TOR Exit-Node. Eine Zeitleiste.

Tuesday, January 6. 2015

Es gibt da den Satz, einen TOR-Exitnode zu betreiben gehöre zu den letzten verbliebenen Abenteuern in Deutschland. Als ich den las, steckte ich schon mittendrin in meinem. Eine Zeitleiste:

 
2010 im Sommer ca. einen Monat lang einen TOR-Knoten als Exitnode betrieben. Laut Ermittlungsakte hat irgendwer in der Zeit eine kp-Datei von dort auf einen anderen Server des Nürnberger Rechenzentrums hochgeladen.
 
2010 Anfang Dezember morgens um 6h 3 LKA-Beamte in Ritterrüstung und Abtransport fast(*) aller Datenträger und Rechner (inklusive 5 1/4" und 3,5" und ZIP-Disketten, uralt-Kamera-Speicherkarten, mp3-Player).
* headless laufende Server in unkonventionellen Gehäusen werden nicht unbedingt als Computer erkannt.
 
2011 Für 60€ bei 30GB kopiert mir das LKA als Dienstleistung (Werkvertrag) ein bestimmtes Verzeichnis auf eine externe HD, das geht nach rd. zwei Monaten über die Bühne. Läuft natürlich nur mit unverschlüsselten Daten und man muss exakt sagen können, wo/wie benannt die Daten liegen. USB-Sticks und iPod bekomme ich gleich mit zurück. Der Kommissar erklärt am Rande mit gewissem Stolz, dass er gar keine Ahnung von Computern und Netzwerken hat, also TOR und so...
 
2011 im Juli ist mein Kommissar mit den Hunderten von Backup-DVDs und Master-CDs fertig und ich darf zwei Ikea-Taschen an Datenträgern abholen. 
 
2013 ein Vierteljahr nach Verstreichen eines avisierten Abschlusstermins berichtet der Kommissar von katastrophal vielen Neuzugängen, er knetet die Hände, ihm ist das peinlich. Eigentlich ist er ein netter Kerl, aber halt Beamter.
 
2014 Anfang März bekomme ich die Hardware bis auf 2 HD, auf denen angeblich Kopien einer beanstandeten Datei seien, zurück. Weder Dateiname noch Abbild der monierten Datei werden genannt. Kann man glauben oder es für das absolute Minimum von Gesicht-wahren nach rd. 40 Monaten Prüfung halten. 
 
Vor der Übergabe klagt mein Kommissar, da seien ja mehrere Partitionen und ganze Festplatten verschlüsselt, ob ich nicht die Schlüssel angeben wolle. Nun ja, Nein. Da haben Sie jetzt die richtige Antwort gegeben, findet der Kommissar, denn der Staatsanwalt habe entschieden, dass mir die Platten auch in diesem Falle zurückzugeben seien.
 
Die Hardware war erstaunlich wohl behalten, auch der Mac mini ohne Kratzspuren geöffnet. Nur alles mit ekligen Aufklebern bepappt. Aber nach dreieinhalb Jahren kann man die Sachen ohnehin kaum noch gebrauchen.
 
Kurz vor dem 4. Jahrestag wird das Verfahren schliesslich wegen Geringfügigkeit und gegen die Dreingabe der beiden Festplatten eingestellt. Ein Verhör, inhaltliche Anhörung zum Thema TOR etc. gab es in den 47 Monaten nicht.
 
Zu den Kollateralschäden zählt meine vorige freiberufliche Existenz und ein kostspieliger Streit mit dem Finanzamt. Auf der Habenseite bleibt neben einem Lehrstück zu Inkompetenz und Überforderung, zum Stand der Achtung der Grundrechte und dem Wert des Richtervorbealtes die Erkenntnis, dass LUKS und truecrypt bislang offenbar polizeisicher sind. Dass extern gelagertes Backup wirklich nützlich sein kann. Und dass man zwar viel Nerven und Geduld braucht, sich aber nicht einschüchtern lassen muss.
 
 
 
 

ipv6 bei hetzner

Tuesday, December 30. 2014

 schon schräg. IPv6 humpelt immer noch.

Neuen root server bei hetzner bestellt (EX40 im RZ 21), Debian-77-wheezy-64-minimal drauf. Erste Aktion die neuen IPs auf dns.he.net eingetragen, host erkennt sie sofort, also als naechstes ein ssh auf den neuen Vogel. Dauert, und dauert, und .. Ok, ssh -4 neuerVogel.domain.tld: zap ist er da.

Gleich ein ping6 heise.de und 

PING heise.de(redirector.heise.de) 56 data bytes
From Debian-77-wheezy-64-minimal icmp_seq=1 Destination unreachable: Address unreachable
From Debian-77-wheezy-64-minimal icmp_seq=2 Destination unreachable: Address unreachable
From Debian-77-wheezy-64-minimal icmp_seq=3 Destination unreachable: Address unreachable
^C
--- heise.de ping statistics ---
6 packets transmitted, 0 received, +3 errors, 100% packet loss, time 5030ms
 
Na fein, Tante Google findet mir serverfault.com/questions/477471/ipv6-only-works-after-pinging-the-default-gateway mit einer Problembeschreibung, die ich voll nachvollziehen kann. Nur die dort beschriebene Lösung bleibt hier wirkungslos.
Zahllose google/test/reboot - Zyklen später bleibt als Ergebnis meiner Recherche:
- verblüffend wenige Fundstellen. IPv6 scheint wirklich kaum jemanden zu interessieren.
- der einzige auf meinem Rechner funktionierende Weg ist, den im obigen Link beschriebenen Workaround
  ping6 -I eth0 -c3  fe80::1
mit etwas sleep davor und danach in /etc/rc.local zu packen. slep 1 war zu wenig, sleep 10 tuts scheinbar.
 
Das ist doch kaum zu glauben, dass das Hetzner/debian - Image IPv6 nicht auf Anhieb klaglos hinbekommt sondern ich eine solche Krücke einsetzen muss! 
Vor gefühlt 10+ Jahren habe ich mir IPv6-Tunnel von sixxs und später he.net auf Hetzner-Server gelegt und die waren schneller benutzbar konfiguriert als das 'native' heute ...
 
 

ssh mit chroot für ausgewählte Benutzer

Saturday, December 27. 2014

 Es gibt da eine aufmunternd kurze und im ersten test auch prompt funktionierende Anleitung, wie man für bestimmte user den ssh - Zugang in einen chroot jail lenken kann.

allanfeid.com/content/creating-chroot-jail-ssh-access

Einen Mangel sehe ich derzeit:

cd ~
#: cd: /var/jail/home/test-ssh: No such file or directory
 
Lösung: Das Problem war hier, dass für den user test_ssh als home-verzeichnis eben der absolute Pfad eingetragen war. auf /home/tet_ssh verkürzt klappt es wie erwartet.
 
Dass nächste Problem war, dass nach dem Kopieren von .bashrc und .bash_profile der Prompt  PS1="[\u@\h:\l \W]\\$ "  zu dieser Ausgabe führte:
[I have no name!@server:tty ~]$
Den Grund, weshalb \u nicht aufgelöst wird, habe ich nicht gefunden, aber den Workaround, stattdessen $USER einzutragen.
 
mc liess sich aufrufen, fand aber seine default - Skin nicht und verstand die Pfeiltasten der Tastur nicht. Ich musste im jail /usr/hare/mc und /usr/share/terminfo ergänzen. 
 
Damit auch scp gelingt, musste ausser /usr/bin/scp und den libs, die l2chroot kopiert, noch /lib64/libnss_files.so.2 kopiert werden, und ein symlink von /bin/bash auf /bin/sh war auch nötig. 
 
Ich habe anschliessend www.little-idiot.de/ChrootEntkommen.pdf nachzuvollziehen versucht, aber weder mit direktem scp noch verpackt in ein tar ist es mir gelungen, eine Datei mit root als owner in den jail zu kopieren. 
 
 
 

3d

Thursday, December 18. 2014

Ich habe hier einen vor 10 Tagen gelieferten Up! mini neben mir, Tchibo hat ihn für 499.- im Angebot.
Noch eine 15% Rabattaktion eingerechnet hat mich das Teil 425.- gekostet.

Das ist eine aehnliche Preisregion wie meine erste Festplatte (30 MB von Vobis), meine erste Soundkarte, CD-Rom,...
In all den Fällen war es fraglich gewesen, ob der Gegenwert die Ausgabe rechtfertigt, mit etwas mehr Geduld haette ich viel sparen können. Ausschlaggebend war jeweils eher das Verhaeltnis von Haben-will zu Leisten-können.

Der Up! mini: Riesenpaket!, auspacken, anstöpseln, Treiber installieren, Modell saugen, drucken - geht.
Qualität: rillig.

Kleine Figurinen, 15 selbstgestaltete Formen zum Keks ausstechen, eine Replik des Wohnungsschlüssels, die ich vom Schlosser nicht bekomme, weil der so alte Rohlinge gar nicht mehr führt. Das sind alles Dinge, die ich auf alternativen Wegen kaum (Ishtar aus British Museum), nicht so (die Keksformen) oder gar nicht bekommen konnte.

Insoweit ist die Frage nach der Wirtschaftlichkeit dieser Anschaffung nicht leicht zu beantworten.
Alternativlösungen sind an den drei Beispielen eben nicht wirklich gleichwertig, ein Gipsabdruck der Ishtar wäre mir als Ding mehr wert, aber Recherche, Kauf, Versand kommen leicht auf eine Summe, wo ich schlicht verzichten würde.
Pacman, Pinguin-, Apfellogo-Keksformen kann ich für 3.50 mit irgendwas anderem substituieren, aber eben nicht das und nichts Selbstgemachtes.
Und ein neues Schloss für die Wohnungstür würde mehr wert sein als mein schneller Notbehelf; wenn ich aber Kauf und Einbau hier aufrechne, hat sich der kleine Drucker fast schon amortisiert...

So, den Sinn sehe ich eigentlich gerade in der Zusätzlichkeit, also im Erzeugen von Dingen, die ich so sonst nicht bekommen könnte. Wie weit ich diesen Aspekt nutzen kann, hängt dabei aber noch von anderen Faktoren ab (zB meiner Geschicklichkeit mit FreeCAD, der Verfügbarkeit von cc-Modellen) ab. Tendenziell von der Größe des Marktes.

Mit meiner Kaufentscheidung gebe ich einem neu entstehenden Marktsegment Energie. So wie seinerzeit der 30MB-HDD, dem 1x-CD-Laufwerk, der grottigen Soundkarte. Das haben Zigtausende so wie ich gemacht, mit dem Ergebnis, dass die Hersteller Luft hatten, peu a peu wirklich brauchbare Produkte der Art zu entwickeln.

Wenn man sich also fragt:
- Kann ich mit der Anschaffung Geld sparen? dann ist die Antwort: fraglich, eher nein.
- Kann ich mit der Anschaffung etwas lernen? : 3d-CAD, aber hallo
- Kann ich mit der Anschaffung mich selbst verwirklichen? : wenn in dir ein Bastler oder ein Künstler ist, und du einen Weg in's 3d-design findest, dann ja
- Kann ich mit der Anschaffung angeben? : definitiv ja, sogar die Töchter geben damit an, dass ich sowas habe/mache.

Was zB fehlt:
- Materialkunde. Mein Drucker kann ABS und PLA, eine Spindel mit 700gr. ABS liegt bei. Was ist das für Zeug, Vorteile, Nachteile, Risiken? Das Handbuch verliert zu dem allen kein Wort, Google findet mir die Kunststoffpyramide und Greenpeace listet ABS als - nach PVC und anderem chlorierten Zeugs - zweitschlimmste Sorte Plastik. In der Erläuterung steht, dass bei ABS das Problem gerade die schlechte Recyclebarkeit ist, da die jwlg. Zusammensetzungen so unterschiedlich sind. Genau deshalb sollte jeder Hersteller zum Recycling der Reste seines Produktes verpflichtet sein.
- Hersteller-Recycling. Jeder Spule Filament sollte ein Beutel mit "Gebühr bezahlt Empfänger" / Herstelleradresse für die Reste beiliegen. Davon erzeugt man naemlich unvermeidlich eine ganze Menge, selbst ohne Fehldrucke, zu jedem Ding gibt es einen Sockel (Raft), Stützstrukturen, Krusten auf dem 'Bett'. 

 

 I have a problem with the keyboard mapping in virtualbox guests. 

A number of keys show no action at all or turn out wrong symbols and changing the keyboard layout settings in the guest does not fix it.
Both the host and the guest run in 64 Bit.
The problem occurrs both in windows and linux guests.
On the host I tried Debian 7 with XFCE, Trinity and LXDE and I checked both the virtualbox 4.1 that comes with the distro as well as the current 4.2 installed from the wheezy backports.
I started all new then, with centos 6.4, Gnome desktop. Same issue appeared with virtualbox 4.2 installed from the virtualbox.repo
This is on a remote server which I access through vnc (tightvnc on debian and tigervnc on centos, local client is KRDC)
 
I have a German keyboard layout but I prefer to have the box run in English.
 
On centos 
cat /etc/sysconfig/keyboard
 
KEYTABLE="de"
MODEL="pc105"
LAYOUT="de"
KEYBOARDTYPE="pc"
 
LANG=en_US.UTF-8
 
All is well accessing the machine via ssh, yz at the right places, umlauts and all the symbols at the right place and available. 
All is well still accessing the host through vnc. I open Gedit and doing the same tests as above there is no problem.
In the guest however testing with a linux mint live cd, while zy still have the correct place some keys show no activity, including the key right of the P (udiaeresis Udiaeresis) and the keys right of L that should give odiaeresis and adiaeresis. The key to the left of the 1 and the key to the right of the 0 show no action. 
Other keys including the shift values of 3,7,0 and the symbol-keys on the right side have wrong output.
 
On the linux mint guest I checked the key codes with xev and those keys that show no activity apparently do not evoke a key event when hit. I can type üöäß as long as I want in the guest and xev wont output a single line.
 
Going back to the linux host xev running there outputs:
 
KeyPress event, serial 33, synthetic NO, window 0x3c00001,
root 0xfc, subw 0x0, time 13158645, (431,15), root:(433,68),
state 0x2000, keycode 219 (keysym 0xfc, udiaeresis), same_screen YES,
XLookupString gives 2 bytes: (c3 bc) "ü"
XmbLookupString gives 2 bytes: (c3 bc) "ü"
XFilterEvent returns: False
 
KeyRelease event, serial 33, synthetic NO, window 0x3c00001,
root 0xfc, subw 0x0, time 13158781, (431,15), root:(433,68),
state 0x2000, keycode 219 (keysym 0xfc, udiaeresis), same_screen YES,
XLookupString gives 2 bytes: (c3 bc) "ü"
XFilterEvent returns: False
 
KeyPress event, serial 33, synthetic NO, window 0x3c00001,
root 0xfc, subw 0x0, time 13171357, (431,15), root:(433,68),
state 0x2000, keycode 255 (keysym 0xf6, odiaeresis), same_screen YES,
XLookupString gives 2 bytes: (c3 b6) "ö"
XmbLookupString gives 2 bytes: (c3 b6) "ö"
XFilterEvent returns: False
 
KeyRelease event, serial 33, synthetic NO, window 0x3c00001,
root 0xfc, subw 0x0, time 13171481, (431,15), root:(433,68),
state 0x2000, keycode 255 (keysym 0xf6, odiaeresis), same_screen YES,
XLookupString gives 2 bytes: (c3 b6) "ö"
XFilterEvent returns: False
 
KeyPress event, serial 33, synthetic NO, window 0x3c00001,
root 0xfc, subw 0x0, time 13174995, (431,15), root:(433,68),
state 0x2000, keycode 254 (keysym 0xe4, adiaeresis), same_screen YES,
XLookupString gives 2 bytes: (c3 a4) "ä"
XmbLookupString gives 2 bytes: (c3 a4) "ä"
XFilterEvent returns: False
 
KeyRelease event, serial 33, synthetic NO, window 0x3c00001,
root 0xfc, subw 0x0, time 13175522, (431,15), root:(433,68),
state 0x2000, keycode 254 (keysym 0xe4, adiaeresis), same_screen YES,
XLookupString gives 2 bytes: (c3 a4) "ä"
XFilterEvent returns: False
 
KeyPress event, serial 33, synthetic NO, window 0x3c00001,
root 0xfc, subw 0x0, time 13179885, (431,15), root:(433,68),
state 0x2000, keycode 253 (keysym 0xdf, ssharp), same_screen YES,
XLookupString gives 2 bytes: (c3 9f) "ß"
XmbLookupString gives 2 bytes: (c3 9f) "ß"
XFilterEvent returns: False
 
KeyRelease event, serial 33, synthetic NO, window 0x3c00001,
root 0xfc, subw 0x0, time 13180045, (431,15), root:(433,68),
state 0x2000, keycode 253 (keysym 0xdf, ssharp), same_screen YES,
XLookupString gives 2 bytes: (c3 9f) "ß"
XFilterEvent returns: False
 
=================================
 
So I got it working in the end. There was a bug discussion on virtualbox with helpful info about the way virtualbox handles keyboard input:

I will quickly sumarise how we handle keyboard translation on X11 hosts. In fact we have two algorithms for doing this. The first one, which is the preferred one, is to try to determine whether one of the two standard X.Org PC mappings is in use (kbd or evdev). We do this by checking the keycodes of certain keys that are not likely to vary - like the left side modifier keys, tab, the first eight function keys - and seeing if they match one of the well-known mappings (and we do check for swapped ctrl and caps lock). If they do, we use that mapping, but certain custom keyboard layouts, like Neo and probably like your Dvorak layout, defeat this.

The second algorithm originally came from Wine, although a lot of work has gone into it since then. It works by reading the symbols attached to each keycode and comparing them to standard national layouts, and working back from there to the keyboard mapping. This is needed in particular for Sunray and I believe for X over ssh and VNC (although I should probably add Sunray to the standard layouts).

So this confirmed my suspicion that virtualbox performed some weird voodoo based on what it sees as the keyboard settings. And while all looked well judging from typing on the machine, both in a ssh shell or via vnc and X, I found rather strange tables with Xmodmap -pke . 
I created a valid xmodmap on my desktop box, shortened it to only contain those keys I actually need and use and put that into a file on the remote machine. 
I edited the ~/.vnc/xstartup script of the user who runs the vnc server to include the line 
xmodmap custom-modmap
at the top. And that made the difference.

I will not pretend to understand how things actually work together, my desktop, the remote machine, the xmodmap all use and are set to a German keyboard and still virtualBox now starts and presents an English keyboard to the guest machines. But this is something the guests are happy to remap to German and at least each keypress results in a key event now.

« previous page   (Page 4 of 35, totaling 173 entries) » next page