|
|
|
|
|
|
|
|
Na, wer hat noch nicht, wer will noch mal?
|
|
|
|
|
|
|
|
|
|
|
Das ist imho eine ganze Klasse von Bugs, die allein durch zu niedrig angesetzte APIs entstanden ist.
Für sowas wie TLS will man doch im Grunde am Ende eine API haben, zu der ich gehen kann und sage "Gib mir ein Socket zum Server X auf Port Y" und X ist dabei ne Domain. Und die API prüft dann das Zertifikat vom Server anhand System/Benutzerglobaler Einstellungen, macht den TLS-Handshake und alles und gibt dir dann das gewrappte Socket wieder.
Zusätzlich dazu sollte natürlich trotzdem eine entsprechende Low-Level-API für speziellere Sachen vorhanden sein, die sind schließlich nicht grundsätzlich unberechtigt.
Wenn ich mir aber Pythons ssl-Modul anschaue, frage ich mich als Entwickler spontan "Wie soll ich hiermit überhaupt ein Zertifikat überprüfen?". Es gibt dazu einen Abschnitt "Security Considerations", der geht aber nur darauf ein, wie man den Hostname prüft und ein formal gültiges Zertifikat vorrausetzt. Aber wie man z.B. jetzt prüft, dass die Zertifizierungskette intakt ist? Kein Wort. Dann sieht man vielleicht ssl.enum_certificates und ssl.enum_crls und denkt sich "Das ist die Lösung meines Problems!" und sieht dann "Availability: Windows, New in Version 3.4". Hm!
Googel liefert dann Lösungen, die so anfangen: "for certFileName in glob.glob("/etc/ssl/certs/*.pem"):". Oder "benutzt Twisted".
Und das ist halt mal kein Zustand. Die eingebauten HTTP-Libs von Python prüfen iirc auch keine Zertifikate.
Ich wüsste spontan nicht, wie ich portabel eine sichere TLS-Verbindung mit Python herstellen kann ohne externe Dependencies zu nutzen.
Wahrscheinlich würde ich es dann auch so machen und sagen "ihr braucht halt curl/wget":
| | | I was having the same problem but wanted to minimize 3rd party dependencies (because this one-off script was to be executed by many users). My solution was to wrap a curl call and make sure that the exit code was 0. Worked like a charm. | |
Also letzlich das alte Prinzip "Easy things should be easy and hard things should be possible". Aber der aktuelle Zustand ist da einfach inakzeptabel, nicht nur bei OpenSSL selbst, sondern wie man bei Python gut sehen kann auch bei den Wrappern der APIs.
Bei sowas wie z.B. DNS klappt das auch relativ gut.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 19.06.2014 15:45]
|
|
|
|
|
|
|
|
|
Unsere UMTS-Flat ist mal wieder Mitte des Monats gedrosselt worden. Und nun möchte ich gerne aufzeichnen, wer wie viel vom Übertragungsvolumen verbraucht.
Der eingesetzte UMTS-Router bietet dazu natürlich keine Möglichkeit. Im Netz befindet sich allerdings noch ein Linux-Rechner, der als DHCP-Server und Telefonanlage dient.
Aber wie bekomme ich es hin, dass sämtlicher Internetverkehr über den Linux-Rechner läuft?
Idee 1: Den UMTS-Router in ein Subnetz und die Clients in ein anderes Subnetz und der Linux-Rechner routet zwischen den beiden Netzen.
Problem: Ich kann am UMTS-Router keine Routen einstellen.
Idee 2: Der Linux-Rechner dient als Brücke zwischen dem UMTS-Router und dem restlichen Netz.
Problem: Das bedeutet einiges an Verkabelungsaufwand, den ich eigentlich vermeiden wollte 
Idee3: Den Linux-Rechner dient als NAT-Router zwischen UMTS-Router und dem restlichen Netz.
Problem: Die ganzen Probleme, die NAT mitbringt.
Idee3.5: Der Linux-Rechner macht nicht nur SNAT sondern auch DNAT. Dazu müsste man dem Linux-Rechner für jeden Client eine zusätzliche IP zuweisen, damit das Ganze eindeutig bleibt.
Also sowas wie
iptables -t nat -A POSTROUTING -s $CLIENT1_IP -j SNAT --to $CLIENT1_MAPPED_IP
iptables -t nat -A PREROUTING -s ! $CLIENT1_IP -d $CLIENT1_MAPPED_IP -j DNAT --to $CLIENT1_IP
Kann das funktionieren? Hat jemand eine bessere Idee?
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Klappfallscheibe
Idee 1: Den UMTS-Router in ein Subnetz und die Clients in ein anderes Subnetz und der Linux-Rechner routet zwischen den beiden Netzen.
Problem: Ich kann am UMTS-Router keine Routen einstellen.
| |
Brauchst du nicht. Der UMTS-Router muss ja nur in sein eigenes Subnetz (oder nichtmal das?), die Linux-Kiste ist das Standard-Gateway aller Rechner und hat die Routen.
|
|
|
|
|
|
|
|
|
|
|
Der UMTS-Router nimmt LAN-Traffic auf der einen Seite an (einzelnes Kabel) und funkt auf der anderen raus?
Wieso lässt du nicht einfach deinen DHCP sich selbst als default gateway annoncieren, der wiederrum den UMTS-Router als default gateway hat und simples forwarding macht?
// mein Problem hier ist, wer die Frage gestellt hat und dass ich die eigentliche Schwierigkeit in der Problematik suche
/// hm, ne. Das klappt mit dem Rückweg vielleicht nicht. Du müsstest nochmal genauer beschreiben, wie sich dieser UMTS-Router überhaupt bisher verhält, bzw. ob der nicht schon NAT macht?
|
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von Rufus am 19.06.2014 16:37]
|
|
|
|
|
|
|
|
|
| | Zitat von csde_rats
| | Zitat von Klappfallscheibe
Idee 1: Den UMTS-Router in ein Subnetz und die Clients in ein anderes Subnetz und der Linux-Rechner routet zwischen den beiden Netzen.
Problem: Ich kann am UMTS-Router keine Routen einstellen.
| |
Brauchst du nicht. Der UMTS-Router muss ja nur in sein eigenes Subnetz (oder nichtmal das?), die Linux-Kiste ist das Standard-Gateway aller Rechner und hat die Routen.
| |
Irgendwie müssen die Antwortpakete ja vom UMTS-Router zum Client kommen. Und da beide in unterschiedlichen Subnetzen sind, muss der UMTS-Router wissen, welcher Router dafür zuständig ist.
| | Zitat von Rufus
/// hm, ne. Das klappt mit dem Rückweg vielleicht nicht. Du müsstest nochmal genauer beschreiben, wie sich dieser UMTS-Router überhaupt bisher verhält, bzw. ob der nicht schon NAT macht?
| |
Genau, der Rückweg ist das Problem. Wenn alle Rechner im gleichen Subnetz sind, dann nehmen die Antwortpakete ja vermutlich nicht den Umweg über den Linux-Rechner.
Der UMTS-Router macht ganz sicher NAT. Und ändern lässt sich das auch nicht. Da kann man nicht viel mehr als MAC-Filter oder Portforwarding einstellen.
Prinzipiell würde ein doppeltes SNAT wohl funktionieren, aber irgendwie widerstrebt mir die Lösung.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Klappfallscheibe
Problem: Das bedeutet einiges an Verkabelungsaufwand, den ich eigentlich vermeiden wollte
| |
Meinst du damit, dass bisher nur ein Kabel im Server steckt und der Aufwand wäre, ihn zum Router (zwei Kabel) umzufunktionieren? Ich weiß nicht, wie du mit irgendeiner der Lösungen da herumkommen willst.
Ich verstehe auch nicht, wieso du gleich doppeltes SNAT willst. SNAT regelt den Rückweg doch schon. Genau wie MASQUERADING, nur eben ohne Adressermittlung. Was dir übrigens auch gleich den Aufwand mit den definierten Client-IPs ersparen würde.
|
|
|
|
|
|
|
|
|
|
|
|
Hm, über ein Kabel/Switch können doch beliebig viele Netze laufen? Er braucht ja keine sichere Trennung zwischen den Netzen, oder?
|
|
|
|
|
|
|
|
|
|
|
Ich hab' sogar schon einen DSL-Router mit nur einer Netzwerkkarte betrieben, das DSL-Modem steckte halt mit im Switch 
Und eine zweite Netzwerkkarte einzubauen, wäre kein großer Aufwand. Allerdings sind UMTS-Router und Server so 80m von einander entfernt. Und ein zweites Kabel zu verlegen, ist keine Option.
Ich will kein doppeltes SNAT  Aber wenn der UMTS-Router schon SNAT (oder meinetwegen MASQUERADING) macht und der Server auch nochmal, dann ist das doch doppelt.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ich hab die klare version davon, ist halt nen plastikgehäuse. ich würde mich da jetzt weder draufstellen noch mit nem hammer drauf haun' wollen.
solange das teil einfach nur irgendwo rumsteht macht das gehäuse was es soll. 
|
|
|
|
|
|
|
|
|
|
|
|
Halten die beiden Teile so zusammen, dass es bei einem leichten Aufprall nicht gleich aufspringt? Und sind die Öffnungen für die Ports so dicht, dass wenn das Ding auf einem Schreibtisch liegt nicht sagen wir mal eine Büroklammer reinrutschen kann? Unsere Kunden sind sehr kompetent was Inkompetenz angeht
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Klappfallscheibe
Ich will kein doppeltes SNAT Aber wenn der UMTS-Router schon SNAT (oder meinetwegen MASQUERADING) macht und der Server auch nochmal, dann ist das doch doppelt.
| |
Ach so, klar.
Naja, wär für mich trotzdem der way to go..
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von TheRealHawk
Halten die beiden Teile so zusammen, dass es bei einem leichten Aufprall nicht gleich aufspringt? Und sind die Öffnungen für die Ports so dicht, dass wenn das Ding auf einem Schreibtisch liegt nicht sagen wir mal eine Büroklammer reinrutschen kann? Unsere Kunden sind sehr kompetent was Inkompetenz angeht
| |
Vielleicht willst du doch lieber diesen Zeamens IP-68 Industrie-PC mit versiegelbaren Ports ...?
|
|
|
|
|
|
|
|
|
|
|
Nope, probably not.
¤: Bald können wir das übrigens sein lassen, ab mitte August bin ich weg.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von SwissBushIndian am 19.06.2014 19:10]
|
|
|
|
|
|
|
|
|
|
*kopfkratz* sind das jetzt gute oder schlechte Nachrichten für dich? Gute? Ich hoffe gute!
|
|
|
|
|
|
|
|
|
|
|
|
Ich gehe freiwillig, ich hoffe vorerst dass das eine gute Entscheidung war, ja
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von TheRealHawk
Halten die beiden Teile so zusammen, dass es bei einem leichten Aufprall nicht gleich aufspringt? Und sind die Öffnungen für die Ports so dicht, dass wenn das Ding auf einem Schreibtisch liegt nicht sagen wir mal eine Büroklammer reinrutschen kann? Unsere Kunden sind sehr kompetent was Inkompetenz angeht
| |
leichter aufprall, so aus nen paar cm (ca. 10-20) auf nen tisch? da würd ich sagen vermutlich ja. bei allem anderen eher weniger.
die ports sind komplett nicht dicht.
schaus dir halt selber an. 
http://tucana.gservers.de/~phillip/images/rpi_case/
ich würde da auch eher sagen, du solltest dir vielleicht nen anderes anschauen, wenn dir das mit den ports und den kühlöffnungen wichtig ist.
|
|
|
|
|
|
|
|
|
|
|
|
kriegt man eigentlich irgenwie die eingebetteten YouTube Videos dazu den html5 player zu nutzen? Ich würde diese kacke gerne mal in Rente schicken.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Traxer
| | Zitat von TheRealHawk
Halten die beiden Teile so zusammen, dass es bei einem leichten Aufprall nicht gleich aufspringt? Und sind die Öffnungen für die Ports so dicht, dass wenn das Ding auf einem Schreibtisch liegt nicht sagen wir mal eine Büroklammer reinrutschen kann? Unsere Kunden sind sehr kompetent was Inkompetenz angeht
| |
leichter aufprall, so aus nen paar cm (ca. 10-20) auf nen tisch? da würd ich sagen vermutlich ja. bei allem anderen eher weniger.
die ports sind komplett nicht dicht.
schaus dir halt selber an.
http://tucana.gservers.de/~phillip/images/rpi_case/
ich würde da auch eher sagen, du solltest dir vielleicht nen anderes anschauen, wenn dir das mit den ports und den kühlöffnungen wichtig ist.
| |
Ich glaub das passt. Ich bestell einfach mal so eins, der Gesamtpreis muss halt relativ niedrig bleiben weil wir davon perspektivisch ca. 1000 Stück brauchen. Aber bis man 1000 Pis in einem Rutsch bekommt fließt vermutlich eh noch viel Wasser den Rhein runter 
|
|
|
|
|
|
|
|
|
|
|
| |
| Code: |
# zgrep ^CONFIG_F2FS /proc/config.gz
CONFIG_F2FS_FS=y
CONFIG_F2FS_FS_XATTR=y
CONFIG_F2FS_FS_POSIX_ACL=y
# mount /dev/mmcblk0p1 p1
mount: unknown filesystem type 'f2fs' |
|
fsck.f2fs meldet aber Erfolg. Irgendwas verpasse ich hier gerade
/Kernel 3.15, sollte das was aussagen
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von ShinyDoofy am 19.06.2014 21:43]
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.24.2. Ich hab's am Ende gelassen, ext4 ist (mit ausgerichteter Partition) fix genug für 'ne Class 10-Karte.
Aber danke
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von ShinyDoofy am 19.06.2014 23:07]
|
|
|
|
|
|
|
|
|
| | Zitat von RichterSkala
kriegt man eigentlich irgenwie die eingebetteten YouTube Videos dazu den html5 player zu nutzen? Ich würde diese kacke gerne mal in Rente schicken.
| |
Zumindest auf dem Laptop schaue ich das momentan nur mit mpv, der sich das per libquvi besorgt.
|
|
|
|
|
|
|
|
|
|
|
grep -i f2fs /proc/filesystems
wäre ggf. auch noch interessant.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von teK
grep -i f2fs /proc/filesystems
wäre ggf. auch noch interessant.
| |
Nichts. Ich finde, das muss man nicht verstehen. Meh, sei's drum.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von TheRealHawk
Mit --apparent-size isses gleich?
| |
Jo. Habe aber zwischenzeitlich gemerkt, dass aus dem ext4 heraus zusätzlich nochmal ein ecryptfs gemounted wird. Ich schätze mal, das läuft da so bucket-mäßig. Leere Files haben halt 8K, wenn der Inhalt ne Grenze überschreitet dann die 12K und so weiter..
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Rufus am 20.06.2014 2:16]
|
|
|
|
|
|
|
|
|
|
Seit heute gibt es sogar das aktuelle XCOM auf Linux-Steam.
|
|
|
|
|
|
|
|
|
|
|
| |
| Code: |
The intr / nointr mount option is deprecated after kernel 2.6.25. Only SIGKILL can interrupt a pending NFS
operation on these kernels, and if specified, this mount option is ignored to provide backwards compatibil‐
ity with older kernels.
|
|
wer war das neulich nochmal mit nfs mount nur mit intr?
|
|
|
|
|
|
|
|
|
|
|
|
Ich frag mal hier, weil ich nix vernuenftiges finde: Ich habe einen Server mit einem /64 IPv6 Subnet. Zuhause hab ich nur IPv4. Kann ich mir irgendwie einen 6to4 (oder aehnliches) Tunnel selber bauen? Adressen hab ich ja genug...
|
|
|
|
|
|
|
|
| Thema: 100 gute Gründe für Linux ( v0.30 gute Gründe für systemd ) |
