Seltsamerweise funktionierte die Gobi 2000 Karte meins x201 mit 2.6.36 noch, 2.6.37 nicht mehr.
Nach einigem git bisect’en ergab sich vorhin:
Bisecting: 0 revisions left to test after this (roughly 0 steps)
[1992de83e375acc789daf66b7b72a812a5235b75] USB: qcserial: Enable Diagnostics Monitor and GPS ports on Gobi 2000
Nun muss /dev/ttyUSB1 statt wie bisher /dev/ttyUSB0 genutzt werden. Aber wer liest schon dauernd die LKML oder guckt sich alle Changes vor einem Kernel-Update an? 
Auch immer wieder gesehen: falsche Berechtigungen von Backups.
[user@srv2342 ~]$ ls -l /opt/backup
-rw-r--r-- 1 root root 2,6M 09. Apr 20:30 etc-20100409.tgz
-rw-r--r-- 1 root root 2,6M 10. Apr 20:30 etc-20100410.tgz
-rw-r--r-- 1 root root 2,6M 11. Apr 20:30 etc-20100411.tgz
-rw-r--r-- 1 root root 2,6M 12. Apr 20:30 etc-20100412.tgz
Natürlich war auch die /etc/shadow enthalten… john macht damit bekanntlich meist kurzen Prozess.
Beliebt sind scheinbar auch Scripte, die etwas der folgenden Art machen, um Backups zu erstellen und die Rechte korrekt zu setzen:
tar -czf /opt/backup/etc-backup.tgz /etc
chmod 600 /opt/backup/etc-backup.tgz
Hier entsteht eine klassische Race-Condition. Falls der Angreifer die Platten verlangsamt (z.B. per dd) und/oder eine while true Schleife nutzt, die er kurz vor Backupbeginn startet, kann er evtl. Teile oder das gesamte Backup kopieren.
Besser: Global umask 0027 setzen. Falls nicht möglich (z.B. Firmen-Policy), einfach vor dem Aufruf von tar ausführen:
umask 0027
tar -czf /opt/backup/etc-backup.tgz /etc
Backups müssen genauso wie die Originaldaten behandelt werden und gehören nicht nach /tmp oder mit unsicheren Dateirechten sonstwohin.
Ich frage mich, wie ihr eure Firewallregeln in Firmenfirewalls verwaltet und sichert – wer iptables oder eine darauf basierende Lösung besitzt, wird wohl einfach automatisch oder eventbasiert Backups machen oder die Regeln in ein Repo einchecken – doch was machen die armen Admins, die mit proprietärer Hardware zu tun haben? Mir fallen spontan folgende 5 Punkte ein:
- Programmieren einer Schnittstelle, die die Regeln ausliest und in ein Repo eincheckt
- Automatische Backups durch die Firewall erzeugen lassen (oftmals per Mail möglich) und einchecken in ein Repo
- Eingeben der Firewallregeln in ein Dokumentationssystem
- Eingeben der Firewallregeln in ein System, welches die Regeln dann auf der Firewall anlegt
- Keine Dokumentation
Mich würde interessieren, wie ihr hier vorgeht? Z.B. für eine Zertifizierung nach dem IT-Grundschutzhandbuch sind solche organisatorischen Dinge nicht ganz unwichtig.
Ok, ich hab es getan. Nachdem Twitter adminlife nicht als Username wollte und ich der ganzen Zwitscherei vorerst skeptisch gegenüber stand, bin ich nun doch unter admlife auf Twitter zu finden.
Alles Gute zum 10ten jährlichen SysAdmin Day an alle mitlesenden Adminkollegen!
Wie jedes Jahr am letzten Freitag im Juli ist auch heute wieder System Administrator Appreciation Day – der Tag, an dem der gemeine Anwender seinen Systemadministratoren auch mal “Danke” sagen darf. Heise hat passend dazu einige leidvolle Erfahrungen von Adminkollegen veröffentlicht. Ein schönes – und vor allem stressfreies – Wochenende! 
Die DNS-Sperren wurden ja in der “Bloggosphäre” reichlich diskutiert und werden allgemein als sinnlos für den angedachten Zweck und schädlich für den Normalbürger erachtet, auch weil schon jetzt hinter vorgehaltener Hand neue Überwachungs und Kontrollmöglichkeiten diskutiert werden, wie z.B. die Echtzeitüberwachung der Stopp-Seiten.
Nun gibt es eine Petition gegen die Zensur durch die Hintertür: hier mitzeichnen! Heute morgen waren es bloß ca. 1.000 Mitzeichner, nun sind es bereits über 12.000. Laßt euch bitte nicht davon entmutigen, dass die Seite etwas lahm ist und man sich anmelden muss! Verbreitet die Seite außerdem bitte weiter, erzählt davon und klärt darüber auf, was es mit den DNS-Sperren auf sich hat!
Ausgenommen sind Anbieter mit weniger als 10.000 Nutzern, außerdem staatlichen Dienste wie Hochschulnetze und Behörden-Provider sowie einige hundert regionale Netzanbieter.
Völlig inkonsequent. Kinderpornos nur für Politiker und Studenten, hurra!? Kostet ja auch alles Geld und Zeit, was der Bund nicht ausgeben will. Aber die freie Wirtschaft “darf” es “freiwillig” tun, sonst wird sie als Kinderporno-Unterstützer abgestempelt! Vielleicht wollen die Politiker die nächsten Internetsperren für z.B. Onlinepoker nicht bekommen, oder fänden es vielleicht zu schwierig, die lächerlichen DNS-Sperren zu umgehen? Die Zypris weiß ja noch nicht einmal, wie dieses Internet-Surfdings heißt!
Interessant wäre jetzt zu wissen, ob man als Betreiber eines komplett öffentlichen DNS-Resolvers nun irgendwas machen muss, denn man bietet ja im Grunde vielen Millionen Nutzern einen Dienst an…
Quelle:
Spiegel
Heute ging ganz unerwartet ein unscheinbares kleines Päckchen von einem unserer Hardwarelieferanten ein. Von außen hätte man meinen können, es würde sich um ein Tonerpaket handeln. Doch weit gefehlt: der Inhalt war ein sorgsam eingepacktes Gewächs.
Bei näherer Betrachtung konnten wir den Inhalt als zwiebelartiges Ostergewächs klassifizieren (genaue Typbeschreibungen werden gerne entgegengenommen!). Das Paket wurde zusätzlich mit einer Karte mit besten “Green IT”-Oster-Grüßen und dem Leitspruch “Mehr Wachstum …” garniert.
Eine nette Aufmerksamkeit – wollen wir nur hoffen, dass der grüne Informatiker Daumen die Pflanze möglichst lange administriert pflegt und versorgt.
