(446 MB) 00:24:22
2018-09-23 12:00 🛈Ugh, doll. Meine Canon EOS 550D lässt sich plötzlich nicht mehr Einschalten. Eine Ursache ist nicht zu sehen und auch durchtauschen von Akku, Objektiv & Co bringt keine Änderung. Also bleibt nur eins: Zerlegen und hoffen, dass die Ursache sichtbar wird.
(534 MB) 00:21:27
2018-09-16 12:00 🛈Grafikkarten im Server? Was für dein Ein oder Anderen vermutlich seltsam klingt ist doch gar nicht so ungewöhnlich, denn mit diesen kann man nicht nur Spiele spielen, sondern auch hoch-parallelisierte Berechnungen durchführen. Da ich aktuell mit diversen dieser Techniken herumexperimentiere soll also auch mein Home-Server eine solche erhalten. Nur gibt es da so ein paar Hindernisse.
OSTicket ist ein freies Ticketsystem, also System zur Sammlung und Dokumentation von Aufgaben. Ab und an kann es praktisch sein solche Aufgaben auch per Software zu generieren, z.B. für wiederkehrende Aufgaben oder wenn Systeme Störungen automatisiert erkennen. Da die Doku bisher eher dünn ist anbei ein kleines Python-Script, welches über die API Tickets erstellen kann. Hierzu muss erst im Admin-Bereich ein passender API-Zugang angelegt werden. Zu beachten ist, dass ein solcher API-Zugang auf eine IP limitiert ist.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
import requests import json headers = {'X-API-Key': '12345ENTERHERE12345'} subject = "12345" ostdata = { "alert": True, "autorespond": False, "source": "API", "name": "GenervterUser", "email": "genervter@us.er", "phone": "", "subject": str(subject), "ip": "::1", "message": "data:text/plain,Ich bin ein Ticket", } json_data = json.dumps(ostdata) r = requests.post("https://helpdesk.meinefirma.local/api/tickets.json", data=json_data, verify = '/usr/local/share/ca-certificates/meineca.crt', headers=headers) print(r) |
I ran into some trouble while Updating to NC 13.0.4 regarding encryption. As long as Encryption was installed and enabled no login was possible – WebDAV and Clients received HTTP/503, WebUI didn’t show the login form but only “Bad Signature”. Also occ failed with the same error – “bad signature”. The previously working version was afair 13.0.1, since downgrading isn’t supported I can’t say much for .2 and .3. Inside the log (see below) I could see the error being caused by the encryption module. There might be the odd encrypted folder still present in old accounts, but since it never worked for me reliably it’s disabled for everything currently in use. External solutions are IMO the way to go.
|
1 |
{"reqId":"xyz","level":4,"time":"2018-07-20T17:53:17+00:00","remoteAddr":"xyz","user":"--","app":"webdav","method":"PROPFIND","url":"\/remote.php\/dav\/files\/xyz\/","message":"Exception: {\"Exception\":\"Sabre\\\\DAV\\\\Exception\\\\ServiceUnavailable\",\"Message\":\"OCP\\\\Encryption\\\\Exceptions\\\\GenericEncryptionException: Bad Signature\",\"Code\":0,\"Trace\":\"#0 [internal function]: {closure}(*** sensitive parameters replaced ***)\\n#1 \\\/var\\\/www\\\/html\\\/3rdparty\\\/sabre\\\/event\\\/lib\\\/EventEmitterTrait.php(105): call_user_func_array(Object(Closure), Array)\\n#2 \\\/var\\\/www\\\/html\\\/3rdparty\\\/sabre\\\/dav\\\/lib\\\/DAV\\\/Server.php(466): Sabre\\\\Event\\\\EventEmitter->emit('beforeMethod', Array)\\n#3 \\\/var\\\/www\\\/html\\\/3rdparty\\\/sabre\\\/dav\\\/lib\\\/DAV\\\/Server.php(254): Sabre\\\\DAV\\\\Server->invokeMethod(Object(Sabre\\\\HTTP\\\\Request), Object(Sabre\\\\HTTP\\\\Response))\\n#4 \\\/var\\\/www\\\/html\\\/remote.php(72): Sabre\\\\DAV\\\\Server->exec()\\n#5 \\\/var\\\/www\\\/html\\\/remote.php(167): handleException(Object(OCP\\\\Encryption\\\\Exceptions\\\\GenericEncryptionException))\\n#6 {main}\",\"File\":\"\\\/var\\\/www\\\/html\\\/remote.php\",\"Line\":70}","userAgent":"Mozilla\/5.0 (Windows) mirall\/2.3.2 (build 1) (Nextcloud)","version":"13.0.4.0"} |
The usual literature suggests to disable the encryption module using occ – not quite helpful in my case. Deleting the encryption app on FS-level did revive occ and Web but the App now failed due to missing encryption. My solution was to disable encryption using SQL instead of just deleting it:
|
1 2 3 4 |
UPDATE `oc_appconfig` SET `configvalue` = 'no' WHERE `oc_appconfig`.`appid` = 'core' AND `oc_appconfig`.`configkey` = 'encryption_enabled'; |
Zugegeben, ich bin etwas spät dran, aber heute bin ich bei einer Stelle mit CredSSP und RDP dann auch mal auf die Schnauze gefallen. Da mir das – dank sonst gepflegter Infrastruktur – bisher nicht begegnet ist hier nochmal zum Nachlesen. Und mich als Gedächtnisstütze.
Verursacher der ganzen Misere ist CredSSP, der Credential Security Support Provider. Dieses Windows-Modul ist unter Anderem für die Authentifizierung von Nutzern bei Verbindungen über RDP (Remote Desktop Protocol) und WinRM (Windows Remote Management) zuständig. Durch einen Fehler im Umgang mit den Sitzungen (CVE-2018-0886) können Angreifer einen Man-in-the-Middle-Angriff ausführen und so die bestehende Sitzung übernehmen. Da RDP und WinRM häufig für administrative Zwecke genutzt wird, können sich so Unbefugte ggf. weitrechende Zugriffe auf die verwalteten Systeme beschaffen. Betroffen ist so ziemlich alles – vom einfachen Windows 7 über die Server-Produkte bis hin zum aktuellen 10 sowie Server 2016.
Microsoft hat den Fix in mehreren Stufen ausgerollt. Erstmals erschienen passende Updates im März, welche das Problem prinzipiell beheben. Sofern sie überall installiert werden. Zwei Monate später, im Mai, zog der Hersteller dann die Sicherheitsschrauben an: Ab diesem Patch ist die Nutzung der Mitigation zwingend erforderlich.
Wer seine Systeme im Griff hat wird nicht viel merken – ist alles auf einem aktuellen Patchstand wird man von den Umstellungen nichts merken. Anders sieht es aus, wenn man bei den Updates nachlässig handelt. Hat der eigene Rechner bereits aktuelle Patches installiert, das Zielsystem jedoch seit März keine Wartung erfahren, hat man Pech: Der RDP-Client bzw. WinRM verweigern die Verbindung mit dem Zielsystem. “Die angeforderte Funktion wird nicht unterstützt”. Selbes dürfte auch für die andere Richtung gelten.
Was folgt sind zwei Dinge: Erst mal sollte man dem Verantwortlichen Admin des Zielsystems eine Schulung zu IT-Sicherheit verpassen, denn inzwischen mehr als ein halbes Jahr lang keine Updates installieren ist – zumindest meiner Meinung nach – grob fahrlässig. Danach sollte das Zielsystem natürlich auf einen aktuellen Stand gebracht werden – für den Zugriff mindestens notwendig ist der entsprechende CredSSP-Patch, welcher sich auch einzel im dazugehörigen Artikel finden lässt. Da für den nur ein Dopelklick notwendig ist kann das ggf. auch ein Poweruser mit passenden Zugriffen vor Ort erledigen. Hat man keine Möglichkeit das System selbst zu verändern muss man am Client ran: Hier kann man über die Registry oder per GPO auch unsichere Verbindungen zulassen und somit eine Verbindung zu den betroffenen Zielen wieder ermöglich. Dies sollte immer nur temporär geschehen – umstellen, verbinden, Fix installieren und wieder zurück. Keinesfalls sollte man während die Lockerung aktiv ist Verbindungen zu anderen Systemen aufbauen.
Hierzu liegt man unter HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters ein neues REG_DWORD mit dem Namen “AllowEncryptionOracle” an und gibt diesem den Wert “2“.
Das Pendant in GPO-Form findet sich unter Computerkonfiguration\Administrative Vorlagen\System\Delegierung von Anmeldeinformationen\Encryption Oracle Remediation. Diese muss aktiviert und die Schutzebene auf “Vulnerable” eingestellt werden.
Patchmanagement etablieren. Systeme zeitnah Patchen. Spart Arbeit. Und Axteinsätze bein den zuständigen Systembetreuern.
Docker kann bei mir nach wie vor zwei Lager bedienen: Die Idee von Containern klingt gut, die mangelnde Stabilität und viele Konzepte der Implementierung lassen mich aber nur den Kopf schütteln. Heutiges Thema: IPv6. Prinzipiell nicht wirklich nutzbar, da die meisten Orchestration-Systeme wie Kubernetes oder Swarm bisher laut Doku und Bugtrackern bestenfalls rudimentäre Unterstützung bieten. Docker selbst soll – laut Anleitung – jedoch mit wenigen Handgriffen IPv6-fähig gemacht werden können.
Klingt einfach? Tja, nach einem Neustart ließ sich der Docker-Daemon nicht mehr starten. Im Log fand sich folgendes:
dockerd: Error starting daemon: Error initializing network controller: Error creating default "bridge" network: could not find an available, non-overlapping IPv6 address pool among the defaults to assign to the network
Die Abhilfe ist recht einfach: Ein festes Netz vergeben. Hierzu in der daemon.json einen passenden fixed-cidr-v6-Eintrag machen:
{
"ipv6": true,
"fixed-cidr-v6": "2a01:1234:5678:9abc:def0::/112"
}
(77 MB) 00:17:25
2018-09-12 19:30 🛈Das Projekt Volkszähler hatte ich ja schon öfter gezeigt: Mit diesem lassen sich über längere Zeiträume Messwerte sammeln und darstellen. Auch wenn es prinzipiell funktioniert: Inzwischen gibt es Konkurrenzprojekte, welche interessante Funktionen haben. Eines davor ist Grafana – eine reine Messwertvisualisierung, welche durch einfache Bedienung und großen Funktionsumfang heraussticht. In der aktuellen Version können auch Daten auf MySQL-Tabellen angezeigt werden – also jene Datenbank, die auch der “VZ” nutzt. Verheiraten wir das Ganze doch einfach und nutzen Grafana zum Anzeigen der VZ-Daten.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
SELECT timestamp/1000 as time_sec, data.value as value, properties.value as metric FROM data LEFT JOIN properties ON (properties.entity_id = data.channel_id) LEFT JOIN entities ON (entities.id = data.channel_id) WHERE (channel_id = 1 || channel_id = 2 || channel_id = 3) AND (timestamp/1000) >= $__unixEpochFrom() AND (timestamp/1000) <= $__unixEpochTo() AND properties.pkey = 'title' ORDER BY timestamp ASC |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
SELECT timestamp/1000 as time_sec, data.value as value, properties.value as metric FROM data LEFT JOIN properties ON (properties.entity_id = data.channel_id) LEFT JOIN entities ON (entities.id = data.channel_id) WHERE (properties.value = "Flur" || properties.value = "Werkstatt" ) AND (timestamp/1000) >= $__unixEpochFrom() AND (timestamp/1000) <= $__unixEpochTo() AND properties.pkey = 'title' ORDER BY timestamp ASC |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
SELECT timestamp/1000 as time_sec, data.value as value, properties.value as metric FROM data LEFT JOIN properties ON (properties.entity_id = data.channel_id) LEFT JOIN entities ON (entities.id = data.channel_id) WHERE (uuid = "12345678-1234-1234-1234-1234567890ab" || uuid = "12345678-1234-1234-1234-1234567890ac" ) AND (timestamp/1000) >= $__unixEpochFrom() AND (timestamp/1000) <= $__unixEpochTo() AND properties.pkey = 'title' ORDER BY timestamp ASC |
(143 MB) 00:09:22
2018-09-09 12:00 🛈Momentan ist der Basteltisch durch defekte Geräte überfüllt, also machen wir das Beste draus und versuchen den Stapel langsam abzuarbeiten. Heute im Angebot: Mein Li-Ion-Ladegerät, welches ein paar Taster verloren hat und daher nur noch schwer zu bedienen ist.
(311 MB) 00:18:31
2018-09-02 12:00 🛈Sensoren habe ich viele, der BME280 verspricht aber ein Alleskönner zu sein: Neben Temperatur und Luftfeuchte soll er auch den Luftdruck übermitteln können. Zusammen mit einem ESP8266 ist so schnell eine eigene “Wetterstation” gebaut, welche die Messwerte auf einer Webseite anzeigt, per MQTT an Haussteuerungen wie HomeAssistant gibt oder mittels HTTP einen Volkszähler befüllt.
Code:
https://github.com/adlerweb/ESP8266-BME280-Multi
Video von Chris Figge
https://www.youtube.com/watch?v=KMwVNuzghsY
(288 MB) 00:23:39
2018-08-26 12:00 🛈Bevor sich Laser und Tinte verbreitet haben druckten viele mit Nadeldruckern. Ähnlich wie eine Schreibmaschiene wird hier mit Farbbändern gearbeitet. Langsam und laut, aber auch günstig im Verbrauch und lange haltbar wird der Technologie nachgesagt. Schauen wir an diesem fast 30 Jahre altem Gerät, ob das so stimmt.