Um Dateien an Geschäftspartner zu übertragen wird heute gerne der E-Maildienst verwendet. Es ist ja so einfach Bilder, PDFs, Texte etc. an eine Mail anzuhängen und zu versenden.
Doch diese „einfache“ Lösung bringt Nachteile mit sich:

1. Alle Anhänge müssen zuerst in ein 7Bit-Datenformat umgewandelt werden, was die Daten deutlich größer macht, als auf dem eigenen Computer.
2. Man weiß nie, ob die Datei nicht vielleicht doch zu groß zum Versenden ist, da sowohl die Dateigröße als auch die Postfachgröße von Absender und Empfänger limitiert sind.
3. Geschwindigkeit: Der E-Mail-Dienst ist nicht auf effektive Übertragung größerer Datenmengen optimiert.
4. Im geschäftlichen Umfeld müssen sowohl Empfänger als auch Versender ihre gesamte Korrespondenz — also auch ihre E-Mails — langfristig archivieren. Es muss also jede E-Mail 10 Jahre lang zugriffsbereit gehalten werden — und bindet so langfristig organisatorische und technische Ressourcen bei Absender und Empfänger.

Die bessere Alternative: Datenversand-Webseite

Eine bessere Lösung hat die Agentur Lindner jetzt installiert. Auf dem Intranetserver der sich nicht im Rechenzentrum, sondern direkt im Büro der Agentur befindet, wurde in einem öffentlichen Extranet eine spezielle Kundenwebseite eingerichtet, über die bequem Dateien an die Agentur übertragen werden können: Ganz ohne Registrierung, ohne Anmeldung, ohne ftp-Programm, fast ohne Größenbeschränkung (900 MB) und einfach per Mausklick mit allen aktuellen Browsern. Im gewohnten Dateiauswahlfenster können auch mehrere Dateien zum Versand ausgewählt werden (Strg-Taste beim Anklicken der Dateinamen gedrückt halten). Während der Übertragung informiert ein dynamischer Statusbalken über die verstrichene und die Restzeit.
Nach erfolgter Übertragung werde ich sofort per E-Mail über den Eingang neuer Dateien informiert und kann direkt im lokalen Netz zugreifen — ohne die Daten erneut über das Internet herunterladen zu müssen.
Gerne teile ich Ihnen die Internetadressse zu meinem Extranet mit Dateiübertragungsdienst mit. Testen Sie den neuen Dienst und schicken Sie mir doch mal was Schönes!

Technische Realisation

Zum Einsatz kam die Software uploadify, die auf jquery, swfobject und php basiert und viele Möglichkeiten der individuellen Anpassung bietet. Der per DSL angebundene Linux-Server nutzt ddclient und Nameserver von Zoneedit und DynDNS zur Auflösung fester Webadressen an seine temporäre IP-Adresse.

Eine übersichtliche Anleitung hat schon der Blogger David Greissler in seinem Antusblog geschrieben. Mehr gibt es dazu eigentlich nicht zu  sagen, außer vielleicht, dass in meinem Fall wohl in Samba 2 der iso-8859–15-Zeichensatz eingestellt war, weshalb die Lösung im Aufruf von

convmv -f iso-8859-15 -t utf-8 -r .

bestand.

Wie man einen Webserver (z.b. Apache oder Microsoft IIS oder aber auch HFS einrichtet und Webseiten einpflegt ist NICHT Gegenstand dieses Artikels. Im Folgenden geht es darum, wie man erreicht, dass der Dienst auch dann permanent aus dem Internet erreichbar ist, wenn man keine statische sondern nur eine dynamische IP hat, (z.B. als DSL-Privatkunde von Arcor oder T-Online).

Bei jeder „Einwahl“ in das Internet erhält man vom Internetprovider eine eindeutige IP. Diese wird vom Provider meist dynamisch vergeben, d.h. aus einem IP-Pool erhält man nicht immer die gleiche IP, sondern mit jeder Einwahl eine (meist) andere. Da viele Provider (z.B. Arcor) einmal innerhalb 24h eine Zwangstrennung vornehmen ist es erst mal nicht möglich einen Dienst zu betreiben (z.B. einen Webserver) der andauernd unter der gleichen IP-Adresse erreichbar bleibt.

Für die Umsetzung eines Domainnames auf die IP-Adresse ist immer ein Nameserver verantwortlich. Für jede erreichbare Domain  ist also in einem Nameserver eine IP eingetragen. Was aber, wenn man keine statische — sich nicht ändernde IP hat? Wie kann man mit trotz dynamischer IP dennoch immer unter der gleichen Adresse (Domainnamen) erreichbar sein?

Genau hierfür gibt es dynamische Nameserverdienste wie zoneedit.com oder dyndns.org.
Bei diesen Diensten handelt es sich um Nameserver, die sich aus der ferne aktualisieren lassen — denen man also aus der Ferne die gerade aktuelle IP-Adresse der Domain mitteilt. Dies ist natürlich vollautomatisch möglich, ich habe dafür das Programm ddclient verwendet. Das Paket habe ich unter Ubuntu direkt per apt-get installiert und anschließend über die /etc/ddclient.conf konfiguriert. Hilfreich während der Testphase war der Aufruf mittels

ddclient -daemon=0 -verbose

um eine umfangreiche Ausgabe auf dem Bildschirm zu erhalten.

Verschiedene Dynamische Nameserverdienste stehen kostenfrei zur Verfügung. Wobei jeder Anbieter auch seine kommerziellen Dienste vermarkten muss und deshalb nicht alles kostenfrei bietet. Bei DynDNS beispielsweise ist es derzeit nicht kostenlos möglich eigene Subdomains einzurichten. DynDNS bietet kostenlos eine Auswahl an Domainnamen z.B. WASAUCHIMMER.ath.cx. Es ist bei DynDNS nicht (kostenlos) möglich bereits vorhandene Domains einzurichten. Genau das aber geht bei zoneedit.com. Hat man schon eine Domain trägt man zunächst die Nameserver von zoneedit ein und kann dann die IP mittels ddclient (oder einem anderen Programm) aktualisieren.

Selbstverständlich kann man mit ddclient die IP-Adressen mehrerer Dynamischer Nameserverdienste mit jeweils mehreren dort registrierten Domains aktualisieren. Übrigens liefert die ddclient-Hilfe (Aufruf: ddclient –help) eine schöne Übersicht über die Protokolle und Konfiguration und die dazu gehörigen Dynamischen Nameserverdienste.

Wird der Zugang des PCs ins Internet über einen Router realisiert (also einen WLAN-Access Point oder einen Access-Point mit einem LAN-Anschluss), ist also der PC nicht direkt an das DSL-Modem angeschlossen, muss der Router so konfiguriert sein, dass er den Port (z.B. 80 für Webdienste) an die IP des PCs auf dem der Webserver läuft, weiter leitet. Dieser sollte hierzu innerhalb des Netzes eine statische IP zugewiesen bekommen, was entweder über einen entsprechenden Eintrag im dhcp-Server oder einen manuellen Host-Eintrag möglich ist.)

Lektüretipps:

• http://wiki.ubuntuusers.de/DynDNS-Clients
• http://sourceforge.net/apps/trac/ddclient
• Beschreibung der Konfiguration eines dynamischen IP-Clients für Windows
• DynDNS.org
• Zoneedit.com
• Zoneedit-Anleitung für Ubuntu (eng)
• www.dslwebserver.com viele Informationen zum Betrieb eines Webservers an einer DSL-Leitung

Zunächst stellte sich die Frage welchen VNC-Server ich verwenden sollte. Mit kleinen Umwegen von vino über TightVNC (machte leider Probleme beim Kopieren der Zwischenablage meines XFCE4-Desktop) und RealVNC (das ich aufgrund der Beschränktheit der freien Version verworfen habe) landete ich schließlich bei x11vnc.

Mit x11vnc kann man problemlos einen vorhandenen Desktop „übernehmen“, bzw. besser gesagt, sich aufschalten und synchron zum lokalen Desktop an beiden Stellen bedienen.

Vor der Installation sollte man ggf. vino und/oder andere VNC-Server entfernen. Die Installation von x11vnc per aptitude oder Synaptic verläuft völlig problemlos.

Nun gibt es zwei Möglichkeiten: Entweder auf dem VNC-Server-System ist bereits ein X11-Nutzer angemeldet und es läuft bereits ein X11 oder eben nicht. Wenn ja, kann man einfach x11vnc starten und anschließend vom Client aus darauf zugreifen. Wenn kein X11 läuft — sondern stattdessen ein Anmeldefenster wie gdm, kdm oder (in meinem Fall) xdm, dann kann man sich dieses ebenfalls auf den Client-Bildschirm holen, indem man den „raw display manager MIT-MAGIC-COOKIE“ holt. In meinem Fall war dies in /var/lib/xdm/authdir/authfiles/XXXXX anstelle der XXXXX natürlich den Namen der dortigen Datei. Übrigens befindet sich der Hinweis hierzu sehr deutlich auf der Ausgabe, die man nach dem Start von x11vnc auf dem Bildschirm bekommt.

Start des VNC-Servers:

x11vnc -ncache 10 -auth /var/lib/xdm/authdir/authfiles/XXXXXXX -usepw

Danach ist der Server für den VNC-Client erreichbar — falls nicht irgendwo dazwischen ein Router oder eine Firewall hängt, welche den Port 5900 blockiert.

SSH-getunnelte Verbindung

Wie kann man nun die Verbindung (Passwort und Verbindungsdaten) komplett verschlüsseln, um auch gefahrlos aus dem Internet eine Verbindung aufzubauen? Eine verständliche Anleitung fand ich beim Autor von x11vnc Karl Runge.

Das ist alles, mehr braucht man bei putty-nicht einstellen um den lokalen VNC-Client auf den Server umzuleiten.

Im Prinzip geht man so vor:
Starten einer ssh-Verbindung (unter Windows mit putty) mit einem Tunnel des lokalen Ports 5900 auf Port 5900 des VNC-Servers und anschließender Start eines VNC-Clients mit Verbindung zu localhost der dann über den getunnelten Port 5900 auf den eigentlichen VNC-Server geleitet wird.

Als Client nutze ich unter Windows die USB-Version von TightVNC. So hat man seinen VNC-Client auf dem USB-Stick immer zusammen mit putty dabei und kann von überall eine sichere Verbindung zum Desktop aufbauen.

Danach erfolgt der Start des VNC-Servers in der SSH — wie oben beschrieben.

Wie geht es weiter — was mich noch interessieren würde

Wie kann ich anstelle mich auf eine bereits laufenden X11 einzuhängen, eine neue starten?

Ich z. B. möchte sofort erfahren, wenn das Kultusministerium geänderte Schulferientermine veröffentlicht, damit ich unverzüglich die Druckvorlagen meiner Kalenderkarten anpassen kann. Die aktuellen amtlichen Termine veröffentlicht das Kultusministerium auf seiner Webseite in einer PDF-Datei.

Mit dem praktischen Dienst www.followsite.com ist es möglich Webseiten aber auch URLs von PDF-Dateien anzugeben, über deren Änderungen man informiert werden möchte. Die Benachrichtigung bei einer Änderung kann per E-Mail, RSS oder Web Slice erfolgen. Für My.Yahoo oder IGoogle-Nutzer steht sogar ein praktischer Knopf zur Verfügung, der die Followsite-Meldung automatisch in den jeweiligen Dienst integriert.

Der Dienst ist kostenlos nutzbar aber derzeit noch als „beta“ gekennzeichnet. Meine mehrmonatliche Erfahrung hat gezeigt, dass der Dienst leider nicht so zuverlässig funktioniert, dass man sich auf ihn verlassen und ihn professionell einsetzen kann. Schade! Vielleicht wird aus der Beta mal eine „richtige“ Version?

Einmalige Einrichtungsgebühr D…X-Pakete und B…Web-Pakete je 9,90 €, jeweils für P…Plus-Pakete 14,90 €. Preis-Aktion bis 28.02.2009: alle BasicWeb-Pakete nur 0,- €/Mon. jeweils für 6 Monate, D…X Basic nur 0,99 €/Mon. für 6 Monate, alle P…Plus-Pakete nur 2,99 €/Mon. jeweils für 6 Monate, danach B…Web für 0,99 €/Mon., P…Plus XL für 24,90 €/Mon. Mindestvertragslaufzeit für alle Pakete 12 Monate. Bei Software-Bestellung 6,90 € Versandkosten, Preise inkl. MwSt.

Mit anderen Worten: aus dem Schnäppchen zu 2,99 EUR/Monat wird nun folgendes:

6 x 2,99 = 17,94 EUR
6 x 24,90 = 149,40 EUR
Einrichtung 14,90 EUR

SUMME = 182,24 EUR/Jahr im ersten Jahr, danach 298,00 EUR/Jahr.

Und wo ist nun das Schnäppchen? Ich weiß ja nicht wie Sie das halten, aber ich fühle mich durch solche Anbieter verarscht. Und ich kaufe aus Prinzip nichts bei Leuten, die mich verarschen.

Die Agentur Lindner lebt von langjährigen, zufriedenen Kunden. Da ich mich nicht gerne verarschen lasse — mache ich das auch nicht mit meinen Kunden — auch nicht bei Webhostingangeboten. Bei mir kostet Leistung Geld, wenig Leistung kostet wenig und mehr Leistung mehr. Ich berate Sie gerne und verkaufe Ihnen genau das, was Sie brauchen und zwar zu fairen Preisen auf Dauer und von Anfang an. Da bin ich nicht der Einzige, das machen andere seriöse Anbieter auch. Gehen Sie zu mir oder gehen Sie zu den fairen Kollegen. Aber bitte, lassen Sie sich nicht verarschen und werden Sie nicht bei denen Kunde, die auf die Dummheit und Trägheit ihrer Kunden setzen.

Viele Onlinedienste speichern neben dem Zugangsnamen und geheimen Passwort auch die „geheime“ Antwort auf eine Frage, die der Benutzer entweder selbst formulieren kann, oder die vom System vorgegeben ist.

Ich möchte hier erläutern, warum solch ein System kein sicheres System ist und keinesfalls verwendet werden sollte.

Zu unterscheiden ist zwischen zwei Varianten:
Der vorgegebenen Frage (bzw. einer kurzen Auswahl mehrerer Fragen) und der frei zu definierenden Frage.

Die vorgegebene Frage lautet z.B. „Wie ist der Geburtsname Ihrer Mutter“ oder „Wie heißt Ihr Geburtsort“. Beides keine besonders großen Geheimnisse.
Manchmal stehen 5 Fragen zur Auswahl, manchmal ist 1 vorgegeben. Der einzige Unterschied ist, dass es 5mal so aufwändig ist die Antwort auf 5 unsichere Fragen zu recherchieren, als die Antwort auf 1 Frage. 5 x unsicher ist aber noch lange nicht sicher.

Man kann natürlich auch der zu verifizierenden Person selbst die Formulierung nicht nur der Antwort, sondern auch der Frage überlassen.
Doch auch das ist keine gute Idee, denn meist wird er keine gute Frage formulieren können oder wollen. Denn was könnte eine gute Frage sein? Eigentlich nur etwas so privates und intimes, dass man es NIE einem anderen Menschen mitteilen würde. Doch gerade das wird natürlich NIEMAND an so einer Stelle eingeben und ggf. würde er/sie es auch keinem Call-Center-Agent mitteilen wollen. Alle Fragen und Antworten darauf sind also per se untauglich, da man Geheimnisse eben NICHT verrät.

In jedem Fall wird eine nicht besonders geheime Information auf eine bekannte oder einfache Frage zum Kriterium über den Identitätsnachweis einer Person.
Die richtige Antwort auf diese Fragen wird aber gerade als ein Kriterium für den Beweis der Identität herangezogen — wozu sollten sie sonst gut sein.
Eine grobe Gefährdung der Sicherheit persönlicher Daten!

Ein untaugliches Kriterium zum Identitätsnachweis wird aber auch dadurch nicht besser, dass es zusammen mit anderen kombiniert wird. Zumal man sich das konkrete Szenario eines Call-Center-Agents vorstellen muss, der einen genervten Anrufer an der Leitung hat, der ungeduldig ist, unfreundlich wird und sich darüber beschwert, warum das mit dem Zugang so kompliziert ist und man ihm nicht glaubt, dass er der Anrufer ist. Nicht nur Psychologen werden sich gut vorstellen können, das der geplagte Call Center Agent im Zweifel lieber dem Anrufer vertraut, als ihm nicht zu vertrauen, das Gespräch daduch in die Länge zu ziehen und den Kunden zu verärgern.

Warum aber sollte der Geburtsname der Mutter als Kriterium für Sicherheit taugen? Ich weiß es nicht, aber ich kann mir zahlreiche Möglichkeiten vorstellen, für jeden beliebigen Menschen den Geburtsnamen der Mutter zu erfahren:
Szenario 1: „Marktforschung“:
Anruf beim zu kompromittierenden selbst und Behauptung man möchte ein telefonisches Interview für Marktforrschungszwecke durchführen. Neben anderen unverfänglichen Fragen, die dem Gespräch Glaubwürdigkeit verleihen, wird die Frage nach dem Geburtsnamen der Mutter, ggf. auch nach dem Geburtsort etc. gestellt. Mit größter Wahrscheinlichkeit wird diese Information unbedenklich vom interviewten preisgegeben.

Szenario 2: „Gespräch mit dem Nachbarn„
Anruf beim Nachbarn der zu komprommittierden Person. Der Nachbar wird unter einem Vorwand in ein Gespräch verwickelt .… und wenn er die Person kennt — vielleicht sogar schon länger und auch mit der Familiensituation vertraut ist — nach den zu erschnüffelnden Informationen gefragt.

Szenario X:
Gespräche in denen die gewünschten Informationen zu erfragen sind lassen sich mit vielen anderen Menschen führen, mit Schulen, Behörden, Kollegen, Versicherungen, Vermietern, Arbeitgebern, Hobbyfreunden etc. .

Natürlich kann man auch im Internet suchen und bei Prominenten oder Menschen mit einem überdurchschnittlichen Selbstdarstellungsbedürfnis wird man auch dort Antwort auf die Fragen finden.

Also bitte: Sicherheitsverantwortliche aller Länder, beendet diesen Schwachsinn!

ACHTUNG: Dieser Artikel ist keine Anleitung zum Betrug und Missbrauch. Dieser Artikel ist eine Aufforderung an die für Datenschutz und –sicherheit Verantwortlichen solch schwachsinnigen „Sicherheitsmechanismen“ nicht mehr zu verwenden und auf geeignetere Verfahren zurückzugreifen.

Der Papierkorb ersetzt natürlich KEINE Datensicherung, ist aber hilfreich wenn versehentlich durch Benutzer Dateien oder Ordner gelöscht werden.

Wie gehts?

Grundsätzlich kann mit dem VFS-Modul recycle seit Samba 3 ein Papierkorb realisiert werden. Samba gibt jede Anfrage an das UNIX-Filesystem durch das geladene VFS-Modul weiter. Mit VFS-Modulen kann z.B. auch ein Virenscanner eingebunden werden, der die Dateien der Netzwerkfreigabe auf Viren untersucht, dies ist aber NICHT Thema dieses Beitrags.

Wie alle Samba-Konfigurationen, wird auch das VFS-Modul recycle in der /etc/samba/smb.conf konfiguriert. Man kann die Einstellung entweder innerhalb eines einzelnen Shares oder global für alle Freigaben vornehmen.

In unserem Fall wird für den Samba-Share projekte ein Papierkorb eingerichtet. Der komplette Share-Eintrag lautet:

[projekte]
comment = Projekte und Daten von Kunden, Lieferanten
path = /home/hadiag/projekte
read only = No
create mask = 0775
directory mask = 0775
vfs object = recycle
recycle:repository = .Papierkorb/%U
recycle:keeptree = yes
recycle:exclude = *.tmp *.temp *.swp *.o *.obj ~s* Backup* AUTOBACKUP*
recycle:exclude_dir = /tmp /temp /cache /.Cache /.cache
recycle:touch = yes


Damit alle Benutzer in das Verzeichnis .Papierkorb „schreiben“ also Dateien löschen können, müssen sie dort Schreib– und Ausführrechte haben.

Wer möchte, dass der Inhalt des Papierkorbs regelmäßig gelöscht wird, kann dies mit einem Cronjob erreichen, etwa:

#!/bin/sh
# Alle Dateien in den Verzeichnissen mit Namen .Papierkorb die älter sind als 14 Tage sollen gelöscht werden.
# Diese Dateien sind mit Samba-Clients gelöschte Dateien (siehe smb.conf).
find /home -type f -wholename "*/.Papierkorb/*" -ctime +14 -exec rm "{}" \;


So, nun bleiben nur noch viele, viele leere Verzeichnisse übrig. Auch die möchte man löschen. In meinem Beispiel befinden sich die .Papierkorb-Verzeichnisse alle irgendwo unterhalb von /home. Mit dem folgenden Befehl lösche ich die Verzeichnisse die dort so heißen, und leer sind:

find /home -depth -type d -empty -wholename "*/.Papierkorb/*" -exec rmdir "{}" \;

ACHTUNG mit rm sollte man nur umgehen, wenn man weiß was man tut, siehe „man rm“; Zum Test des obigen Kommandos empehle ich –exec durch –ok zu ersetzen — so muss man jedes Kommando bestätigen. Nutzung obiger Angaben wie immer ohne Gewähr.

Weitere interessante Artikel zum Thema:

• http://gertranssmb3.berlios.de/output/VFS.html

Ein etwas unübliches System, dass mir aber bisher als völlig unproblematisch erschien, von der Kleinigkeit einmal abgesehen, dass man sudo su statt su eingeben muss um sich zum Superuser zu befördern.

Doch heute begrüßte mich nach einem Systemabsturz die Konsole mit Meldungen wie:

… run fsck manually …
… give root password for maintenance or press CTRL+D to continue …

…weil eine Festplatte nicht sauber zurückgeschrieben wurde. Doch wie gibt man ein root-Passwort ein, wenn man keines hat? Natürlich gar nicht. Stattdessen erinnern wir uns an das, was wir einmal vom Bootmanager grub gelernt haben. Damit kann man auch eine shell starten.

Also erst mal mit Ctrl+D weiter und einen erneuten Systemstart initiiert.

• Bei der Anzeige des grub-Bootmanagers mit ‚e‘ in den Editiermodus wechseln.
• Zur Zeile die mit „kernel…“ beginnt wechseln. In dieser Zeile wird festgelegt, welchen Kernel grub auswählt und welche Bootparameter verwendet werden. Wir möchten hier ein zusätzliches Bootparameter eintragen um das booten einer bash zu erreichen.
• Mit ‚e‘ editieren wir die ausgewählte Zeile
• Nun zum Ende der Zeile wechseln. Dort befinden sich die Bootparameter.
• Die Bootparameter sind durch Leerzeichen getrennt und meist ein einzelnes Wort (z.B. nolapic) oder ein Ausdruck (e.g. acpi=off).
• Am Zeilenende wird nun eingegeben init=/bin/bash und mit der Returntaste bestätigt.
  Tipp für Nutzer deutscher Tastaturen, das = befindet sich auf der Taste — links neben der rechten Umschalttaste und das = befindet sich auf ´links neben der Backspacetaste.
• Danach ‚b‘ eingeben um die geänderte Kerneleinstellung zu booten.

Diese Änderung der Bootparameter ist nicht permanent und wird deshalb nach dem nächsten Booten nicht mehr gelten.

Nach der Änderung der Bootzeile neu booten: Voila — man hat eine bash-Shell.

Ketzt kann fsck manuell aufgerufen werden und die Festplatte wird vom System überprüft.

siehe auch:

• http://ubuntuforums.org/archive/index.php/t-164581.html
• http://grumpymole.blogspot.com/2007/05/ubuntu-how-to-edit-grub-boot-parameters.html
• http://wiki.ubuntuusers.de/Booten

Um obige Probleme zu vermeiden kann man auch einfach den Benutzer root — den es unter Ubuntu ja auch gibt — einfach ein passwort zuweisen:

sudo su

passwd

Will man z.B. in allen php-Dateien des Kunden webX etwas ersetzen, so kann die folgende Konstruktion hilfreich sein:
find /var/www/webX/html/ -name *.php -exec sed -i 's/SUCHEN/ERSETZEN/g;' {} \;
wobei SUCHEN und ERSETZEN jeweils für Regular Expressions stehen.

Und schon sind wir bei dem wirklich spannenden Thema RegEx. Ich habe dazu noch nicht viel zu sagen — aber viel zu lernen!

Meine Gute-Nacht-Lektüre:

Mit

crontab -e

wird die Cronjob-Datei bearbeitet. Dort trage ich ein:

* * * * * (echo -n `date`" "; ping -c 1 151.189.21.100 | grep icmp_seq) >> logdatei

Die Logdatei kann man sich dann mit cat ansehen, oder, wenn man auch die aktuellen Einträge im Blick behalten will mit

tail -f logdatei

auf einer Konsole ausgeben. Windows-Benutzer schaffen das auch, wenn sich sich vorher ein cygwin (oder gleich ein komplettes Linux) eingerichtet haben.

Das Ergebnis der Überprüfung durch die Störungshotline von ARCOR, welche man telefonisch unter der gebührenfreien Rufnummer 0800 1073010 erreicht war ein Fehler des Splitters. Der „NTsplit“ 2.0 von ARCOR scheint nach ca. 4 Jahren seinen Dienst nicht mehr zuverlässig zu verrichten. Das Problem konnte von dem freundlichen und kompetenten ARCOR-Techniker festgestellt werden und innerhalb weniger Tage erhielt ich ein Austauschgerät. Nachdem dieses angeschlossen wurde, treten die Störungen nicht mehr auf. An diese Stelle deshalb ein Lob an die ARCOR-Hotline, man muss zwar länger in der Hotline warten, aber die Hilfe war kompetent und zuverlässig! Also nicht immer nur meckern!

Mehr denn je stellt sich heute die Betriebsystemfrage. In meinem Fall ist es so, dass ich fast alles gut mit Linux erledigen kann. Mit Einschränkungen bekommt man die CAO-Faktura zum Laufen, was mir genügen würde, da für den Fall des Falles noch Windows Arbeitsplätze zur Verfügung stünden. Für alles andere taugt Linux mindestens genauso gut, wie Windows nur eben für eines nicht: Ich benötige die Adobe Creative Suite bestehend aus InDesign, Illustrator, Photoshop und Acrobat Professional. Derzeit setze ich nach wie vor die 4 Jahre alte Version CS ein.

Die „Killerapplikation“ für mich ist also die Adobe-Software, welche bedauerlicherweise nicht für Linux verfügbar ist. Der Notebook wurde mit der Home Basic-Version von Vista ausgeliefert. Zunächst war ich mehrere Stunden damit beschäftigt all den Müll und die Demoversionen zu entfernen sowie zahlreiche Vista-Updates zu installieren (diese scheinen wesentlich zahlreicher zu sein, als die für XP). Die mitgelieferte Corel Software ließ sich von meinem Lenovo leider überhaupt nicht über „Systemsteuereung — Software“ deinstallieren. Corel hat mal wieder Mist gebaut!

Bevor ich mich an die Installation der von mir benötigten Adobe Software mache, habe ich schnell noch ein aktuelles Ubuntu installiert, was völlig unproblematisch verlief. Die BootCD gebrannt, gebootet, gestartet, installiert — hierzu die Windows paritionen verkleinert und Platz geschaffen — lief alles völlig unproblematisch und zuverlässig. Nun kann ich nach dem Einschalten wählen, welches OS ich booten möchte. Die Grub-Einträge habe ich noch manuell umbenannt, da zwei VISTA-Einträge existieren, wovon der obere für die Partition mit der Lenovo-Software steht. Ubuntu fühlt sich auch recht flott an auf diesem Rechner. Die Tastatur wird gut unterstützt, Webcam geht auf Anhieb, nur für die Soundkonfiguration war noch ein Eintrag nötig.) Was die Linux-Seite angeht, läuft alles nach wenigen Stunden bestens und so wie gewünscht — inklusive der kompletten Neuinstallation des Betriebssystems.

Leider sieht es unter Vista schlechter aus. Zwar macht es wirklich Spaß Word97 auf diesem Rechner zu benutzen (aufgrund der superschnellen Ladezeit ziehe ich dies gegenüber aktuellen Monstern vor), der Installatiosversuch der Creative Suite (CS1) endet leider mit einem Scheitern! CS1 läuft nicht unter Vista. (Nachtrag: Zwischenzeitlich habe ich auf einem anderen Notebook mit Windows 7 die Adobe Creative Suite CS1 in einer virtuellen Maschine (Virtualbox) mit XP als Gast sehr zuverlässig und stabil am laufen.) Interessant, dass man im Web keine Hinweise darüber findet — Adobe scheint alle Beiträge über ältere als die aktuelle und die Vorversion in seiner Knowledgebase zu löschen — aber die technische Hotline von Adobe hat mir bestätigt: CS1 geht gar nicht unter Vista; CS2 mit Einschränkungen; Nun bemühe ich mich Lizenzbedingungen von Software zu respektieren und ggf. wichtige Software eben auch zu kaufen, das bedeutet in der Praxis: Ein Arbeitsplatz mit CS hat mich in den letzen 4 Jahren (das war die Nutzungsdauer) je Monat ca. 21 EUR gekostet (1000 EUR Updatepreis). Das empfinde ich als angemessen. Zwischenzeitlich gab es von Adobe jedoch zwei größere und kostenpflichtige Upgrades auf CS2 und auf CS3. Hätte ich alle Updates mitgemacht, dann hätte ich Kosten je Arbeitsplatz von monatlich ca. 60 EUR allein für Adobe Software. Halten die das für angemessen? In meinem Fall verdiene ich ca. jeden 2 Arbeitstag und nur ca. 2h täglich mein Geld mit der Nutzung von Adobe Software, rechne ich also die Kosten von 60 EUR monatlich auf die Nutzungsstunden um so komme ich auf ca. 3 EUR je Stunde Adobe-Softwarenutzung. Die Kosten für Updateinstallation, Schulung, Anpassung etc. mal gar nicht mitgerechnet.

Das Dumme daran: Ich kenne ganz viele Menschen, welche immer die tollste und aktuellste Software einsetzen und nie darüber klagen, dass diese zu teuer ist. Ich weiß allerdings auch, dass diese Leute NOCH weniger für Software ausgeben als ich. Und es sind nicht nur die Hinterhofklitschen und Kleinstunternehmer, welche sich Monat für Monat hunderte EUR an Softwarekosten sparen.
Damit Adobe Geld mit ehrlichen Kunden verdient, sollten sie vielleicht auch darauf achten, dass die Kostendifferenz bei ehrlichen und weniger solchen Kunden nicht zu weit auseinander geht. Denn die neueste Softwareversion haben und nutzen das kann jeder und das wird auch nicht verhindert. Dennoch dafür zu bezahlen, das verhindern unangemessen hohe Kosten.

Ich werde mit Sicherheit momentan KEINE CS3-Version kaufen, denn dann müsste ich:

• meinen Arbeitsplatzrechner durch einen neuen ersetzen
• wieder über 1000 EUR ausgeben
• hätte dann in wenigen Monaten, wenn CS4 erscheint das nächste Update vor mir
• alle bewährten Abläufe und Prozesse wieder neu einrichten.

Statt dessen werde ich mich wohl von VISTA auf meinem Lenovo verabschieden und neben Ubuntu noch ein Windows XP installieren. Dann wird es wohl auch wieder etwas flotter werden.

Ergänzung im März 2009

Da meine Hoffnung durch die Verdopplung des RAM könnte man auch mit VISTA vernünftig arbeiten leider enttäuscht wurde, habe ich mir bereits vor einigen Monaten bei ebay Windows XP Professional und eine 300 GB Festplatte für den Notebook erworben. Die Windows-XP –Installation war nicht ganz banal, da SATA-Platten von XP nicht erkannt werden und XP Treiber nicht aus dem Internet oder von einem USB-Stick, sondern nur von einem Diskettenlaufwerk laden kann.

Aber nach erfolgreicher Installation muss ich sagen:

Ein schönes Notebook, mit dem man wirklich vernünftig arbeiten kann, so lange man nicht diese Pest von Betriebssystem darauf installiert hat. Vista ist ein gutes Argument für Betriebssysteme mit einem X im Namen.

Die Profis haben sich von Microsoft eines besseren belehren lassen und sitzen nun meist an 3D animierten Vista-PCs mit der Rechenleistung von 1000 PCs von damals — nur auf der Grafikkarte.
OK, wer´s braucht. Auch ich ziehe für die meiste Zeit am Computer eine grafische Oberfläche der „Kommandozeile“ vor, aber ich bin auch begeistert von den Möglichkeiten der bash. Gerade weil ich noch den kastrierten Kommandozeileninterpreter von MSDOS kenne, weiß ich die Möglichkeiten der bash zu schätzen. Der Verein „Linux User Schwabach e.V.“ betrachtet es als (s)eine wichtige Aufgabe, Kenntnisse über das freie Betriebssystem Linux zu vermitteln und bietet ein „Guru„training an, das dem an fundierten Wissen interessierten Einsteiger dabei hilft u.a. die „bash“ kennen — und vielleicht lieben — zu lernen. Meine folgenden Beispiele sind in Rahmen meiner Teilnahme an der LUSC-Veranstaltung entstanden.

Dass eine grafische Oberfläche wunderbar einher geht mit einer Shell (Kommandozeile) zeigt nicht nur Linux, sondern auch OS X. Auch Mac User haben eine Shell — auch wenn sie davon vielleicht nichts wissen. Die unter den aktuellen Linux-Distributionen übliche Shell ist die bash.

Ein Beispiel:
Stellen Sie sich mal vor, sie möchten für jeden Monat eines Jahres ein Verzeichnis anlegen. Und in jedem Monat möchten Sie für jeden Tag ein Unterverzeichnis anlegen. Wie lange brauchen Sie dafür?
Mit der bash (Version 3.x) geht das in ungefähr 1 Sekunde (Tipparbeit)

mkdir -p 2008/{1..12}/{1..31}

..und dann brauchen Sie noch 1 Minute um die Tage im Februar und in den Monaten zu entfernen, die keine 31 Tage haben. Na, wie viel Zeit braucht der Windows-Freak?

Stellen Sie sich mal vor, Sie möchten das nicht nur für das Jahr 2008, sondern für alle Ihre (bisherigen) Lebensjahre machen. Ich z.B. bin 1964 geboren, also tippe ich:

mkdir -p {1964..2008}/{1..12}/{1..31}

OK, das mit dem löschen der „falschen“ Tage wird langsam etwas aufwändiger. Vielleicht hat jemand hierzu eine gute Idee?

Oder Sie möchten ein Verzeichnis für jede Kalenderwoche des Jahres 2008?

mkdir -p 2008/{1..52}

und vielleicht in jeder Woche noch ein Unterverzeichnis für jeden Wochentag?

mkdir -p 2008/{1..52}/{Mo,Di,Mi,Do,Fr,Sa,So}

Ich denke diese Beispiele lassen erahnen welche Vorteile die bash — oder genauer — die Kommandosubstitution bringt. Es handelt sich nämlich nicht um eine Funktionalität des Befehls mkdir, sondern um eine Eigenschaft der bash, welche die Kommandos in der geschweiften Klammer umsetzt und dann sozusagen die sich ergebenden Einzelkommandos an den Befehl mkdir schickt.

Will man sehen, was für ein Kommando auf dem System „eigentlich“ ausgeführt wird, dann gibt man einfach vor dem bash-Kommando echo ein, also z.B.

echo mkdir -p 2008/{1..12}

und als Ergebnis bekommt man

mkdir -p 2008/1 2008/2 2008/3 2008/4 2008/5 2008/6 2008/7 2008/8 2008/9 2008/10 2008/11 2008/12
Die Geschichte mit den Pünktchen geht übrigens ERST ab der bash 3.x, nicht mit der bash 2.x die z.B. noch in Debian Sarge Standard war.

Wenn zukünftig die staatlichen Institutionen für Diebesgut gute Preise bezahlen, dann könnte es ja sein, dass sich dadurch ganz neue Erwerbsmöglichkeiten für unehrliche Bürger ergeben — und bald stehen alle Buchhalter vor diesem Problem. Muss man hierfür den SKR anpassen oder gibt es schon ein Konto für „Einnahmen aus Hehlerei und Diebstahl“ (umsatzsteuerbefreit).

Fragt sich und die Buchhaltungsspezialisten auf www.rechnungswesen.de

RalphGL, das Mädchen für Alles

Der Server hat noch ein paar andere unaktuelle Eigenschaften — z.B. kein USB 2.0, weshalb ich mich heute für eine Neuanschaffung entschieden habe. Der neue Server ist bestellt bei KK-Computer und wird etwas unüblich — mit einem AMD Athlon X2 BE-2300 ausgerüstet sein. Dessen maximale Leistungsaufnahme liegt angeblich bei unter 50W und damit etwa bei der Hälfte der alten CPU. Entscheidender dürfte aber die Stromaufnahme bei niedriger Last sein — naja ich hoffe mal eine gute Entscheidung getroffen zu haben, wobei ich zugeben muss, dass es mir nicht gelungen ist inkl. weniger Recherchestunden eine ernsthaft kompetente Einschätzung zu gewinnen.

Ein weiteres Stromsparpotential stellen die neuen Platten dar: 2 statt 5 mit zusammen 1 TB Kapazität. Mein erster Computer mit Speicher in dieser Größenordnung! Ich frage mich wirklich ob ich jemals mehr benötigen werde, als diese Speicherkapazität. Sie beträgt die 50 000 fache Kapazität meiner ersten Festplatte (das war eine 5,24″ Festplatte von Seagate mit 20 MB Kapazität). Ich finde es sehr verwirrend mit diesen vielen Nullen zu rechnen — ist es nicht vielleicht doch die 500 000 fache Kapazität?

Na egal, mehr Strom wird vermutlich der RAM brauchen, schließlich wird auch dessen Kapazität von 512 MB auf 2GB vervierfacht.

Auf dem Server werde ich vermutlich erst mal eine Kopie des alten Systems (Sarge Debian 3.1) übernehmen und dieses dann auf ein Debian 4.0 aktualisieren. Erst wenn alles läuft geht der alte Server in Rente.

Obwohl das Board Raid 0, 1, 0+1 unterstützt werde ich dieses nicht aktivieren. Ich habe einfach bedenken, dass im Falle eines Hardwareausfall des Boards und des Raid-Controllers Probleme beim Plattenzugriff auftreten. Vielleicht ist diese Sorge ja unbegründet? Ich werde wieder eine Datensicherung mittels rsnapshot realisieren. Alle 4 Stunden ein komplettes Backup aller Änderungen — nur möchte ich zukünftig diese Sicherung auf einem komprimierten Dateisystem vornehmen. So möchte ich einerseits die Transparenz erhalten auf die Sicherung schnell und unproblematisch zugreifen zu können — und andererseits auf einer 280 GB-Festplatte vielleicht doch annähernd eine 500 GB-Festplatte sichern. Mal sehen was daraus wird.

So, der Server ist da und ich war bereits einige Stunden mit dessen Konfiguration beschäftigt. Begonnen habe ich damit die Debian Etch (4.0R3) aus dieser Woche zu saugen und eine CD von der ISO-Datei zu brennen. Nach dem Booten geleitete mich der freundliche und informative Installerdialog so dass es keinerlei Probleme bei der Einrichtung des Grundsystems gab. Über meinen vorhandenen DHCP-Server holte er sich den Netzzugang und installierte munter nach. Erkläre mir mal einer, wozu ein grafisches Installationssystem gut sein soll. Ich freue mich alle paar Jahre aufs neue, wenn ich mal wieder einen angenehmen Installationsdialog im Textmodus zu sehen bekomme. Hoffentlich bleibt Debian dabei! Nach der Installation startet das System brav von Platte, lädt ein aufgeräumtes und schlichtes Gnome und man kann mit dem handanlegen beginnen.

Das System ist angenehm leise! Absurderweise ist mein neuer Server nun leiser als alle meine Arbeitsplätze, auch mein alter hp-Laser macht mehr krach. Naja, die Vögel zwitschern hier ja laut genug.

Das Debian Etch bietet im Unterschied zu Debian Sarge die bash 3.x (statt 2.x). Irgendwie unspektakulär, was man aber tolles mit der Bash machen kann notiere ich mir in einem anderen Blogartikel, nämlich hier

Die Ursache lag wohl an einer Änderung des /etc/mysql/my.cnf die mit dem letzten Debian-Upgrade einherging. Genaugenommen stand nun in der Konfigurationsdatei wieder

bind-adress = 127.0.0.1

Was bewirkt der Eintrag? Nicht mehr, als dass der mysql-Server nur von der Maschine selbst auf der er läuft (localhost) aus erreichbar ist. Dies genügt meist, wenn diese Maschine auch der Webserver ist, auf der die Webprojekte php etc. laufen. Denn dann hat der Apache, der mittels eingebundenem php-Modul der Eigentümer der Prozesse ist, die auf mysql zugreifen die gleiche IP wie der mysql-Server.

Doch damit klappt natürlich der Zugriff auf die MySQL-Datenbank von einem anderen Rechner aus nicht — also auch nicht von dem Windows-Client an dem ich arbeite. Nun kann man natürlich einfach die Zugriffsbeschränkung deaktivieren und alles klappt wieder (nach einem Reload der Einstellungen in mysql). Doch vorher sollte man nochmals alle Benutzerrechte an der mysql-Datenbank überprüfen und ggf. korrigieren. Der Zugriff sollte für alle Benutzer immer nur von localhost aus möglich sein, wenn dies für die jeweilige Anwendung genügt. Einen Benutzer root sollte es nicht geben — zumindest sollte er nicht von überall auf die mysql-DB zugreifen können — sicheres Passwort hin oder her!

Doch man sollte sich natürlich auch nicht — wie ich — durch eine Fehlkonfiguration des mysql-Benutzers root selbst vom Zugriff und der Konfiguration der mysql-Einstellungen aussperren. Falls dies doch passiert hilft folgendes vorgehen:

1. mysqld stoppen (via Prozess-ID)
2. unter Debian (3.1)

    /usr/bin/mysqld_safe -user=root --pid-file=/var/run/mysqld/mysqld.pid --skip-grant-tables

   um hierdurch die Rechteeinstellungen zu übergehen.

   ACHTUNG: NUN DARF JEDER ALLES — DIESER ZUSTAND SOLLTE MÖGLICHST ERST NACH EINER UNTERBRECHUNG DER INTERNETVERBINDUNG HERGESTELLT WERDEN!

3. Nun aber schnell die Benutzerrechte wieder in Ordnung bringen und den msql-Server neu „normal„starten!

Die Einstellungen beziehen sich auf meinen Debian Sarge-Server

• Apache server root directory: /etc/apache2
• Path to httpd executable: /usr/sbin/apache2
• Command to start apache: /etc/init.d/apache2 start
• Command to stop apache: /etc/init.d/apache2 stop
• Path to httpd.conf: /etc/apache2/apache2.conf
• die anderen Werte blieben unverändert.

Besonders verwirrend ist der Eintrag zur httpd.conf. Aus Kompatibilitätsgründen zu Apache1 existiert nämlich auch eine httpd.conf-Datei. Doch damit die Einträge in der Konfiguration für apache2 landen, geben wir NICHT die httpd.conf sondern die apache2.conf an.

Nachdem ich mich nun etwas mehr mit Apache2 beschäftigt habe möchte ich jedem raten, anstatt seine Zeit mit dem Webmin-Konfigurationstool zu verblödeln lieber etwas mehr Zeit der Apache-Dokumentation zu widmen und die entsprechenden Konfigurationsdateien unter /etc/apache2 mittels Texteditor zu bearbeiten. Das Rumgeklicke ist hier wirklich nur umständlich und ineffektiv.

Im folgenden dokumentiere ich deshalb meine putty-Einstellungen (putty 0.60). PuTTY ist halt doch das tollsten Windows-Programm für Systemadministratoren!