testseite auch irgendwo als Vorlage
> existiert?

Eventuell /usr/share/cups/data/testprint.ps.

> >/usr/lib/cups/filter/texttops 1 markus Test 1 '' test.txt > test.ps
> 
> Ich habe das Ergebnis unter www.zielblick.de/user123/test.ps.bz2
> hochgeladen.

Die PS-Datei ist für meine Begriffe einwandfrei in Ordnung.

> Ist aber anscheinend im PS3.0 Format, so dass sie nicht gedruckt
> werden kann.

Das müsste CUPS automatisch aus der PPD erkennen und die Ausgabe des
Filters 'texttops' mit dem Filter 'pstops' nachbearbeiten. Wenn ich die
CUPS-Entwicklerdokumentation richtig verstehe, ist das Erzeugen von PS
Level 3 eine Designentscheidung, also unabhängig von den Fähigkeiten des
konkreten Ausgabegeräts so gewollt.

> PS: Ich verwende derzeit die PPD von dir.

Und in der steht ja wohl

| *LanguageLevel: "2"

, so dass CUPS das beim Textdruck nur noch beachten müsste...

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
Jede Wissenschaft bedarf der Mathematik, die Mathematik bedarf keiner.
 -- Jakob Bernoulli


pgpqe6mU4avMx.pgp
Description: PGP signature

Re: Cups: Testseite/KDE ok, Konsole/Mozilla nicht

[Elmar W. Tischhauser]

Hallo!

On 14 Sep 2004 at 10:01 +0200, Marcus Walther wrote:

> Ich habe mit Ethereal die Kommunikation mitgeschnitten. Erhältlich
> unter http://www.marcus-walther.de/fail.bz2 bzw
> http://www.marcus-walther.de/ok.bz2 (libcap-Format).

Ich denke, das Sniffen hat sich gelohnt :-)

Denn nach einer raschen Untersuchung der beiden Dateien sieht es so aus,
als würde CUPS das selbsterzeugte Postscript tatsächlich unvollständig
generieren oder übertragen: Während ich nach Entfernung der
IPP/HTTP-Anteile die "ok"-Datei problemlos in gv öffnen konnte, bleibt
beim der Postscript-Anteil der "fail"-Datei die Seite leer. Das ist auch
kein Wunder, denn er beginnt schön ordentlich mit

| %!PS-Adobe-3.0
| %RBINumCopies: 1
| %%Pages: (atend)
| %%BoundingBox: 0 0 595 842
| %%Creator: texttops/CUPS v1.1.21rc1

, um dann mitten in einem Zahlenwust bei

| 9cf6034db5e3071af9ee634140303466baa467e5d5716263dd9291b4cfe8
| 56f352334acd0af4c7d275

abzubrechen (gemäß Adobes Postscript Document Structure Conventions
hätte wenigstens noch das Versprechen eingelöst werden müssen, die
Anzahl der Seiten in einem Kommentar am Dateieinde anzuführen). Bei der
"ok"-Datei geschieht das auch, sogar die PJL-"End Of Job"-Markierung
wird geschickt:

| %%Trailer
| %%Pages: 1
| %%DocumentFonts: Arial-BoldMT
| %%EOF
| [EMAIL PROTECTED] EOJ
| 12345X

Des Weiteren fällt auf, dass der gescheiterte Druckjob in PS Level 3
kodiert ist, der FS-1010 aber lediglich PS Level 2 versteht. Das hätte
CUPS eigentlich aus der PPD lesen müssen...

Auch etwas à la

| @PJL SET ECONOMODE=OFF
| @PJL ENTER LANGUAGE=POSTSCRIPT

fehlt, was verstärkt darauf hindeutet, dass im Fehlerfall die PPD gar
nicht beachtet wird.

Irgendwie riecht es inzwischen sehr stark nach einem Bug in CUPS. Um
herauszufinden, ob wenigstens texttops überhaupt etwas Verwertbares
produziert, könntest du mal einen Direktaufruf probieren:

/usr/lib/cups/filter/texttops 1 markus Test 1 '' test.txt > test.ps

Ist die so erzeugte PS-Datei lesbar (von Zeichenkodierung, Seitenformat
usw. abgesehen)?

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Geschehenes erkennt auch ein Tor.   -- Homer, Ilias


pgpmM3oL1DNfJ.pgp
Description: PGP signature

Re: Cups: Testseite/KDE ok, Konsole/Mozilla nicht

[Elmar W. Tischhauser]

Hallo!

On 13 Sep 2004 at 19:37 +0200, Marcus Walther wrote:

> Am Mon, 13 Sep 2004 15:50:07 +0200 schrieb "Elmar W. Tischhauser"

> >Vielleicht kannst du ersatzweise die Kommunikation zwischen deinem
> >lokalen CUPS und dem Printserver mal mit tcpdump/ethereal o.ä.
> >mitschneiden und vergleichen? In den Logdateien sah für meine Begriffe
> >nämlich eigentlich alles gut aus, es scheint, als sei CUPS den Druckjob
> >korrekt an den Printserver losgeworden.
> 
> Da das Problem problemlos reproduzierbar ist, denke ich nicht, dass es
> sich um ein Kommunikationsproblem handelt.

Siehe unten. Es wäre IMHO durchaus interessant, mal ganz genau
beobachten zu können, welche Daten nun wirklich an den Printserver
geschickt werden.

> Jetzt kommt es: PS und auch PDF-Dateien werden einwandfrei von der
> Konsole aus gedruckt! Also ist der Fehler wohl in der Umwandlung von
> Text/wasweißich in PS zu suchen... Jemand eine Idee?

Ausschließlich Postscript-Dateien drucken... ;-)


On 13 Sep 2004 at 20:24 +0200, Marcus Walther wrote:

> Scheinbar fehlt bei der Übersendung der Druckdateien ein letztes(?)
> Steuerzeichen, um den Druck auch zu starten.

Eben deswegen könnte uns die Information, was CUPS so als
Text-nach-Postscript-Wandlungsresultat ausspuckt, vielleicht
weiterhelfen. Ich weiß nicht, ob man CUPS anweisen kann, dieses
Zwischenergebnis lokal nicht zu löschen - daher der Vorschlag, mal die
Kommunikation zum Printserver hin mitzuschneiden. (Alternativ eventuell
auch mal /usr/lib/cups/filter/texttops direkt aufrufen.) 

Es gibt nämlich meiner Ansicht nach noch mindestens zwei verschiedene
Fehlermöglichkeiten: dass das generierte Postscript unvollständig oder
sonstwie nicht in Ordnung ist, oder dass die korrekten Daten nicht
richtig übertragen werden. 

Leider geschehen diese ganzen Untersuchungen natürlich allesamt modulo
Fehler im Printserver. Bestünde die Möglichkeit, den Drucker
vorübergehend mal lokal anzuschließen und dann vergleichend Plaintext
und Postscript zu drucken?

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  There is no sadder sight than a young pessimist.


pgpRXNQHeUUIE.pgp
Description: PGP signature

Re: Cups: Testseite/KDE ok, Konsole/Mozilla nicht

[Elmar W. Tischhauser]

Hallo!

On 13 Sep 2004 at 14:29 +0200, Marcus Walther wrote:

> Am Mon, 13 Sep 2004 13:20:08 +0200 schrieb "Elmar W. Tischhauser"

> >An welchem Rechner/Printserver hängt der Drucker denn? Falls es ein
> >PC ist: Funktioniert das Drucken auf diesem über die lokale
> >Druckerschnittstelle?
> 
> Es handelt sich um das interne Netzwerkinterface von SEH für diesen
> Drucker. Ein lokaler Test ist also nicht möglich. :/

Vielleicht kannst du ersatzweise die Kommunikation zwischen deinem
lokalen CUPS und dem Printserver mal mit tcpdump/ethereal o.ä.
mitschneiden und vergleichen? In den Logdateien sah für meine Begriffe
nämlich eigentlich alles gut aus, es scheint, als sei CUPS den Druckjob
korrekt an den Printserver losgeworden.

> >Das würde also auf ein Softwareproblem hindeuten. Wie Christian schon
> >fragte: Findet sich (nach erhöhtem Debug-Level) im Log etwas
> >Interessantes?
> 
> Siehe meine Antwort darauf.

Beim Vergleichen des problematischen und des funktionierenden
Druckvorgangs ist mir aufgefallen, dass CUPS bei ersterem noch eine
(automatische) Wandlung von Text nach Postscript vornehmen musste,
während das beim Drucken aus KEdit heraus vom Qt-Postscriptmodul
erledigt worden ist. Das CUPS-eigene Wandeln sollte zwar laut Log
funktioniert haben, vielleicht wäre es aber sinnvoll, zum Testen mal
eine vorab erzeugte Postscript-Datei auf beide Weisen (Konsole, KDE) zu
drucken?

Gruß,
Elmar

PS. Die Kyocera-PPD ist unterwegs.

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Wenn der Deutsche hinfällt, dann steht er nicht auf, sondern schaut,
  wer schadenersatzpflichtig ist.   -- Kurt Tucholsky


pgp3o82ugmJlx.pgp
Description: PGP signature

Re: Cups: Testseite/KDE ok, Konsole/Mozilla nicht

[Elmar W. Tischhauser]

Hallo!

On 13 Sep 2004 at 11:02 +0200, Marcus Walther wrote:

> Der Drucker läuft seit Jahr und Tag auf PS (eigentlich KPDL2) - schon
> unter Windows.

D.h. auf der druckereigenen Testseite wird für die von dir verwendete
Schnittstelle "KPDL2" (und nicht "PCL6") angezeigt? Die (recht alte) PPD
von linuxprinting.org, die ich hier noch herumliegen habe, scheint
nämlich keine PJL-Befehle zum Aktivieren des PS-Interpreters an den
Drucker zu senden - im Gegensatz zur Original-PPD von Kyocera.

> Auch wenn ein Druckjob kommt, werden laut Drucker-LED Daten
> übertragen, leider war's das dann.

Das war bei mir am Anfang einmal der Fall, als ich testweise ohne
Spoolsystem eine Postscript-Datei nach /dev/lp0 kopiert habe und die
Default-Emulation eben noch auf PCL gestellt war. Bei dir ist das ja
offenbar ausgeschlossen.

> Der Drucker ist übrigens nicht lokal angeschlossen
> (Netzwerkinterface), drucken geht also über IPP.

An welchem Rechner/Printserver hängt der Drucker denn? Falls es ein PC
ist: Funktioniert das Drucken auf diesem über die lokale
Druckerschnittstelle?

> Das ist ja das eigenartige, aus KDE-Programmen und die Cups-Testseite
> klappt es einwandfrei.

Das würde also auf ein Softwareproblem hindeuten. Wie Christian schon
fragte: Findet sich (nach erhöhtem Debug-Level) im Log etwas
Interessantes?

> Auf meiner CD gibt es nur eine PPD für den 1000+, aber auch mit dieser
> habe ich exakt die gleichen Symptome.

Ich kann dir gerne die Kyocera-PPD für den FS-1010 per PM zukommen
lassen. Einfach Bescheid sagen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Friends don't let friends use windows.


pgpEq3DQyyhB7.pgp
Description: PGP signature

Re: pon isdn/provider

[Elmar W. Tischhauser]

Hallo!

On 12 Sep 2004 at 21:09 +0200, Dirk Salva wrote:

> On Sun, Sep 12, 2004 at 07:20:10PM +0200, Andreas Pakulat wrote:

> > haette dir gezeigt dass fuer ippp0 eine Defaultroute gesetzt wird -
> > einfach Auskommentieren und gut. Oder einen Check dort einbauen ob
> > eventuell DSL benutzt wird.

> Das System ist totaler Muell, zumindest wenn man das "zu Fuss" macht,
> um da ein wenig durchzublicken.

Inwiefern? Sogar eine Schritt-für-Schritt-Anleitung wird mitgeliefert,
siehe /usr/share/doc/isdnutils-base/HOWTO.gz.

> Es hat dann z.B.  etliche Anwahlversuche gebraucht, bis wir darauf
> gekommen sind, dass man in der ipppd.ipppX auch noch den Usernamen
> eintragen muss (zusaetzlich zu chap-secrets).

In ipppd(8), Abschnitt "AUTHENTICATION" ist doch alles lang und breit
beschrieben? 

> BTW: welche Zeile *genau* meinst Du denn darin? Da stehen mehrere
> Zeilen mit route drin...

Zumindest bei meinem Woody gibt es in der /etc/isdn/device.ippp0 einen
ausführlichen Kommentar, der beschreibt, wo man bezüglich der Routen
etwas einstellen muss: Abschnitt "NETWORK SETUP", Zeile 258ff.

> > > Schaff'  Dir nen Fernseher an...

Wär' mir schon das Geld nicht wert...

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Friends don't let friends use windows.


pgpyaEbp5fOYh.pgp
Description: PGP signature

Re: Cups: Testseite/KDE ok, Konsole/Mozilla nicht

[Elmar W. Tischhauser]

Hallo!

On 12 Sep 2004 at 18:18 +0200, Marcus Walther wrote:

> Ein weiteres Problem ist aufgetaucht: Drucken von der Konsole per "lp"
> ist nicht möglich. Cups führt zwar den Druckjob als erledigt auf, aus
> dem Drucker kommt aber nix.

Sicher, dass Drucker und Drucksystem sich auf die gleiche Sprache
geeinigt haben? Die Kyoceras sind ab Werk auf PCL eingestellt, können
aber durchaus Postscript. Mit einem Kommando à la

$ echo "!R! FRPO P1,9; EXIT;" > /dev/lp0

kann man die Standard-Druckersprache auf Postscript umstellen (Details
siehe mitgelieferte Dokumentation). Dieses Umstellen sollte aber auch
pro Druckjob via PPD möglich sein.

> Mit Mozilla ist es ähnlich, [...]

Erstmal muss es auf der Konsole funktionieren. Klappt es dort, kann man
den einzelnen Anwendungen immer noch den passenden Druckbefehl
beibringen.

> Verwendeter Drucker ist übrigens ein Kyocera FS-1010, PPD-Datei direkt
> von linux-printing.org.

Nur zur Sicherheit gefragt: Jene ist identisch mit einer von denen, die
auf der CD für Windows/MacOS mitgeliefert werden? Mit denen funktioniert
das Drucken via CUPS hier (FS-1020D) nämlich einwandfrei.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Friends don't let friends use windows.


pgpcxcmvKCoBe.pgp
Description: PGP signature

Re: pon isdn/provider

[Elmar W. Tischhauser]

Hallo!

On 12 Sep 2004 at 19:15 +0200, Andreas Pakulat wrote:

> On 11.Sep 2004 - 19:10:09, Elmar W. Tischhauser wrote:
> > On 11 Sep 2004 at 16:58 +0200, Andreas Pakulat wrote:

> > > Irrtum, pap-secrects ist besser, weil chap AFAIK unsicher ist.
> > 
> > Woran machst du das fest? Auszug aus RFC 1334, Abschnitt 2:
> 
> Ok, dann hab ich das durcheinandergebracht. Mein Fehler.

You're welcome. Schließlich ist nun wirklich nicht alles, was auf
Challenge-Response basiert, deshalb auch gleich sicher ,-)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgpwHsfisbL7M.pgp
Description: PGP signature

Re: pon isdn/provider

[Elmar W. Tischhauser]

Hallo!

On 11 Sep 2004 at 16:58 +0200, Andreas Pakulat wrote:

> On 11.Sep 2004 - 13:26:36, Dirk Salva wrote:
> > Nicht ganz. Bei mir hat mit ipppd0 absolut gar nichts funktioniert.
> 
> Da waere dann Ursachenforschung dran gewesen. Ausserdem ist es ippp0
> (ohne d) *klugscheiss* ;-) Also bei meinem Woody ging das ohne
> Probleme, einfach in die vorhandene Datei die Nummer eingetragen und
> in die ipppd.ippp0 den Nutzernamen.

Ganz recht. Der einzige Unterschied, den ein out-of-the-box-Debian
zwischen ippp0 und ipppN (N >= 1) macht, ist IIRC das automatische
Setzen der Default-Route auf diese Schnittstelle. Ansonsten muss ippp0
genauso gut/schlecht funktionieren wie ippp1 usw., korrekte
Konfiguration vorausgesetzt.

> Irrtum, pap-secrects ist besser, weil chap AFAIK unsicher ist.

Woran machst du das fest? Auszug aus RFC 1334, Abschnitt 2:

| PAP is not a strong authentication method.  Passwords are sent over
| the circuit "in the clear", and there is no protection from playback
| or repeated trial and error attacks.  The peer is in control of the
| frequency and timing of the attempts.
|
| Any implementations which include a stronger authentication method
| (such as CHAP, described below) MUST offer to negotiate that method
| prior to PAP.
| [...]

Die Beschreibung von CHAP ist übrigens in RFC 1994 erneuert worden, für
den Fall, dass jetzt jemand die Details in RFC 1334 nachlesen will...

(Gut fürs schnelle stichwortbasierte Auffinden von Sicherheitsinformationen
ist übrigens RFC 2828, "Internet Security Glossary" von 2000. Ob dieser
RFC inzwischen ein Update erfahren hat, weiß ich auf die Schnelle
nicht.)

> > Da gabs doch was von Rat... ein tool?

/usr/sbin/isdnconfig?

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Wenn der Deutsche hinfällt, dann steht er nicht auf, sondern schaut,
  wer schadenersatzpflichtig ist.   -- Kurt Tucholsky


pgpLIGec8Sypm.pgp
Description: PGP signature

Artikelauswahl in tin (was: slrn und multipart/mime)

[Elmar W. Tischhauser]

Hallo!

On 24 Aug 2004 at 00:06 +0200, Andreas Kroschel wrote:

> Was mir schmerzhaft fehlt, ist eine Möglichkeit à la »von der bereits
> gelesenen Gruppe die zeitlich letzten fünf nochmal«. 

Ich wüsste nicht, dass tin sich allgemein merkt, in welcher Reihenfolge
die Artikel gelesen werden; nur, dass der letzte via '-' erreicht werden
kann. Wenn dir viel daran liegt, würde ich mal auf [EMAIL PROTECTED]
fragen.

> Ich scanne gerne erst schnell durch und entscheide dann nach
> übriggebliebener Zeit, doch noch auf ein Posting zu antworten, bei dem
> ich erst dachte, es dauere evtl. zu lange. Dafür ist eine solche
> Funktion ideal.

Hm. Wenn ich dich hier richtig verstanden habe, würde ich es mal mit
Tagging probieren: Wenn du ein Posting liest/gelesen hast, auf welches
du bei genügend Zeit eine Antwort erwägst, dieses mit 't' (`PageTag')
taggen. Wenn die Gruppe dann fertig gelesen ist, bleiben nur die so
markierten Postings sichtbar und können noch einmal einzeln
durchgegangen werden.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Heisenberg might have been here.


pgpXpP1hd2PJm.pgp
Description: PGP signature

Re: slrn und multipart/mime

[Elmar W. Tischhauser]

Hallo!

On 22 Aug 2004 at 23:59 +0200, Andreas Kroschel wrote:

[MIME-Probleme mit slrn]
> Das/die Makros unter 
> lösen das Problem recht gut.

Prima, danke für die Ergänzung! Nicht, dass ich jetzt meinem tin untreu
werden wollte, ist aber gut zu wissen :-)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
Denn wahrlich! da ist nichts Armseligeres als der Mensch
Unter allem, soviel da auf der Erde atmet und kriecht.  -- Homer, Ilias


pgpxI5box8d2s.pgp
Description: PGP signature

Re: [leafnode-src] nicht auf debian angepasst?

[Elmar W. Tischhauser]

Hallo!

On 22 Aug 2004 at 20:06 +0200, Christian Buhtz wrote:

> On 2004-08-19, Florian Ernst <[EMAIL PROTECTED]> wrote:
> > Hmmm, =BBunter debian=AB an der einen Stelle, =BBvon debian=AB an der
> > anderen... das k=F6nnte verwirren... mich zum Beispiel...
> 
> Woran liegt es, das ich dein Posting nicht lesen kann?

Vermutlich an slrn. Als ich ihn mir das letzte Mal angesehen habe, kam
er mit MIME (noch) nicht so gut zurecht. Infolgedessen wird er sich an
Florians vollkommen korrekt PGP/MIME-signierter E-Mail verschluckt haben
(Content-Type multipart/signed an Stelle von text/plain o.ä.).

BTW: Mir fällt gerade auf, bei meiner Mail dürfte das Gleiche
passieren...

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
Denn wahrlich! da ist nichts Armseligeres als der Mensch
Unter allem, soviel da auf der Erde atmet und kriecht.  -- Homer, Ilias


pgp9eh5biImZQ.pgp
Description: PGP signature

Re: Services in inetd.conf deaktivieren

[Elmar W. Tischhauser]

Hallo!

On 17 Aug 2004 at 20:44 +0200, Torsten Schneider wrote:

> On Tue, Aug 17, 2004 at 06:00:52PM +0200, Tim Ruehsen wrote:

> > In meinem Beispiel kümmert sich (wie fast überall) keiner mehr um tägliche 
> > Updates. > Port 49152 deshalb, weil bis 49152 schon 'offiziell' alles 
> > 'belegt' ist, also irgendwelche Dienste dafür registriert sind oder noch 
> > registriert werden.
> 
> Security by obscurity ist in meinen Augen Mist. Wenn keiner mehr den
> Rehcner pflegt, dann hat der nichts an einem offiziellen Netz zu suchen.

Das kann man, finde ich, nur deutlichst unterstreichen! 

Solche Maßnahmen mögen geeignet sein, um auf einem /ordentlich/
gepflegten System eine Reduktion von lästigem Wurm- und Exploit-Traffic
zu erzielen (BTW, dass das bei SSH notwendig ist, wage ich zu
bezweifeln). Als Ersatz für eine verantwortliche Systemadministration
ist das jedoch vollkommen ungeeignet. Zumal man sich durch derartige
Maßnahmen gerne selbst am meisten verwirrt.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Friends don't let friends use windows.


pgpAgKk0SgViC.pgp
Description: PGP signature

Re: Cups druckt nur duplex

[Elmar W. Tischhauser]

Hallo!

On 17 Aug 2004 at 13:27 +0200, Patrick Cornelißen wrote:

> Elmar W. Tischhauser schrieb:

> Das sollte doch eigentlich funktionieren:
> Duplex/Double-Sided Printing: Duplex Duplex=DuplexNoTumble
> Duplex=DuplexTumble Duplex=None Duplex=Notcapable DuplexNoTumble
> *Notcapable None DuplexTumble

Es gibt also eine "Duplex"-Option. Gut.

> >Mit 'lp -o duplex=none' lässt sich dann der Simplexmodus aktivieren.
> Das haben wir hier schon ausprobiert. Es wird einfach ignoriert :-(

Das ist allerdings weniger gut... 

Noch ein paar vage Versuche: Kann man am Drucker selbst noch etwas
einstellen (Menü etc.)? Ist vielleicht Duplex in den
Firmwareeinstellungen (so existent) irgendwie hart verdrahtet? Und
welche PPD wird von CUPS denn verwendet? Eine des Herstellers oder von
linuxprinting.org? Passt sie genau zum Modell?

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Die eigene Erfahrung hat den Vorteil völliger Gewißheit.
  -- Schopenhauer


pgphZKeAALmPK.pgp
Description: PGP signature

Re: Services in inetd.conf deaktivieren

[Elmar W. Tischhauser]

Hallo!

On 17 Aug 2004 at 14:17 +0200, Patrick Petermair wrote:

> Ich habe hier einen neuen Debian Rechner, den ich gerne mal von allen 
> unnötigen Prozessen und Diensten befreien möchte.
> Da fiel mir inetd mit folgenden Diensten auf:
> 
> time
> discard
> daytime
> auth / identd
> 
> Kann man diese Dienste gefahrlos deaktivieren 

In aller Regel wird man sie nicht benötigen. identd kann sinnvoll sein,
aber wohl eher für größere LANs als für Einzelrechner.

> bzw. inetd gar nicht erst starten lassen, oder sind dann gewisse
> Einschränkungen beim Systembetrieb möglich?

Es kommt ganz darauf an, welche Dienste du auf dem Rechner benötigst
bzw. anbieten willst. Ich starte z.B. den MTA und den lokalen Newsserver
via inetd, weil ich diese nicht permanent brauche. Oft kann man bei
Diensten auch wählen, ob sie als Standalone-Daemon oder über den
(x)inetd gestartet werden sollen.

Was die Sicherheitsaspekte angeht, gilt generell: 

1. Lasse nur diejenigen Dienste laufen, die wirklich benötigt werden.
   Alles andere gehört abgeschaltet, denn was nicht läuft / nicht
   installiert ist, kann nicht kompromittiert werden. Der Admin sollte
   zu jedem laufenden Dienst genau sagen können, wozu und warum er da
   ist.
2. Binde die benötigten Dienste nur an diejenigen Netzwerk-Interfaces,
   auf denen sie gebraucht werden. In der Regel muss der MTA oder CUPS
   nicht am WAN-Interface laufen, da reicht für den Einzelplatzrechner
   die Loopback-Schnittstelle oder entsprechend im Netzwerk das
   LAN-Interface.
3. Werden Dienste über den inetd gestartet, lauscht dieser generell -
   das ist leider nicht konfigurierbar - an allen Interfaces
   (INADDR_ANY). Wenn man nicht auf den xinetd umstellen will, sollte
   man darauf achten, die Zugriffsberechtigungen für die via inetd
   gestarteten Dienste so restriktiv wie möglich zu setzen: Wo möglich
   in der Applikation selbst, ansonsten über /etc/hosts.{allow,deny},
   eventuell den tcpd vorschalten.
4. Als letzten Notnagel kann man auch einen hostbasierten Paketfilter
   (z.B. iptables) zur Zugriffsbeschränkung verwenden, indem z.B. alle
   an den Dienstport gerichtete Pakete, die nicht über gewünschte
   Interfaces hereinkommen, mit einem TCP-Reset oder entsprechenden
   ICMP-Paketen beantwortet werden.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Sicher ist, dass nichts sicher ist. Selbst das nicht. -- Ringelnatz


pgpe14tUX0XDQ.pgp
Description: PGP signature

Re: Cups druckt nur duplex

[Elmar W. Tischhauser]

Hallo!

On 17 Aug 2004 at 10:20 +0200, Patrick Cornelissen wrote:

> Wir haben HP Laserjet 8150 und 2300 im Einsatz. Die haben alle ein 
> Netzwerkinterface und werden von einem Druckserver unter Cups verwaltet.
> Beide können Duplex und das ist dann auch schon das Problem.
> Es ist anscheinend nicht möglich, Cups dazu zu überrreden mal Simplex zu 
> drucken.

Wenn die verwendete PPD die Auswahl von Simplex/Duplex unterstützt,
sollte das kein Problem sein. Die Ausgabe von 'lpoptions -d drucker -l'
kann hilfreich sein, damit werden alle PPD-Optionen mit möglichen Werten
aufgelistet.

Bei mir (Kyocera FS-1020D) sieht das z.B. so aus:

| $ lpoptions -d lp -l
| [...]
| Duplex/Duplexing: *DuplexNoTumble None DuplexTumble

Mit 'lp -o duplex=none' lässt sich dann der Simplexmodus aktivieren. Ich
persönlich finde da aber eine zusätzliche Drucker-Warteschlange (à la
"lpsimplex") komfortabler :-)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Heisenberg might have been here.


pgpguCsDu0jEN.pgp
Description: PGP signature

Re: Wie funktionieren die Eintraege in gshadow?

[Elmar W. Tischhauser]

Hallo!

On 17 Aug 2004 at 00:37 +0200, Dirk Salva wrote:

> Fuer Gruppen benoetigt man wohl kaum ein Passwort, oder taeusche ich
> mich da?

Ich kann mich nicht erinnern, dieses Feature schon einmal im Einsatz
gesehen zu haben. Gruppenpasswörter sind mindestens unüblich, man kann
sie aber durchaus vergeben, siehe gpasswd(1). Sie werden dann in der
/etc/gshadow abgelegt und müssen eingegeben werden, wenn ein Benutzer
z.B. mit newgrp(1) seine aktive Gruppe wechseln will:

,-[ man newgrp ]
|
| The user will be prompted for a password if they do not have a
| password and the group does, or if the user is not listed as a member
| and the group has a password.  The user will be denied access if the
| group password is empty and the user is not listed as a member.
`-

> Und: verstehe ich das richtig, dass es egal ist, ob ein ! oder ein *
> dort steht?

Ja.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Wenn der Deutsche hinfällt, dann steht er nicht auf, sondern schaut,
  wer schadenersatzpflichtig ist.   -- Kurt Tucholsky


pgppV0HPA3M1N.pgp
Description: PGP signature

Re: Wie funktionieren die Eintraege in gshadow?

[Elmar W. Tischhauser]

Hallo!

On 16 Aug 2004 at 21:53 +0200, Dirk Salva wrote:

> Was macht in Eintraegen in der /etc/gshadow das "!" bzw. "*"?

Das Gleiche, was ihre Pendants in der /etc/shadow für die
Benutzerpasswörter bewirken:

,-[ man 5 shadow ]
|
| If the password field contains some string that is not valid result of
| crypt(3), for instance ! or *, the user will not be able to use a unix
| password to log in, subject to pam(7).
`-

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Geschehenes erkennt auch ein Tor.   -- Homer, Ilias


pgppGhh17fC1B.pgp
Description: PGP signature

Re: Mehrere Postscriptdateien zu einem PDF zusammenfassen

[Elmar W. Tischhauser]

Hallo!

On 16 Aug 2004 at 21:35 +0200, Michael Hierweck wrote:

> ich würde gern mehrere Postscript-Dateien, hier: mit sane erzeugte, 
> zusammenfassen und in eine PDF-Datei umwandeln.
> 
> Icht hatte das mit psmerge und ps2pdf versucht.
> 
> Leider ist die PDF-Datei anschließend einfach nur leer.

Das dürfte an psmerge gelegen haben, welches in der Regel sehr
empfindlich ist, was seinen Input anbelangt (siehe auch Manpage).

Bessere und zuverlässigere Resultate lassen sich direkt mit Ghostscript
erzielen. Zum Beispiel:

$ gs -q -dNOPAUSE -dSAFER -dBATCH -sPAPERSIZE=a4 -sDEVICE=pdfwrite
-sOutputFile=out.pdf in-1.ps in-2.ps [...]

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Friends don't let friends use windows.


pgpWoTuYP4RAr.pgp
Description: PGP signature

Re: Zentralste Moeglichkeit, dpi umzustellen!?

[Elmar W. Tischhauser]

Hallo!

On 11 Aug 2004 at 18:32 +0200, Snoopy wrote:
   ^^
Bestünde die Möglichkeit, den richtigen Namen auch hier oben
einzutragen? Auch FOTU (Fullquote oben, Text unten) macht sich nicht so
gut. Danke.

> Heike C. Zimmerer wrote:

> >Wenn du aber wirklich lieber solange herumklickst, bis du was gefunden
> >hast, was passen könnte, statt mal 'ne HOWTO zu lesen, dann bist du
> >tatsächlich nicht gut mit Linux bedient.  Dir entgeht dann viel, aber
> >die vielen Möglichkeiten scheinen dich ja nur zu verwirren.  Manchen
> >Leuten ist es eben lieber, wenn es Wein nur in "rot" und "weiß" gibt.

> Im Übrigen - wenn Linux schon als Alternative zu Windows etabliert
> werden soll - dann soll es bitte schön auch ebenso einfach zu
> handhaben sein!

Wer hat hier denn behauptet, Linux sei das wie auch immer geartete
bessere Windows? Heike doch jedenfalls nicht.

Lesetipp:
http://www.over-yonder.net/~fullermd/rants/userfriendly/
http://www.over-yonder.net/~fullermd/rants/winstupid/

> Nicht jeder hat Lust die oft nicht sehr aufschlussreichen und in sehr 
> technischer Sprache gehaltenen 'man-pages' zu lesen!

Nicht jeder hat Lust, sich Wissen tröpfchenweise, "mundgerecht
zubereitet" und von grellbunten Animationen untermalt anzueignen. Zumal
aus der Vermeidung anerkannter technischer Termini häufig Unklarheiten
resultieren. Und die Behauptung, Manpages seinen "oft nicht
aufschlussreich", möchte ich nicht beweisen müssen.

Gruß,
Elmar

(Wegen Offtopic: f'up to poster.)

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Sicher ist, dass nichts sicher ist. Selbst das nicht. -- Ringelnatz


pgpxxHDReDR0L.pgp
Description: PGP signature

Re: sendmail -i / -oi

[Elmar W. Tischhauser]

Hallo!

On 06 Aug 2004 at 18:05 +0200, Til Schubbe wrote:

> Was ist denn der Unterschied zwischen den beiden Optionen? Die
> manpage ist da nicht wirklich ergiebig...

Funktional sollten die beiden identisch sein. Zumindest bei Exim ist das
explizit zugesichert:

,[man sendmail]
|
|  -i   This  option,  which  has  the  same effect as -oi, specifies
|   that a dot on a line by itself should not terminate an incoming,
|   non-SMTP message. I can find  no  documentation for this option
|   in Solaris 2.4 sendmail, but the mailx command in Solaris 2.4
|   uses it.
`

Für die Ko-Existenz dieser beiden äquivalenten Optionen kann ich mir
keinen anderen Grund denken als das Ziel möglichst weit reichender
sendmail-Aufrufkompatibilität.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Nichts ist so praktisch wie eine gute Theorie.  -- v. Helmholtz


pgppovSlRUskz.pgp
Description: PGP signature

Re: meldung in "dmesg"

[Elmar W. Tischhauser]

Hallo!

(War die persönliche E-Mail Absicht? Die Länge deines Logauszuges wäre,
denke ich, auch für "public consumption" noch kurz genug gewesen. Ich
antworte deshalb mal auf der Liste.)

On 05 Aug 2004 at 17:43 +0200, Bodo Schaefer wrote:
> Am Montag, 2. August 2004 22:37 schrieb Elmar W. Tischhauser:
> >
> > Nur eine Vermutung, da ich selbst kein reiserfs verwende: Im Laufe des
> > Systemstarts wird die root-Partition in der Regel zunächst read-only und
> > danach noch einmal read-write gemountet. Vielleicht hängt es ja damit
> > zusammen. Wo im Log (d.h. relativ zu den doppelten Abschnitten) befindet
> > sich denn eine Zeile à la
> >
> > | VFS: Mounted root (ext2 filesystem) readonly.

> Aug  5 00:49:28 max kernel: VFS: Mounted root (cramfs filesystem).

Du verwendest also eine initrd? Eine solche ist in der Regel nur für
Distributorenkernel notwendig. Da ich bei meinen eigenen Kerneln keine
solche verwende, kann ich leider auch nicht sagen, ob das eine
Auswirkung auf die beobachtete Log-Verdopplung haben könnte...

> Aug  5 00:49:28 max kernel: Journalled Block Device driver loaded
> Aug  5 00:49:28 max kernel: VFS: Can't find ext3 filesystem on dev ide0(3,6).
> Aug  5 00:49:28 max kernel: VFS: Can't find ext2 filesystem on dev ide0(3,6).
> Aug  5 00:49:28 max kernel: reiserfs: found format "3.6" with standard journal
> Aug  5 00:49:28 max kernel: reiserfs: checking transaction log (device
> ide0(3,6)) ...
> Aug  5 00:49:28 max kernel: for (ide0(3,6))
> Aug  5 00:49:28 max kernel: ide0(3,6):Using r5 hash to sort names
> Aug  5 00:49:28 max kernel: VFS: Can't find ext3 filesystem on dev ide0(3,6).
> Aug  5 00:49:28 max kernel: VFS: Can't find ext2 filesystem on dev ide0(3,6).
> Aug  5 00:49:28 max kernel: reiserfs: found format "3.6" with standard journal
> Aug  5 00:49:28 max kernel: reiserfs: checking transaction log (device 
> ide0(3,6)) ...
> Aug  5 00:49:28 max kernel: for (ide0(3,6))
> Aug  5 00:49:28 max kernel: ide0(3,6):Using r5 hash to sort names
> Aug  5 00:49:28 max kernel: Adding Swap: 489936k swap-space (priority -1)

Nur zur Sicherheit: ide0(3,6) ist die Root-Partition? Was ist in der
/etc/fstab denn als Dateisystem eingetragen? Ich finde es etwas seltsam,
dass offenbar zunächst ext{2,3} und dann erst das passende reiserfs
probiert wird.

Ansonsten gehen mir aber langsam die Ideen aus. Da die Doppelmeldungen
offenbar keine schädlichen Auswirkungen haben, würde ich einfach auf die
Ästhetik pfeifen und mir deswegen keine Gedanken mehr machen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  In die Tiefe musst du steigen, 
  soll sich dir das Wesen zeigen.-- Friedrich v. Schiller


pgpBOcScOqzlH.pgp
Description: PGP signature

Re: quoted-printable -> Abbruch der SMTP-Übertragung

[Elmar W. Tischhauser]

Hallo!

On 04 Aug 2004 at 23:47 +0200, Til Schubbe wrote:

> | > Das Programm sollte Regelm=E4=DFig pr=FCfen ob ein Update verf=FCgbar ist=
> | .
>   ^
> | > Wenn ein update da ist m=F6chte ich benachrichtigt werden dabei sollen di=

> Offensichtlich ist die vorletzte Zeile gerade so lang, daß sie nach
> expandieren der Umlaute ein Zeichen zu lang ist. Da das letzte
> Zeichen dieser Zeile ein '.' ist, wird dieser alleine auf die
> nächste Zeile umgebrochen. Dies bedeutet für das SMTP-Protokoll aber
> das Ende der Mail.

> Hat jemand eine Ahnung, wie sich dieses Umbrechen vermeiden läßt?

Eigentlich sollte das bereits durch den SMTP-Client bzw. -Server durch
Character-Stuffing gelöst worden sein (sprich, der Client ersetzt die
Zeile '.\n' durch '..\n' und der Server macht das wieder
rückgängig). Dass die quoted-printable-Kodierung hier eine besondere
fehlerauslösende Rolle spielt, halte ich für unwahrscheinlich.

Wie sieht bei dir denn der Einlieferungsweg einer E-Mail genau aus?

Für den Fall, dass die Mail nicht per SMTP, sondern über einen lokalen
/usr/sbin/sendmail-Aufruf eingeliefert worden ist, könnte es nämlich
sein, dass das oben erwähnte Stuffing clientseitig unterblieben ist (es
war ja auch kein SMTP-Dialog). In solchen Fällen kann die Angabe der
Option '-i' oder '-oi' helfen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  What is wanted is not the will to believe, but the will to find out
  - which is the exact opposite.  -- Bertrand Russell


pgpJDVSHuZdPi.pgp
Description: PGP signature

Re: Content-Type-Header

[Elmar W. Tischhauser]

Hallo!

On 03 Aug 2004 at 09:54 +0200, Patrick Schoenfeld wrote:

> Elmar W. Tischhauser wrote:

> >>Content-Type: text/plain; charset="iso-8859-15:iso-8859-1"

> > Zustimmung, auch wenn das natürlich rein syntaktisch in Ordnung ist.

> nicht ganz - denn wenn ich RFC2045 und 2046 richtig interpretiere
> kann der Mailer nur den gesamten Headervalue quoten, sprich:
> Content-Type: "text/plain; charset=iso-8859-15:iso-8859-1"

Sicher? Im Anhang von RFC 2045, "Collected Grammar", sehe ich Folgendes:

,-
|  content := "Content-Type" ":" type "/" subtype
| *(";" parameter)
|  type := discrete-type / composite-type
|  discrete-type := "text" / "image" / "audio" / "video" /
|   "application" / extension-token
|  subtype := extension-token / iana-token
~

Wenn man sich streng nach dieser Grammatik richtet (und nach dem
Kommentar in RFC 2822, wonach ein "quoted-string" als Atom zu behandeln
ist), wäre eine gemeinsame Quotierung des Content-Types mit allen
Parametern sogar unzulässig. Zudem ...

~ 
|  parameter := attribute "=" value
|  attribute := token
|  value := token / quoted-string
|  token := 1*
|  tspecials :=  "(" / ")" / "<" / ">" / "@" /
|"," / ";" / ":" / "\" / <">
|"/" / "[" / "]" / "?" / "="
|; Must be in quoted-string,
|; to use within parameter values
|
`-

... ist hier nur für die "value"-Felder ist ein gequoteter String
explizit vorgesehen. Folglich müssen - meinem Verständnis nach - jene
Parameter entweder gar nicht oder aber einzeln gequotet werden.

> > Aus semantischer Sicht ist allerdings die Angabe mehrerer durch
> > Doppelpunkt getrennter Zeichensätze nicht durch die MIME-RFCs (2045 ff.)
> > gedeckt und sogar vollkommen unsinnig, da ein Text-MIME-Part stets genau
> > in einem Zeichensatz kodiert sein muss.

> Jein. Ich denke der Sinn, der sich hier in der Praxis eingebürgert hat
> (schau dich mal in der Mailingliste um wieviele zwei durch : getrennte
> Charsets angegeben haben) soll sein, dass eine Fallback-Lösung vorhanden
> ist.

Ehrlich gemeinte Frage: Wo ist das standardisiert? Welcher MUA/NUA
wertet das in diesem Sinne aus? Die Angabe mehrerer durch Doppelpunkte
getrennter Zeichensätze habe ich in meinem Archiv dieser ML (von 2002-05
bis heute) nur sehr selten gefunden, und dann war meist (wenn nicht
immer) ein falsch konfigurierter Mutt daran schuld, dessen $send_charset
nicht gestimmt hat oder falsch quotiert war.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An apple a day makes 365 apples a year.


pgp0zQLD9dj8k.pgp
Description: PGP signature

Content-Type-Header (was: PHP5 für Debian unstable)

[Elmar W. Tischhauser]

Hallo!

On 02 Aug 2004 at 16:11 +0200, Patrick Schoenfeld wrote:

> das liegt dann aber wohl eher an evolution, denn die header die er
> sendet sind nicht so wirklich RFC-konform:
> 
> Content-Type: text/plain; charset="iso-8859-15:iso-8859-1"

Zustimmung, auch wenn das natürlich rein syntaktisch in Ordnung ist.

> .. wo doch ein RFC-konformer Content-Type Header z.B. so aussieht:
> 
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
> oder wahlweise auch so:
> Content-Type: text/plain; charset=iso-8859-15:iso-8859-1; format=flowed

Worauf beziehst du dich genau? Aus syntaktischer Sicht sind die beiden
ersten von dir zitierten Header in Ordnung (beim dritten müsste das
Argument zu 'charset=' gequotet wedren, da darin ein ':' auftritt).

Aus semantischer Sicht ist allerdings die Angabe mehrerer durch
Doppelpunkt getrennter Zeichensätze nicht durch die MIME-RFCs (2045 ff.)
gedeckt und sogar vollkommen unsinnig, da ein Text-MIME-Part stets genau
in einem Zeichensatz kodiert sein muss.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An algorithm must be seen to be believed.-- Donald E. Knuth


pgpGJPDUtDG4m.pgp
Description: PGP signature

Re: meldung in "dmesg"

[Elmar W. Tischhauser]

Hallo!

On 02 Aug 2004 at 02:13 +0200, Bodo Schaefer wrote:

> Habe mir Debian Testing installiert und folgende Meldung doppelt in
> "dmesg" obwohl ich alles auf einer Partition installiert habe:
> 
> Partition check:
>  /dev/ide/host0/bus0/target0/lun0: p1 p2 < p5 p6 > p4
>  reiserfs: found format "3.6" with standard journal
>  reiserfs: checking transaction log (device ide0(3,6)) ...
>  for (ide0(3,6))
>  ide0(3,6):Using r5 hash to sort names
>  reiserfs: found format "3.6" with standard journal
>  reiserfs: checking transaction log (device ide0(3,6)) ...
>  for (ide0(3,6))
>  ide0(3,6):Using r5 hash to sort names
>  Adding Swap: 489936k swap-space (priority -1)

Nur eine Vermutung, da ich selbst kein reiserfs verwende: Im Laufe des
Systemstarts wird die root-Partition in der Regel zunächst read-only und
danach noch einmal read-write gemountet. Vielleicht hängt es ja damit
zusammen. Wo im Log (d.h. relativ zu den doppelten Abschnitten) befindet
sich denn eine Zeile à la

| VFS: Mounted root (ext2 filesystem) readonly.

(wobei bei dir an Stelle von ext2 natürlich reiser stehen müsste)?

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgpx20VGx9LbX.pgp
Description: PGP signature

Re: F: Minitexteditor für KDE?

[Elmar W. Tischhauser]

Hallo!

On 27 Jun 2004 at 11:18 +0200, Rudi Effe wrote:

[kwrite]
> Ich finde aber, dass der zu lange lädt - gerne hätte ich einen
> minimalen X-Editor als Standard, der schnell lädt.

Also nichts gegen die GNOME- oder KDE-Bibliotheken gelinktes...

Wirklich minimal, dabei aber recht funktional, wäre xedit. Soll es mehr
sein, wären noch scite oder nedit zu nennen.

> Was sind so eure Standardeinstellungen?

Für LaTeX der GNU Emacs, für fast alles andere (g)vim. Beide sind für
Viel-Editierer sehr zu empfehlen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Die eigene Erfahrung hat den Vorteil völliger Gewißheit.
  -- Schopenhauer


pgpVmAhXeqGeR.pgp
Description: PGP signature

Re: Programme anderer Distributionen

[Elmar W. Tischhauser]

Hallo!

On 26 Jun 2004 at 19:41 +0200, Klaus Becker wrote:

(Ich quote mal etwas ausführlicher, weil das wirklich schon eine Weile
her ist :-)

> On Wednesday 31 December 2003 13:57, Elmar W. Tischhauser wrote:
> > On 31 Dec 2003 at 11:58 +0100, Klaus Becker wrote:
>
> > > auf meiner Festplatte habe ich auch noch Knoppix und Mandrake.
> > > Ist es möglich, deren Programme unter Debian laufen zu lassen ?
> >
> > > Ich denke dabei nicht an einen virtuellen PC wie vmware, sondern ich
> > > möchte sie direkt durch einen entsprechenden Befehl unter Debian starten.
> 
> > Will man die Programme sauber in ihrer eigenen Umgebung starten, sollte man 
> > in das gemountete Rootverzeichnis der entsprechenden Distribution chrooten,
> > z.B.
> >
> > # chroot /mnt/knoppix
> > # su - username
> > $ vim
> 
> bash-2.05b$ su
> Password:
> debian:/home/klaus# chroot /mnt/mandrake
> debian:/# su - klaus-mdk
> su: AVERTISSEMENT: ne peut changer de répertoire vers /home/klaus-mdk: No such 
> file or directory
> -bash-2.05b$ quanta
> quanta: cannot connect to X server :0
> -bash-2.05b$

Dass das oben beschriebene Verfahren in dieser Reinform nur bei
konsolenbasierten Programmen funktioniert, ist offensichtlich.
Wenigstens $DISPLAY und die X11-Zugriffsberechtigungen müssten noch
korrekt gesetzt werden, um aus dem chroot heraus auch auf den X-Server
der umliegenden Distribution zugreifen zu können. Insgesamt fällt mir
mir dazu spontan keine vollständig befriedigende Lösung ein.

Offenbar wäre es das Beste, wenn du Mandrakes X-Server separat (zum
Beispiel auf vt8) starten und dann dort komplett innerhalb einer
Mandrake-Umgebung arbeiten würdest. Der schnelle Wechsel zwischen dem
Debian- und dem Mandrake-X11 wäre dann über Ctrl-Alt-F{7,8} möglich.

Ausführliche Tipps dazu finden sich entweder auf der Homepage von Colin
Walters (http://people.debian.org/~walters/) oder in der Debian
Reference:

<http://www.debian.org/doc/manuals/reference/ch-tips.en.html#s-chroot-dist>

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Die eigene Erfahrung hat den Vorteil völliger Gewißheit.
  -- Schopenhauer


pgpJbFALN4ZSv.pgp
Description: PGP signature

Re: fuktioniert die C-Funktion fflush(); nicht bei Sid/Sarge?

[Elmar W. Tischhauser]

Hallo!

On 23 Jun 2004 at 23:42 +0200, Jochen Heller wrote:

> Am Mi, den 23.06.2004 schrieb Elmar W. Tischhauser um 23:07:

[fflush auf Eingabestreams]
> Na so sagt mir das dieses Buch: "Es gibt noch einen zweiten Weg, die
> zu viel eingegebenen Zeichen zu löschen. Mit der Funktion fflush()
> können die Daten in einem Stream - auch im Standardeingabe-Stream -
> gelöscht werden."

Das ist in der Tat übel. "Löschen" ist sogar ein in diesem Zusammenhang
grundfalscher Begriff. Der Autor hat offensichtlich überhaupt nicht
verstanden, wodurch und wann fflush überhaupt benötigt wird.

> Och, eigentlich bin ich mit diesem Buch ( C-Programmierung für Linux
> in 21 Tagen ) bisher zufrieden 

"... in 21 Tagen" klingt nach Markt und Technik. Wenn ja -> wegwerfen.
Auch wenn ich im Allgemeinen kein Freund von Pauschalurteilen bin.

Ich gehe mit deiner Lektüre in erster Linie deshalb so hart ins Gericht,
weil ich den Eindruck habe, dass du wesentlich bessere Literatur
verdient hättest. Zumal ein schwaches Lehrbuch einem vieles unnötig
erschweren kann.

Neben dem Standardwerk von K&R finde ich "C - Grundlagen und
Anwendungen" von Al Kelley und Ira Pohl sehr empfehlenswert. Auch
"Softwaretechnik in C und C++" von Rolf Isernhagen kann ich nahezu
uneingeschränkt empfehlen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Friends don't let friends use windows.


pgptYyulrw70a.pgp
Description: PGP signature

Re: fuktioniert die C-Funktion fflush(); nicht bei Sid/Sarge?

[Elmar W. Tischhauser]

Hallo!

On 23 Jun 2004 at 22:26 +0200, Jochen Heller wrote:

> ich stecke gerade mitten in meinem Einstieg in der C-Programmierung
> und bin nun zur Bibliotheksfunktion fflush(); vorgedrungen, die mir
> eigentlich bei 'fflush(stdin);' den Müll aus stdin löschen soll, der
> fälschlich vom Anwender eingegeben wurde.

Nein. fflush(3) ist nur für Ausgabe-Streams definiert. Darüber hinaus
besteht die Funktion von fflush ja gerade darin, bereits geschriebene,
aber noch zwischengepufferte Zeichen endgültig auszugeben. Wie passt das
mit Eingabe-Streams wie stdin zusammen?

> Kann es sein, dass da ein Fehler in der aktuellen C-Version bei
> Sarge/Sid enthalten ist? 

Nein, siehe oben. Und um dir in Zukunft derartige Spekulationen zu
ersparen, würde ich die Anschaffung eines guten Buches über
C-Programmierung empfehlen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Heisenberg might have been here.


pgpWqyeV96LVt.pgp
Description: PGP signature

Re: fetchmail und ssh

[Elmar W. Tischhauser]

Hallo!

On 21 Jun 2004 at 20:41 +0200, Andreas Schmidt wrote:

> als ich gerade zum Thema "fetchmail und SSL" die manpage waelzte, ist
> mir aufgefallen, dass SSL ja doch nicht so sicher sein sollte   

Wenn SSL in einer aktuellen Version zum Einsatz kommt (SSLv3/TLS), würde
ich diese Behauptung nicht beweisen wollen. Natürlich kann man immer
leichtfertigen Umgang mit der Authentizität von Zertifikaten bzw.
Fahrlässigkeiten seitens der Admins ausnutzen, das Protokoll an sich
würde ich für die allermeisten praktischen Zwecke jedoch als adäquat
sicher bezeichnen. Auch Bruce Schneier und David Wagner kommen in einer
schon älteren kryptografischen Untersuchung des SSLv3-Protokolls zum
Schluss:

| "We conclude that, while there are still a few technical wrinkles to
| iron out, on the whole SSL 3.0 is a valuable contribution towards
| practical communications security."

Dass es in letzter Zeit immer wieder Attacken gegen
Implementierungsschwächen gegeben hat (z.B. Novak-Angriff auf RSA,
SPA/DFA, Timing generell), ist SSL nicht anzulasten. Zumal gegen alle
diese Angriffe Gegenmaßnahmen gefunden und implementiert worden sind
(RSA-Blinding, Montgomery-Ladder, Coron's countermeasure...).

> und insbesondere gegenueber man-in-the-middle attacks anfaellig sei.

MitM-Angriffe lassen sich (korrekte Implementierung vorausgesetzt) immer
durch einen alerten Anwender verhindern, der Zertifikatswarnungen nicht
einfach ignoriert und/oder deren Fingerprints durch seine Software
verifizieren lässt.

Auch bei SSH ist ein MitM denkbar, der Anwender muss sich "nur"
dahingehend übertölpen lassen, die Warnung bezüglich des nicht
übereinstimmenden Fingerprints zu ignorieren und fortzufahren.

> Stattdessen wurde darauf verwiesen, dass man fetchmail doch durch ssh
> tunneln koennte.

[Lösung mit 'auth ssh']

'auth ssh' habe ich noch nie verwendet. Vielleicht hilft es dir, wenn
ich kurz meine Konfiguration skizziere, mit der ich meine Uni-Mails per
SSH-Tunnel abhole. Ein Shell-Account auf dem Mailserver ist allerdings
Voraussetzung:

,[ ~/.fetchmailrc ]
| poll pop.rbg.informatik.tu-darmstadt.de 
| via localhost 
| protocol pop3
| port 1110
| username "tischhau" there is "elmar" here:
| preconnect forward-pop
|
+[ ~/bin/forward-pop ]
| #!/bin/sh
| 
| LOCALPORT=1110
| POPHOST=pop.rbg.informatik.tu-darmstadt.de
| PARAM="-x -f -N -C"
| KEY="$HOME/.ssh/mailkey"
| 
| [ -z $ULTRA ] && ULTRA=ultra10
| 
| ssh $PARAM -i $KEY -L $LOCALPORT:$POPHOST:110 \
| [EMAIL PROTECTED] "$@"
`

Dabei ist ~/.ssh/mailkey der private Teil eines eigens fürs
Mail-/Newsabholen generierten Schlüsselpaars, dem ich per
'command='-Direktive auf dem Uni-Account in der ~/.ssh/authorized_keys
lediglich die Ausführung des Kommandos sleep gestatte. Deshalb halte ich
es auch für ein vertretbares Risiko, ihn ohne Passphrase auszustatten.
Ist eine solche gewünscht, kann ein beim Login bzw. mit der X11-Session
gestarteter ssh-agent den Komfort deutlich erhöhen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  What is wanted is not the will to believe, but the will to find out
  - which is the exact opposite.  -- Bertrand Russell


pgp803FrK9xtj.pgp
Description: PGP signature

Re: default route für ippp0 abstellen

[Elmar W. Tischhauser]

Hallo!

On 20 Jun 2004 at 18:27 +0200, Thomas Wegner wrote:

> Ich habe nur das Problem, dass nach jedem Neustart automatisch die
> default route auf ippp0 gelegt wird.  Wo kann ich das abstellen? ISDN
> soll erstmal noch installiert bleiben.

Eine zumeist brauchbare erste Anlaufstelle ist in solchen Fällen neben
den Manpages die Ausgabe eines rekursiven Greps nach dem Stichwort im
/etc/-Verzeichnis.

Im konkreten Fall finden sich mit 'rgrep -il route /etc/isdn' die
folgenden Stellen, wo man bezüglich der Default-Route Einstellungen
treffen kann:

1. /etc/isdn/ipppd.ippp0: Hier sollte `defaultroute' auskommentiert
   sein, was wohl standardmäßig der Fall ist.
2. /etc/isdn/device.ippp0: Hier die Einträge 'route del/add default'
   wegkommentieren. Dort führt der Kommentar dann noch zu:
3. /etc/ppp/ip-{up,down}.d/*ipppd: Auch hier das Löschen/Anlegen der
   Default-Route auskommentieren.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Rien n'est stupide comme vaincre; la vraie gloire est convaincre.
   -- Victor Hugo, Les Misérables


pgptbo6rNs7W4.pgp
Description: PGP signature

Re: Source für eigenen Backport: CVS oder Source-Paket aus unstable?

[Elmar W. Tischhauser]

Hallo!

On 14 Jun 2004 at 15:20 +0200, Rüdiger Noack wrote:

[Eigene Backports]
> Wo genau muss ich denn drehen, dass mein Paket eine andere Version
> bekommt?  Änderungen im dsc-file oder debian/control haben anscheinend
> keine Wirkung.

Am komfortabelsten und "format-sichersten" dürfte das mit 'dch -i'
gehen, wobei man debian/changelog noch nachbearbeiten sollte (siehe
Norberts wichtigen Kommentar).

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgpq32GO269pK.pgp
Description: PGP signature

Re: Das Problem mit SID

[Elmar W. Tischhauser]

Hallo!

On 31 May 2004 at 11:18 +0200, Peter Kuechler wrote:

> Am Sonntag, 30. Mai 2004 22:04 schrieb Andreas Pakulat:

> > Ja und bei Sid musst du selber Patchen oder hoffen das der
> > Maintainer nicht schlaeft und nen fix bereitstellt...
> 
> Du scheinst keine besonders hohe Meinung über die Entwickler zu
> haben...  Es liegt schon in ihrem eigenen Interesse, solche
> Sicherheitslöcher in ihrem aktuellen Code zu stopfen, findest Du
> nicht? 

Ich glaube, dass Andreas eher Folgendes gemeint hat: Es ist (z.B. wegen
Krankheit, Urlaub, ...) möglich, dass der Zeitpunkt, zu dem in sid
gefixte Pakete auftauchen, deutlich hinter dem
Veröffentlichungszeitpunkt der Fixes durch die Upstream-Autoren liegt.

Und das ist ein Fall, den man durchaus berücksichtigen muss. Zum
Beispiel, indem man (wo ihr beide euch wohl einig seid) bei Bedarf die
betroffenen Pakete selbst aktualisiert.

> Es muß doch jedem einleuchten, das an einen Rechner, der Dienste ins
> Internet zur Verfügung stellt, ander Anforderungen gestellt werden wie
> an einen Rechner, der solchen Gefahren nicht direkt ausgesetzt ist.

Daraus ergibt sich in der Tat eine deutlich geringere Gefährdung.

Trotzdem ist natürlich im Auge zu behalten, dass potenziell jede
Anwendung, die Daten aus nicht unter deiner Kontrolle liegenden Quellen
verarbeitet, ein Einsprungpunkt für den Angreifer sein kann. Und sei es,
indem er speziell präpariert E-Mails schickt, an denen sich der MUA auf
den Clientrechnern verschluckt.

Das alles hat nun aber mit der Wahl unstable/stable nur wenig zu tun.
Bei stable hat man den Vorteil, dass das Security-Team in der Regel sehr
prompt kompetent gefixte Pakete verteilt. Bei unstable gibt es diesen
Service halt nicht, da muss man eben selbst ein Auge auf kritische
Anwendungen haben und im Einzelfall entscheiden, ob man noch auf das
neue sid-Paket warten kann oder dringend selbst Hand anlegen muss.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An apple a day makes 365 apples a year.


pgprLjGBurG0a.pgp
Description: PGP signature

Re: Das Problem mit SID

[Elmar W. Tischhauser]

Hallo!

On 30 May 2004 at 22:20 +0200, Dieter Franzke wrote:
> On Sunday 30 May 2004 22:04, Andreas Pakulat wrote:

> Deshalb (siehe oben) favorisiere ich dort Systeme wie BSD mit ihrem 
> Portstree, wo halt dann mal selbst kompiliert werden muss.
> Geht schneller, als auf ein fertiges Paket zu warten.
> Lücke muss natürlich auch im Quelltext geschlossen werden, sonst 
> bringt dat man nichts.

> > Ich schliesse mal daraus dass du diese Dienste fuers Internet
> > freigegeben hast? Was ist wenn einer davon ein Sicherheitsloch hat
> > und der Maintainer grad 4 Wochen in Urlaub? 
> 
> s.o.

Ich habe ja wirklich nichts gegen die freien BSD-Systeme, aber was
bringt das 's.o.' in diesem Zusammenhang? Wenn der Maintainer eines
BSD-Ports vier Wochen lang im Urlaub ist, unterscheidet sich die
Situation doch nicht grundlegend vom gleichen Fall bei einer
binärpaketbasierten Linuxdistribution wie Debian. Zumal, wenn ich mich
richtig erinnere, sich bei FreeBSD das Security-Team nur ums Base-System
und nicht um die Ports-Collection kümmert.

Wenn der "Nachschub" aus den Ports oder den aktuellen unstable-Paketen
mal ausbleibt, wird der Administrator so oder so Hand anlegen müssen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Geschehenes erkennt auch ein Tor.   -- Homer, Ilias


pgpiqpILd2u07.pgp
Description: PGP signature

Re: Das Problem mit SID

[Elmar W. Tischhauser]

Hallo!

On 30 May 2004 at 14:34 +0200, Maurice wrote:
   ^^^
Ich würde dich gerne mit vollem Namen ansprechen können. Wäre das
möglich? Danke.

> "Elmar W. Tischhauser" <[EMAIL PROTECTED]> wrote:
> 
> > Es ist für den sicherheitsbewussten unstable-Nutzer also keinesfalls
> > hinreichend, nur [EMAIL PROTECTED] zu verfolgen.
> 
> Aber was macht man dann? 

Sich Zusatzinformationen beschaffen, was im Falle des Privatanwenders
nicht einmal übermäßig zeitaufwändig ist, da zum Beispiel alle von
böswilligen (lokalen) Benutzern ausgehenden Probleme schon mal per
definitionem vom Tisch sind. 
Wenn also die Eingabe eines seltsamen Passwortes einen Pufferüberlauf im
setuid-root installierten /usr/bin/passwd provozieren kann, ist das zu
Hause weitaus weniger kritisch ist als etwa in einem Uni-Rechnerpool.

Generell dürften die für den sid-Privatanwender relevanten Gefahren sich
auf folgende Szenarien beschränken (dabei sind nur Angriffe von außen,
also aus dem WAN, berücksichtigt).

1. Fehler im IP- oder TCP-Stack des Kernels. Das wären generisch
   ausnutzbare Bugs, die z.B. durch ein speziell geformtes Paket
   getriggert werden können. Sie kommen sehr selten vor und werden wohl
   meist bei gezielten und weniger bei automatisierten Angriffen genutzt
   (da Exploits meist an spezielle Kernelversionen gebunden sein
   dürften).

   Abhilfe: Möglichst aktuellen Kernel einsetzen.

2. Fehler in auf dem öffentlichen Interface angebotenen Diensten (z.B.
   HTTP, SSH). Die kommen immer mal wieder vor und werden gelegentlich
   auch automatisiert ausgenutzt (siehe zum Beispiel Slapper). Exploits
   in Diensten sind deshalb so kritisch, da diese häufig mit höheren
   Rechten laufen und somit am Gesamtsystem Schaden anrichten bzw. ihre
   Aktivitäten viel besser verbergen können als wenn sie nur unter einem
   unprivilegierten Nutzeraccount liefen.

   Abhilfe: Zunächst ist danach zu trachten, benötigte Dienste nur lokal
   bereitzustellen. Wenn am WAN-Interface nichts lauscht, kann dort auch
   nichts zum Einbruch verwendet werden. Ansonsten bietet es sich an,
   entweder die Security-Advisory-Mailingliste o.ä. des speziellen
   Dienstes zu verfolgen oder regelmäßig auf dessen Homepage
   nachzusehen. In den meisten Fällen dürfte unstable bald die nötigen
   Updates bereithalten, ansonsten kompiliert man sich die gefixte
   Upstream-Version unter Verwendung des letzten unstable-Sourcepakets
   schnell selbst.

3. Fehler in lokal angebotenen Diensten (z.B. NFS, IMAP, HTTP). Für das
   Vorkommen gilt das Gleiche wie für (2). Der Unterschied ist, dass ein
   externer Angreifer sich nicht direkt mit dem fehlerbehafteten Dienst
   verbinden kann, so dass Gefahren "nur" von lokalen Benutzern oder
   fehlerhafter Datenbehandlung entstehen können. Letztere ist durchaus
   manchmal gegeben, zum Beispiel könnte ein Fehler im IMAP-Server durch
   speziell formatierte E-Mails ausgenutzt werden, die ein Angreifer dir
   senden kann (da hilft es dann nichts mehr, dass der imapd nur auf
   192.168.0.5:993 lauscht).
   
   Abhilfe: Wie bei (2).

4. Fehler in Clientprogrammen, welche aus dem Netz stammende Daten
   verarbeiten bzw. mit dem Internet interagieren (z.B. Browser, MUA,
   Bildanzeigeprogramm). Wenn beispielsweise Letzteres beim Anzeigen
   eines aus dem Internet heruntergeladenen Bildes bei der
   Speicherallokation auf dessen Längenangabe vertraut, wäre evtl. das
   Ausführen beliebigen Codes mit den Rechten des Benutzers möglich.

   Abhilfe: Wie bei (2). Zusätzlich hilft gesundes Misstrauen gegen
   "nette Attachments" oder dubiose Webseiten erheblich.

5. Fehler in allen anderen Programmen haben deutlich geringere
   Sicherheitsrelevanz.

6. Würmer/Viren/Trojanische Pferde. Wenn sie sich automatisiert
   installieren können, liegt ein Fall von (1)-(4) vor. Wenn nicht, ist
   man ohnehin selbst schuld.

   Abhilfe: Mehr als Verwendung des Gehirns in Kombination mit gesundem
   Menschenverstand ist nicht erforderlich.

7. Konfigurationsfehler. Gegen solche hilft auch der Einsatz von Woody
   nichts ;-).

   Abhilfe: Sachverstand beim Administrieren.

Da man als Privatanwender in der Regel keine Dienste am öffentlichen
Interface und nur wenige lokal benötigt [auch unter den lokalen sind ja
nur diejenigen wirklich kritisch, welche aus nicht vertrauenswürdigen
Quellen stammende Daten verarbeiten], reduziert sich die Menge der
kritischen Anwendungen, die man auf aktuellem Stand halten sollte,
erheblich.

Auch gilt nicht für jedes unter (4) erwähnte Programm die gleiche
Gefährdungsstufe. Der Browser ist sicherlich am kritischsten, bei einem
Bildanzeigeprogramm würde ich die Updatefrequenz von sid als allemal
ausreichend ansehen.

Security-Announce-MLs haben zudem meist sehr geringen Traffic. Gibt es
solche nicht, wäre es zum Beispiel eine Möglichkeit, einfach im Browser
einen Bookmark-Ordner zu den Sicherheitsseiten oder Homepages der
en

Re: Das Problem mit SID

[Elmar W. Tischhauser]

Hallo!

On 29 May 2004 at 16:25 +0200, Maurice wrote:

> Ich weiß jetzt allerdings auch gar nicht, wann ich das letzte
> Komplett-Upgrade gemacht habe... Updaten tue ich nur hin und wieder
> einzelne Pakete, die auf debian-security-announce gemeldet werden.

Vorsicht! DSAs gibt es nur für Woody-Probleme. Wenn also ein bei dir
installiertes Paket ein nur in neueren Versionen auftretendes
sicherheitsrelevantes Problem hat, gibt es kein DSA, was dich darauf
aufmerksam machen würde. Der letzte Buffer Overflow in Mutt war so ein
Beispiel, genauso wie alle Apache2-Bugs es sind, da nur Apache 1.x in
Woody ist.

Es ist für den sicherheitsbewussten unstable-Nutzer also keinesfalls
hinreichend, nur [EMAIL PROTECTED] zu verfolgen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Die eigene Erfahrung hat den Vorteil völliger Gewißheit.
  -- Schopenhauer


pgpnjA3Dkjk3Y.pgp
Description: PGP signature

Re: Mandrake unter Woody

[Elmar W. Tischhauser]

Hallo!

On 28 May 2004 at 22:20 +0200, Klaus Becker wrote:

> Um ihm effizient helfen zu können, müsste ich schon Mandrake vor der Nase 
> haben. Mit chroot kann man keine graphische Oberfläche unter einem anderem 
> System starten, das scheitert an der Authentifizierung. Ich möchte z. B. das 
> Kontrollzentrum von Mandrake vor Augen haben, aber unter Woody. Ist das ohne 
> allzu grosse Verrenkungen möglich?

Ja, du kannst zum Beispiel das X11 aus dem Mandrake-chroot auf einem
weiteren virtuellen Terminal (z.B. vt8) laufen lassen. Wie das geht, ist
beispielsweise in der Debian Reference beschrieben:



Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Friends don't let friends use windows.


pgpTIvSoq5feE.pgp
Description: PGP signature

Re: tar / remote

[Elmar W. Tischhauser]

Hallo!

On 24 May 2004 at 16:40 +0200, Bjoern Schmidt wrote:

> Suche ein --rsh-command für tar dass ohne Verschlüsselung arbeitet,
> was kann ich da nehmen?

Mache ich es mir zu einfach, wenn ich schlicht rsh vorschlage (Pakete
rsh-client, rsh-server)? 

Damit hast du dann allerdings nicht nur keine Verschlüsselung, sondern
auch keine sichere Authentifikation (nur auf .rhosts-Basis), das ist
also nur in einer sehr kontrollierbaren Umgebung zu empfehlen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An apple a day makes 365 apples a year.


pgpKOeWRLA07m.pgp
Description: PGP signature

Re: Wer startet cron Einträge von /etc/cron.d/

[Elmar W. Tischhauser]

Hallo!

On 23 May 2004 at 12:09 +0200, Severin Gehwolf wrote:

> Kann mir jemand erklären ob und wenn ja welcher Dienst die cron Einträge 
> von /etc/cron.d/gestartet werden. So weit ich das gesehen habe startet 
> cron laut crontab nur die /etc/cron.dayly, /etc/cron.weekly usw.

man cron, Abschnitt "DEBIAN SPECIFIC".

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgpWu1SI1p07W.pgp
Description: PGP signature

Re: Abhaengigkeitsproblem bei sid Paketen

[Elmar W. Tischhauser]

Hallo!

On 21 May 2004 at 10:28 +0200, Heino Tiedemann wrote:

> >> 1) 'idn' depends 'libc6 (>= 2.3.2.ds1-4)'
> >> 2) 'libc6 (2.3.2.ds1-12)' depends 'libdb1-compat'
> >> 3) 'libdb1-compat' depends 'libc6 (>= 2.2.5-13)'

> Irgendwie sehe ich da einen Kreisverkehr:
> 
> libdb1-compat varlangt libc6 und libc6 verlangt libdb1-compat, zwei
> Pakte, die gegenseitig abhängig sind. Das kann doch nicht
> funktionieren.

Warum nicht? Das bedeutet einfach, dass libc6 und libdb1-compat immer
gemeinsam installiert (oder nicht installiert) sein müssen. Gut,
Letzteres ist bei der C-Bibliothek unwahrscheinlich :-), also ein
allgemeines Beispiel, wobei "A->B" eine Abhängigkeit von A auf B
bezeichne (externe Abhängigkeiten auf A und B lassen wir hier mal außen
vor):

A->B; B->C,D

Das heißt, dass A nur installiert sein kann/sollte, wenn auch B und
dessen Abhängigkeiten installiert sind. Man kann aber problemlos B
ohne A installiert haben.

A->B; B->A

Das heißt, dass A nur installiert sein kann/sollte, wenn auch B
installiert ist. Und umgekehrt. Folglich müssen entweder beide oder
keines von beiden installiert sein, damit alle Abhängigkeiten erfüllt
sind. 

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An algorithm must be seen to be believed.-- Donald E. Knuth


pgpBrNGJ1XDSy.pgp
Description: PGP signature

Re: Backport download

[Elmar W. Tischhauser]

Hallo!

On 14 May 2004 at 14:08 +0200, Frank Geschner wrote:

> Gibt es eigentlich eine Möglichkeit für Leute, die keine permanente 
> Internetverbindung haben, sich alle verfügbaren backports für woody 
> downzuloaden oder als iso-image?

Da man in der Regel nur ein paar ausgewählte Pakete braucht, fände ich
persönlich ein volles ISO-Image überdimensioniert. YMMV.

> Oder muss man sich überlegen, was man braucht um dies dann gezielt 
> downloaden an einem Rechner der eine permanente Verbindung hat?

Solche Aktionen lassen sich automatisieren. Vielleicht hilft dir bereits
das Paket 'apt-zip' und/oder /usr/share/doc/apt/offline.text.gz weiter.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Rien n'est stupide comme vaincre; la vraie gloire est convaincre.
   -- Victor Hugo, Les Misérables


pgp0.pgp
Description: PGP signature

Re: Grafische Administration für iptables

[Elmar W. Tischhauser]

Hallo!

On 10 May 2004 at 00:31 +0200, Bjoern Schmidt wrote:

> Wie stark verbreitet ist dnssec eigentlich?

Schwer zu sagen. Im kleinen Maßstab und mit sehr sicherheitsbewussten
Admins bestimmt mancherorts. Im Privatbereich natürlich praktisch gar
nicht. Genaueres habe ich leider nicht zur Hand, insbesondere wäre
interessant, was die großen Provider in dieser Hinsicht vorhaben.

> Zonentransfers finden zwischen 2 oder mehr identischen DNS-Servern
> statt. Bei Mathias vermutlich nie.

Das ist allerdings anzunehmen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Sicher ist, dass nichts sicher ist. Selbst das nicht. -- Ringelnatz


pgp0.pgp
Description: PGP signature

Re: Grafische Administration für iptables

[Elmar W. Tischhauser]

Hallo!

On 10 May 2004 at 08:32 +0200, Patrick Cornelißen wrote:

> Elmar W. Tischhauser wrote:
> 
> >Das wäre dann tatsächlich nicht so schlimm wie von mir angenommen, aber
> >trotzdem hochgradig überflüssig. Wie gesagt, der IP-Stack des Kernels
> >sollte unabhängig vom GUI arbeiten, und da Logdateien existieren,
> >braucht man schlicht keine Meldungsfenster.

> Wieso, wenn die GUI als Programm läuft und die Logfiles auf rejected 
> Packages untersucht, dann kann doch ein Fenster aufpoppen?
> Ich verstehe das Problem da nciht. Man muss das doch nicht auf 
> Kernelebene machen...

Gut, das ginge wohl in Ordnung (wobei es immer noch eine Geschmacksfrage
bleibt, wozu man spezielle Popup-Fenster braucht, wo es ein 'tail -f'
auch tut). Bei der Schilderung des OP hatte ich einfach sofort das
Feindbild einer Personal Firewall vor Augen. Dass er eine solche nicht
gemeint hat, ist inzwischen ja geklärt.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An apple a day makes 365 apples a year.


pgp0.pgp
Description: PGP signature

Re: Grafische Administration für iptables

[Elmar W. Tischhauser]

Hallo!

On 08 May 2004 at 09:44 +0200, Matthias Taube wrote:

> > Elmar W. Tischhauser wrote:
> 
> > Tatsache, dass das /im Kernel/ implementierte Paketfiltern
> > GUI-Abhängigkeiten bekommt mindestens genauso haarsträubend wie die
> > Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend
> > konfigurierte Maschinen fahren zu können.
> 
> Es handelt sich um ein Hilfsmittel für die Konfiguration, nicht für den
> Betrieb.

Das wäre dann tatsächlich nicht so schlimm wie von mir angenommen, aber
trotzdem hochgradig überflüssig. Wie gesagt, der IP-Stack des Kernels
sollte unabhängig vom GUI arbeiten, und da Logdateien existieren,
braucht man schlicht keine Meldungsfenster.

> Im Moment arbeite ich mit
> iptables -X
> 
> iptables -N logdrop
> iptables -A logdrop -j LOG --log-prefix "IPTABLES Dead "
> iptables -A logdrop -j DROP
> 
> # iptables -P FORWARD DROP
> iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -j logdrop
> 
> # iptables -P INPUT DROP
> iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p tcp --dport 53 -j ACCEPT
> iptables -A INPUT -i ippp+ -j logdrop

Dazu ein paar schnelle Anmerkungen:

- Die Idee mit einer eigenen Chain fürs Loggen abgelehnter Pakete ist
  gut. Allerdings sollte man nicht alles DROPen, sondern in der Regel
  REJECTen, was vor allem für ICMP-Pakete wichtig ist. DROP kommt vor
  allem für gespoofte RFC 1918-Adressen am externen Interface o.ä. in
  Frage.

- Warum sind die Policy-Zeilen (-P) auskommentiert? Die sollten schon
  auf DROP stehen, und zwar alle am besten gleich am Anfang des Skripts,
  damit man nicht für einen kurzen Zeitraum ohne Filter dasteht. Für den
  Fall, dass der Rechner auch NAT macht, kann man bei der Gelegenheit
  auch gleich die NAT-Tabellen leeren.

- Was ist mit Paketen mit einem NEW-State?

- DNS braucht in aller Regel TCP/53 _und_ UDP/53. Auch da bietet sich
  das state-Modul an, um DNS-Pakete nach außen mit NEW,ESTABLISHED und
  nach innen mit ESTABLISHED zu erlauben. Im Moment akzeptierst du
  unabhängig vom Verbindungszustand alles, was über TCP/53 hereinkommt.

- Fürs Logging und/oder Typ 8 ICMP-Pakete bietet es sich an, mit --limit
  eine erlaubte Maximalrate vorzugeben.


Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Rien n'est stupide comme vaincre; la vraie gloire est convaincre.
   -- Victor Hugo, Les Misérables


pgp0.pgp
Description: PGP signature

Re: Grafische Administration für iptables

[Elmar W. Tischhauser]

Hallo!

On 07 May 2004 at 21:49 +0200, Matthias Taube wrote:

> Optimal wäre ein Programm, bei dem bei jedem Connectversuch der nicht
> explizit erlaubt ist ein Fenster hochpoppt. Dies würde die Erstellung von
> Regeln erheblich vereinfachen.

Das wäre grob fahrlässig. Selbst wenn wirklich nur ein Meldungsfenster
(ohne direkte Modifikationsmöglichkeit des Regelsatzes aus
unprivilegiertem Nutzerkontext heraus) implementiert wäre, fände ich die
Tatsache, dass das /im Kernel/ implementierte Paketfiltern
GUI-Abhängigkeiten bekommt mindestens genauso haarsträubend wie die
Vorstellung, auf diese Weise ganz leicht einen DoS gegen entsprechend
konfigurierte Maschinen fahren zu können.

Hostbasierte Paketfilter haben, sollen sie überhaupt zu etwas nütze
sein, nichtinteraktiv und ausschließlich nach vom Administrator[1]
festgelegten Regelsätzen zu arbeiten. 

Interessiert man sich dafür, welche "fremden" Pakete so alles aus dem
WAN bei einem aufschlagen, kann man diese von Netfilter fein säuberlich
loggen lassen oder gleich mit Sniffern/einem NIDS arbeiten.

Gruß,
Elmar

[1] Der (als Person) natürlich durchaus mit dem Benutzer identisch sein
darf...

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Die eigene Erfahrung hat den Vorteil völliger Gewißheit.
  -- Schopenhauer


pgp0.pgp
Description: PGP signature

Re: Frage zu FAQ 8.13

[Elmar W. Tischhauser]

Hallo!

On 04 May 2004 at 09:04 +0200, Christoph Conrad wrote:

> > Einfach zusätzlich die APT-Konfiguration (vor allem
> > /etc/apt/sources.list und /etc/apt/preferences oder zumindest die
> > relevanten Teile davon) auf den zweiten Rechner übernehmen?
> 
> Damit weiss aber apt noch nicht, welche Pakete ich explizit mit z.B.
> apt-get -t  geholt habe.

Korrekt. Da diese Pakete per individueller Entscheidung aus einem
Debian-Zweig geholten wurden, dürfte sich eine identische Konstellation
auf dem Zweitrechner allerdings nur mit manuellem Zusatzaufwand
herbeiführen lassen.

Denn testing und unstable sind `moving targets', sprich wenn heute in
unstable und testing die Version 1.1-5 war, kann in einer Woche bereits
1.2-1 in unstable und 1.1-7 in testing sein. Die alten Pakete findet man
dann nicht mehr in den aktuellen Paketindizes auf dem Debian-Server,
sondern nur noch auf snapshot.debian.net o.ä.

Sprich: Wenn man bei einem bestimmten Paket (oder eine Paketgruppe)
konsequent einen bestimmten Zweig verfolgen will, ist es am besten,
diesen per Pinning fest auszuwählen. Auch zum Beispiel apt-show-versions
ist darauf angewiesen, dass die in der sources.list angegebenen Quellen
ein bestimmtes Paket noch führen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
Denn wahrlich! da ist nichts Armseligeres als der Mensch
Unter allem, soviel da auf der Erde atmet und kriecht.  -- Homer, Ilias


pgp0.pgp
Description: PGP signature

Re: XEmacs macht Umlaute mit LaTeX kaputt

[Elmar W. Tischhauser]

Hallo!

On 03 May 2004 at 19:20 +0200, Matthias Fechner wrote:

> ich schreibe hier jetzt schon seit einiger Zeit LaTeX-Dokumente mit
> Hilfe von XEmacs, aber seit heute will er diese Dokumente im Modul
> x-symbol unbedingt mit tex/8 abspeichern.

Ich bin als vim-Fan zwar beileibe kein Emacs-Experte und zudem ansonsten
GNU Emacs-Nutzer, aber etwas à la

% -*- mode: LaTeX; coding: latin-9; -*-

in der .tex-Datei sollte den Emacs davon überzeugen, diese von Beginn an
gleich als Latin-9 (ISO 8859-15) aufzufassen, wobei natürlich dafür die
gewünschte Kodierung einzusetzen ist.

Ansonsten: Welche XEmacs-Version ist das denn? Zumindest der aus Woody
(21.4.6) hat erhebliche Probleme mit Latin-9; in der non-MULE-Variante
kennt er nur Latin-1, und in der MULE-Variante ist der ISO
8859-15-Support noch nicht ausgereift (gewesen).

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgp0.pgp
Description: PGP signature

Re: Lesen der Mailingliste per Usenet => KEINE Mails

[Elmar W. Tischhauser]

Hallo!

On 03 May 2004 at 22:23 +0200, Christoph Conrad wrote:

> > Warum trägst Du Dich dann in beide ein ?
> > 
> 
> Ich muss in die Mailingliste eingetragen sein, um posten zu können.

Nein.

> Ich habe es per nntp versucht - aber die Mails wurden sozusagen
> "gebounced", sie werden erst zu einem Moderator (ein Robot) gesendet,
> der sie abgewiesen hat.

Du versuchst es über linux.debian.user.german? Dann musst du dich
zunächst beim Gateway-Betreiber freischalten lassen (vgl.
http://lists.bofh.it).

Das alles hätte sich aber problemlos durch eine kleine Suche im Archiv
finden lassen, die Frage taucht hier regelmäßig auf.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  What is wanted is not the will to believe, but the will to find out
  - which is the exact opposite.  -- Bertrand Russell


pgp0.pgp
Description: PGP signature

Re: Frage zu FAQ 8.13

[Elmar W. Tischhauser]

Hallo!

On 03 May 2004 at 09:24 +0200, Christoph Conrad wrote:

> zur Erinnerung: 8.13 Kann ich die Paketauswahl eines Rechners sichern
> und 1:1 auf einen anderen übernehmen?
> 
> ,
> | Ja, mit dpkg --get-selections "*" > packetlist  [...]

> Mhmm, ich benutze pinning. Leider steht in der so erzeugten Liste
> nichts über woody, stable etc. Wie geht das?

Einfach zusätzlich die APT-Konfiguration (vor allem
/etc/apt/sources.list und /etc/apt/preferences oder zumindest die
relevanten Teile davon) auf den zweiten Rechner übernehmen?

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgp0.pgp
Description: PGP signature

Re: Bildschirmauflösung anzeigen

[Elmar W. Tischhauser]

Hallo!

On 03 May 2004 at 15:58 +0200, Tom Schmitt wrote:

> Anfängerfrage: Wie kann ich mir die momentan aktuelle Bildschirmauflösung
> unter KDE anzeigen lassen?

xdpyinfo(1). Funktioniert auch ohne KDE, z.B.

$ xdpyinfo | fgrep dimension
  dimensions:1280x1024 pixels (325x260 millimeters)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Wenn der Deutsche hinfällt, dann steht er nicht auf, sondern schaut,
  wer schadenersatzpflichtig ist.   -- Kurt Tucholsky


pgp0.pgp
Description: PGP signature

Re: proftpd will ploetzlich nicht mehr....

[Elmar W. Tischhauser]

Hallo!

On 25 Apr 2004 at 10:59 +0200, Andreas Schmidt wrote:

> On 2004.04.24 20:26, Elmar W. Tischhauser wrote:
> >On 24 Apr 2004 at 14:20 +0200, Andreas Schmidt wrote:
> >
> >> ii  proftpd1.2.4+1.2.5rc1-5wo Versatile, virtual- 
> >> ii  libc6  2.3.2-2GNU C Library: Shared
> >
> >Ein System mit glibc 2.3.x nennst du Woody?!
> Aeh...ja, stimmt. Da waren noch die Backports von Adrian Bunk. Und
> dann  noch ein paar andere.

Wie du unten schon richtig anmerkst, kann es an denen nicht liegen.
Woody-Backports sollten schließlich gegen die glibc aus Woody gelinkt
sein.

> habe ich wohl auch ein paar Sachen direkt aus unstable installiert.

Jetzt kommt es halt drauf an, wieviel das war und wohin du willst: Down-
oder Upgrade. Bei einem glibc-Downgrade musst du sehr vorsichtig sein,
da fast alle Programme (auch die systemnahen und die Tools des
Paketsystems) dynamisch gegen die C-Bibliothek gelinkt sind. 

Vorsichtshalber würde ich für den Notfall (wenn nicht ohnehin schon
geschehen) noch die `sash' installieren, die eine ganze Menge nützlicher
Programme eingebaut hat und statisch gelinkt ist.

> Wie konnte man nochmal schnell schauen, welche Pakete aus einem
> bestimmten Zweig (in diesem Fall: Sid) waren?

Das geht mit apt-show-versions.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An apple a day makes 365 apples a year.


pgp0.pgp
Description: PGP signature

Re: proftpd will ploetzlich nicht mehr....

[Elmar W. Tischhauser]

Hallo!

On 24 Apr 2004 at 14:20 +0200, Andreas Schmidt wrote:

> proftpd: relocation error: proftpd: symbol (nicht kopierbare  
> sonderzeichen) version GLIBC_2.0 not defined in file libc.so.6 with  
> link time reference

Mit anderen Worten: Dein proftpd ist nicht gegen deine aktuell
installierte libc gelinkt.

> Jedenfalls laeuft das ganze auf Woody:

> ii  proftpd1.2.4+1.2.5rc1-5wo Versatile, virtual-hosting  
> ii  libc6  2.3.2-2GNU C Library: Shared  

Ein System mit glibc 2.3.x nennst du Woody?!

Wie ist die denn ins System hereingekommen? Jedenfalls solltest du dein
System _unbedingt_ auf einen konsistenten Stand bekommen. Sprich:
Entweder komplettes Upgrade auf testing/unstable oder manuelles
Rückführen der Installation auf Woody.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Nichts ist so praktisch wie eine gute Theorie.  -- v. Helmholtz


pgp0.pgp
Description: PGP signature

Re: MTU Wert einstellen (Ethernet)

[Elmar W. Tischhauser]

Hallo!

On 23 Apr 2004 at 10:27 +0200, R. Welz wrote:

> Ich möchte den MTU-Wert für meine NICs auf 1454 einstellen.
> Ich habe /etc/network/interfaces bearbeitet, aber ohne Erfolg.
[...]
> auch mit mtu='1454' oder mtu 1454 hatte ich keinen Erfolg.
> Bin ich in der falschen Datei?

Die Datei ist grundsätzlich schon die Richtige :-). In testing und
unstable kann man die MTU tatsächlich mit `mtu 1454' einstellen, für
Woody würde ich ein '/sbin/ifconfig  mtu 1454' als `up'-Kommando
angeben (für Details siehe interfaces(5)).

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An algorithm must be seen to be believed.-- Donald E. Knuth


pgp0.pgp
Description: PGP signature

Re: visudo, welche Editoren sind erlaubt

[Elmar W. Tischhauser]

Hallo!

On 15 Apr 2004 at 17:58 +0200, Heino Tiedemann wrote:

> Da ich unter debian üblicherweise Pakete benutze, weiss ich also
> nicht, welche Editor liste einkompiliert ist, oder ob die option
> --with-enveditor beim kompilieren gesetzt wurde.

Ich würde zuerst (z.B. mit zgrep) in /usr/share/doc/$paketname/ im
Debian-Changelog nachsehen, ob die gewünschte Compile-Time-Option dort
irgendwie Erwähnung findet.

Danach und generell ist natürlich das Source-Paket die definitive
Auskunftsquelle; es reicht, das betreffende .diff.gz herunterzuladen und
das Makefile debian/rules zu inspizieren, dort finden sich alle Details
bezüglich der Übersetzung und des Paketbaus.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  There is no sadder sight than a young pessimist.


pgp0.pgp
Description: PGP signature

Re: Webmailer / IMAP

[Elmar W. Tischhauser]

Hallo!

On 14 Apr 2004 at 16:03 +0200, Torsten Schneider wrote:

> On Wed, Apr 14, 2004 at 03:41:30PM +0200, Hans-Georg Bork wrote:
> 
> > IIRC westerupaeische Sprachen sind in iso-8859-15 ...
> 
> Jein, der Unterschied zwischen -1 und -15 ist das Euro-Zeichen.

Und sieben weitere Zeichen. Das kann zum Beispiel schon dann zuschlagen,
wenn man sich in einem ISO-8859-15-Terminal eine in -1 kodierte Manpage
anzeigen lässt.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Work is the curse of the drinking classes.   -- Oscar Wilde


pgp0.pgp
Description: PGP signature

Kernel 2.6 und Woody (was: Dringenst Install-CD für ext3 und HD > 160 GB gesucht)

[Elmar W. Tischhauser]

Hallo!

On 13 Apr 2004 at 10:35 +0200, frank paulsen wrote:

> "Elmar W. Tischhauser" <[EMAIL PROTECTED]> writes:
> 
> >> - man kann Linux 2.6 mit Woody weder uebersetzen noch funktionsfaehig
> >>   compilieren, [...]
> >
> > Huch. Warum sollte das bitte nicht möglich sein?
> 
> es fehlen die module-init-tools, und procps ist in 2.0.7, waehrend der
> kernel mindestens 2.0.9 will. so aus dem gedaechtnis duerften auch
> e2fsprogs und reiserfsprogs zu alt sein.

Korrekt, obiges besagt, dass man mit dem /installierten/ 2.6er Kernel
auf einer Woody-Maschine ohne Zusatzpakete in der Regel nicht viel
Freude haben wird. Das /Kompilieren/ und Debian-Paket schnüren ist aber
mit reinem Woody allemal möglich.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  There is no sadder sight than a young pessimist.


pgp0.pgp
Description: PGP signature

Re: Dringenst Install-CD für ext3 und HD > 160 GB gesucht

[Elmar W. Tischhauser]

Hallo!

On 12 Apr 2004 at 20:38 +0200, frank paulsen wrote:

> - man kann Linux 2.6 mit Woody weder uebersetzen noch funktionsfaehig
>   compilieren, [...]

Huch. Warum sollte das bitte nicht möglich sein?

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Rien n'est stupide comme vaincre; la vraie gloire est convaincre.
   -- Victor Hugo, Les Misérables


pgp0.pgp
Description: PGP signature

Re: Cryptoloop und 2.6er Kernel

[Elmar W. Tischhauser]

Hallo!

On 07 Apr 2004 at 00:08 -0700, Andreas Pakulat wrote:

> > > Die hier funktionierenden Cipher sind: aes, twofish, blowfish, cast6,
> > > serpent. Wieso gehen die 2 des-Algorithmen nicht??

> Aha. Gut hab jetzt erstmal blowfish genommen. Wenn wir schonmal dabei
> sind: Hat jemand mal ne zuverlaessige Quelle darueber wie gut welcher
> der Algorithmen ist - Geschwindigkeit, Schluesselraum ... Nur so
> Interessehalber.

Nach eine Übersichtsseite muss ich mal googeln, das fände ich auch
interessant. Zur Geschwindigkeit: In Wei Dais crypto++ Bibliothek sind
unglaublich viele Algorithmen implementiert, und da gibt es IIRC auch
einen Benchmark, den man durchlaufen lassen kann.

Ich habe jetzt interessehalber gerade mal ein paar der in SSH2
implementierten Verfahren mit einem scp nach localhost getestet und grob
folgendes Geschwindigkeitsverhältnis bekommen (gemessen auf einem
PII-400):

Arcfour : Blowfish : AES128 : 3DES  ==  5 : 3.5 : 3.5 : 1.

Wobei ich mit arcfour (= Alleged RC4) vorsichtig wäre. Er ist nicht die
stärkste Stromchiffre und schwierig sicher zu implementieren. Für eine
ssh-Sitzung OK, aber für Langzeitsicherheit hätte ich persönlich ein
ungutes Gefühl.

Zur Sicherheit: Nach dem, was ich aus Büchern und LNCS-Publikationen so
in Erinnerung habe, sollten alle der von dir erwähnten Algorithmen (AES,
Twofish, Blowfish, CAST6, Serpent) adäquate Sicherheit bringen,
vermutlich auch auf Jahrzehnte hinaus. Nominell bewegt sich der
Schlüsselraum bei allen zwischen 128 und 256 Bits, was allemal
ausreicht.

Wichtiger ist, dass ein großer Schlüsselraum zwar ein notwendiges, aber
kein hinreichendes Kriterium für ein gutes Verschlüsselungsverfahren
ist. Aktuell sind zwar für fast alle der genannten Algorithmen Angriffe
bekannt, die schneller sind als Brute Force, dafür aber unglaubliche
Mengen an Known Plaintext brauchen und überhaupt eine viel zu hohe
Zeitkomplexität haben um als praktikabel angesehen werden zu können.

Kurz nach der Standardisierung von AES hat es mal Aufregung um die
neuartige XSL-Kryptoanalyse gegeben, die besonders gut gegen AES und
Serpent anwendbar sein soll, aber inzwischen gibt es auch da
Gegenstimmen. Und, das sei noch einmal betont, der Angriff wäre ohnehin
wieder nur theoretischer Natur gewesen.

Mit anderen Worten: Alle genannten Verfahren sind zu stark, als dass ein
Angreifer sie direkt brechen würde. Er wird immer versuchen,
Implementierungsfehler wie schlechte Zufallszahlen o.ä. auszunutzen,
einen Keylogger zu installieren, oder dir gleich das Messer an die Kehle
zu halten. Was natürlich keinen Grund dafür hergeben soll, von
vornherein schlechte Verfahren zu verwenden ;-)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Heisenberg might have been here.


pgp0.pgp
Description: PGP signature

Re: Sicherer Datentransfer

[Elmar W. Tischhauser]

Hallo!

On 07 Apr 2004 at 00:05 -0700, Andreas Pakulat wrote:

> On 06.Apr 2004 - 20:16:49, Elmar W. Tischhauser wrote:
> > On 06 Apr 2004 at 08:59 -0700, Andreas Pakulat wrote:
> 
> Na ich glaube du ueberschaetzt mein Anforderungsprofil. 

Gut möglich, ich habe mir halt angewöhnt, auch bei mir zu Hause den
Sicherheitsstandard so hoch wie sinnvoll zu halten. Außerdem macht die
Beschäftigung mit IT-Sicherheit einfach unheimlich viel Spass :-)

> Es handelt sich um 2 Privatpc's die auch nur privaten Kram
> austauschen, [...]
> Selbst wenn jemand auf dem Server (der auf meinem Laptop laeuft)
> einbricht und sich alle meine huebschen Bilder und was weiss ich was
> noch auf meiner Platte rumliegt holt ist mir das ziemlich egal... 

Sicher? ;-)
Das Dumme an einer Kompromittierung ist ja nicht nur, dass der
Einbrecher deine Daten lesen kann, er kann ja außerdem noch weitere
Rechner im LAN erwischen, überall Passworte mitsniffen, E-Mails löschen,
die PGP-Passphrase mitlesen, ...

Gerade bei FTP-Servern wird in 99% der Fälle nicht zu dem Zweck
eingebrochen, die dort lagernden Daten zu stehlen, sondern diesen Server
zum Verteilen von Warez, Kinderpornos etc. zu verwenden. Wie real dieses
Risiko ist, hat ja die Großrazzia der Polizei vor ein paar Tagen in
Deutschland gezeigt.

[ssh mit scponly, rssh]
> > Zusammenfassen würde ich entweder das oder SSL/TLS-gesichertes
> > WebDAV empfehlen.
> 
> Hmm, hast mich irgendwie nicht ueberzeugt, ist mir alles zuviel
> Aufwand fuer so ein paar laecherliche Daten. 

Wie gesagt, es geht ja nicht primär um die Daten.

> Anonymen FTP will ich dennoch nicht, denn dann kann ja nun wirklich
> jeder raus. So muss man erstmal das Passwort mitlesen...

Schon richtig. Ob dir das genügt, musst du letztlich natürlich selbst
entscheiden. Ich glaube allerdings, dass du den Aufwand für eine sichere
Lösung überschätzt: Sowas richtet man einmalig ein und fertig. Bei einem
öffentlichen FTP-Server hingegen würde ich ja vor lauter Angst die Augen
nicht mehr von den Logdateien wegkriegen :-)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  In die Tiefe musst du steigen, 
  soll sich dir das Wesen zeigen.-- Friedrich v. Schiller


pgp0.pgp
Description: PGP signature

Re: dpkg-scanpackages

[Elmar W. Tischhauser]

Hallo!

On 06 Apr 2004 at 23:14 +0200, Rüdiger Noack wrote:

> Elmar W. Tischhauser wrote:
> >
> >dpkg-scanpackages ist obsolet, man sollte gleich das leistungsfähigere
> >apt-ftparchive einsetzen, [...]

> Ooops! 

Wer wird denn gleich... Ich glaube nicht, dass die Verwendung von
dpkg-scanpackages irgendwie bestraft wird ;-)

> Wobei sich mir gleich wieder die Frage stellt, wie man an solche
> Informationen kommt, ohne _alle_ verdächtigen ML's etc. mitzulesen?

-devel lese ich zurzeit gar nicht, den Hinweis auf apt-ftparchive habe
ich IIRC vor gut einem Jahr von Marc Haber in einer de.*-Newsgroup
gelesen. Da auch noch 

| apt-ftparchive is a superset of the dpkg-scanpackages(8) program

in der Manpage stand, habe ich mir die Empfehlung halt gleich zu Herzen
genommen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An algorithm must be seen to be believed.-- Donald E. Knuth


pgp0.pgp
Description: PGP signature

Re: dpkg-scanpackages

[Elmar W. Tischhauser]

Hallo!

On 06 Apr 2004 at 20:33 +0200, Jan Herold wrote:

> ich würde gerne die Datei "Packages.gz" neu erstellen.
> Dazu fand ich folgenden Hinweis:
> 
> dpkg-scanpackages debian/ /dev/null | gzip -9 > debian/Packages.gz

dpkg-scanpackages ist obsolet, man sollte gleich das leistungsfähigere
apt-ftparchive einsetzen, z.B. so:

| apt-ftparchive packages debian/ | gzip -9 > debian/Packages.gz

apt-ftparchive ist Bestandteil des Pakets apt-utils.

> Nur leider kann ich "dpkg-scanpackages" nirgendwo finden.

Es befindet sich im Paket dpkg-dev. Aber siehe oben.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  What is wanted is not the will to believe, but the will to find out
  - which is the exact opposite.  -- Bertrand Russell


pgp0.pgp
Description: PGP signature

Re: Cryptoloop und 2.6er Kernel

[Elmar W. Tischhauser]

Hallo!

On 06 Apr 2004 at 09:12 -0700, Andreas Pakulat wrote:

> Die hier funktionierenden Cipher sind: aes, twofish, blowfish, cast6,
> serpent. Wieso gehen die 2 des-Algorithmen nicht??

Dazu habe ich leider keine Idee, aber da normaler DES wegen des kleinen
Schlüsselraums keine adäquate Sicherheit mehr bietet und 3DES
_wesentlich_ langsamer als die modernen Algorithmen ist, würde ich mir
darüber wenig Gedanken machen... 
Es sei denn, es wäre aus Interoperabilitätsgründen erforderlich, aber
beim ohnehin jungen Cryptoloop ist das nicht anzunehmen.

> > Sprich: wenn es euch gelingt, aus dem Ergebnis von SHA-256(datei)
> > analytisch die Datei wiederherzustellen[1], sind euch akademische Würden
> > sicher und es müssen weltweit ein Haufen Kryptosysteme umgebaut werden
> > ;-)
> 
> Na und Geld gibts dann doch auch oder?

Stellt sich nur die Frage, von wem ;-)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgp0.pgp
Description: PGP signature

Sicherer Datentransfer (was: Kernel config)

[Elmar W. Tischhauser]

Hallo!

On 06 Apr 2004 at 08:59 -0700, Andreas Pakulat wrote:

> On 06.Apr 2004 - 12:25:13, Elmar W. Tischhauser wrote:
> > 
> > Vorschläge: HTTPS mit Clientzertifikaten, WebDAV over SSL, sftp/scp,
> 
> webdav, https??? ok, das erstere ermoeglicht den Upload das 2. den
> Download. 

Soviel ich weiß, unterstütz WebDAV beides und noch einiges mehr
(Versionierung, erweiterte Attribute usw.). Auch beim Überfliegen von
RFC 2518 sind mir keine Beschränkungen aufgefallen, die im von dir
geschilderten Anforderungsprofil eine Rolle spielen würden.

> Aber den Kram extra aufsetzen um ein paar private Files zu
> verschieben? Overkill wuerde ich sagen. 

Kommt darauf an. Das Neuaufsetzen und die Forensik nach einer
Kompromittierung sind auch nicht gerade schnell erledigt...

> > [...] durch die Trennung von Daten- und Kontrollkanal ist FTP (aus
> > Firewallsicht) an sich schon schwierig zu handhaben, der Einsatz von
> > TLS macht das natürlich nicht besser.
> 
> Hmm, wieso? 

Die Verschlüsselung des Kontrollkanals macht gutes FTP-Firewalling quasi
unmöglich. Lassen wir aktives FTP mal beiseite und gehen von einem
Clientrechner "c" und einem FTP-Server "s" aus. Dann sieht ein
Verbindungsaufbau von c nach s bei passivem FTP so aus:

1. c:4000 -> s:21   (Client initiiert Verbindung zum Kontrollkanal und
 sendet PASV)
2. s:21   -> c:4000 (Server lauscht an neuem Port 9000, teilt diesen dem
 Client in seiner PASV-Antwort mit)
3. c:4001 -> s:9000 (Client öffnet Datenkanal zu neuem Port)
4. s:9000 -> c:4001 (z.B. Datentransfer)

Dass ein zwischen c und s agierender simpler Paketfilter keine Chance
hat, hier sinnvoll selektiv Verbindungen zu erlauben, ist
offensichtlich.

'Stateful' Firewalls (wie z.B. iptables) können nun dieses Manko
beheben, indem sie die auf dem Kontrollkanal (21) ausgetauschten
FTP-Kommandos untersuchen und abhängig von der auf das PASV erfolgenden
Serverantwort (die ja die neue Portnummer enthält) temporär und gezielt
Löcher öffnen und diese nach beendeter TCP-Verbindung wieder schließen.
(Bei iptables macht dies das Modul conntrack_ftp.)

Wird nun mit FTP-TLS Ende-zu-Ende-Verschlüsselung verwendet, kann die
Firewall nicht mitlesen, welche Ports vorübergehend zu öffnen sind.
Folglich degradiert FTP over TLS zustandsbasierte Firewalls wie iptables
zu einfachen Paketfiltern, welche zudem für funktionierendes FTP große
Löcher in ihrer Konfiguration reißen müssen.

Auch Application Layer Gateways, deren Einsatz bei FTP notwendiger ist
als bei den meisten anderen Protokollen, werden durch die
Verschlüsselung effektiv an ihrer Arbeit gehindert. Die einzige Lösung
(neben eines Protokollredisigns) wäre, einen ent- und verschlüsselnden
Proxy zu verwenden, was aber aus Sicht des Nutzers zu Recht einem
Man-in-the-Middle-Angriff gleichkommt.

Die Details dazu sind sehr gut in den RFCs 959, 1579 und 2228 sowie vor
allem in
<http://www.ietf.org/internet-drafts/draft-fordh-ftp-ssl-firewall-04.txt>
beschrieben.

Wie man es auch dreht und wendet: Aus Sicherheitssicht ist FTP 'broken
by design', und selbst lobenswerte Ansätze wie das Einschieben von
SSL/TLS auf der Sitzungsschicht können daran nichts ändern. Daher kam
meine Empfehlung, FTP stets nur für anonymen Datentransfer einzusetzen.

[ssh]
> chroot-Patch == Selberbauen des sshd == zu viel Arbeit.

?
Sollte eigentlich in ein paar Minuten erledigt sein, der Patch ist AFAIK
sogar im contrib/-Verzeichnis mit drin. Gut, wenn wie im Sommer 2002
jeden Tag ein neues ssh-Advisory eintrudelt, ist es langsamer als das
Einspielen fertiger Pakete .-)

> Spezielle Loginshells - ne Moeglichkeit wenn ich sehe das ftp/tls
> wirklich ein Scheunentor ist.

Zusammenfassen würde ich entweder das oder SSL/TLS-gesichertes WebDAV
empfehlen.

Gruß und gutes Gelingen,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Die eigene Erfahrung hat den Vorteil völliger Gewißheit.
  -- Schopenhauer


pgp0.pgp
Description: PGP signature

Re: Kernel config

[Elmar W. Tischhauser]

Hallo!

On 05 Apr 2004 at 23:25 -0700, Andreas Pakulat wrote:

> On 05.Apr 2004 - 13:47:52, Elmar W. Tischhauser wrote:
> > Ansonsten ist FTP für alles außer das öffentliche Bereitstellen von
> > Daten via anonymous ftp ungeeignet. Es existieren bessere Alternativen;
> > welche für dich am besten passt, hängt davon ab, was du mit dem
> > FTP-Server genau erreichen willst.

[Debian-Server, Windows-Clients]
> Sprich die Leute am anderen Ende ziehen sich meine Bilder und hin und
> wieder legen die mir Murphy's Laws oder so auf den FTP (oder auch
> wichtigeres).

Vorschläge: HTTPS mit Clientzertifikaten, WebDAV over SSL, sftp/scp,
rsync over ssh.

> proftpd mit gnutls geht muesste ich nur nochmals mit den Clients
> testen.  

Solang das (wie ich herauszuhören meine) nur das interne Netz betrifft,
wäre FTP over SSL schon eher noch eine Möglichkeit, weil da sämtliche
Probleme mit dem Firewalling wegfallen dürften, es sei denn, es sind
gegeneinander abgeschirmte Teilnetze des LANs im Spiel.

Wenn Clients aber doch z.B. aus dem WAN kommen dürfen, hätte ich nicht
die Nerven dazu; durch die Trennung von Daten- und Kontrollkanal ist FTP
(aus Firewallsicht) an sich schon schwierig zu handhaben, der Einsatz
von TLS macht das natürlich nicht besser.

> winscp+ssh kommt nicht in die Tuete, ich will naemlich kein $HOME
> extra dafuer anlegen und die User sollen auch keinen Zugriff auf
> meines. 

Verständlich. Es gibt allerdings sowohl einen chroot-Patch für den sshd
als auch spezielle Shells wie z.B. scponly oder rssh, welche kein
interaktives Login erlauben. Vielleicht wäre das ja was für dich.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Friends don't let friends use windows.


pgp0.pgp
Description: PGP signature

Re: Cryptoloop und 2.6er Kernel

[Elmar W. Tischhauser]

Hallo!

On 06 Apr 2004 at 10:38 +0200, Andreas Janssen wrote:

> Andreas Pakulat (<[EMAIL PROTECTED]>) wrote:
> 
> > morpheus:/home/andreas/privat>losetup -e sha-256 /dev/loop0 tmp.iso
> > Password:
> > ioctl: LOOP_SET_STATUS: Invalid argument
> 
> Das gleiche hier mit sha256 und sha512. Mit twofish, blowfish oder aes
> geht es aber. 

Was daran liegt, dass die SHA*-Algorithmen kryptografische
Einweg-Hashfunktionen sind und keine Verschlüsselungsalgorithmen.

Sprich: wenn es euch gelingt, aus dem Ergebnis von SHA-256(datei)
analytisch die Datei wiederherzustellen[1], sind euch akademische Würden
sicher und es müssen weltweit ein Haufen Kryptosysteme umgebaut werden
;-)

Gruß,
Elmar

[1] Natürlich abgesehen davon, dass es bei einer guten kryptografischen
Hashfunktion für jedes Bild unendlich viele Urbilder geben sollte...

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  There is no sadder sight than a young pessimist.


pgp0.pgp
Description: PGP signature

Re: Kernel config

[Elmar W. Tischhauser]

Hallo!

On 05 Apr 2004 at 11:52 +0200, Torsten Pfahl wrote:

> ich möchte mir einen kleinen Server unter Debian aufsetzen. Er soll 
> folgende Dienste bereitstellen: SMB, Mail, Web, FTP und eine auf 
> IPTables basierende Firewall haben. Auch möchte ich ihn als DSL-Router 
> einsetzen, sodass  mein internes Netzwerk über ihn auf das Internet 
> zugreifen kann.

Weder externe noch interne Dienste gehören auf einen Router, das würde
ich unbedingt auftrennen.

Ansonsten ist FTP für alles außer das öffentliche Bereitstellen von
Daten via anonymous ftp ungeeignet. Es existieren bessere Alternativen;
welche für dich am besten passt, hängt davon ab, was du mit dem
FTP-Server genau erreichen willst.

> Meine Frage lautet nun, was wäre eine sinnvolle Kernel config um das 
> alles zu ermöglichen? Was ist unbedingt notwendig und was kann ich 
> getrost raus schmeißen?

Der Kernel hat damit, ob ein Rechner als Mailserver oder als Workstation
eingesetzt wird, noch recht wenig zu tun, viel wichtiger ist eine
sichere Konfiguration der angebotenen Dienste. Einfach wie üblich nur
das einkompilieren, was deine Hardware und deine Dateisysteme erfordern
und natürlich an die iptables-Module denken.

Oft wird für exponierte Server die Verwendung des Grsecurity-Patches
empfohlen. Der genauso oft zu hörende Tipp, auf Modulunterstützung zu
verzichten, schafft hingegen wenig mehr als Scheinsicherheit (Stichwort
/dev/kmem).

Wenn du zusätzlich zum Unix-Rechtemodell role-based oder mandatory
access control willst, könnten rsbac oder SELinux was für dich sein.

Ansonsten ist noch das "Securing Debian Manual" (Paket harden-doc) zu
nennen, da sind viele nützliche Tipps enthalten.

Gruß und viel Erfolg,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgp0.pgp
Description: PGP signature

Re: Kann mir niemand weiterhelfen?: Fehlermeldung: KThemeStyle cache seems corrupt!

[Elmar W. Tischhauser]

Hallo!

On 05 Apr 2004 at 08:12 +0200, Andreas Sonnabend wrote:

> wenn ich über acrobatreader ausdrucken will, erscheint obige Fehlermeldung.
> Wie kann ich sie beseitigen?

Was ist im Acrobat Reader denn als Druckbefehl eingetragen? KThemeStyle
klingt nach KDE, und damit hat der ja eigentlich nichts zu tun.

Ansonsten drucke doch einfach direkt auf der Kommandozeile mit lp/lpr.
Wenn das auch nicht geht, liegt es nicht am Acrobat Reader, sondern an
einer Miskonfiguration deines Drucksystems.

> Hat die Fehlermeldung was mit den Schriften zu tun?

Wenn ein "KThemeStyle" auch die verwendeten Schriften umfasst,
möglicherweise. Vielleicht hilft es, in ~/.kde{,2,3} alles zu löschen,
was nach regenerierbaren temporären Dateien oder Caches aussieht.

Genaueres dazu sollte jemand sagen können, der KDE besser kennt als ich.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Geschehenes erkennt auch ein Tor.   -- Homer, Ilias


pgp0.pgp
Description: PGP signature

Re: Kompilieren von pcnfsd

[Elmar W. Tischhauser]

Hallo!

On 04 Apr 2004 at 21:53 +0200, Stefan Bachem wrote:

[Portierung von pcnfsd, Anpassung des BSD-Makefiles]
> /usr/bin/ld: cannot find -lrpc
> 
> Wie heisst die entsprechende Library unter Linux?

Welche Funktionen exportiert sie denn? Darüber solltest du am ehesten
ein Linux-Pendant finden können. 

Ansonsten finde ich hier sowohl in Debian 3.0 als auch in FreeBSD 4.6
nur eine librpcsvc, nicht aber eine librpc.{so,a}. Zudem scheinen die in
/usr/lib/librpcsvc.a enthaltenen Funktionen allesamt auch in der
(shared) libc implementiert zu sein, so dass ein Weglassen von '-lrpc'
allemal einen Versuch wert wäre.

> In dem Makefile taucht an einer Stelle noch
> CFLAGS = -DOSVER_BSD386
> sowie
> LINTFLAGS= -hbax
> auf.
> 
> Sind mit dem CFLAGS Eintrag probleme zu erwarten?

Damit wird zunächst nur das Präprozessorsymbol OSVER_BSD386 gesetzt.
Einfach ausprobieren, würde ich sagen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  In die Tiefe musst du steigen, 
  soll sich dir das Wesen zeigen.-- Friedrich v. Schiller


pgp0.pgp
Description: PGP signature

Zeichensätze (was: Nach PGP/MIME Umstellung ändert sich die Signatur (repost))

[Elmar W. Tischhauser]

Hallo!

On 31 Mar 2004 at 14:16 +0200, Patrick Graf wrote:

> On Wed, 31 Mar 2004, Christian Frommeyer wrote:
> 
> > Hmm, vielleicht hast Du da was übersehen. Der Thunderbird von Patrick
> > hat wunderbar ein encoding angegeben und zwar ISO-8859-1. das ist zwar
> > nicht ganz korrekt, -15 oder der entsprehende Win wäre richtiger wegen
> > der Umlaute, [...]

Lies' bitte mal 'man iso-8859-1'. ISO-8859-1 enthält sehr wohl Umlaute,
welche sich sogar in -1, -15 und Windows-1252 an der gleichen Position
im Zeichensatz befinden.

> soviel ich weiss enthält ISO-8859-1 umlaute.

Vollkommen korrekt.

> ISO-8859-15 enthält zusätzlich das euro-zeichen und doppel-s. 

Das Eszett ist durchaus in ISO-8859-1 enthalten .-)
Und auch über das Euro-Zeichen hinaus unterscheiden sich -1 und -15 an
ein paar Positionen. An welchen genau, kann man sehr einfach z.B. durch
ein diff der Manpages herausfinden.

> da ich diese nicht benötige (schweiz) brauche ich auch kein -15.  ist
> das richtig?

Grundsätzlich ja. Unpraktisch wäre es nur, ein Mischsystem aus -1 und
-15 zu fahren, was (siehe oben) bei einigen ungebräuchlicheren Zeichen
Probleme machen könnte.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Suchen wir unsere Zuflucht bei den Reihen!  -- L. Euler


pgp0.pgp
Description: PGP signature

Re: Nach PGP/MIME Umstellung ändert sich die Signatur (repost)

[Elmar W. Tischhauser]

Hallo!

On 30 Mar 2004 at 20:40 +0200, Werner Mahr wrote:

[gpg: Primäre User-ID einstellen]
> Befehl> primary 2
> Bitte genau eine User-ID auswählen.

Du musst die gewünschte ID zunächst durch ihre Nummer auswählen, d.h.:

|Befehl> 2
|Befehl> primary
|Befehl> save

> Gibts eigentlich ne Möglichkeit, die primary ID automatisch zu setzen? Je 
> nachdem mit welchem Absender ich schreibe?

Das würde keinen Sinn machen. In OpenPGP bezieht sich das `primary' auf
den gesamten Schlüssel, nicht auf die konkrete Nachrichtensignatur.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Rien n'est stupide comme vaincre; la vraie gloire est convaincre.
   -- Victor Hugo, Les Misérables


pgp0.pgp
Description: PGP signature

Re: isdn-prob mit sid

[Elmar W. Tischhauser]

Hallo!

On 29 Mar 2004 at 22:23 +0200, Frank Habermann (LordLamer) wrote:

[unstable+ISDN]
> wenn isdn bei mir beim booten gestartet wird sagt das system
> folgendes: ipppd.ippp0 kann nicht gefunden werden. ich habe es aber
> isdnconfig angelegt und konfiguriert. 
> habe auch mal die configs von woody rüberkopiert.

Letzteres ist hier eine schlechte Idee, da der start-stop-daemon seit
einiger Zeit "/" als das Arbeitsverzeichnis des aufgerufenen Programms
nimmt, wenn nichts Spezielles angegeben wurde. Das ist für den ipppd
falsch, da er als solches gerne /etc/isdn hätte.

Für diesen Fall schau' mal ins Archiv der ML (Message-ID
<[EMAIL PROTECTED]>), das hatten wir vor
einiger Zeit schon.

(Genau aus diesem Grund sollte es mich aber wundern, wenn das in den
isdnutils-Paketen nicht schon längst angepasst wäre.)

Ansonsten solltest du unbedingt mal konkrete Fehlermeldungen/Logauszüge
herzeigen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Nichts ist so praktisch wie eine gute Theorie.  -- v. Helmholtz


pgp0.pgp
Description: PGP signature

Re: Umlaute und Euro-Zeichen in X

[Elmar W. Tischhauser]

Hallo!

On 27 Mar 2004 at 09:55 +0100, David wrote:

> In XEmacs funktionieren die Umlaute. Es erscheint auch
> bei Betätigung von AltGr+E das Euro-Zeichen, wird jedoch
> nicht richtig abgespeichert. Beim Schließen (Kill-Buffer)
> und wieder öffnen einer Datei mit einem Euro-Zeichen
> erscheint etwas anderes, z.B. eine Tilde. Bug in XEmacs?

Der XEmacs aus Woody (21.4.6) kann auch in der MULE-Variante schlecht
bis gar nicht mit ISO-8859-15 umgehen, das soll in aktuellen Versionen
(insbesondere 21.5.x) wesentlich besser geworden sein. Ansonsten google
mal nach Postings in de.comm.software.gnus oder de.comp.editoren von
Frank Küster und Andre Beck, IIRC haben die es geschafft, dem
Woody-XEmacs ISO-8859-15 beizubringen.

GNU Emacs und vim haben das Problem übrigens nicht ;-)

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  What is wanted is not the will to believe, but the will to find out
  - which is the exact opposite.  -- Bertrand Russell


pgp0.pgp
Description: PGP signature

Re: 'Mal mit, 'mal ohne Listen-Footer

[Elmar W. Tischhauser]

Hallo!

On 26 Mar 2004 at 17:06 +0100, Norbert Tretkowski wrote:

> * Martin Elsässer wrote:
> > warum kommen eigentlich manche Mails mit diesem Listen-Footer hier:
> 
> Signierte Mail kommen ohne Footer.

Dachte ich bis jetzt auch, aber der ist wohl nur deshalb unsichtbar,
weil er stur ans Ende der multipart/signed-Mail angehängt und folglich
von den MUAs als MIME-Epilog gemäß RFC 2046 ignoriert wird.

Das sieht dann z.B. so aus:

| [...]
| Content-Type: multipart/signed; micalg=pgp-sha1;
| protocol="application/pgp-signature"; boundary="u3/rZRmxL6MmkK24"
| [...]
| -END PGP SIGNATURE-
| 
| --u3/rZRmxL6MmkK24--
| 
| 
| -- 
| Haeufig gestellte Fragen und Antworten (FAQ): 
| [usw...]

und ist nicht weiter schlimm, trotzdem wohl einen Wishlist-Bug gegen die
verwendete Mailinglisten-Software wert. (Korrekt wäre IMO, den
Toplevel-MIME-Typ auf multipart/mixed zu ändern, mit der unveränderten
ursprünglichen signierten Mail und dem text/plain-Footer als MIME-Parts.
Dann würde beides korrekt inline angezeigt.)

Weiß jemand auf die Schnelle, welche ML-Software von lists.d.o
eingesetzt wird? Ansonsten werde ich diesbezüglich mal beim Listmaster
anklopfen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Sicher ist, dass nichts sicher ist. Selbst das nicht. -- Ringelnatz


pgp0.pgp
Description: PGP signature

Re: xmessage / xquery? Eingabe in x-Box?

[Elmar W. Tischhauser]

Hallo!

On 26 Mar 2004 at 15:22 +0100, Rudi Effe wrote:

> Gibt es eine vergleichbare Möglichkeit, Texteingaben (auch 
> verschlüsselt) zu tätigen? Ich denke an ein Login-Fenster
> 
> Your Login
> User:  
> Pasw: 

Dem `read' der Bash kann man die Option '-s' mitgeben, um das
Tastaturecho vorübergehend auszuschalten. Und beim ncurses-basierten
`dialog' gibt es die Option '--passwordbox', vielleicht ist das was für
dich. Wenn es richtig grafisch sein soll, würde ich mal überprüfen, ob
die X11-Pendants wie z.B. xdialog auch diese Möglichkeit bieten.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Heisenberg might have been here.


pgp0.pgp
Description: PGP signature

Re: umstellung sarge-sid / systempflege

[Elmar W. Tischhauser]

Hallo!

On 25 Mar 2004 at 22:35 +0100, Tobias Krais wrote:

> > Du kannst in aptitude mit 'l' ein Limit auf '~c' machen und dann die auf
> > diese Weise eingeschränkte Paketliste durchsehen. '_' an Stelle von '-'
> > sorgt dafür, dass auch die Konfigurationsdateien entfernt werden (purge
> > statt remove).
> 
> Ich bekomme das irgendwie nicht ganz hin. Würdest du bitte eine
> Beispielkommandozeile posten? Danke im Voraus!

Gerne. Die Befehlsfolge ist nicht für die Kommandozeile, sondern zur
interaktiven Verwendung in aptitude gedacht, d.h.

- aptitude starten
- 'l' eintippen
- In die Eingabezeile ~c eingeben, bestätigen
- Eventuell alle Bäume mit '[' aufklappen
- so eingeschränkte Paketliste durchgehen und wo gewünscht mit '_' auf
  `purge' setzen

Wenn das Ganze nichtinteraktiv, also an der Kommandozeile laufen soll,
würde ich eher ein

$ env COLUMNS=150 dpkg -l | grep ^rc

machen und die Ausgabe dann z.B. mit awk und xargs an dpkg --purge
verfüttern. (Eventuell an Stelle von ^rc ^.c verwenden, ich bin mir
gerade nicht sicher, ob da noch andere Statuszeichen möglich sind.)

Gruß und HTH,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  There is no sadder sight than a young pessimist.


pgp0.pgp
Description: PGP signature

Re: umstellung sarge-sid / systempflege

[Elmar W. Tischhauser]

Hallo!

On 25 Mar 2004 at 17:57 +0100, Christoph Wegscheider wrote:

> Mit apt-get --purge remove $configleichenpacket spuckt er mir nur aus das er
> das Packet nicht löschen könne da es nicht installiert ist.

Da sollte 'dpkg --purge $configleichenpaket' helfen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Suchen wir unsere Zuflucht bei den Reihen!  -- L. Euler


pgp0.pgp
Description: PGP signature

Re: umstellung sarge-sid / systempflege

[Elmar W. Tischhauser]

Hallo!

On 25 Mar 2004 at 10:38 +0100, B. Venthur wrote:

> Gibt es jetzt noch eine Möglichkeit die ollen config-Leichen von Programmen
> zu entfernen, deren Namen ich nicht mehr kenne? Oder hätte ich das jeweils
> gleich machen müssen? Ich habe bisher nur mit aptitude gearbeitet und soweit
> ich das sehe blieben da halt die configs übrig. Kann ich die nun auf einen
> Schlag vernünftig loswerden oder muss ich damit leben?

Du kannst in aptitude mit 'l' ein Limit auf '~c' machen und dann die auf
diese Weise eingeschränkte Paketliste durchsehen. '_' an Stelle von '-'
sorgt dafür, dass auch die Konfigurationsdateien entfernt werden (purge
statt remove).

Aus /usr/share/doc/aptitude/README:
| ~c
|   This will match any package which is removed but still has conffiles
|   remaining on the system.

Aptitudes README ist wirklich eine klasse Referenz und hat mir schon oft
weitergeholfen.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  What is wanted is not the will to believe, but the will to find out
  - which is the exact opposite.  -- Bertrand Russell


pgp0.pgp
Description: PGP signature

Re: Frage zu xfs (Font Server)

[Elmar W. Tischhauser]

Hallo!

On 24 Mar 2004 at 22:56 +0100, Andreas Janssen wrote:

> Außerdem hat der Font-Server den Vorteil, daß man Font-Verzeichnisse
> hinzufügen und ihn neu starten kann, während XFree weiterläuft. 

Nur schnell angemerkt: Mit 'xset fp+' bzw. 'xset fp-' kann man auch ohne
Font-Server den Schriftenpfad eines laufenden X11 anpassen, das ist also
kein Alleinstellungsmerkmal des Font-Servers.

> Ich habe bei mir kein xfs installiert (Woody mit XFree 4.1,
> Desktopsystem), und ich komme auch ohne gut zurecht. Für mich war es
> nur ein weiteres Programm, daß Resourcen gebraucht hätte, obwohl es
> auch ohne ging.

Das sehe ich genauso, für einen Einzelplatzrechner braucht man ihn
wirklich nicht. Es scheint so, dass sein Einsatz häufig lediglich durch
veraltete (ergoogelte?) Information motiviert ist.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An algorithm must be seen to be believed.-- Donald E. Knuth


pgp0.pgp
Description: PGP signature

Re: Migration von Openexchange

[Elmar W. Tischhauser]

Hallo!

On 22 Mar 2004 at 19:12 +0100, Thomas Letzner wrote:

> Ich betreibe hier einen SuSE Openexchange Server und will diesen jetzt auf
> Debian woody migrieren. Welche Conf Dateien kann ich von meinem jetzigen
> SuSE System gebrauchen und kopieren? 

Unter der Annahme, dass der SuSE-Server eine Zusammenstellung
verschiedener freier Softwarepakete ist (z.B. exim+cyrus+wasauchimmer),
solltest du herausfinden, was eben diese Bestandteile sind und auf
deinem Woody gleichfalls installieren.

Mit dem Kopieren der Konfigurationsdateien wäre ich ein bisschen
vorsichtig, da es sehr gut sein kann, dass SuSE und Debian verschiedene
Programmversionen mitbringen oder standardmäßig ein anderes Layout der
Konfigurationsdateien haben.

Ansonsten hast du als Serverbetreiber ja hoffentlich ein Protokoll
deiner Konfigurationsarbeit am SuSE-Rechner, welches du - ggf. mit etwas
Lektüre debianspezifischer Dokumentation - recht gut abspulen können
solltest. (Ich persönlich nehme für sowas immer ganz altmodisch eine
Mischung aus Papier+Bleistift und ein paar Textdateien.)

Gruß und viel Erfolg,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Heisenberg might have been here.


pgp0.pgp
Description: PGP signature

Re: kile vs. Lyx

[Elmar W. Tischhauser]

Hallo!

On 21 Mar 2004 at 18:58 +0100, Christian Schmidt wrote:

> Andreas Sonnabend, 21.03.2004 (d.m.y):
> 
> > merkwürdigerweise raten hier fast alle von der grafischen Unterstützung ab. 
> > Ist es denn so schön die ganzen Steuerbefehle auswendig zu lernen?
> 
> Gegenfrage: Ist es denn so schoen, sich bei der grafischen Software
> die Inhalte der ganzen Menues zu merken? (Nach dem Motto "was finde
> ich wo?").

Auch wenn dieses Problem bei der allergrößten Mehrheit grafischer
Frontends zu Tage tritt, würde ich LyX doch davon ausnehmen. 

Und auch wenn ich selbst beim TeXen meist gleich zum Emacs greife, muss
ich doch anerkennen, dass sich in LyX fast alles über durchdachte
Tastenkombinationen erreichen lässt, man kann sogar direkt LaTeX-Code
eintippen, der dann "in Echtzeit" in LyX' WYSIWYM-Konstrukte gewandelt
wird (z.B. wird aus \int ein Integralzeichen). Durch die Möglichkeit, an
jeder Stelle blockweise LaTeX-Code einbinden zu können, verliert man im
Vergleich zu plain-LaTeX auch wenig an Flexibilität. Hervorragend
dokumentiert ist LyX zudem auch noch.

Natürlich wird man sich mit LyX um so besser zurechtfinden, je mehr man
von LaTeX (bzw. dessen Textbearbeitungsphilosophie) verstanden hat und
je weniger man somit eigentlich auf Unterstützung durch solche
LaTeX-Frontends angewiesen wäre.

Nichtsdestotrotz ist LyX unbestreitbar viel mehr als nur eine Krücke für
den Einstieg oder für lernunwillige Dokumentations-Allergiker.

Es sollen schon ganze Diplom- oder Doktorarbeiten mit LyX geschrieben
worden sein. Der Qualität des Resultats war bestimmt kein Unterschied zu
HandgeTeXtem anzumerken, was Argumente für oder gegen den Einsatz von
LyX zur persönlichen Geschmacksfrage reduziert.

Gruß,
Elmar, den diese Diskussion daran erinnert, dass er sich schon längst
mal die Latexsuite für den vim anschauen wollte :-)

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgp0.pgp
Description: PGP signature

Re: Probleme mit Kernelkonfiguration 2.6.4.

[Elmar W. Tischhauser]

Hallo!

On 20 Mar 2004 at 14:09 +0100, Sebastian Hofmann wrote:

> Ich habe die Kernel Sourcen von Kernel.org geladen und kompiliert. Das
> Problem ist nur, dass bei booten die Meldung ‚Kernel Panic – unable to mount
> root filesystem’ kommt. 

Die beste Lösung dafür ist, die Unterstützung für Folgendes fest in den
Kernel einzubinden, d.h. nicht als Modul:

- Dateisystem der Rootpartition (z.B. ext2, jfs)
- Unterstützung für das Massenspeichersystem (EIDE oder SCSI) sowie
  entsprechende Harddisks (z.B. insbes. CONFIG_BLK_DEV_IDEDISK)
- Treiber für den spezifischen IDE-Chipsatz/SCSI-Controller

> Ich habe auch schon versucht, den Kern mit initrd zu
> kompilieren (das hatte mit dem 2.6.3. auch irgendwann mal funktioniert),

Bei eigenen Kerneln ist die initrd in der Regel überflüssig, zumal es
ohne sie nur übersichtlicher wird.

Gruß,
Elmar

PS. Das nächste Mal bitte kein multipart/alternative und keine nicht
druckbaren Zeichen im Text. Sogar Outlook soll man `anständig'
konfigurieren können.

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An apple a day makes 365 apples a year.


pgp0.pgp
Description: PGP signature

Re: routingproblem bei ISDN

[Elmar W. Tischhauser]

Hallo!

On 19 Mar 2004 at 18:05 +0100, Roland M. Kruggel wrote:

[ISDN-Einwahl verändert Routen]
> Das wiederherstellen ist nicht das Problem. In ip-up.d und ip-down.d
> läßt sich da je realisieren (oder gibts da eine elegantere Lösung)

Ist dir das nicht elegant genug? :)

> aber wo wird die Defaultroute beim starten von isdnutils gesetzt?  Die
> Parameter in /etc/isdn/ipppd.ippp0 habe ich schon alle durch. 

In /etc/isdn/device.ippp0, Abschnitt "NETWORK SETUP". Da ist auch ein
sehr ausführlicher Kommentar zum Routen-Handling drin.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
Denn wahrlich! da ist nichts Armseligeres als der Mensch
Unter allem, soviel da auf der Erde atmet und kriecht.  -- Homer, Ilias


pgp0.pgp
Description: PGP signature

Re: file und ldd ergeben verschieden Ergebnisse

[Elmar W. Tischhauser]

Hallo!

On 18 Mar 2004 at 19:30 +0100, Werner Mahr wrote:

> Werner1:/home/werner# file /usr/local/games/ut2003/System/ut2003-bin
> /usr/local/games/ut2003/System/ut2003-bin: ELF 32-bit LSB executable, Intel\ 
> 80386, version 1 (GNU/Linux), for GNU/Linux 2.0.0, dynamically linked (uses\ 
> shared libs), stripped
> Werner1:/home/werner# ldd /usr/local/games/ut2003/System/ut2003-bin
> not a dynamic executable
> Werner1:/home/werner#

> Wer von beiden lügt jetzt, und wie kann das passieren?

Generell würde ich ldd eher vertrauen als file, da Letzteres seine
Ausgabe heuristisch anhand typischer Bytemuster bestimmt.

Im konkreten Fall würde ich vorschlagen, mal 'readelf' oder 'objdump'
auf die Datei loszulassen. Eine weitere Möglichkeit wäre, während das
Programm läuft ein 'cat /proc//maps' zu machen und nach in den
Adressraum eingeblendeten Bibliotheken zu suchen.

Lässt sich mit all diesen Methoden nichts finden, dürfte file sich
schlicht irren.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  A mouse is a device used to point at the xterm you want to type in.


pgp0.pgp
Description: PGP signature

Aptitude (was: Serverumzug und Debian)

[Elmar W. Tischhauser]

Hallo!

On 16 Mar 2004 at 22:47 +0100, Ruediger Noack wrote:

> Und wo ist dann der Vorteil von aptitude gegenüber apt-get?

Aptitude merkt sich beim Installieren eines Pakets, welche weiteren
Pakete lediglich zur Abhängigkeitsauflösung mitgezogen wurden, diese
werden mit 'auto' getaggt. Entfernt man dann das Paket ebenfalls mit
aptitude, werden auch die anderen Pakete entfernt (natürlich nur, sofern
keine neue Abhängigkeit auf sie hinzugekommen ist).

In neuere APT-Versionen sollte dieses Feature aber auch integriert
werden, außerdem gibt es ja debfoster/deborphan.

Von der Möglichkeit, sich die Paketliste nach verschiedenen Kriterien
sortiert oder gefiltert anzeigen zu lassen, hat ja Andreas schon
berichtet. Vor allem Letzteres finde ich gelegentlich sehr praktisch, in
/usr/share/doc/aptitude/README, Abschnitt "SEARCHING, LIMITING, AND
EXPRESSIONS" steht mehr dazu.

> Welche Klimmzüge muss man machen, um die aptitute-Installationen zu
> protokollieren?

Aptitude loggt selbst nach /var/log/aptitude.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  An apple a day makes 365 apples a year.


pgp0.pgp
Description: PGP signature

Re: lyx mit fehlermeldung

[Elmar W. Tischhauser]

Hallo!

On 16 Mar 2004 at 22:47 +0100, Andreas Sonnabend wrote:

> Am Dienstag, 16. März 2004 22:20 schrieb Elmar W. Tischhauser:
> > On 16 Mar 2004 at 20:49 +0100, Andreas Sonnabend wrote:
>
> > > habe lyx und tetex schon mehrere ale reinstalliert. Ich bekomme immer
> > > wieder die Fehlermeldung:
> > > lyx: relocation error: lyx: undefined symbol:
> > > _ZN13AiksaurusImpl9AiksaurusC1Ev
> >
> > Was sagt 'ldd `which lyx`'?
> Es sagt:
> libflimage.so.1 => /usr/X11R6/lib/libflimage.so.1 (0x40026000)
> libjpeg.so.62 => /usr/lib/libjpeg.so.62 (0x4006f000)
> libforms.so.1 => /usr/X11R6/lib/libforms.so.1 (0x4008e000)
> libXpm.so.4 => /usr/X11R6/lib/libXpm.so.4 (0x40114000)
> libAiksaurus-1.0.so.0 => /usr/lib/libAiksaurus-1.0.so.0 (0x40123000)
> libSM.so.6 => /usr/X11R6/lib/libSM.so.6 (0x40133000)
> libICE.so.6 => /usr/X11R6/lib/libICE.so.6 (0x4013c000)
> libX11.so.6 => /usr/X11R6/lib/libX11.so.6 (0x40153000)
> libstdc++.so.5 => /usr/lib/libstdc++.so.5 (0x4021a000)
> libm.so.6 => /lib/libm.so.6 (0x402d2000)
> libc.so.6 => /lib/libc.so.6 (0x402f4000)
> libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x40426000)
> libXext.so.6 => /usr/X11R6/lib/libXext.so.6 (0x4042e000)
> libtiff.so.3 => /usr/lib/libtiff.so.3 (0x4043c000)
> libstdc++-libc6.2-2.so.3 => /usr/lib/libstdc++-libc6.2-2.so.3 
> (0x4047e000)
> libdl.so.2 => /lib/libdl.so.2 (0x404c8000)
> /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x4000)
> libz.so.1 => /usr/lib/libz.so.1 (0x404cb000)

Also können zumindest alle Bibliotheksreferenzen aufgelöst werden. Das
nicht gefundene Symbol sieht so aus, als stamme es aus der libAiksaurus
bzw. würde dort erwartet.

Ich würde mal probieren, ob du das monierte Symbol mit 'objdump -T' oder
'strings' in der libAiksaurus finden kannst, also z.B.:

objdump -T /usr/lib/libAiksaurus-1.0.so.0 | grep _ZN13AiksaurusImpl9AiksaurusC1Ev

> Es soll unter woody laufen. Die Version von lyx  weiß ich nicht, da es noch 
> nie lief.

apt-cache (show|policy) zeigt dir auch so die Versionsnummer an. Vor
allem Letzteres wäre ganz interessant, da ich die libAiksaurus irgendwie
nicht in Woody finden kann. Bist du sicher, dass du LyX aus Woody oder
ein andereres für Woody übersetztes Paket verwendest?

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  There is no sadder sight than a young pessimist.


pgp0.pgp
Description: PGP signature

Re: lyx mit fehlermeldung

[Elmar W. Tischhauser]

Hallo!

On 16 Mar 2004 at 20:49 +0100, Andreas Sonnabend wrote:

> habe lyx und tetex schon mehrere ale reinstalliert. Ich bekomme immer wieder 
> die Fehlermeldung:
> lyx: relocation error: lyx: undefined symbol: _ZN13AiksaurusImpl9AiksaurusC1Ev

Das hat weniger mit teTeX als vielmehr mit dem Runtime-Linker zu tun.
Was sagt 'ldd `which lyx`'?

Ansonsten wären ein paar mehr Infos (Debian- und LyX-Version) ganz
sinnvoll...

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Friends don't let friends use windows.


pgp0.pgp
Description: PGP signature

Re: alle Dateien/Verzeichnisse beginnend mit .* sichern?

[Elmar W. Tischhauser]

Hallo!

On 16 Mar 2004 at 18:37 +0100, Alexander Fieroch wrote:

> ich möchte in einem Skript alle meine Dateien und Verzeichnisse aus dem 
> Homeverzeichnis sichern, die mit einem "." beginnen.

.[!.]*

Hatten wir das nicht erst kürzlich?

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
···
  Geschehenes erkennt auch ein Tor.   -- Homer, Ilias


pgp0.pgp
Description: PGP signature