Bits'n'Bytes

Heute morgen überraschte mich mein HTC Desire mal wieder mit dem Hinweis auf ein bereitstehendes Update, nach dessen Download und Installation nicht nur alles viel bunter aussah, sondern sich das Telefon auch mit Android 2.2 (“Froyo”) zurückmeldete, verbunden mit einem Update von HTC Sense. Nett.

Damit hatte ich so früh gar nicht gerechnet ...

Wer zum Netz hin Dienste anbietet - SMTP, HTTP, NNTP, SSH, ... -, kennt das Problem: irgendjemand versuchtimmer gerade, Paßworte zu erraten, Schwachstellen in gebräuchlichen (aber konkret gar nicht installierten) Webapplikationen auszunutzen oder sonstigen Unfug zu betreiben. Bereits vor Jahren war es üblich, Brute-Force-Angriffe gegen SSH-Paßworte zu fahren; nachdem auf den meisten Systemen ein Login ohnehin nur noch mit SSH-Key möglich ist, nicht mehr mit Paßwort, war das größte Ärgernis daran das vollgemüllte Logfile; dagegen half es, den SSH-Dienst schlicht auf einem anderen als dem gewöhnlichen Port anzubieten. Das ist natürlich kein Sicherheits-Feature, weil durch einen simplen Portscan feststellbar, aber durchaus bequem. Irgendwann hatte ich das noch um fail2ban ergänzt, nachdem ein besonders hartnäckiges (offenbar geknacktes) System tagelang auf dem richtigen Port versuchte, nicht vorhandene Paßworte durchzuprobieren, und der Provider auf E-Mails nicht reagierte. Ansonsten war es aber immer einigermaßen ruhig an dieser Front.

In den letzten Tagen und Wochen hat sich das dann doch geändert. Angefangen hat es bereits in den letzten Juni-Wochen mit Brute-Force-Angriffen gegen SMTP-Auth-Paßworte, die tagelang offensichtlich von einem Botnetz aus liefen (Zugriffe von einer gut dreistelligen Anzahl von IPs, ständig wechselnd) und dabei immerhin auf einem Host einen Konfigurationsfehler aufdeckten, der es tatsächlich kurzfristig erlaubte, vier oder fünf Mails zu versenden. Danach lief derselbe Versuch dann auch bei anderen Maschinen beim selben Hostinganbieter und danach bei Maschinen bei einem anderen Hoster, während ich mit fail2ban dann hinterherkonfiguriert habe; sinnvoll ist das dann nur, wenn man die Ban-Zeiten ausreichend hoch ansetzt. Sperren für 10 oder 15 Minuten bringen nur wenig, weil man dann immer noch alle 10 oder 15 Minuten entsprechende Versuche im Logfile hat; zielführend scheinen da eher Zeiten im Stundenbereich zu sein.

Als es sich an der SMTP-Front beruhigte, waren dann plötzlich Brute-Force-Angriffe gegen SSH dran (und zwar offensichtlich nach einem Portscan, nämlich gegen den richtigen Port): erst auf den Maschinen beim einen Hoster, dann, einige Tage später, bei den Maschinen beim anderen Hoster. Irgendjemand macht sich also derzeit die Mühe, systematisch die IP-Bereiche großer Anbieter von Mietservern durchzugehen, Portscans laufen zu lassen und dann gezielt Angriffe gegen die angebotenen Dienste zu starten. Insgesamt keine neue Sache, aber die Intensität ist zumindest in diesem Bereich für mich neu.

Man darf wohl davon ausgehen: besser wird es nicht mehr ...

Vor einem knappen Vierteljahr habe ich von den Apps auf meinem Smartphone berichtet. Mittlerweile sind einige kleine Helfer hinzugekommen:

Kommunikation

Hier habe ich mit Groundhog inzwischen einen Newsreader ergänzt, der sich ganz gut anläßt. Sehr schön gelöst ist das Zitieren: für jeden Absatz kann man wählen, ob er zitiert werden soll oder nicht, das erleichtert die Angelegenheit deutlich, weil das Markieren größerer Textteile sonst ja nicht so wirklich handlich funktioniert. Dafür ist der Zeilenumbruch sein schwacher Punkt, und SSL kann er leider auch nicht. Etwas besseres habe ich allerdings noch nicht gesehen.

hilfreiche Tools

• Rote Liste (“Medikamente”) - Sehr praktisch, wenn man mal ein Medikament nachschlagen oder zu einem Wirkstoff die Handelsnamen finden will! Benutzerfreundlich gelöst.
• AK Notepad - Naja, für Notizen zwischendurch ... So richtig überzeugt bin ich allerdings noch nicht. Kennt jemand eine bessere Applikation für simple Notizen?
  
• Zeiterfassung - Anwenderfreundliche Lösung, um zu erfassen, wann man - für welches Projekt - etwas tut. Verschiedene Tätigkeiten, Ein-/Ausstempeln “jetzt” oder zu einem bestimmten Zeitpunkt, automatische Pausenfunktion, Sollzeiten, Stundensätze.

Navigation

• GoTraffic - Aktuelle Verkehrsmeldungen für den deutschsprachigen Raum, auswählbar nach Gebiet, Umkreis oder Straßenbezeichnung (Autobahn / Bundesstraße).

Spiele

Motiviert von Thomas Hühns Beitrag zu dem Thema habe ich mich auch einmal auf die Suche gemacht und Blow Up, Uniwar und Age of Conquest ergänzt. Die beiden erstgenannten habe ich noch nicht wirklich intensiv genutzt, aber das letztgenannte, so etwas wie eine aufgemotzte Risiko-Variante, hat sich zum wahren Suchtfaktor entwickelt.

Und, wie immer: Wenn jemand Kommentare u.v.a Vorschläge für weitere interessante Apps hat, die auf Android-Systemen laufen: Imme rnur her damit!

... oder: How to unbrick your Linksys BEFSR41.

Wie bereits an anderer Stelle geschildert, kämpfe ich mit Verbindungsabbrüchen an einem DSL-Anschluß. In diesem Zusammenhang habe ich gestern auch den dort bislang eingesetzten Linksys BEFSR41 “EtherFast Cable/DSL Router with 4-Port Switch” durch ein Neugerät ersetzt und dann für das Altgerät ein Update auf die aktuellste Firmwareversion durchgeführt (und zwar über das Webinterface). Das ging aber offensichtlich schief - möglicherweise mag der Router nur den Internet Explorer und keinen Firefox auf seinem Webinterface dulden, oder es gab andere Probleme; jedenfalls mochte nach Abschluß des Firmware-Uploads der Router nicht mehr mitspielen. Nach jedem Reboot grüßte er mit einer blinkenden Power-LED, was eine defekte Firmware kennzeichnet; die Weboberfläche steht dementsprechend gar nicht erst zur Verfügung.

Wie ich dann längerer Suche bei Google entnommen habe, kann aber auch in diesem Fall ein erneuter, korrekter Upload der Firmware via TFTP erfolgen. Dazu muß der Router durch Powercycle rebootet werden und dann binnen der nächsten ~ 5 Sekunden ein Firmware-Image mittels TFTP aufgespielt werden. TFTP ist u.a. bei Windows bereits dabei; es gibt natürlich auch diverse Shell- und GUI-Clients für alle Betriebssysteme.

Allerdings genügt das nicht; der BEFSR41 möchte nämlich für den TFTP-Upload das Routerpaßwort mitgesendet bekommen, ansonsten verweigert er die Annahme einer neuen Firmware. Allerdings unterstützen gebräuchliche TFTP-Clients keine Paßwortübertragung (wohl deshalb, weil eine Authentifizierung via Paßwort gar kein Bestandteil des Protokolls ist, sondern eine firmenspezifische Ergänzung). Der im Netz häufig zu lesende Ratschlag, das Paßwort des Routers auf “” zu setzen, also zu leeren, hilft natürlich nicht weiter, wenn der Router gar nicht mehr ansprechbar ist ...

Die einzige Lösung ist daher die Verwendung eines TFTP-Clients, der sich mit Paßwort anmelden kann. Früher fand sich ein solcher (mit GUI, für Windows) wohl auf dem FTP-Server von Linksys, jetzt bedarf es einiger Suche, um dieses Programm oder ein vergleichbares zu finden. Erfolgreich war ich u.a. mit diesem Link zur Linksys-Webseite.

Damit war die Sache dann einfach: Eingaben im Client (IP des Routers, Paßwort “admin”, Firmware-Datei) vorbereiten, Powercycle, abwarten, bis der Router auf “ping” reagiert, und dann den TFTP-Upload vornehmen. Voilà! Ein Reboot später spielt der Router dann auch wieder mit.

Wo Licht ist, ist auch Schatten ...

Falls jemand wie ich einen tollen PX2370 von Samsung sein Eigen nennt, das Zusatzprogramm “MagicTune”, das eine Konfiguration des Bildschirms am Rechner statt mit dem On-Screen-Menu ermöglichen soll, installiert und danach vor einem permanent rebootenden Rechner (Windows XP SP3) steht, dem sei zunächst gesagt, das man den Reboot-Loop im Windows-Bootmenü (während des Windowsstarts F8 zweimal drücken) abstellen kann; dann bekommt man stattdessen einen Bluescreen. Wenn man - zurecht - vermutet, daß “MagicTune” der Bösewicht ist und das auch bei Google bestätigt findet, dann rebootet man in den abgesicherten Modus und deinstalliert das Programm wieder.

Fertig.

*brummel*

Seit Jahren spiele ich mit dem Gedanken, mir endlich einen Flatscreen zuzulegen. Seit Jahren sage ich mir, daß ich doch (jeweils) einen tollen großen Röhrenmonitor habe, der “eigentlich” seine Aufgabe doch noch gut erfüllt. Und wer weiß, wie das dann mit schnellen Bewegungen und Spielen ist. Und dann legt sich - das ist bestimmt eher mehr als fünf Jahre her als weniger - ein Bekannter einen Flatscreen zu, und ich komme wieder ins Grübeln ... und stelle die Anschaffung zurück. Dann kommt ungefähr 2005 auch am Arbeitsplatz ein - arg klein geratener - Flatscreen auf den Schreibtisch, und ich überlege wieder ... und sage mir, daß es ja nicht eilt. Dann wurde dieses Jahr die Büro-IT im Rahmen der regelmäßigen Erneuerung ausgetauscht; nicht nur, daß der Rechner mit einem Dual-Core-Prozessor und 2 GB RAM jetzt durchaus flott ist, auch der Flatscreen ist schön groß. Ich gerate ernsthaft ins Grübel und notiere mir die Anschaffungsidee auf der großen Liste der Dinge, zu denen ich sowieso nie komme.

Dann kamen seit April diverse kostspielige Anschaffungen zusammen, so daß ich entschlossen bin, zu sparen.

Und dann macht im elterlichen Haus der Bildschirm Spirenzchen (sieht nach einem Wackelkontakt an der Spannungszuführung aus, der sehr unschöne Geräusche und Gerüche produziert). Als Notlösung kommt erstmal mein Reservebildschirm dran (klar, ein Röhrenmonitor, vor ein paar Jahren extra noch neu gekauft ...), und dann wird ein neuer Bildschirm bestellt. Ein Flachbildschirm soll es sein, Röhren kauft ja heutzutage nun wirklich niemand mehr neu. Nichts besonderes, schließlich wird der Rechner wenig intensiv und vor allem für E-Mails und Textverarbeitung genutzt. Nachdem das Ding dann geliefert ist, habe ich’s angeschlossen, konfiguriert und dann bestaunt ... und wollte so etwas tolles jetzt auch. Sofort. Und für mich darf es dann schon eher etwas besonderes sein.

Also tut hier seit heute ein Samsung PX2370 seinen Dienst. Und ich bin entsprechend begeistert! Jetzt ärgere ich mich nur, daß ich mir so etwas nicht schon vor Jahren gegönnt habe ...

Auf dem Umweg über ikiwiki - was vielleicht zukünftig einmal einen eigenen Beitrag wert ist - bin ich letzte Woche auf markdown gestoßen - ein Perl-Script, das einen strukturierten Klartext in (X)HTML verwandelt. Das ist, wie ich finde, eine tolle Sache, weil auf diese Weise der Quellcode der HTML-Seite für sich als Text lesbar bleibt. Es ist sogar möglich, auf diese Weise eine Text- und HTML-Version eines Dokuments parallel zu nutzen (um den Preis, daß Links in der Textversion etwas eigenartig wirken, und der HTML-Version eine interne Navigation fehlt).

Beispielsweise habe ich den Einführungstext in die Newsgroup de.etc.notfallrettung, der regelmäßig in die Gruppe gepostet werden soll, auf diese Weise verfaßt. Der Text - der in genau dieser Fassung auch gepostet wird - ist gut lesbar, und markdown erstellt daraus ohne weiteren Aufwand die HTML-Version. (Das erfolgt automatisch durch ein Script, das die entsprechende Fassung des Textes aus dem Git-Repository auscheckt, durch markdown laufen läßt und dann an den richtigen Ort auf meinem Webserver verschiebt.)

Sehr praktisch ist es bei einem Bugtracker, wenn er mit dem verwendeten Versions-/Sourcecode-Verwaltungssystem (SCM-System, source code management) interagieren kann, Änderungen im Code, die - laut Kommentar (Commit-Message) - einen bestimmten Fehler beheben, also direkt auch dazu führen, daß der entsprechende Fehlerbericht (Bugreport) als erledigt gekennzeichnet wird. Man kennt dieses Verhalten - bspw. - vom Debian-Bugtracker.

Grundsätzlich ist das auch schon immer mit Mantis möglich; allerdings war die bisher vorhandene Unterstützung rudimentär und primär auf SVN abgestellt; sie wurde auch in der aktuellen Entwicklungsversion 1.3 entfernt. Seit Anfang 2009 gibt es nämlich von einem der Mantis-Entwickler, John Reese, ein Plugin namens Source Control Integration, das sich beim Bugtracker für Mantis selbst bereits seit Monaten im Echtbetrieb bewährt hat. Es liefert ein Framework für die Anbindung beliebiger Versionsverwaltungssysteme, und fertige Plugins für die Anbindung an git via GitHub oder GitWeb und an SVN via SourceForge oder WebSVN sind direkt dabei.

Leider ist auch hier die Dokumentation der schwache Punkt. Eine solche fehlt nämlich bisher völlig; einen Einstieg liefert einzig ein Blogbeitrag vom 07.01.2009, der die Vorgehensweise beschreibt. Weitere Blogbeiträge (von März und Oktober 2009) umreißen die technischen Grundlagen und beschreiben den Einsatz für Subversion, helfen aber ansonsten auch nicht wirklich weiter.

Mantis (aktuell in der Version 1.2.1) ist ein ganz netter Bugtracker, also ein Ticketsystem (Fallbearbeitungssystem) für die Softwareentwicklung, dessen auffallendstes Manko allerdings die unterirdische Qualität der Dokumentation (weitgehend schlicht nicht vorhanden, ansonsten grob unvollständig oder weit veraltet) ist. *seufz*

“Mantis Graphs 1.0” ist ein Plugin für Mantis, das graphische Darstellungen ermöglicht, und ich habe heute längere Zeit damit verbracht, es in Betrieb zu setzen, nachdem es immer nur “unable to read/find font” von sich geben wollte. Einer der ersten Schritte war die Installation der msttcorefonts (aptitude install ttf-mscorefonts-installer), aber das genügte nicht. Längeres Debugging mit eingestreuten Statements im Quellcode ergab schließlich, daß Mantis weder das passende Font-Verzeichnis erkennen noch - bei expliziter Angabe des Verzeichnisses in der Konfiguration mit $g_system_font_folder - die Fontdatei laden wollte. Die Lösung dafür fand sich in der Dokumentation der PHP-Funktion file_exists(): diese liefert auch dann false zurück, wenn auf die entsprechende Datei aufgrund von safe_mode-Restriktionen nicht zugegriffen werden kann ...

Und natürlich ist das der Fall: das Font-Verzeichnis - bpw. /usr/share/fonts/truetype/msttcorefonts/ - gehört root, und die Font-Dateien auch. Jedenfalls ist Owner dieser Dateien niemals der Webserver oder der Benutzer, unter dessen Kennung die PHP-Scripts dank su_php o.ä. ausgeführt werden. *brummel*

Es bleibt demnach nur der Verzicht auf die Grafiken oder die Deaktivierung von safe_mode (für Mantis).

Ich muß meine Berichte über das neue Spielzeug noch um einen Nachtrag ergänzen, denn was wäre ein Smartphone ohne SIM-Karte und passenden Tarif?

Für mein bisheriges Mobilelefon habe ich seit Menschengedenken Vodafone - früher D2 Mannesmann - genutzt; vor einigen Jahren (Ende 2007) bin ich dann auf einen Prepaid-Tarif umgestiegen, was sich als ausgesprochen lohnenswert erwiesen hat (die bisherigen Fixkosten von rund 30,- € im Monat für irgendwelche meistens ohnehin nicht genutzten Inklusivleistungen, -minuten und -SMS sind auf im Schnitt 15,- € pro Monat und weniger gefallen, so daß ich die Kosten für das zugleich erworbene neue Mobiltelefon selbst lange reingeholt habe). Für die UMTS-Karte in meinem Laptop nutze ich eine Prepaid-Karte von simyo, was mir einen recht günstigen Datentarif von 24 Cent pro MB beschert und für die eher seltene Nutzung ausreichend ist.

Aber was nutzt man jetzt für ein Smartphone? Schön wäre ein Anbieter, der das D1- oder D2-Netz nutzt, um vom besseren Netzausbau im Vergleich zum E-Plus-Netz profitieren zu können; allerdings habe ich dort keine auch nur einigermaßen preislich interessanten Angebote gefunden, allenfalls vielleicht noch bei O2. Daher sprach wieder alles für einen E-Plus-Reseller; ich bin dann auf Anregung von Bekannten bei blau.de gelandet. Die Tarife sind vergleichbar zu simyo, es handelt sich gleichfalls um einen E-Plus-Reseller, aber es gibt einige zusätzliche Tarifoptionen wie die Tagesflatrate.

Bestellung, Auslieferung und Aktivierung waren unproblematisch, ich habe nach kurzem Test dann die sich monatlich erneuernde 1-GB-Option gebucht und kann nach der bisherigen Nutzung sagen, das der Netzausbau bei E-Plus zumindest befriedigend ist und der gebuchte Inklusivtraffic von 1 GB für eine übliche Nutzung - dauerhafter Sync, ab und an mobiles Internet, Kartendownloads etc. pp. - völlig ausreichend ist. Ich werde das nach einem Monat natürlich noch einmal evaluieren, aber bislang kann ich beruhigt festhalten, daß eine 1-GB-Option für meinen Bedarf völlig hinreichend ist (wie mir auch mein Fachberater zuvor versicherte ).