Dakons blog

Erstellt: 6. 7. 2014, 21:14
Geändert: 15. 7. 2014, 11:25

Generating DANE DNS records for servers using CAcert.org certificates with tinydns

Tags:

For those that do not have the money or nationality to be included into the bullshit made in Germany network, or that simply say that this is, well, bullshit, there is the way to use DANE records. They have one disadvantage: they need DNSSEC to be really secure, and sadly my hoster Hetzner currently doesn't support that. But I thought that having them in place anyway can't hurt.

There are several ways to match a certificate by those records, e. g. you can assert that a specific certificate is used, or the root of your trust chain is a specific certificate. You can also publish the complete certificate or just a hash. Since I am a lazy folk I decided that I would publish the root of the certificate chain, i. e. the CAcert root certificate. This is slightly less secure as any certificate signed by CAcert.org for my domain name would be accepted, but the way CAcert works I would have to do that signing. On the other side this is one of the advantages, as I can change the keys and certs any time, as long as it is signed by CAcert the DANE records don't need to change. The other advantage is that the same record for every host and service I use, as all of them use CAcert.

Most howtos will end in "IN TLSA" records, which are for BIND nameservers. I run tinydns from the djbdns package, which uses a different format. So, how did I proceed?

Two more tips, slightly related: if you are on an openSUSE system the CAcert certificates are not installed by default. But you don't have to do any magic by hand:

zypper in ca-certificates-cacert

And for those that want DNSSEC with tinydns: tinydnssec could be the way to go (haven't tested that yet).

Erstellt: 27. 5. 2014, 19:17
Geändert: 27. 5. 2014, 19:18

Ich will das richtig

Tags:

Ich will GPS im Auto. Und USB. Und überhaupt. Aber bitte richtig.

Also der Plan ist folgender: die meisten Autos haben heutzutage bereits ein Ortungssystem eingebaut, in absehbarer Zeit werden das alle sein. Jetzt hätte ich gerne an jedem Sitzplatz im Auto einen USB-Anschluss. Dieser sollte folgende Eigenschaften haben:

Irgendwer würde an dieser Stelle bestimmt Bluetooth ins Spiel bringen. Das klappt für die Datenübertragung vielleicht, für das Laden eher nicht. Außerdem gehöre ich zu der Fraktion von Leuten, die kabelgebundene Übertragung bevorzugt wenn möglich, da diese meiner Meinung nach prinzipiell störfester und schwerer abhörbar ist.

Erstellt: 20. 5. 2014, 22:02

Random platform fixes #3

Tags:

Every once in a while I get bored and pick a random downstream platform and look on their CMake patches. The first time it was obviously Gentoo, because my toy machines run Gentoo. For reasons I don't remember anymore the next was Haiku. A bit strange, I never before (and basically never again) touched that OS. And at the moment it is OpenBSD.

I must say the findings are different. Gentoo still ships a lot of obscure old patches, that do e.g. platform fixes for things Gentoo doesn't really have anything to do with like AIX. I think most of them should be either send upstream or dropped, better sooner than later. Then they have a set of Python related patches because of the heavy Python usage in Gentoo. And of course the usual set of backports that are absolutely fine, especially as CMake 3.0 takes way longer than expected. I fought a long battle against some of the Python stuff because that actually broke stuff just to get it compliant with their thinking of how it should be, and finally gave them a clean version that does what they want (i.e. respect the global Python default version of the system) without breaking applications requesting a specific version. Meanwhile I get added to CMake bugs to give comments if patches are fine, so I file that as success.

Haiku had a bunch of platform fixups for their own stuff, because their API changed or whatever. I cleaned them up, submitted upstream what was sensible, and from what I know they should not need a single downstream patch once CMake 3.0 is released. One of the Haiku developers now comes into the CMake IRC channel every now and then to ask for comments or simply sends patches. Success, definitely.

OpenBSD is another beast. It is a bit like a mix of Gentoo and Haiku, having all sorts of arcane and obsolete stuff in it (i.e. things that are not needed at all because the code would work the same without their patches), as well as their platform stuff. One example is that Linux systems have their man pages in */share/man, while OpenBSD uses */man. Those stuff is currently sitting in the next branch, probably going to master soon if nothing unexpected shows up. Then there is the obsolete stuff, that can only be cleaned up by the OpenBSD folks themselves. I had the impression that the stuff that Gentoo shipped at least did make a change in behavior, some of the OpenBSD stuff can simply be discarded without anyone noticing. And then there is their platform specific stuff. OpenBSD does not want sonames in libraries, which is one feature that makes work on an ELF based platform much more comfortable. This will probably not go upstream anytime soon. But hopefully their huge patchset will shrink soon.

Erstellt: 20. 5. 2014, 21:38
Geändert: 20. 5. 2014, 21:41

Politikerkompetenz, die Siebte

Tags:

Schon etwas länger her, und zeitlich definitiv vor der letzten Ausgabe: mein wirklich allerherzlichster Dank an Thomas Oppermann. Er hat etwas geschafft, das längst überfällig war. Nachdem Urteile des Bundesverfassungsgerichts bezüglich Grundrechten keine Wirkung zeigten, hat er den Law-and-Order-Schnösel Friedrich in der einzig ihm angemessenen Weise abgeräumt: strafrechtlich. Jetzt müsste er nur noch eingesperrt werden und seine Versorgungsansprüche verlieren.

Erstellt: 18. 4. 2014, 23:05

Politikerkompetenz, die Sechste

Tags:

Streng genommen ist das gar keine plötzliche Kompetenz, denn der Uhl hat schon klar gemacht, das alles ist wie immer. Aber weil es so völlig unerwartet kam, dass er BKA-Chefkaspar Ziercke kritisiert, weil er Informationen nur scheibchenweise rausgibt. Ich meine, für die meisten von uns ist es vermutlich nicht überraschend, dass die Sicherheitsbehörden mauern und nichts konkretes zur Aufklärung eines eigenen Fehlverhaltens beitragen, aber jetzt hat es plötzlich auch mal bei Herrn Uhl geklingelt.

Erstellt: 18. 4. 2014, 16:06

SSL-Peergroup (2)

Tags:

Nach dem der Heartbleed-Bug bekannt geworden ist habe ich das getan was jeder gute Programmierer an dieser Stelle tun würde: den Code angucken. Hätte ich den Fehler auch gefunden? Weiß ich nicht. Was mir jedoch aufgefallen ist, ist ein anderes Detail, das ich zunächst nur als sehr schlechten Stil betrachtet habe: wenn OpenSSL selbst einen Heartbeat-Request rausschickt legt es dort 20 Byte Payload bei. 4 Byte sind dabei ein einfacher Zähler, und nur diese 4 Byte werden auch hinterher geprüft. Warum schicke ich 20 Byte raus wenn ich die nicht alle prüfe? Ich sehe sowas als Pfusch an.

Als ich die Tage bei einem Kollegen im Büro stand scrollte da das IRC-Log der OpenBSD-Leute vorbei. Und die fanden das noch aus einem ganz anderen Grund bedenklich: die anderen 16 Byte sind nämlich Zufallszahlen, das heißt das das Senden von Heartbeat-Requests dem Gegenüber direkt 16 Byte aus dem eigenen Entropie-Pool zur Verfügung stellt. Bei Systemen mit schlechten Generatoren ermöglich das natürlich wunderbare Attacken, da der interne Zustand des Generators jetzt weiter eingegrenzt werden kann.

Erstellt: 18. 4. 2014, 14:45
Geändert: 18. 4. 2014, 14:50

SSL-Peergroup (1)

Tags:

Ich lese unter anderem Fefes Blog, Heise und Pro-Linux. Untereinander lesen die sich auch, zumindest Heise und Fefe lesen sich offensichtlich gegenseitig, und Pro-Linux scheint auch beide zu lesen.

Nun ist Fefe jemand der gerne mal die Lesekompetenz seiner Leser prüft, indem er absichtlich falsch oder entstellend zitiert. So schätze ich auch den Link ein, den er unter dem Titel OpenBSD hat einen Audit angestoßen und der zeitigt erste Ergebnisse. veröffentlicht hat. Pro-Linux hat diesen Post offensichtlich gelesen und einen ähnlichen Artikel veröffentlicht. Was ist jetzt falsch daran?

Die ursprünglichen Kommentare der OpenBSD-Entwickler lesen sich hier in meinen Augen etwas anders, zumindest haben sie diese Lücke höchstens wiederentdeckt. Für mich sieht es so als als hätten sie den OpenSSL-spezifischen Allokator abgeschaltet und angefangen den Fallout zu fixen. So oder so werden wir wohl bald eine Version 1.0.1i sehen, die einige Dinge fixt.

Erstellt: 24. 3. 2014, 23:00
Geändert: 27. 5. 2014, 19:22

Und jetzt alle

Tags:

Morgen wird mal wieder gestreikt, zumindest hier in der Gegend. Im Gegensatz dazu, wenn in irgendeiner Industrie gestreikt wird, macht man hier nicht einfach das Tor zu und ärgert seinen Arbeitgeber, sondern richtet sich statt dessen gegen die Bevölkerung. Welchen Sinn das haben soll erschließt sich mehr nicht. Die Abneigung kann sich doch dann nur gegen die Streikenden richten da hier wenig Schaden beim Arbeitgeber, aber immenser Kollateralschaden angerichtet wird.

Wenn in der Industrie jemand streikt dann wird nicht produziert und der Chef kann nichts verkaufen. Wenn im öffentlichen Dienst gestreikt wird dann fließen die Einnahmen quasi unverändert weiter, denn seien wir mal ehrlich: der öffentliche Dienst erzeugt recht wenig Umsatz durch seine Arbeit, sondern im Wesentlichen über Gebühren und andere Abgaben, die unverändert weiter fließen. Für den ÖPNV möchte ich mich so weit aus dem Fenster lehnen das der Streik vermutlich sogar Geld spart: Diesel- und Stromverbrauch gehen drastisch zurück, die Anzahl der Einzelfahrkarten gegenüber den Dauerkarten dürfte sich auch in Grenzen halten.

Und dann stehen dann ein paar Leute irgendwo rum, z. B. in Laatzen, und machen ein bisschen Krach. Um es mit einem Lied der Ärzte zu sagen: ich bin mir sicher, dass sich alle schlechten Menschen jetzt schämen. Phänomenal, 700 Leute. Bei Freiheit statt Angst letztes Jahr waren 20.000 Leute, das hat auch keinen interessiert.

Vielleicht wird es mal Zeit für ein Revanchefoul. Wer nachts nichts zu tun hat steige bitte in eine Straßenbahn und bleibe im Einläufer in den Betriebshof 2 Stationen vorher einfach mal in der Tür stehen. Heute fällt der Feierabend mal aus. Und liebe Eltern: streikt doch mal im Kindergarten. Holt eure Kinder mittags mal gesammelt nicht ab, macht euch einen schönen Nachmittag und kommt erst abends um 20 Uhr zu abholen.

Die Lohnerhöhung für genau diese zwei Berufsgruppen müssen die Kunden doch sowieso zahlen, die Gebühren werden einfach erhöht. Also warum sabotiert ihr alles um euch herum auch noch?

Ich habe ja nichts gegen Streiks, allerdings halte ich die Verwendung für unnötig leichtfertig. Oh, ihr habt kein Angebot? Streik! Wir konnten uns beim ersten Gespräch nicht einigen? Streik! Geht's noch? Das hat doch mit Verhandlungsführung nichts zu tun, das ist doch Kindergartenverhalten. Wenn die Verhandlungen scheitern, dann kann man immer noch streiken (und dann von mir aus auch richtig), aber Warnstreiks sind einfach überzogen. Das hat sich als wirksames Mittel in meinen Augen völlig überholt. Außerdem schmälert das nur die Verhandlungsmasse, denn dadurch wird ja unnötig die zur Verfügung stehende Geldmasse vermindert (zumindest da wo es tatsächlich eine Beziehung zwischen Arbeitsleistung und Umsatz gibt).

Erstellt: 10. 3. 2014, 22:03
Geändert: 10. 3. 2014, 22:05

Pizza-Lookup

Tags:

Neulich kam mir auf dem Weg nach Hause ein Pizzalieferant entgegen, der mich nach Hausnummer 23 fragte. Deren Existenz konnte ich sicher verneinen, woraufhin er umdrehte und zurück gehen wollte. Dabei fiel mein Blick auf seinen Lieferzettel und ich konnte ihm dann den Weg weisen: …-Straße 2 3. Stock, …

Erstellt: 26. 1. 2014, 08:39

Vorbei

Tags:

Das Ende eines wichtigen Lebensabschnitts ging gestern zu Ende. Nachdem ich zuerst meine Domain sf-tec.de bei irgendeinem Fremd-Hoster hatte (Netbeans?) zog ich sie vor etwa 10 Jahren zu meinem Studienkollegen Martin auf seinen Server um. Und dort lag sie seitdem. Sie zog dort ein paar Mal intern um (andere Maschine, dann Upgrade auf 64 Bit vserver), aber 62.27.20.187 war für eine sehr lange Zeit mein Zuhause. Irgendwann kam auch noch 62.27.20.61 dazu. Gestern habe ich den vserver final heruntergefahren.

Seit Dezember wanderten mehr und mehr Dienste von der Maschine weg, was nicht nur eine Beschleunigung brachte (die darunterliegende Maschine war halt schon ein paar Tage alt), sondern ganz nebenbei auch noch IPv6. Letzte Woche wurde als letzter Dienst der DNS-Server umgeschaltet, seit gestern ist die Maschine aus dem Nagios verschwunden und abgeschaltet.

Inzwischen kann ich auch meine neuen IP-Adressen flüssig tippen, nur die IPv6-Subnetze habe ich noch nicht drauf. Ansonsten behalte ich YAWSP in guter Erinnerung.

Anbieterkennzeichnung