Computerkrams

Mal wieder ein Debian-Package: Screen 4.1CVS (amd64), für i386 und Sparc gibts das Paket bei dem Menschen, der es ursprünglich auch gebaut hat.

Das besondere bei diesem Screen ist, das er Fenster vertikal splitten kann (^A |), was bei 16:10-Monitoren besonders super ist.

Das Paket ist übrigens für Debiane größer gleich testing uninteressant, da gibt es Screen mit |-Funktion in main.

SNI ist eine tolle Sache. Damit kann man nämlich Webserver betreiben, die mehrere SSL-Seiten auf einer IP, und einem Port hosten. Normalerweise braucht man ja immer eine Extra-IP pro SSL-Seite, da der Browser sonst mit dem Zertifikat nicht zurecht kommt. Mitfhile von SNI teilt der Browser dem Webserver erst mit, welche Seite er möchte, und bekommt dann das passende Zertifikat.

Für Lighttpd gibt es hier einen Patch für SNI-Support.
Mithilfe dieser Anleitung für APT und DPKG ist es recht einfach gepatchte debian-Pakete zu erstellen.

Ich hab da mal was vorbereitet, Lighttpd-SNI für Debian stable (amd64/i386) und für Debian testing (i386).

Sind die Pakete installiert, kann /etc/lighttpd/conf-enabled/10-ssl.conf wie folgt angepasst werden:


# /etc/lighttpd/conf-available/10-ssl.conf
#### SSL engine
$SERVER["socket"] == "0.0.0.0:443" {
ssl.engine = "enable"
ssl.pemfile = "/etc/lighttpd/server.pem"

$HTTP["host"] == "foo.bar.example.com" {
ssl.pemfile = "/etc/lighttpd/foo.bar.pem"
}
$HTTP["host"] == "spam.eggs.example.org" {
ssl.pemfile = "/etc/lighttpd/spam.eggs.pem"
}
}


Das Zertifikat server.pem wird hierbei für alle nicht definierten Hostnamen ausgeliefert, sowie für Browser die SNI nicht unterstützen.
Das sind vor allem die üblichen alten Versionen von IE, Konqueror (der es ab KDE 4.1 können soll), und der darauf aufbauende Safari...

Trotzdem schonmal ne tolle Sache.

Mailinator ist super, inzwischen muß man sich ja an allen Ecken und Enden im Web anmelden - Web 2.0 lässt grüßen.
Nun, man will ja nicht jedem seine E-Mailadresse verraten, um hinterher mit allem möglichen Müll zugeschmissen zu werden.
Also nimmt man Adressen von Mailinator, die E-Mail zur Aktivierung des Accounts oder sonstwas holt man von deren Webseite, und danach wird man nicht mehr genervt. Toll.
Nur, inzwischen blocken viele Webseitenbetreiber die Domains von Mailinator als ungültige oder nicht erlaubte E-Mailadressen, was ziemlich nervt.

Nun kommt der Trick:
Der Mailserver von Mailinator nimmt alle Mails an und stellt sie an die virtuellen Benutzer zu, egal auf welcher Domain.
Wer also eine eigene Domain hat, kann für beliebige Subdomains mail.mailinator.com als MX eintragen, und fortan *@subdomain.domain.tld bei Mailinator nutzen.

Mailinator - Let Them Eat Spam!

SSL ist ne tolle Sache.
Die Verbindung zwischen Browser und Server kann man eigentlich nicht oft genug verschlüsseln, Login fürs Blag, Webmail, privates Miniwiki als Notizzettel, es gibt viele Spielereien die man unterwegs gut im Browser brauchen kann.

Nun, der Haken ist, unterwegs habe ich meine Zertifikate nicht dabei. Bedeutet, wenn ich sie selber erzeuge, das der Browser eine Fehlermeldung wirft, er kenne mein Zertifikat nicht. Nun, das kann man dem Browser bekannt machen.
Möglichkeit 1, ich überprüfe den Fingerprint des Zertifikats und sage dem Browser hinterher, er solle es akzeptieren. Geht, ist aber umständlich und eher doof.
Möglichkeit 2, ich lasse CACert Zertifikate für mich ausstellen. Nachteil: CACert kennen die Browser auch nicht - ich muß also das CACert-Zertifikat installieren. Solange sich CACert also nicht durchsetzt, im Grunde dasselbe wie vorhin.
Möglichkeit 3, auf die ich durch unser Fachschaftsforum stieß - StartSSL Free, deren Root-Zertifikat ist in einem der beiden großen Browser vorinstalliert - ich meine es war Mozilla. Findet man unterwegs auf fremden Rechnern nur andere Browser beginnt der Spaß mit Fingerprints wieder.
Möglichkeit 4, von der ich bisher immer Abstand nahm - ein Zertifikat erwerben, von einem Aussteller der ein in den Browsern dieser Welt vorinstalliertes Zertifikat hat. Das war mir bisher immer viel zu teuer.

Achtung, nun beginnen die Lobgesänge:
Vor kurzem stolperte ich über Namecheap, und begann dort Domains zu erwerben, und entdeckte später ihr Angebot an Zertifikaten. Los gehts ab 14.88 US$, in Euro also fast nichts, momentan sind das keine 10 Euro. Dafür gibt es ein Zertifikat, dessen Root in vielen Browsern vorinstalliert ist - bisher hats nur mit meinem Symbian-Handy nicht auf Anhieb geklappt. Aber im Normalfall braucht man also nie wieder Fingerprints zu checken - für ein Jahr.

Nun kommt der Teil, weswegen ich hier eigentlich diese Produktwerbung betreibe:
Vor kurzem ereignete sich bei Debian ein mittelschwerer Eklat um SSL-Zertifikate, der bewirkte das auf Debian-Systemen erstellte SSL-Schlüssel verwundbar waren, und das schon seit Ende 2006.
Bedeutet, alles was ich auf meinen Rechnern in den letzten 1,5 Jahren an Schlüsselmaterial erzeugt habe kann gelöscht werden, die damit erzeugten Zertifikate ebenfalls. Toll. und das nachdem ich mich grade mal durchgerungen habe Geld dafür auszugeben.

Aber, gestern kam von RapidSSL, dem Anbieter hinter Namecheap, das Angebot, alle erstellten Zertifikate kostenfrei neu zu erstellen, wegen des Debian-Bugs. Schöne, kulante Aktion, wie ich finde, und das für den Preis... :)

Endlich: Ich hab einen Weg gefunden meine Wii im Wohnzimmer Zugriff auf meine mp3s zu geben, und das ganze auch noch mit einem recht schönen Interface. :)

Für jackd brauchte ich einen realtime-fähigen Kernel. Leider habe ich keine Debianversion davon gefunden, und daher selbst einen gebaut. Vielleicht findet das Package ja noch jemand praktisch: kernel 2.6.24-rt1, Debian. Der Kernel enthält lediglich Optimierungen für PentiumPro, die üblichen Debianpatches und deren Config, einziger Unterschied ist der realtime scheduler und die Timer Frequency habe ich auch auf 1000 Hz hochgedreht.

Um mich mal zu wiederholen, der nächste Webserver ist da.

So sieht es also aus, das neue KDE.
Und leider habe ich auch noch nicht rausgefunden wie ich das ändern kann - Das Panel ist mir nämlich viel zu groß. Früher hatte ich (von Gnome abgeguckt) zwei dünne Panel uben und unten. Aber überhaupt Panel zu konfigurieren scheint mit KDE4 (noch?) nicht möglich zu sein. Schade.

Der Release Candidate 2 von KDE4 ist ja nun schon einige Zeit verfügbar, und eigentlich gibt es in debian/experimental auch .debs dazu, aber leider fehlen für einige Packete die i386-Versionen.

Diese habe ich nachgebaut und hier versteckt: http://0x42.org/~chris/kde4/

Achtung! Die Packete ersetzen KDE3, und installieren sich nicht zusätzlich dazu!

In meinem Artikel zu ZFS bin ich auf meine ersten Schritte mit ZFS eingegangen.
Nun will ich etwas mit der Snapshot-Funktion spielen, die Backups sehr vereinfacht...

Von Chaosradio Express #49 auf ZFS aufmerksam gemacht, habe ich damit mal etwas rumgespielt.

Für Linux gibt es zwar nur eine frühe FUSE-Version, aber die ist schonmal benutzbar, und reicht fürs erste Spiel...

Subject: Geoffrey - 100% results.
Date: Mon, 17 Sep 2007 14:29:01 +0200

Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy,=
lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lo=
l.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.Gy, lol.G=
y, lol.

Das Spam sinnlos ist, ist ja bekannt. Aber derart?
Der will mir ja nichtmal was verkaufen...

So, mein Gallery-Skript hab ich eigentlich nie benutzt, seit ich es installiert hab. Heute mal draufgeguckt, obwohl kein Bild hochgeladen war, 8647 Kommentare. Alles Spam. Ugh.

Die dreieinhalb Bilder die ich im Netz publiziert hab gibt es auf flickr und deviantArt.

So, so langsam geht der neue Webserver sogar in den Produktivbetrieb...
Hoffe es hakt nirgends mehr allzu doll.