Zum Start des Halteverbotes wurde nun auch der Fußweg gesperrt, morgen ist Baubeginn.

Beidseitig wurde ein Halteverbot ausgewiesen. Das wird nun mehr als ein Jahr Bestand haben. Das Gesamt-Ensemble ist ja etwas größer als der erste Bauabschnitt.

wir bleiben Leipziger und fühlen uns in Altlindenau wohl. Eigentlich wollten wir SOETWAS nie machen, aber die Zeiten ändern sich.

So sieht es dort derzeit aus.

Die wohl schönste CD mit Liedern, bei denen man zur Ruhe kommt.

Was Nico Bizer und Lars Joseph da vor fast 10 Jahren, am 05.05.05 auf den Markt gebracht haben, ist einfach nur unübertroffen. In manch schlafloser Nacht begleiten diese Lieder nun auch mich, und irgendwann schlafe ich dabei tatsächlich auch ein. Also, nicht nur für Kinder geeignet.

Nagios NRPE-plugin kann mit Version 2.15 nun auch endlich IPv6-Adressen erreichen, so dass Server, die nur über IPv6 erreichbar sind, per Nagios überwacht werden können. Debian-Backports gibt es auch bereits für diese Version, ABER

Bugreport 745272 wurde im April eingereicht, weil irgendjemand eine Sicherheitslücke entdeckt haben will, wenn er eine allow all Konfiguration im Nagios-NRPE-Server aktiviert. Ich gebe zu, es wäre schöner, eine Nutzerverwaltung und Authorisierung in NRPE implementiert zu haben, aber wie das Leben so spielt, ist nun einmal allowed_hosts die einzigste Absicherung (neben dem Binden an ein internes Interface via server_address).

As said this is considered a feature by upstream. And to be honest, people that are so stupid to allow dont_blame_nrpe + allowed_hosts=0.0.0.0/0 deserved a heise news entry.

Diese stupid-Konfiguration könnte Nagios natürlich patchen, aber es entstand nicht ohne Grund der Nagios-Fork Icinga. Nagios will es nicht patchen. Und Debian will den Patch nicht nutzen, den Michael Friedrich am 30.4. zur Verfügung stellte.

Im Juli gab es nun also eine neue Version der Debian-Pakete, mit hart ausgeschaltetem dont_blame_nrpe. Damit ist die Direktive in der Konfigurationsdatei wirkungslos.

# COMMAND ARGUMENT PROCESSING
# This option determines whether or not the NRPE daemon will allow clients
# to specify arguments to commands that are executed. This option only works
# if the daemon was configured with the –enable-command-args configure script
# option.

Da bereits mehrere user auf die Problematik gestoßen sind, und seitens Debian als Antwort lediglich geäußert wird, man könne das Paket sich selbst neu bauen und dann mit enable-command-args kompilieren, habe ich dies nun mal für alle von mir genutzten Versionen getan. Netter Nebeneffekt, NRPE gibt es nun auch in Version 2.15 für squeeze. Das Plugin ist für den Nagios-Server, mit der Version 2.15 sind IPv6-Adressen erreichbar. Der NRPE-Server akzeptiert wieder Argumente, jedoch keine ‚bash command substitution‘.

• plugin_2.15-1_amd64~jessie
• server_2.15-1_amd64~jessie
• plugin_2.15-1_amd64~wheezy
• server_2.15-1_amd64~wheezy
• plugin_2.15-1_amd64~squeeze
• server_2.15-1_amd64~squeeze
• plugin_2.15-1_i386~squeeze
• server_2.15-1_i386~squeeze

49 – das ist die Zahl der Vollblutspenden, auf die ich es in den letzten 18 Jahren gebracht habe. Auslöser für meine Bereitschaft als regelmäßiger, wenn auch nicht sehr regelmäßiger Blutspender war der Tod meiner Mutter.

Da ich nun selbst auf Blutspenden angewiesen war, die mir das Leben gerettet haben, rufe ich alle gesunden Menschen auf: werdet Blutspender. Das Risiko von Verletzungen bei der Blutspende ist sehr gering, bei der Erstspende ist der eigene Kreislauf vielleicht etwas überfordert, und man muss zwei Stunden mehr einplanen, später dann ist eine Vollblutspende ein Zeitaufwand von 30 Minuten – mit Erholungsphase – ein kleiner Aufwand. Der Leben rettet.

Wer Blut spenden darf und nicht aus medizinischen Gründen davon ausgeschlossen ist: www.blutspende.de

Vor einigen Wochen habe ich meine Idee umgesetzt, in amavis einen zusätzlichen Virenscanner zu implementieren. Da ich ja nur Systemadministrator bin, bestand meine Idee darin, einfach virustotal.com zu automatisieren.

Die API ist gut, aber ungesehen Dokumente aus E-Mails hochzuladen, schien mir nicht geheuer. Es könnte ja ein vertrauliches Dokument sein. Muss man ein bisschen aufpassen, gerade als postmaster. Daher läuft das jetzt ohne API. Gefunden werden mit den einfachen HTTP curl requests nur Dokumente, die bereits durch die Community analysiert wurden.

Wie geht das nun von statten: Amavis zerlegt die E-Mails in ihre Bestandteile (multiparts) und übergibt das zu scannende Verzeichnis den Virenscannern, denn der base64-stream einer e-Mail hilft meinem curl-Skript wenig, daher „zerlegen lassen“. Das machen wir mit bypass_decode_parts explizit:

/etc/amavis/conf.d/99-virustotal
# To disable virus or spam checks, uncomment the following:
#
# @bypass_virus_checks_maps = (1); # controls running of anti-virus code
# @bypass_spam_checks_maps = (1); # controls running of anti-spam code
# $bypass_decode_parts = 1; # controls running of decoders & dearchivers

$bypass_decode_parts = 0;

Einer der Virenscanner ist nun also mein perl-skript, das wie folgt mit den dekodierten Daten (E-Mail-parts) arbeitet:

Es ermittelt für alle Dateien im Verzeichnis den Typ. Plain-Text wird übersprungen. Ebenso image/png. Bei HTML wird nach dem String script gesucht, wenn er enthalten ist, wird dieser mailpart nicht ignoriert.

Für jeden nicht zu überspringenden Mail Part wird nun der MD5 oder SHA256 Hash ermittelt. Dieser wird mit einem einfachen HTTP request bei virustotal geprüft, wenn er noch nicht in den lokalen cache-files notiert ist, die als erstes geprüft werden und HTTP-Abfragen einsparen helfen.

Sollten bei virustotal mindestens drei Scanner die Datei als schädlich einstufen (und das beim parsen des HTML erkannt wird), wird der hash der Datei in einer lokalen Blacklist gespeichert. Wenn 0/xx als Ergebnis zurück kommt, wird der hash in eine whitelist eingetragen. Wenn der Hash nicht bekannt ist, kommt er in eine lokale greylist.

Fertig.

ToDo ist nun noch die Implementierung von TTLs, um white und greylist Einträge nach einer Zeit erneut zu prüfen. Idee war, das mit einem Key-Value NoSQL wie redis zu machen, es wird wohl aber doch auf MySQL hinauslaufen, weil zum einen die Unterscheidung in white/grey/black aufgrund des eineindeutigen hash stattfinden soll, zum anderen sollen die results (z.B. Virusnamen der verschiedenen engines auch gespeichert werden um sie in den Virus in den Benachrichtigungs E-Mails benennen zu können.)

Die Trefferquote ist nun mit der ersten Version dieser meta-engine um einiges höher, als wenn ClamAV allein die Entscheidung treffen müsste. Es gibt ja doch einige Virenscanner, die etwas häufiger updates ihrer Virensignaturen erhalten.

… die einer Beschneidung unter vollem Bewusstsein und Schmerzempfinden zustimmten, sollten doch den Anstand haben, sich dieser Prozedur – ebenfalls ohne Betäubung – zu unterziehen. Eben als Vorbild und Nachweis, daß hierbei keine unzumutbaren Schmerzen zu ertragen seien.

Und bei der Gelegenheit: auch die phalluslastige Männlichkeit betreffend: die Kastration von männlichen Ferkeln ohne örtliche Betäubung geht gar nicht. Warum gibt es, wenn es endlich diskutiert und verurteilt wurde, eine jahrelange Übergangsfrist bis zum Verbot dieser Tierquälerei. (aus Kostengründen)

Fällt es Politikern so schwer, sich ein zu fühlen, in das, was sie da anderen Lebewesen an Leid potentiell (potenziell) zufügen?