Kategorie: IT

Wir schießen uns in die Füße, erneut

Das Schö­ne an Linux ist ja, daß man als root über sämt­li­che Waf­fen vefügt, um sich gepflegt in die Füße zu schie­ßen, und nut­zer­freund­lich wie Linux nun mal ist, sind die­se Waf­fen auch schon gela­den, aus­ge­rich­tet und ent­si­chert — man muß nur noch abdrücken.

Vor ein paar Wochen: Ich woll­te ein Video mit nach AV1/Opus umco­die­ren und hat­te irgend­wie nicht begrif­fen, daß die Enco­der bei Debi­an im ganz nor­ma­len Repo­si­to­ry lie­gen und war also der Mei­nung, ich müs­se das selbst über­set­zen. Das ist ein ziem­lich dickes Brett, was man da boh­ren muß, zum Bei­spiel sind man­che Biblio­the­ken in golang geschrie­ben, so daß man noch ein go nach­in­stal­lie­ren muß. Ich fing also an, und natür­lich wur­den erst­mal ton­nen­wei­se Abhän­gig­kei­ten nach­in­stal­liert, bevor es über­haupt ans Bau­en ging. Am Ende hat­te es funk­tio­niert — und ich stell­te fest, daß das völ­lig umsonst war: Debi­ans ffmpeg lie­fert alles mit, was ich brau­che. Lehrgeld.

Der Rech­ner hat eine rela­tiv klei­ne Root-Par­ti­ti­on, und der gro­ße Rest wird für ZFS ver­wen­det. Alle Diens­te, die ins Inter­net expo­niert sind, lau­fen dort. Also jeden­falls / war arg voll, aber ich wuß­te nicht mehr, was ich alles sinn­lo­ser­wei­se nach­in­stal­liert hat­te. Da kam mir eine Idee: Ein­fach alle dev-Pake­te löschen und hin­ter­her noch ein autore­mo­ve, damit auch die Abhän­gig­kei­ten gelöscht wer­den. Hat gut funk­tio­niert, danach war wie­der eini­ger Platz frei. Das war vor ein paar Tagen.
Heu­te sehe ich mal wie­der ins Zab­bix. Da steht auf ein­mal, daß zfs-zed.service nicht lau­fen wür­de. Also ver­su­che ich ihn zu star­ten, doch systemctl meint, es gäbe ihn nicht, und in der Tat: es gibt ihn nicht. Ich ahne etwas:

Start-Date: 2024-05-05 20:58:18
Commandline: apt -y purge dpkg-dev
Purge: build-essential:amd64 (12.9), zfs-zed:amd64 (2.2.3-1~bpo12+1), zfs-dkms:amd64 (2.2.3-1~bpo12+1), dpkg-dev:amd64 (1.21.22), xtables-addons-dkms:amd64 (3.23-1), dkms:amd64 (3.0.10-8+deb12u1)
End-Date: 2024-05-05 20:58:53

ZFS-on-Linux ist aus Lizenz­grün­den als dyna­mi­sches Ker­nel­mo­dul rea­li­siert. Und muß mit dkms(8) gebaut wer­den, was diver­se Hea­der erwar­tet, die eben in dev-Pake­ten lie­gen. Die hat­te ich aber gelöscht, und mein tap­fe­res autore­mo­ve hat­te dann das kom­plet­te ZFS weg­ra­siert (aber nicht die Daten). Und solan­ge die Büch­se läuft, macht das auch nichts.
Heu­te dach­te ich dann, ich soll­te nicht län­ger war­ten mit einem Reboot. Code, der nur noch im RAM liegt, nee, muß nicht sein. Also reboot und tja, kein ZFS, kei­ne Dienste.

Die Lösung: Nach­se­hen, ob der Pool noch da ist (zpool import) und dann impor­tie­ren (zpool import <poolname>) Reboot, alles wie­der schön.

Und die Flin­ten nach­la­den nicht ver­ges­sen fürs nächs­te mal!

 

Firefox kann, Firefox kann nicht

Der Sohn möch­te einen Film sehen von unse­rem Jel­ly­fin-Ser­ver. Der läuft auf einenm Raspi und ist mit Trans­co­die­ren natür­lich völ­lig über­for­dert. Der Cli­ent ist ein aktu­el­ler Firefox/Linux.
Die Stream-Infor­ma­ti­on sieht so aus:

Bei mir mit Firefox/MacOS gibt es kei­ne Probleme:

Wir ver­ste­hen das nicht. Kann FF/Linux etwa kein VP9 mit meh­re­ren Tonspuren?

Passkeys, viele Anbieter machen es falsch

Nach und nach, seit­dem Bit­war­den Pass­keys kann¹, spen­die­re ich mei­nen Accounts Pass­keys. Zwar füh­le ich mich recht sicher, jeder Account hat ein ande­res zufäl­li­ges Paß­wort und wo es geht, also fak­tisch über­all, habe ich 2FA via TOTP.
Aber Pass­keys sind wirk­lich char­mant und bequem.
Nur: Um wirk­lich sicher zu sein, muß natür­lich der Pass­key das Paß­wort erset­zen, sprich, eine Anmel­dung via Paß­wort muß unmög­lich sein. Denn wenn das geklau­te Paß­wort ver­wen­det wer­den kann, sind Pass­keys witz­los. Als wäre die Voder­tür best­mög­lich ver­ram­melt, die Hin­ter­tür aber aus Pappe.
Bei mir kann es nur WordPress:


Bei allen ande­ren Diens­ten funk­tio­niert die Anmal­dung mit Paß­wort wei­ter­hin und kann auch nicht deak­ti­viert wer­den. Das ent­wer­tet die Pass­keys, die sind dann prak­tisch nutzlos.

Hof­fent­lich ändert sich das noch.


¹ Bitwarden für IOS leider (noch) nicht.

DNS-Schmerzen

Wer kennt es nicht:

Ich habe die Domain example.com.
Mar­ke­ting will die Domain fancy.example.com bei einer Agen­tur hos­ten, weil Mar­ke­ting das eben kann.
Die Agen­tur ist natür­lich auch nur Kun­de bei einem der gro­ßen Cloud-Anbie­ter, und der möch­te für fixe IP-Adres­sen mehr Geld als für nicht-fixe haben. Die Agen­tur umgeht das, indem sie uns bit­tet, fancy.example.com mit einem CNAME auf irgend­was beim Cloud-Anbie­ter zu ver­se­hen. Ist halt billiger.
Für example.com habe ich einen CAA-Record im DNS, in dem die CA, die die Agen­tur ver­wen­det, nicht ent­hal­ten ist. Jetzt könn­te ich natür­lich die­se CA in mei­nen CAA auf­neh­men, aber dann hät­te die­se CA das Recht, für alles in example.com Zer­ti­fi­ka­te aus­zu­stel­len. Nein, das will ich nicht.
Also soll die Agen­tur-CA nicht an example.com geta­ckert wer­den, son­dern an fancy.example.com. In bind etwa so:

fancy.example.com. CNAME host.bei.cloud-anbieter.
                   CAA 0 issue "pki.goog"

Das geht aber nicht, bind beschwert sich: “CNAME and other data”. Zu Recht, der RfC ver­bie­tet das: Wenn CNAME, dann kein CAA. Nun ist guter Rat teuer.
Doch dafür gibt es seit Novem­ber 2023 einen RfC, der den HTTPS-Record ein­führt. Im bind steht dann:

fancy.example.com. HTTPS   0       host.bei.cloud-anbieter.
                   CAA 0 issue "pki.goog"

Das funk­tio­niert dann, lei­der schein­bar nur in der Apple-Welt. Safa­ri hat kei­ne Pro­ble­me, Chro­me und Mac fin­den fancy.example.com genau­so­we­nig wie curl.

Scha­de!

Prozesse/Threads unter Linux, top

Fra­ge:

Ich habe ein ffmpeg ange­wor­fen, da ich 10 CPUs habe, mit der Opti­on --threads 10. Wenn ich mir in top mei­ne Pro­zes­se anse­he, sieht das erst­mal so aus:

Die Maschi­ne ist gut aus­ge­las­tet, so soll es sein.
Sehe ich mir die ein­zel­nen CPUs an, so schei­nen die zu ideln:

Las­se ich mir aber die Threads anzei­gen, so ändert sich das Bild:

Wäh­rend im obe­ren Teil bei den CPUs die­se sich immer­noch zu lang­wei­len schei­nen, ist unten in der Thread-Ansicht mehr los: Jeder Thread nimmt fast 100%, was erwar­tet wird.
Fragen:

  • War­um unter­schei­den sich die CPU-Wer­te oben und unten?
  • Was machen all die ffmpeg-Threads, die nichts machen?

Der Trockner will nicht

Die Gat­tin will trock­nen, die App ver­bin­det sich aber nicht mit dem Trock­ner (ja, man könn­te das Gerät auch mit der Hand bedie­nen, aber wir alten Leut­chen sind schließ­lich modern!)
Reboot tut immer gut.
Aber nicht in die­sem Falle.
Ping auf trockner.sokoll (selbst­ver­ständ­lich habe ich eine eige­ne TLD) funk­tio­niert, Netz ist also da. Strom gezo­gen und drau­ßen gelas­sen. Ping funk­tio­niert immmer noch. Hä???
Dann muß es ja wohl ein ande­res Gerät sein, aber welches?

Die /etc/dhcp/dhcpd.conf:

[…]
    host trockner {
      option host-name "trockner";
      hardware ethernet 34:86:5d:a0:71:84;
      fixed-address 192.168.1.57;
    }
[…]
    host sophia-tp {
      option host-name "sophia-tp";
      hardware ethernet 4:ea:56:78:ac:b2;
      fixed-address 192.168.1.57;
    }
[…]

Bamm! Die 192.168.1.57 ist dop­pelt ver­ge­ben, und da die Toch­ter ihren Lap­top auf­ge­klappt hat­te nach der Schu­le, die Gat­tin den Trock­ner aber erst danach ein­ge­schal­tet hat, stand der Trock­ner ver­zwei­felt ohne IP da. Und ohne IP nimmt er kei­ne Befeh­le ent­ge­gen, weder von uns noch vom Chinamann.

Ich muß bei Gele­gen­heit mal mit dem Admin reden.

Suche im Browser, Javascript

In mei­nem Vault­wa­ren habe ich eine Notiz (borg­back­up pass­phra­ses), und ich weiß, daß die­se Notiz Anhän­ge hat.

Die Suche im Brow­ser fin­det auch den String “anhäng” — zeigt aber 0/1 Tref­fer an:

Also irgend­wo ist der String, aber wo?
Hier:

War­um es jetzt 2 Tref­fer gibt, weiß ich auch nicht.
Das ist doch Mist. Wenn ich suche und es Ergeb­nis­se gibt, die­se aber nicht ange­zeigt wer­den, dann ist das Mist.

Hät­te ich einen Tre­cker, wür­de ich viel­leicht demonstrieren 😉

 

 

Securitytheater

Bei IPv6 mit pri­va­cy exten­si­ons geht es rich­tig los 🙂
Natür­lich kommt jedes Log­in von einer neu­en Adres­se, das ist ja der Sinn der pri­va­cy extensions.


Wer weiß, wie man das bei Vault­war­den abstel­len kann, schreibt es bit­te unten👇 in die Kommentare 😉

Ich protestiere!

Eine Next­cloud-Instal­la­ti­on möch­te upge­da­ted wer­den, es geht in die Hose beim Sche­ma-Upgrade des mys­ql. Das ist auch des­we­gen ärger­lich, weil ich nicht der mys­ql-Admin bin, das ist ein Kollege.
Jeden­falls muß ein Back­up zurück­ge­spielt wer­den, alles kein Beinbruch.
Es funk­tio­niert auch, aller­dings beschwert sich Next­cloud, daß der letz­te Cron­job, der eigent­lich alle 5 Minu­ten lau­fen soll­te, zuletzt vor Stun­den gelau­fen ist.

Und da wirds unan­ge­nehm: crontab -l lis­tet kei­nen ent­spre­chen­den Job. Ach ja, Poet­te­ring gave systemd-timer to you… Und da fin­det sich dann auch der gesuch­te Job.

War­um zum Gei­er hat man nun zwei unab­hän­gi­ge Sche­du­ler? Ich will einen ein­zi­gen haben, meh­re­re sind doch Murks! Oder mei­net­we­gen einen Kom­pa­ti­bi­li­täts­lay­er, mit /etc/init.d/ hat mans ja auch geschafft.

So, ich suche mir jetzt einen Tre­cker und protestiere!

Die Sittenpolizisten bei Arte

brau­chen eine Weiterbildung:
Ich möch­te mir einen Film anse­hen, die­sen: https://www.arte.tv/de/videos/048182–000‑A/der-diskrete-charme-der-bourgeoisie/
Aber nicht vor 22 Uhr, wenn die Jugend, die ansons­ten tags­über auf Arte nach bösen Buñuel-Fil­men sucht, noch nicht schläft — das darf nicht sein:

Nun ja, grei­fen wir in die böse-Opas-haben-Hackertools-Kiste:

❯ yt-dlp https://www.arte.tv/de/videos/048182-000-A/der-diskrete-charme-der-bourgeoisie/
[ArteTV] Extracting URL: https://www.arte.tv/de/videos/048182-000-A/der-diskrete-charme-der-bourgeoisie/
[ArteTV] 048182-000-A: Downloading JSON metadata
[ArteTV] 048182-000-A: Downloading m3u8 information
[info] 048182-000-A: Downloading 1 format(s): VA-STA-2169+VA-STA-audio_0-Französisch
[hlsnative] Downloading m3u8 manifest
[hlsnative] Total fragments: 978
[download] Destination: Der diskrete Charme der Bourgeoisie [048182-000-A].fVA-STA-2169.mp4
[download] 100% of 1.39GiB in 00:02:16 at 10.48MiB/s
[hlsnative] Downloading m3u8 manifest
[hlsnative] Total fragments: 979
[download] Destination: Der diskrete Charme der Bourgeoisie [048182-000-A].fVA-STA-audio_0-Französisch.mp4
[download] 100% of 90.15MiB in 00:00:54 at 1.65MiB/s
[Merger] Merging formats into "Der diskrete Charme der Bourgeoisie [048182-000-A].mp4"
Deleting original file Der diskrete Charme der Bourgeoisie [048182-000-A].fVA-STA-audio_0-Französisch.mp4 (pass -k to keep)
Deleting original file Der diskrete Charme der Bourgeoisie [048182-000-A].fVA-STA-2169.mp4 (pass -k to keep)

Dem auf­merk­sa­men Leser wird auf­fal­len, daß die fran­zö­si­sche Ton­spur genom­men wird, wer die deut­sche haben will:

yt-dlp -f VA-STA-2169+VA-STA-audio_0-Deutsch https://www.arte.tv/de/videos/048182-000-A/der-diskrete-charme-der-bourgeoisie/

Aber das habt ihr nicht gele­sen, nicht daß die Jugend noch zum Kon­sum sub­ver­si­ver Kunst ange­regt wird!