Schlagwort: Linux

EdgeOS, Stolperfalle

Ich hab’ im Kel­ler ja einen ER‑X, der mir außer­or­dent­lich gut gefällt (man hät­te ihm aller­dings mehr Sto­rage geben sol­len, 256 MB sind arg weni­g¹)
Auf dem ist port for­war­ding ein­ge­rich­tet für

ssh soll natür­lich von über­all funk­tio­nie­ren, Home Assi­stant aller­dings nur von einer bestimm­ten IP²
Doch egal was ich mache: Es funk­tio­niert von über­all. WTF?
Weil es außer­mensch­li­che Intel­li­genz gibt, und die in die­sem Fal­le hieß:

port-forward {
    auto-firewall enable
    hairpin-nat enable

Oder in bunt grau:

Das sieht man erst, wenn man “Show advan­ced opti­ons” ange­tickt hat 🙁
Jeden­falls: Sobald die “auto-fire­wall” akti­viert ist, kann man zwar in den Fire­wall-Regeln erlaub­te Source-Adres­sen kon­fi­gu­rie­ren, aber das wird nicht berück­sich­tigt. auto-fire­wall heißt: “source: any”.

Also habe ich den Quatsch aus­ge­schal­tet, die gewünsch­te Source-Adres­se bei den Fire­wall-Regeln ein­ge­tra­gen, und bämm!, nur noch die eine IP darf 🙂
Mer­ke: Bes­ser die con­fig lesen als der GUI ver­trau­en.


¹ eigent­lich  ist es genug, nur wird bei einem Update das alte Sys­tem behal­ten, so daß sich der ver­füg­ba­re Platz fak­tisch halbiert.Auch das reicht, solan­ge man nicht zusätz­li­che Soft­ware instal­liert hat. Ich habe zum Bei­spiel noch tcp­dump, screen und rsync nach­in­stal­liert.

² Ist ne län­ge­re Geschich­te, und die geht so: Wir haben iPho­nes. HA kann IOS push noti­fi­ca­ti­ons, das ist schon ziem­lich geil (ich nut­ze es zum Bei­spiel für den Staub­sauger). Nur braucht dann HA ein von Apple akzep­tier­tes Zer­ti­fi­kat, also kein selbst­si­gnier­tes. Da bie­tet sich mein LE-Wild­card an für *.sokoll.com — aber wie bekom­me ich das auf den Pi, auf dem HA läuft? Da es ein Wild­card ist, muß man ja zwin­gend die DNS-Chal­len­ge neh­men. Klar könn­te man wil­de Skrip­te klöp­peln — ich habe mich für eine ein­fa­che­re Vari­an­te ent­schie­den: Auf mei­nem Root-Ser­ver läuft ein Apa­che mit mod_proxy:

SSLEngine on
SSLCertificateFile /etc/dehydrated/certs/wildcard_sokoll.com/fullchain.pem
SSLCertificateKeyFile /etc/dehydrated/certs/wildcard_sokoll.com/privkey.pem
ProxyRequests off
ProxyPreserveHost On
ProxyPass /api/websocket wss://91.66.58.188/api/websocket
ProxyPassReverse /api/websocket wss://91.66.58.188/api/websocket
ProxyPass / https://91.66.58.188/
ProxyPassReverse / https://91.66.58.188/
SSLProxyEngine on
SSLProxyCheckPeerCN off
SSLProxyCheckPeerExpire off
SSLProxyCheckPeerName off

SSLProxyCheckPeerExpire off hät­te ich mir spa­ren kön­nen 🙂

~$ openssl s_client -showcerts -servername hass.sokoll.com -connect raspberrypi.local:443 < /dev/null 2>/dev/null | openssl x509 -noout -dates
notBefore=May 17 17:17:07 2019 GMT
notAfter=Apr 12 17:17:07 4757 GMT
~$

Im April des Jah­res 4757 ist viel­leicht der Raspi nicht tot, aber wahr­schein­lich ich.

Jeden­falls auf die­ses Wei­se habe ich kei­nen Streß mit Zer­ti­fi­ka­ten.

 

0

Ubuntu, qt und der ganze Rest

Die Geschich­te:
Sohn möch­te aus lmms nach Midi expor­tie­ren. In sei­ner Ver­si­on:

odroid@moritz:~$ lmms --version
LMMS 1.1.3
(Linux unknown processor, Qt 4.8.7, GCC 6.2.1 20161215)

gibt es das nicht, wohl aber in der aktu­el­len 1.2 — die es aber für sei­ne Platt­form (Ubun­tu 18.04 aarch64) nicht fer­tig gibt. Selbst ist also der Mann, wir fol­gen den Anwei­sun­gen und bau­en selbst.
Und es fällt ein funk­tio­nie­ren­des Bina­ry raus, hur­ra!
Aller­dings gibts nun kein muses­core mehr, und es läßt sich auch erst­mal nicht instal­lie­ren:

root@moritz:~# apt install musescore
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Einige Pakete konnten nicht installiert werden. Das kann bedeuten, dass
Sie eine unmögliche Situation angefordert haben oder, wenn Sie die
Unstable-Distribution verwenden, dass einige erforderliche Pakete noch
nicht erstellt wurden oder Incoming noch nicht verlassen haben.
Die folgenden Informationen helfen Ihnen vielleicht, die Situation zu lösen:

Die folgenden Pakete haben unerfüllte Abhängigkeiten:
musescore : Hängt ab von: libqt5core5a (< 5.10) aber 2:5.9.5+dfsg-2ubuntu2.2 soll installiert werden
E: Probleme können nicht korrigiert werden, Sie haben zurückgehaltene defekte Pakete.
root@moritz:~#

Es hat was mit qt zu tun.
Wie mache ich wei­ter?

0

Ubuntu, docker

Habe gera­de neben­bei mit­be­kom­men, daß das mit Ubun­tu (in mei­nem Fal­le 18.04 LTS) mit­ge­lie­fer­te docker stein­alt ist,

deb [arch=amd64] https://download.docker.com/linux/ubuntu bionic stable

regelt das:

root@big:~# docker --version
Docker version 19.03.0, build aeac949
root@big:~#

Eine Stun­de alt 🙂

Was mich kir­re macht: Ich habe kein Pro­blem damit, daß Cano­ni­cal nicht jede vola­ti­le Soft­ware mit­lie­fert. Aber dann sol­len sie es bit­te ganz blei­ben las­sen und nicht schimm­li­ges Zeug per default aus­lie­fern!

0

Rasbpian auf Buster angehoben

Ab ers­ten August wer­den neue­re Ver­sio­nen von Home Assi­stant Python 3.5 und damit Raspbi­an Stretch nicht mehr unter­stüt­zen:

Also muß ein Bus­ter her, aller­dings läuft dann Zab­bix nicht mehr, jeden­falls galt das bis vor kur­zem, aber nun nicht mehr 🙂

Das Update ging halb­wegs schmerz­los. Ein­mal brach der Upgrade­pro­zeß ab, ließ sich aber wie­der auf­neh­men. Home Assi­stant ging nicht mehr (neue­re Python-Ver­si­on natür­lich). Neu instal­liert via pip3, alles fein. Zab­bix läuft auch in der aktu­el­len Ver­si­on. Nur Kodi (noch) nicht https://www.raspberrypi.org/forums/viewtopic.php?t=245433

Dann geht Kodi eben erst­mal nicht. Sie wer­den es schon hin­be­kom­men.

0

Raspi macht Sachen

Heu­te früh um 4:30 Uhr klin­gel­te wie üblich der Wecker der Gat­tin, und wie unüb­lich ging ihre Nacht­tisch­lam­pe nicht an.
Komisch.
Zabb­bix hat kei­ne Daten zu die­sem Zeit­punkt, eigent­lich die gan­ze Nacht nicht. Jeden­falls fast kei­ne Daten, ein paar sind doch da und zei­gen einen Load von maxi­mal 74 gegen 23 Uhr:
Der Fern­se­her war heu­te früh ein­ge­schal­tet, was nur pas­siert, wenn ent­we­der jemand ver­ges­sen hat ihn aus­zu­schal­ten, oder, viel wahr­schein­li­cher in die­sem Fal­le, Kodi ihn ein­ge­schal­tet hat.
Paßt aber schein­bar nicht:

pi@raspberrypi:~ $ systemctl status kodi
● kodi.service - Kodi Media Center
   Loaded: loaded (/etc/systemd/system/kodi.service; enabled; vendor preset: enabled)
   Active: active (running) since Sat 2019-02-16 18:55:35 CET; 2 weeks 3 days ago
 Main PID: 26354 (kodi)
   CGroup: /system.slice/kodi.service
           ├─26354 /bin/sh /usr/bin/kodi
           └─26390 /usr/lib/arm-linux-gnueabihf/kodi/kodi-rbpi_v7 --lircdev /var/run/lirc/lircd

Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
pi@raspberrypi:~ $

(mehr …)

0

ZFS-on-Linux scheint gesichert zu sein

Hei­se schreibt:

ZOL kann die neu­en Funk­tio­nen daher nicht nut­zen, weil es einer Lizenz unter­liegt, die gemein­hin als in inkom­pa­ti­bel zur vom Linux-Ker­nel ver­wen­de­ten GPL gilt. Die ZOL-Ent­wick­ler haben das Pro­blem in ihrem Haupt­ent­wick­lungs­zweig mitt­ler­wei­le umschifft. Laut den Ent­wick­lern steigt die CPU-Last dadurch ein wenig; sie erwar­ten aber kei­nen son­der­li­chen Ein­fluss auf die Geschwin­dig­keit, solan­ge die CPU nicht beson­ders schwach ist oder bereits am Anschlag läuft.

Natür­lich wäre es schö­ner gewe­sen, Ora­cle hät­te ZFS unter GPL gestellt. So bleibt ein fader Bei­geschmack — aber wenns funk­tio­niert, ist es gut™. Etwa so:

rainer@big:~$ zpool list
NAME    SIZE  ALLOC   FREE  EXPANDSZ   FRAG    CAP  DEDUP  HEALTH  ALTROOT
zroot  1.12T   962G   182G         -    80%    84%  1.77x  ONLINE  -
rainer@big:~$
0

Time machine: Backup device repariert

Time machi­ne, so kom­for­ta­bel es auch ist, hat seit Ewig­kei­ten oder schon immer einen üblen Bug: Nach end­li­cher Zeit (bei mir: ca. 3 Mona­te) ist es der Mei­nung, daß das Back­up neu erstellt wer­den müs­se. Das bedeu­tet natür­lich, daß man alle alten Back­ups weg­wer­fen soll — äußerst frus­trie­rend. Irgend­wann fand ich mal eine Anlei­tung, wie man das umge­hen kann. Hat bis­lang immer gut funk­tio­niert
Vor ein paar Tagen nun war es wie­der soweit — und die Anlei­tung funk­tio­nier­te erst­mal nicht. Der Schritt fsck_hfs -drfy -c 750M /dev/diskxs2 ging zwar schnell (12 Minu­ten), war aber auch nach mehr­ma­li­gem Auf­ruf nicht erfolg­reich.
Also habe ich noch­mal von vor­ne gestar­tet (Retry, Reboot, Reinstall) mit chflags -R nouchg /Volumes/{name of your network share}/{name of}.sparsebundle — und war­ten, war­ten, war­ten. Es gibt kei­ner­lei Fort­schritts­an­zei­ge, nur tcp­dump bestä­tig­te, daß da eine Men­ge Daten übers Netz wan­dern.
Aber heu­te früh war er fer­tig:

1979 Minu­ten, das sind 33 Stun­den!
Aber egal, es back­upt wie­der, und die alten Back­ups sind auch noch da 🙂

0