Tim Schumacher

Sauerteigbrot

Sun, 18 Feb 2024 00:00:00 +0000

Hier ein Bild von meinem Sauerteigbrot:

Inhalte:

Roggensauerteig
300g Emmervollkornmehl
400g Weizenmehl 550
20g Salz

Nachtrag zum FrOSCon Vortrag „Matrix Server Setup“

Sat, 21 Aug 2021 00:00:00 +0000

Ich habe heute auf der FrOSCon einen Vortrag wie man mittels matrix-docker-ansible-deploy einen Matrix-Server aufsetzt.

Das Video werde ich hier auch mal noch verlinken, wenn es denn da ist.

Der Server unter froscon.datenknoten.me war innerhalb von 30 Minuten schnell aufgesetzt. Aber an der Föderation hat es dann gehapert. Das Problem war, das Matrix zur Förderation eine spezielle Datei /.well-known/matrix/server abfragt, aber unter der Domain nichts ausgeliefert wurde. Schlimmer noch, es wurde ein Zertifikat für matrix.froscon.datenknoten.me präsentiert, das dann zu Zertifikatsfehlern geführt hat. Des Rätsels Lösung war dann, das man dem Playbook sagen muss das es auch die Wurzeldomain froscon.datenknoten.me bespielen soll. Das kann man über die Variable matrix_nginx_proxy_base_domain_serving_enabled steuern. Wenn man diese auf true setzt, funktioniert die Föderation. Blöd nur das die ganzen anderen Server relativ stark cachen und das Problem dann noch einige Stunden weiter besteht.

So in der Retrospektive wäre es sinniger gewesen, den Vorgang von Anfang bis Ende im vorhinein mal durchzuspielen. Ich hätte aber auch die Dokumentation ordentlicher lesen könen, das hätte mich auch davor gerettet. Auf der Dokumentations-Seite zur Installation steht ja explizit:

Now that services are running, you need to finalize the installation process (required for federation to work!) by Configuring Service Discovery via .well-known (Hervorhebung von mir)

.zshrc config

Thu, 29 Apr 2021 00:00:00 +0000

Hier ein paar nette Sachen aus meiner .zshrc mit Kommentaren.

bindkey "^P" history-beginning-search-backward-end
bindkey "^N" history-beginning-search-forward-end
autoload -U history-search-end
zle -N history-beginning-search-backward-end history-search-end
zle -N history-beginning-search-forward-end history-search-end

Das erlaubt mir meine Shell-Historie relativ einfach zu durchsuchen. Ich weis z.B. das ich irgendwas mit ip addr machen will und das es ein Befehl ist, den ich in der Vergangenheit schonmal ausgeführt hab. Dann tippe ich ip ad und drücke dann C-p und es kommt bei der Verfollständigung ip addr show dev eth0 | grep 'inet ' raus.

alias -g G=' | grep'
alias -g L=' | bat'
alias -g H=' | head'
alias -g T=' | tail'

Diese Aliase erlauben mir die gängigen Pipe-Befehle vereinfacht zu schreiben. So wird aus ip addr show dev eth0 | grep 'inet ' dann ip addr show dev eth0 G 'inet ' was ein erhöhter Schreibkomfort ist. bat ist übrigens ein ganz netter Ersatz für less.

Eine Einführung in Scuttlebutt

Sun, 08 Apr 2018 00:00:00 +0000

„Scuttlebutt“ ist ein dezentrales und autonomes soziales Netzwerk. Dieses möchte ich hier vorstellen. Dafür werde ich zuerst ein paar Begriffe erklären, darauffolgend das Protokoll vorstellen und zum Schluss einige Anwendungen zeigen, die es gibt.

Begriffe

„soziales Netzwerk“ — „dezentral“ — „autonom“ — „Scuttlebut“

Ein soziales Netzwerk kann als eine Assoziation von Menschen verstanden werden, die auf verschiedene Arten miteinander kommunizieren. Es ist wichtig anzumerken, dass in einem sozialen Netzwerk die Menschen im Fokus stehen und weniger die Kommunikationsweise selbst.

Dezentral heißt hier, dass es keine zentrale Autorität gibt, die bestimmt, welche Inhalte für das Netzwerk relevant sind.

Autonom bedeutet, dass die Software auch ohne Internet funktioniert, da die Benutzer direkt miteinander kommunizieren können, zum Beispiel über Freifunk, Bluetooth oder ein lokales Netzwerk.

Der Begriff „Scuttlebutt“ kommt aus der englischen Seemannssprache. Ein „Scuttlebutt“ ist eine Tonne mit Trinkwasser, an der sich Seeleute bedient haben. Da diese Tonne ein Treffpunkt für die Seeleute war, wurden dort auch Informationen ausgetauscht. Das soziale Netzwerk „Scuttlebutt“ ist im übertragenen Sinn die Wassertonne, an welcher sich die Menschen treffen und ihre Neuigkeiten austauschen.

Protokoll

In erster Linie ist „Scuttlebutt“ ein Protokoll. Ein Protokoll ist ein definierter Satz von Regeln, die die Kommunikation zwischen zwei Maschinen festlegt.

Dieses basiert auf dem „Gossip Protocol“. Eine vereinfachte Erläuterung geht so: In einem fiktiven Büro trifft Anja einen ihrer Freunde Felix in der Küche und tratscht darüber, dass Tim sehr verwildert aussieht, weil er seit Tagen seinen Bart nicht gepflegt hat. Etwas später trifft Felix seine Freundinnen Wilma und Isa in der Küche und tratscht weiter, dass Tim seinen Bart nicht pflegt. So haben Wilma und Isa die Information erhalten, obwohl sie nicht direkt mit Anja geredet haben. Bei „Scuttlebutt“ läuft das ähnlich, nur wird mit „Kryptographie“ sichergestellt, dass die Informationen von Anja auch wirklich von ihr stammen und vollständig sind. Da die Rechner der meisten Personen im Internet nicht von anderen Rechnern erreichbar sind, können die Rechner nicht direkt miteinander kommunizieren, sondern brauchen einen Mittelsmann. Im „Scuttlebutt“-Universum nennt man diesen gemeinsamen Treffpunkt den „Pub“, englisch für Kneipe. Die Kneipen werden von Individuen getragen, so betreibe ich auch eine Kneipe unter pub.datenknoten.

Meistens werden Protokolle in Bibliotheken programmiert, damit Anwendungen diese Bibliotheken benutzen können und jedes Programm das komplette Protokoll implementieren muss. Implementierungen des Protokolls sind die Bibliotheken scuttlebot für JavaScript-Projekte oder auch ssb-client-rs für Rust.

Soziales Netzwerk

Ich habe bisher ja eher den technischen Bereich beschrieben, wieso soll das ganze jetzt ein soziales Netzwerk sein? Im Kern von Scuttlebutt kann man Nachrichten und Dateien austauschen. Es gibt jetzt Programme wie Patchwork oder auch Patchbay die bestimmte Nachrichten-Typen verarbeiten. Der aktuelle Konsens sind folgende Typen:

post
about
contact
vote

post ist ein Artikel, der aus Markdown besteht und in dem man auch andere Nachrichten oder Dateien verlinken kann. Eine post-Nachricht kann auch ein Kommentar auf einen anderen Artikel sein.

Der about Nachrichten-Typ erlaubt es hier, sich selbst zu beschreiben. Man kann hier einen Namen, ein Bild oder einen Beschreibungstext hinterlegen.

Mit contact deutet ein Mensch an, ob er einem anderen Konto folgt oder blockiert.

Zum Schluss gibt es noch vote. Mit diesem Nachrichten-Typ kann man andere Nachrichten beurteilen. Der Wert +1 ist um Zustimmung zu einem zu bekunden. Mit dem Wert 0 kann man ein vorher gemachte +1 Abstimmung rückgängig machen. Der Wert -1 wird momentan nicht genutzt, es ist geplant damit Nachrichten zu markieren, z.B. das es sich um Spam oder unsachgemäße Kommunikation handelt.

Ein Programm kann seinen eigenen Nachrichten-Typ implementieren, dieser wird auch durch das Protokoll an andere Benutzer weitergereicht. Wenn das Programm des Benutzers damit nichts anfangen kann, dann wird die Nachricht nicht angezeigt.

Fazit

Insgesamt finde ich “Scuttlebutt” als Medium zur medialen Vernetzung sehr interessant, weil die Grundidee dem realweltlichen Sozialverhalten anlehnt. Auch auf der technischen Entwicklungsebene beobachte ich Veränderungen und bin sehr gespannt, was die nächste Zeit so bringen wird.

Viel Spaß mit „Scuttlebut“!

TypeScript 2.8 RC

Sun, 25 Mar 2018 00:00:00 +0000

Am 2018-03-15 wurde der erste „release candidate“ von TypeScript 2.8 veröffentlicht.

Für mich sind folgende Features relevant:

Conditional Types
Granular Control on Mapped Type Modifiers

Conditional Types

Hiermit kann ich den Typen eines Ausdrucks zur Compile-Zeit dynamisch bestimmen. Benutzt werden dazu der ternären Auswahloperator ?:.

Hier ein Beispiel aus dem oben erwähnten Artikel:

type IdOrName<T extends number | string> =
    T extends number ? Id : Name;

declare function createLabel<T extends number | string>(idOrName: T): IdOrName<T>;

let a = createLabel("tim");         // Name
let b = createLabel(42);            // Id
let c = createLabel("" as any);     // Id | Name
let d = createLabel("" as never);   // never

Zuerst wird der Typ IdOrName definiert, der einen Typparameter T extends number | string hat. Dieser besagt, dass T entweder ein String oder eine Zahl sein kann und definiert sich dann über den „Conditional Type“. Wenn T vom Typen number ist, dann ist der Typ IdOrName<T> vom Typen Id in fast allen anderen Fällen vom Typen Name. Als nächstes wird die Funktion createLabel erzeugt, um ein paar Beispiele zu zeigen. Die Funktion hat einen Typparameter T, der nur number oder string sein kann und benutzt diesen im Parameter idOrName über den sich dann auch der Rückgabetyp IdOrName<T> ergibt. Gibt man den Wert 42 für den Parameter idOrName ein, !!! so ist der Rückgabetyp den effektiven Typen Id. Für die Werte "tim", [] oder auch {} würde der effektive Typ Name zurückgegeben werden. Es gibt 2 Sonderfälle, zum einen der Typ any, der alle Werte annehmen kann, entsprechend ist hier der effektive Typ auch Id | Name, das heist es ist der Typ Id oder Name. Zum anderen gibt es noch den Typen never. Dort wird der effektive Typ von IdOrName<T> zu never.

Granular Control on Mapped Type Modifiers

Als zweites neues Feature gibt es „Granular Control on Mapped Type Modifiers“. Damit kann man die readonly Eigenschaft und die undefined-Spezifität in Typen ändern, die einen Index-Accessor für das Objekt bereitstellen. Hier das Beispiel aus dem original Blog-Artikel:

interface Foo {
    readonly abc: number;
    def?: string;
}

type Props<T> = {
    [P in keyof T]: T[P]
}

// All modifiers are copied over.
// 'abc' is read-only, and 'def' is optional.
type IdenticalFoo = Props<Foo>

Wir haben hier das Interface Foo, das die readonly-Eigenschaft abc und die optionale Eigenschaft def besitzt. Jetzt definieren wir den Typen Props mit den generischen Parameter T, der einen Index-Access bereitstellt. Als Index sind nur Attribute des Typen T erlaubt und der Accessor gibt auch die Werte einfach so zurück. Aus diesem Grund verhält sich der Typ IdenticalFoo genau so wie das Interface Foo. Soweit so gut, jetzt die Neuerung:

type Mutable<T> = {
    -readonly [P in keyof T]: T[P]
}

interface Foo {
    readonly abc: number;
    def?: string;
}

// 'abc' is no longer read-only, but 'def' is still optional.
type TotallyMutableFoo = Mutable<Foo>

Durch die Angabe von -readonly beim Typen Mutable wird nun die Eigenschaft readonly des Interfaces ignoriert. Auch hinzugekommen ist, dass man optionale Felder zu erforderlichen Feldern machen kann:

/**
 * Make all properties in T required
 */
type Required<T> = {
    [P in keyof T]-?: T[P];
}

Neben dem Entfernen der Eigenschaften von Attributen, kann man sie auch wieder hinzufügen:

/**
 * Make all properties in T optional
 */
type OptionalReadonly<T> = {
    +readonly [P in keyof T]+?: T[P];
}

Fazit

Es gibt noch ein paar mehr Änderungen im Bereich JSX. Da ich diese aktuell nicht anwende, hat das für mich derzeit keine Relevanz. Das könnte sich mit Stencil allerdings ändern.

Insgesamt bin ich mit der Entwicklung von TypeScript weiterhin sehr zufrieden.

Gajim 1.0

Sun, 18 Mar 2018 00:00:00 +0000

Gestern, der 2018-03-17, wurde Gajim 1.0 veröffentlicht. Diese Version befand sich 5 Jahre in der Entwicklung und das Hauptaugenmerk war der Wechsel von Python 2 auf 3 und GTK 2 auf 3. Vom Äußerlichen hat sich nicht sooo viel geändert, aber ich hoffe mal das hier als nächstes die Hand angelegt wird, denn schön ist Gajim immer noch nicht so richtig. Aber es ist der beste und wichtigeste XMPP-Client, den es zur Zeit auf dem Desktop-Markt gibt. Eine Entscheidung, die ich als wichtig und gut empfinde, ist, dass das OTR-Plugin nicht portiert wurde und stattdessen der Fokus auf OMEMO gelegt wurde.

Ich wünsche dem Gajim-Projekt viel Erfolg auf ihrem Weg zu einem der besten XMPP-Clients, die es da draußen gibt.

Was zum Docker

Fri, 23 Feb 2018 00:00:00 +0000

Ein guter Freund von mir berichtete, dass er seit einem Docker-Update einen PostgreSQL-Container nicht mehr starten konnte, ihn deshalb löschen musste und dann seine Daten verloren gingen. Datenverlust ist nie lustig und aus diesem Grund will ich dem geneigten Leser einige Erfahrungen mit auf den Weg geben, die ich in den letzten anderthalb Jahren bei meinem Arbeitgeber sammeln konnte.

Container sind zustandslos und unveränderbar

Was heißt „zustandslos“?

Zwar verhält es sich nicht immer so, dass Container zustandslos und unveränderbar sind, aber man sollte sie dennoch so betrachten. Damit wird dann die Frage aufgeworfen, wenn der Zustand der Anwendung nicht im Container gespeichert wird, wo wird er dann gespeichert? Das Handbuch gibt hier zwei Möglichkeiten vor:

Volumes
Bind-mount

docker volumes

Volumes sind laut Dokumentation der präferierte Weg den Zustand eines Containers zu persistieren. Meine persönliche Erfahrung ist eine andere. Ich benutze lieber bind mounts, da hier keine Verwaltung von nöten ist. Volumes kann ich auch wesentlich einfacher aus Versehen löschen, ein Ordner im Dateisystem erfordert mehr Aufwand.

bind mounts

Mittels eines „bind mounts“ kann ich auf einem Linux-System einen Ordner auf einen anderen Ordner zeigen lassen, so dass beide über den selben Inhalt verfügen. So kann ein Ordner auf dem Hostsystem und in dem Docker-Container den selben Inhalt besitzen. Dadurch wird der Zustand des Containers außerhalb des Containers gespeichert und man kann ihn mit seinen regulären Werkzeugen sichern und beobachten.

Was heißt „unveränderbar“?

Nachdem ich nun den Zustand der Datenbank außerhalb des Containers speichere, gilt es die zweite Eigenschaft „unveränderbar“ (engl immuteable) zu betrachten. Es ist zwar möglich einen Container zu bearbeiten, aber spätestens wenn man diesen Container löscht oder einen zweiten anlegt, wird sich das rächen, da die Änderung weg ist. Willst du wirklich eine Änderung an einem Container vornehmen, empfiehlt es sich, das dem Container zugrunde liegende Abbild zu modifizieren und in ein eigenes abzuspeichern.

Aber ich kann doch nicht den Container löschen

Was mich am meisten verdutzt an der Aussage des Freundes war, dass das Löschen eines Containers so ein großer Akt ist. Auf Arbeit mache ich das ständig. Das liegt primär daran, dass wir mit docker-compose arbeiten und dies selbst für jeden kleinsten Dienst. Das Arbeiten mit compose hat den großen Vorteil, dass die Konfiguration der Docker Container in einer YAML-Konfigurationsdatei gespeichert ist und diese Datei über GIT versioniert ist.

Einen Dienst mit `docker-compose` einrichten

Privat benutze ich für ein Projekt odoo und verwende docker-compose für die Konfiguration der Anwendung. Hier meine komplette docker-compose.yml:

version: '2'
services:
  web:
    image: odoo:10.0
    depends_on:
      - db
    volumes:
      - ./data:/var/lib/odoo
      - ./config:/etc/odoo
      - ./addons:/mnt/extra-addons
    ports:
      - "127.0.0.1:18069:8069"
    environment:
      - HOST=db
      - USER=odoo
      - PASSWORD=somethingrandom
  db:
    image: postgres:9.6
    volumes:
        - ./postgres:/usr/local/var/lib/postgresql
    environment:
        - "PGDATA=/usr/local/var/lib/postgresql"
        - "POSTGRES_PASSWORD=somethingrandom"
        - "POSTGRES_USER=odoo"

Ich habe hier 2 Container definiert. Einmal den Container web für die Anwendung an sich, in diesem Fall habe ich mit image: odoo:10.0 ein Image aus dem Hub angegeben. Man könnte aber auch ein Dockerfile angeben, dann würde docker-compose zuerst das image bauen. Als nächstes habe ich mit depends_on definiert, dass der Container web von dem Container db abhängig ist. Das bedeuted auch, dass zuerst db gestartet wird und dann web. Ob die PostgreSQL-Datenbank so schnell hoch fährt, dass sie bereit ist, wenn die Anwendung sie benötigt ist unter Umständen nicht gegeben, kann also je nach Anwendungen zu Problemen führen und sollte im im Hinterkopf behalten werden. Im Fall von Odoo ist das allerdings kein Problem. Die Abhängigkeit bietet auch den Vorteil das compose einen Eintrag in der Datei /etc/hosts vornimmt, so dass man den Datenbank-Container mit seinem Namen referenzieren kann. Mit dem Eintrag volumes spezifiziere ich 3 bind mounts, die von dem lokalen Dateisystem in das Container Dateisystem zeigen. Über das Schlüsselwort ports kann ich Port-Weiterleitungen von dem Host-System in dem Container erstellen. Dabei sollte man beachten, dass man Ports immer lokal bindet und nicht auf allen Geräten zur Verfügung stellt. Über environment kann man zusätzliche Umgebungsvariablen in den Container reinreichen. Bei dem PostgreSQL-Image gibt es z.B. einige Variablen, mit denen man das Image konfigurieren kann.

Man startet die Komposition mit dem Befehl up:

`1`	`$ docker-compose up`

Wenn das System ordentlich hochfährt, kann man es mit STRG+C beenden und dann mit dem parameter -d starten, damit es im Hintergrund verschwindet:

`1`	`$ docker-compose up -d`

Will man die Dienste runterfahren, gibt es den Befehl down:

`1`	`$ docker-compose down`

Dabei werden sogar etwaige Container schon gelöscht. Aber da der komplette Zustand der beiden Container außerhalb im aktuellen Verzeichnis des Host-Systems gespeichert wird, ist das alles kein Problem.

Fazit

Alles in allem hoffe ich, dass ich darlegen konnte, wieso Container zustandslos (stateless) und unveränderbar (immuteable) sein sollen. Zusätzlich sollte man sich immer bei Docker überlegen, wo sich die Daten befinden. Es ist nämlich schnell und sehr leicht passiert, dass die Daten im Container sind, weil man sich das Image nicht genau angesehen hat oder sich auch einfach nicht überlegt hat, wo die Daten sein könnten.

Home 2001 - Hold

Sun, 18 Feb 2018 00:00:00 +0000

In der letzten 2 Wochen gefühlt konstant in Dauerschleife.

Ghost in the Shell Live Action Review

Sat, 17 Feb 2018 00:00:00 +0000

Heute habe ich mir die Live Action Fassung von „Ghost in the Shell“ angesehen. Die Kurzzusammenfassung: Nettes Popcorn-Kino, aber bleibt weit hinter den Erwartungen zurück.

Die Handlung des Films ist generisches Science Fiction und bietet nicht die Tiefe, die ich von einem GITS-Franchise-Produkt gewohnt bin. Gerade die animierten Filme und Serien aus Japan bieten wesentlich mehr Tiefgang und sprechen auch die wichtigen Cyberpunk-Fragen an, I’m looking at you Solid Sate Society.

Die Charakter des Films sind nur ein Abklatsch dessen, was sie in dem Animé-Universum darstellen. Dazu muss ich allerdings etwas ausholen: „Public Security Section 9“ ist eine geheime Abteilung aus Spezialisten, die sich um die Abwehr von Gefahren aus dem „Cyberspace“ kümmert. Mein Punkt ist, dass alle Charaktere sehr viel Erfahrung haben mit dem was sie tun und das kommt im Animé auch so rüber. Im Film hingegen wissen die Charaktere zwar wie man mit Waffen umgeht, aber es wird nicht der Eindruck erweckt, dass es sich um gestandene Kriegs-Veteranen handelt. Den größten Beef habe ich mit dem Major, der nur eine leere Hülle seiner selbst ist. Im Quellmaterial ist der Major ein „Major Badass“, im Film hingegen wirkt sie eher schwach und verletzlich.

Auch wenn die Bilder sehr in das Universum passen, so wurden die besten Bilder aus dem Animé hier wiederverwendet in die Bildsprache des Films umgewandelt, was nicht sonderlich kreativ ist.

Mein Fazit: Mehr Sektion 9, weniger persönliche Geschichte, denn die ist im Quellmaterial auch nicht die größte Stärke. Auch wäre mehr Mut zur Kreativität besser gewesen, anstatt alle guten Szenen aus dem Animé einfach zu kopieren, das Franchise hätte das geboten. Ich kann nur Empfehlen, sich den ersten Film anzusehen, auch wenn die Veröffentlichung inzwischen 23 Jahre her ist, ist er keinen deut alt geworden. Das Thema ist immer noch hoch aktuell und zeigt wie visionär er gewesen ist.

Über mich

Sun, 24 Sep 2017 00:00:00 +0000

Ich bin ein ornitologisch begeisterter Softwarewentickler und Systemarchitekt aus dem Rheinland, den es für das Studium nach Jena (Thüringen) verschlagen hat und gemeinsam mit der großen Liebe wieder in die Heimat zurückgegkehrt ist. Ich gehe gerne wandern, programmiere viel in meiner Freizeit, unterstütze Freunde und meine Netzwerpartner bei interessanten Projekten, höre abstruse Musik und auch sonst habe ich viel Spaß am Leben :)

Wenn du in meinem Blog einen Rechtschreibfehler findest, kannst du gerne einen Pull-Request stellen.

Kontakt

Matrx: @tim:schumacher.im

E-Mail: tim@datenknoten.me (Verschlüsselt)

Im Cyberspace bin ich hier:

@0xAFFE

@enko

Amazon

Mamorkuchen

Sun, 15 May 2016 00:00:00 +0000

Mein Rezept für einen kleinen, aber feinen Mamorkuchen:

280g Mehl (Eigentlich Weizenmehl, aber Dinkel geht auch gut und ist meine Wahl)
1 Päckchen Backpulver
2 Eier
260g Milch
80g Butter
140g Zucker

Die Zubereitung dann so:

Die Butter in einem kleinen Topf bei niedrigster Stufe zerlaufen lassen.
Während die Butter zerläuft, kann man Mehl und Backpuler mit einem Zerstäuber zerstäuben.
Dann den Zucker noch unter das Mehl heben.
Die flüssige Butter in ein anderes Behältniss tun und Milch und Eier dazugeben.
Dann mit einem Handmixer das Milch-Eier-Butter-Gemisch in die andere Schüssel einarbeiten.
Wenn der Teig ordentlich durchgerührt ist, zwackt man etwas von dem Teig ab und rührt Kakao unter bis der Teig die gewünschte Farbe hat. Wenn der Teig in dem Prozess zu fest wird, kann man noch etwas Milch nachgießen.
Dann den Ofen auf 180°C vorwärmen.
Jetzt eine Kastenform nehmen, mit Butter einreiben und dann noch Mehl in die Form geben, so dass das Mehl an der Butter kleben bleibt.
Zuerst gibt man den hellen Teig in die Form und danach verteilt man den dunklen Teig in der Mitte längst des hellen Teigs.
Zum Schluss kann man mit einem Löffel den hellen und dunklen Teig verwirbeln, je nachdem wie es gewünscht ist.
Der Kuchen braucht etwa 45 Minuten zum Backen.
Nach 10 Minuten kann man den Kuchen nochmal rausholen, um in der Mitte nochmal aufzuschneiden, damit er die bekannte Form bekommt.
Ich empfehle nach 30 Minuten alle fünf Minuten nach dem Kuchen zu sehen und wenn er einen guten Eindruck macht, mit einem langen Zahnstocher in den Kuchen reinzustechen. Eenn an dem Holzwerkzeug kein Teig mehr kleben bleibt, ist der Kuchen fertig.
Wenn der Kuchen fertig ist, lässt man ihn für 10 Minuten abkühlen.
Dann schneidet man am besten mit einem Messer den Kuchen vom Rand der Form ab, kippt die Form und lässt den Kuchen auf einen Backofenrost fallen. Das sorgt dafür, dass der Kuchen beim Abkühlen gut austrocknen kann und nicht so matschig ist.

Der fertige Mamorkuchen sieht dann so aus:

Archivist (s/t)

Mon, 16 Nov 2015 00:00:00 +0000

ARCHIVIST by Archivist

Main Concept - Wir Leben´s Lieber (feat. Boshi San)

Sat, 14 Nov 2015 00:00:00 +0000

Netzwerksetup über IPv6 Link Local und ansible

Tue, 10 Nov 2015 00:00:00 +0000

Folgende Problemstellung sei gegeben:

Man hat ein Image für eine Debian-Instalation, das man auf einem Rechner (Dabei ist es egal, ob echt oder virtuell) aufgespielt hat, kein Netzwerk definiert, man kennt aber die MAC-Adresse des Netzwerk-Interfaces und will jetzt das Netzwerk konfigurieren.

Die Lösung ist relativ einfach, da man über die MAC-Adresse die IPv6-Link-Local-Adresse berechnen kann, mit der man sich dann zum sshd des Rechners verbinden kann.

Ich zeige nun wie ich das Ganze über Ansible gelöst habe.

Meine Ordnerstruktur für mein Ansible-Setup sieht so aus:

. ansible.cfg
. hosts
/ host_vars
|--> . xmpp.int.datenknoten.me
/ playbooks
|--> . network.yml
|--> / filter_plugins
|----> . conv_mac2ll.py
/ templates
|--> network
|----> . interfaces
|----> . resolv.conf
|----> . sysctl.conf

Nun werde ich erklären, was die einzelnen Dateien tun.

Die Datei hosts sieht für dieses Beispiel so aus:

1
2

[linux_guests]
xmpp.int.datenknoten.me

In dem Ordner host_vars gibt es für jeden Host eine Datei. Für den Rechner xmpp.int.datenknoten.me sieht die Datei so aus:

1
2
3

---
id: 4
mac: 52:54:00:b8:e9:a1

Das Feld id enthält eine Zahl, die für die Berechnung der IPv4 NAT Adresse und der globalen IPv6 Adresse benutzt wird. Das Feld mac ist die MAC-Adresse des Rechners. Diese Adresse wird für die Berechnung der IPv6-Link-Local-Adresse benötigt.

Die Datei conv_mac2ll.py enthält ein Python-Skript, welches die eigentliche Berechnung vornimmt:

#!/usr/local/bin/python

def mac2ll(mac):
    mac = mac.split(":")
    mac.insert(3,'fe')
    mac.insert(3,'ff')
    mac[0] = str(int(mac[0]) ^ 6)
    return "fe80::%s:%s:%s:%s" % ("".join(mac[0:2]),"".join(mac[2:4]),"".join(mac[4:6]),"".join(mac[6:8]))


class FilterModule(object):
    ''' Ansible network jinja2 filters '''
    def filters(self):
        return {
            'mac2ll': mac2ll
            }

Mein eigentliches Playbook für den Netzwerkkram ist dadurch sehr übersichtlich:

---
- hosts: linux_guests
  vars:
    ansible_ssh_host: "{{ mac|mac2ll }}%vtnet0"
  tasks:
    - name: write sysctl.conf to the disk
      copy: src=../templates/network/sysctl.conf dest=/etc/sysctl.conf
    - name: write resolv.conf to the disk
      copy: src=../templates/network/resolv.conf dest=/etc/resolv.conf
    - name: write /etc/network/interfaces
      template: src=../templates/network/interfaces dest=/etc/network/interfaces
    - name: restart networking
      shell: "/sbin/ifdown eth0; /sbin/ifup eth0"

Da ich die Playbooks auf einer FreeBSD Kiste ausführe, heißt das Netzwerk-Interface hier vtnet0. Unter Linux heißt dieses aller Wahrscheinlichkeit nach eth0.

In der sysctl.conf deaktiviere ich das Router Advertisement Protocol, da ich alles hart verdrahte:

1
2

net.ipv6.conf.all.accept_ra=0
net.ipv6.conf.all.autoconf=0

Die Namensserver-Konfiguration ist jetzt auch nicht weltbewegend:

1
2

nameserver 192.168.122.9
search int.datenknoten.me

Und zum Schluss das Wichtigste, die Netzwerkkonfiguration:

auto lo
iface lo inet loopback

# The primary network interface
auto  eth0
iface eth0 inet static
  address   192.168.122.{{ id }}
  broadcast 192.168.122.255
  netmask   255.255.255.0
  gateway   192.168.122.1

iface eth0 inet6 static
  address 2a01:4f8:200:2265:3:100::{{ id }}
  netmask 112
  gateway fe80::5054:ff:fe9f:c3e4

Quarkbrötchen

Tue, 10 Nov 2015 00:00:00 +0000

Wer auf die Schnelle ein paar Brötchen backen will, dem kann ich folgendes Rezept empfehlen:

250g Quark
270g Mehl (Ich nehme meistens Dinkel, aber Roggenmehl geht auch gut. Hier kann man gut und gerne experimentieren.)
1 Päckchen Backpulver
2 Eier
1 Prise Salz

Die Zubereitung dann so:

Alle Zutaten in eine Schüssel geben. Mehl und Backpulver am besten mit einem Zerstäuber zerstäuben, damits nicht klumpt.
Mittels Handmixer mit Knethaken alles vermengen.
Eine seperate Schüssel mit Mehl bereitstellen.
Backblech mit Backpapier bereitstellen.
Den Backofen auf 180°C vorwärmen.
Die Hände leicht anfeuchten.
Ein Stück Teig herrausnehmen und zu einer Kugel formen.
Kugel im Mehl rollen und aufs Backblech legen.
Die letzten 3 Schritte so oft wiederholen, bis der Teig komplett verarbeitet wurde.
Das Blech in den Ofen schieben.
Die Brötchen brauchen etwa 30 Minuten bis sie fertig sind. Am besten alle 10 Minuten nachsehen, wie weit sie gediehen sind.

Die fertigen Brötchen sehen bei mir dann so aus:

Überprüfung des Ablaufdatums von DNSSEC gesicherten Zonen in Zabbix

Wed, 09 Sep 2015 00:00:00 +0000

Wenn man eine über DNSSEC gesicherte Zone betreibt, kennt man das Problem vielleicht: Man hat die Zone signiert, aber man vergisst nach den 30 Tagen eine neue Signatur zu erzeugen.

Ich habe mir dafür inzwischen einen Cronjob angelegt, der in regelmäßigen Abständen die Zone neu generiert. Aber es ist doch sinnvoll über Zabbix die Zonen zu überwachen, damit keine Domäne aus dem Raster fällt.

Ich habe dazu check-rrsig geschrieben, welches das Ablaufdatum der Signatur überprüft. Das Skript verlangt als Parameter einen Hostnamen, optional kann man noch einen anderen Resolver als der aus /etc/resolv.conf angeben und Debugmeldungen einschalten. Als erster Schritt wird zuerst der Hostname validiert, dazu verwende ich die Bibliothek Respect\Validation. Danach finde ich den Namensserver heraus, der den Hostnamen zu Verfügung stellt und frage diesen, über die Bibliothek net_dns2 direkt ab, da ich etwaige Caches umgehe, weil ich ja einen möglichst realistischen Wert haben will. Dann frage ich von dem Original den ersten RRSIG-Record ab und extrahiere bei diesem den Ablaufzeitpunkt. Dann bilde ich noch den Unterschied zwischen dem aktuellen Datum und dem Ablaufdatum, gebe es zurück und bin fertig.

Die Integration in Zabbix ist damit relativ einfach. Man schafft die phar-Datei auf dem Zabbix-Server nach /etc/zabbix/externalscripts. Nun kann mann ein Item entweder in einem Host oder in einem Template erstellen und das Skript über einen External Check abrufen und Werte erfassen lassen.

Mein VPN-Setup

Sun, 30 Aug 2015 00:00:00 +0000

Ziel dieses Artikel ist es, zu zeigen wie mein OpenVPN-Setup funktioniert, wie ich meine Clients konfiguriere und was das für Vorteile bringt.

Fangen wir mal mit dem ‘Warum’ an. Mein initiales Anliegen war in das virtuelle Netzwerk meines libvirt/KVM-Hostes einzusteigen, damit ich die virtuellen Maschinen besser verwalten kann. Ich habe zuerst an IPSec versucht, bin da aber an der harschen Internet-Realität gescheitert. So hat mein Internet-Anbieter Kabel Deutschland fragmentierte UDP-Pakete klammheimlich verworfen. Hat mit mich einige Zeit gekostet, das rauszufinden. Aber dank Netalyzr findet man solche Sachen dann doch relativ schnell. An dieser Stelle muss ich mal eine Lanze für Netalyzr brechen. Wenn ihr in ein neues Netz kommt, führt den Test einmal aus, um euch der Limitationen des Netzes bewusst zu werden. Dann habe ich mich an OpenVPN versucht und alles funktionierte ohne mit der Wimper zu zucken.

Bevor ich jetzt zu der Konfiguration komme, noch ein paar Takte zu meiner Infrastruktur.

Infrastruktur

Ich habe einen Server bei Hetzner gemietet, auf dem ich mehrere virtuelle Maschinen mit unterschiedichen Diensten betreibr. Da ich nur eine IPv4-Addresse habe und aus Kostengründen nichts ändern will, habe ich ein privates LAN mit NAT für die ganzen virtuellen Rechner eingerichtet. Das IPv4-Lan hat den Prefix 192.168.122.0/24, dieser Prefix sollte natürlich auch über das VPN erreichbar sein. Daneben habe ich von Hetzner einen nativen IPv6 Zugang erhalten und habe den Prefix 2a01:4f8:200:2265::/64. Was ich im Verlauf des Einrichtens gelernt habe ist: Wenn man verschiedene Unterinfrastrukturen hat, sollte man diese auch mit eigenen Prefixen beglücken. So habe ich den /64 in mehrere /112-Netze aufgeteilt. Die virtuellen Server haben den Prefix 2a01:4f8:200:2265:3::/112 und das VPN-Netz hat 2a01:4f8:200:2265:4::/112. Was ich in diesem Kontext auch gelernt habe, das 2000::/3 der komplette öffentlich routbare Teil von IPv6 ist. Zum Schluss sei noch gesagt, dass ich einen LDAP-Verzeichnis betreibe, in welchem ich Benutzer verwalte. Das sollte auch an das OpenVPN angebunden werden. Soviel zur Infrastruktur, jetzt zur Konfiguration:

Server Konfiguration

Meine Server Konfiguration sieht so aus:

# Crypto konfigurieren
ca /etc/ipsec.d/cacerts/cacert.pem
cert /etc/ipsec.d/certs/node2.datenknoten.me.pem
key /etc/ipsec.d/private/node2.datenknoten.me.pem
dh /etc/ipsec.d/dh4096.pem

# Netzwerk aufsetzen
server 10.8.0.0 255.255.255.0
server-ipv6 2a01:4f8:200:2265:4::1/112
push "route 192.168.122.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
push "route-ipv6 2000::/3"
push "dhcp-option DNS 192.168.122.9"

# Einstellungen
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
cipher AES-256-CBC
port 1194
proto tcp
dev tun

# LDAP aktivieren
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf

Die LDAP-Konfiguration sieht so aus:

<LDAP>
        URL             ldaps://ldap.datenknoten.me
        BindDN          cn=systemuser,ou=users,dc=datenknoten,dc=me
        Password        tolles passwort
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>

<Authorization>
        BaseDN          "ou=users,dc=datenknoten,dc=me"
        SearchFilter    "(uid=%u)"
        RequireGroup    false
        <Group>
                BaseDN          "ou=groups,dc=datenknoten,dc=me"
                SearchFilter    "cn=vpnusers"
                MemberAttribute memberUid
        </Group>
</Authorization>

Hier ist anzufügen, dass die Limitierung auf die Gruppe vpnusers irgendwie nie geklappt hat. Für sachdienliche Hinweise wäre ich sehr dankbar.

Als nächstes muss auf dem Server noch die Firewall eingerichtet werden. Ich benutze das Programm „Ferm”, um meine IPTables-Regeln zu verwalten. Entsprechend sieht mein Script so aus:

# -*- shell-script -*-
#
#  Configuration file for ferm(1).
#

@def $DEV_WORLD = eth0;
@def $DEV_DMZ = virbr1;

@def $HOST_STATIC = 144.76.154.114;


@def $DEV_PRIVATE = virbr1;
@def $NET_PRIVATE = 192.168.122.0/24;

@def $DEV_VPN = tun0;
@def $NET_VPN = 10.8.0.0/24;

# convenience function which creates both the nat/DNAT and the filter/FORWARD
# rule
@def &FORWARD_TCP($proto, $port, $dest) = {
    # interface (lo $DEV_WORLD $DEV_VPN $DEV_PRIVATE)
    table filter chain FORWARD outerface $DEV_DMZ daddr $dest proto $proto dport $port ACCEPT;
    table nat chain PREROUTING daddr $HOST_STATIC proto $proto dport $port DNAT to $dest;
}

table filter {
    chain INPUT {
        policy ACCEPT;

        mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;

        interface $DEV_DMZ proto (tcp udp) dport (53 67) ACCEPT;
    }
    chain OUTPUT {
        policy ACCEPT;
    }
    chain FORWARD {
        policy ACCEPT;
        mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;
        interface $DEV_PRIVATE ACCEPT;
        interface $DEV_VPN mod conntrack ctstate NEW ACCEPT;
        mod conntrack ctstate (ESTABLISHED RELATED) ACCEPT;
    }
}

table nat {
    chain POSTROUTING {
        # masquerade private IP addresses
        saddr ($NET_PRIVATE $NET_VPN) outerface $DEV_WORLD MASQUERADE;
    }
}

domain ip6 {
    table filter {
        chain INPUT {
            policy ACCEPT;
        }
        chain OUTPUT {
            policy ACCEPT;
        }
        chain FORWARD {
            policy ACCEPT;
            interface ($DEV_WORLD $DEV_VPN) outerface $DEV_DMZ daddr 2a01:4f8:200:2265::/64 ACCEPT;
            outerface ($DEV_WORLD $DEV_VPN) interface $DEV_DMZ saddr 2a01:4f8:200:2265::/64 ACCEPT;
            interface $DEV_DMZ outerface $DEV_DMZ ACCEPT;
            interface ($DEV_WORLD $DEV_VPN) outerface $DEV_DMZ REJECT reject-with icmp6-port-unreachable;
            outerface ($DEV_WORLD $DEV_VPN) interface $DEV_DMZ REJECT reject-with icmp6-port-unreachable;

        }
    }
}

&FORWARD_TCP(tcp, (80 443), 192.168.122.2);

Es empfiehlt sich natürlich, sich etwas mit der Materie auseinanderzusetzen, damit man versteht, was ich hier schreibe. Vieles, was in diesen Konfigurations-Dateien steht, hat sich über die Jahre so entwickelt.

Client Konfiguration (Linux)

Unter Linux ist bis auf einen Punkt eigentlich alles sehr entspannt. Das Problem ist, dass der DNS-Server, den ich bereitstelle, nicht übernommen wird. Dafür gibt es eine Lösung und jetzt erstmal die Config:

client
dev tun
proto tcp
remote 144.76.154.114
resolv-retry infinite
nobind
persist-key
persist-tun
ca dk-ca.crt
cert manjaro.crt
key manjaro.key
verb 3
cipher AES-256-CBC
auth SHA1
reneg-sec 0
route-delay 4
comp-lzo no
auth-user-pass
script-security 2
up /home/hana/openvpn/datenknoten/update-dns
down /home/hana/openvpn/datenknoten/update-dns

2 Anmerkungen: Zum einen sei hier der Eintrag auth-user-pass hervorzuheben, der den Client auffordert sich Zugangsdaten vom Benutzer zu erfragen. Zum anderen die letzten 3 Zeilen. Diese sorgen nämlich mittels einem kleinen Skript, welches openresolv aufruft, dafür, dass die mitgelieferten DNS-Server in die Datei /etc/resolv.conf eingetragen werden. Hier das Skript:

#!/bin/bash
#
# Parses DHCP options from openvpn to update resolv.conf
# To use set as 'up' and 'down' script in your openvpn *.conf:
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf
#
# Used snippets of resolvconf script by Thomas Hood <jdthood@yahoo.co.uk>
# and Chris Hanson
# Licensed under the GNU GPL.  See /usr/share/common-licenses/GPL.
# 07/2013 colin@daedrum.net Fixed intet name
# 05/2006 chlauber@bnc.ch
#
# Example envs set from openvpn:
# foreign_option_1='dhcp-option DNS 193.43.27.132'
# foreign_option_2='dhcp-option DNS 193.43.27.133'
# foreign_option_3='dhcp-option DOMAIN be.bnc.ch'
# foreign_option_4='dhcp-option DOMAIN-SEARCH bnc.local'

## You might need to set the path manually here, i.e.
RESOLVCONF=/sbin/resolvconf

case $script_type in

up)
  for optionname in ${!foreign_option_*} ; do
    option="${!optionname}"
    echo $option
    part1=$(echo "$option" | cut -d " " -f 1)
    if [ "$part1" == "dhcp-option" ] ; then
      part2=$(echo "$option" | cut -d " " -f 2)
      part3=$(echo "$option" | cut -d " " -f 3)
      if [ "$part2" == "DNS" ] ; then
        IF_DNS_NAMESERVERS="$IF_DNS_NAMESERVERS $part3"
      fi
      if [[ "$part2" == "DOMAIN" || "$part2" == "DOMAIN-SEARCH" ]] ; then
        IF_DNS_SEARCH="$IF_DNS_SEARCH $part3"
      fi
    fi
  done
  R=""
  if [ "$IF_DNS_SEARCH" ]; then
    R="search "
    for DS in $IF_DNS_SEARCH ; do
      R="${R} $DS"
    done
  R="${R}
"
  fi

  for NS in $IF_DNS_NAMESERVERS ; do
    R="${R}nameserver $NS
"
  done
  #echo -n "$R" | $RESOLVCONF -p -a "${dev}"
  echo -n "$R" | $RESOLVCONF -a "${dev}.inet"
  ;;
down)
  $RESOLVCONF -d "${dev}.inet"
  ;;
esac

Client Konfiguration (Android)

Unter Android benutze ich OpenVPN for android, welches es auch im F-Droid Store gibt.

Das Einrichten ist einfach und es gibt nichts zu beachten. Als ich das VPN eingerichtet habe, habe ich einen Bug in dem von mir benutzen XMPP-Client Conversations gefunden, weil dieser, bzw. die darunterliegende DNS-Bibliothek die DNS-Server nicht richtig bestimmen konnte (Ist inzwischen behoben).

Fazit

Insgesamt bin ich mit dem Setup sehr zufrieden, vorallem weil es kaputte Netze brauchbar macht, da ich durch das VPN ein zensurfreies Netz, IPv6, einen DNSSEC fähigen Resolver bekomme. Bei Fragen könnt ihr mich entweder per E-Mail, im Chat des Krautspaces kontaktieren oder hinterlasst einen Kommentar am Ende.

Postfix mit Zabbix überwachen

Tue, 11 Aug 2015 00:00:00 +0000

Hinweis: Dies ist eine Übersetzung ins Deutsche von Zabbix: Postfix statistical graphs using passive checks. Zusätzlich habe ich das Zabbix-Template und das Skript hier noch gespiegelt.

Diese Anleitung hilft bei der Erstellung von passiven Checks. Es gibt dazu ein Skript, welches mit logtail und pflogsumm die Postfix Log-Dateien auswertet und in eine Statistik-Datei schreibt. Zum Schluss wird ein UserParameter erstellt, welcher die Daten aus der Statistik-Datei an Zabbix weitergibt.

Vorraussetzungen installieren

Wir müssen pflogsumm und logtail installieren. Bei Debian sieht das so aus:

`1`	`$ apt-get install pflogsumm logtail`

Skript einrichten

Das Skript muss als postfix-zabbix-stats.bash in /usr/local/bin gespeichert werden und als ausführbar (+x) markiert werden.

Danach legt man einen Cronjob für das Skript an, damit es die Statistik-Datei schreiben kann:

`1`	`/5 * * * /usr/local/bin/postfix-zabbix-stats.bash`

Zabbix Agent einrichten

In der Datei /etc/zabbix/zabbix_agentd.conf muss man den Wert EnableRemoteCommands auf 1 setzen.

Danach erstellt man eine Datei /etc/zabbix/zabbix_agentd.conf.d/postfix.conf mit folgendem Inhalt:

1
2

UserParameter=postfix.pfmailq,mailq | grep -v "Mail queue is empty" | grep -c '^[0-9A-Z]'
UserParameter=postfix[*],/usr/local/bin/postfix-zabbix-stats.bash $1

Anschließend kannst du den Agenten neustarten.

Zabbix Template importieren

Nun muss man das Template importieren und dem Host, auf dem Postfix läuft, zuweisen und schon ist man fertig und bekommt nette Postfix-Statistiken.

DNSSEC mit Bind & OVH

Tue, 04 Aug 2015 00:00:00 +0000

Ich habe gestern im Krautspace ein paar Takte zu DNS im Allgemeinen und DNSSEC im Speziellen erzählt.

Ziel des Abends war es, die Schibboleth vorzustellen, die es braucht um DNSSEC mit Bind und OVH zum laufen zu bekommen und diese will ich hier nochmal für die Nachwelt hinterlassen. Ich habe das ganze für die Domain „kaoskinder.de“ gemacht.

Zurest erzeugt man einen „zone signing key“:

`1`	`dnssec-keygen -a RSASHA512 -b 4096 -n ZONE kaoskinder.de`

Danach brauchts noch einen „key signing key“:

`1`	`dnssec-keygen -f KSK -a RSASHA512 -b 4096 -n ZONE kaoskinder.de`

Diese Befehle erzeugen 4 Dateien:

Kkaoskinder.de.+010+11091.key
Kkaoskinder.de.+010+11091.private
Kkaoskinder.de.+010+13430.key
Kkaoskinder.de.+010+13430.private

Die key-Dateien enthalten die öffentlichen Schlüssel und die private-Dateien aus offensichtlichen Gründen die privaten Schlüssel.

Als nächstes inkludiert man die key-Dateien in die Zone-Datei:

1
2

$INCLUDE Kkaoskinder.de.+010+11091.key
$INCLUDE Kkaoskinder.de.+010+13430.key

Danach muss man die zone-Datei unterschreiben:

`1`	`dnssec-signzone -A -3 $(head -c 1000 /dev/random \| sha1sum \| cut -b 1-16) -N INCREMENT -o kaoskinder.de -t db.kaoskinder.de.zone`

Diesen Schritt muss man alle 30 Tage wiederholen, da dann die Signaturen auslaufen.

Der letzte Schritt erzeugt eine unterschriebene Zonen-Datei „db.kaoskinder.de.zone.signed“, diese muss dann noch in die bind-Konfiguration eintragen.

Jetzt kann man z.B. mit dem Verisign DNSSEC Debugger schonmal testen ob DNSSEC funktioniert. Es wird noch eine Fehlermeldung kommen, das kein DS-Record in der übergeordneten Zone existiert. Dieser Fehler wird in dem nächsten Schritt behoben, in dem wir unseren öffentlichen Schlüssel bei OVH eintragen.

Dazu loggt man sich im alten OVH Interface ein. Danach wählt man oben die gewünschte Domain, wählt im linken Menü „Domain & DNS“, dann rechts oben „Sichere Delegation (DNSSEC)“. Dort klickt man auf „Änderung“.

Jetzt sucht man sich eine der beiden key-Dateien aus, ich habe jetzt die Datei „Kkaoskinder.de.+010+11091.key“ ausgewählt. Die Datei sieht wie folgt aus:

; This is a key-signing key, keyid 11091, for kaoskinder.de.
; Created: 20150407191914 (Tue Apr  7 21:19:14 2015)
; Publish: 20150407191914 (Tue Apr  7 21:19:14 2015)
; Activate: 20150407191914 (Tue Apr  7 21:19:14 2015)
kaoskinder.de. IN DNSKEY 257 3 10 AwEAAZ5v3RLmjVMcjEodqam6IXkkG9NQp3G88hddDY1VClGtIsJtgU42 6t61fDrKoHFRn607lbn06OkCre9fWBophP4xTt9sX877yNb1LRtOpLAS lEYY8p4w6OiDv3CMoyT6oO7j+L3g3puYc+57NmFa4hzWFrEF4RuVis4b argcPudoTISwA+/DB3C5UNwOQB5WsnSEXd4krVO/49Gs2FIOCj3/4Ja6 g/v3x0R3axkLZV1PnawYlDVpAI0qI3xXhxlzZvT64GI+HYQds3Im+Bvs aMO1S224xm/99v0TKwSLfPenX3DW0VpRY5efvUgVUu8zl6HaEQolLLmu ZaKVe9kEn/9mzDX30SkBtNNc0athdNDRofd710n86SnybDpn5K0qME7W qcW6n53voAaObv1yR3dmvFsVeu2dRhYHHqOzMH94JnqixsjTAGH80DKR ZjMEK666Va1jgBY928XPRx3zH8thQe+FrOK4Ad/kihZYwi9kovKeGBdl VVZDoI/CaRjdhSzpBShyXakNhNWtSo/qs7QN4TjxDdN9TYPKLSToIc2m mzvG/u5saTh/oTDSkP9Xh3bOceFKAV5iJJDVo5oDEUYNCyQL5YvcYJ1R tD2Fb1mzIrvPyOq5q3MDDhTjPEqBqiiVYwDKJ4eMy81AuxLUG4+Bekbc iprdIfcp3HdR6QAZ

Der Wert nach keyid trägt man bei Kennung ein, die Zahl nach DNSKEY wählt man bei Flags aus. Als Algorithmus wählt man 10. Bei „öffentlicher Schlüssel“ trägt man den ganzen Kram hinter der 10 ein, also von „AwEAAZ5v“ bis „HdR6QAZ“. Dann klickt man auf „Bestätigen“ und wartet auf die Erfolgsmeldung.

Jetzt da die Zone per DNSSEC gesichert ist, kann man sich auch den schönen Sachen wie DANE oder SSHFP hinwenden.

Cold Coffee Experiment

Tue, 19 May 2015 00:00:00 +0000

Umgangssprachlich steht „kalter Kaffee“ ja für eine veraltete Nachricht, aber nicht in meinem Fall. Denn der kalte Kaffee ist diesmal wörtlich zu nehmen. Es gibt nämlich die Möglichkeit Kaffee kalt zu brühen. Hier eine kleine Beschreibung von dem, was ich gemacht habe.

Ich habe zuerst alles gesammelt was ich so brauche:

200 Gram Kaffeepulver
1 Liter Wasser
1 Kaffeefilter (Hatte ich nicht da, ich habe stattdessen ein feines Sieb genommen)
2 große Behälter

Ich habe das Pulver in den Behälter gegeben und dann nochmal gut umgerührt, damit das ganze Pulver auch feucht wurde. Das sah dann so aus:

Dann war erstmal das große Warten angesagt. Um genau zu sein 12 Stunden. Danach habe ich den Kaffee gefiltert. Die einfache Variante zum Filtern ist wie oben schon geschrieben ein normaler Kaffeefilter. Da ich sowas aber nicht zur verfügung hatte, verwendete ich ein feines Sieb. Das hat auch gut funktioniert. Mein gefiltertes Produkt sah so aus:

Eine wichtiger Hinweis: Das hier ist ein Konzentrat, also besser nicht unverdünnt trinken. Meine Anleitung schlägt 2 Einheiten warmes Wasser auf 1 Einheit Konzentrat vor. Mir war das allerdings immer noch etwas zu stramm und ich hatte danach Mühe die Finger ruhig zu halten.

So als Fazit kann ich sagen, dass jeder der gerne Kaffee trinkt, es auf jeden Fall ausprobieren sollte. Kalt gebrühter Kaffee ist im Geschmack wesentlich milder, auch wenn er seine Wirkung immer noch, wenn nicht noch besser entfaltet. Die Kehrseite ist natürlich der erhöhte Aufwand der Zubereitung. Ich werde für den Morgenkaffee erstmal bei warm Gebrühtem bleiben. Aber wenn es mal wieder wärmer wird, werde ich das nochmal angehen, den Mixer auspacken, ein paar Eiswürfel, Vanille-Eis, etwas Milch und ordentlich Kaffee-Konzentrat reinschütten, eben einen leckeren Eis-Kaffee zubereiten und genießen ;)

Some easy Jazz!

Tue, 19 May 2015 00:00:00 +0000

Mal was locker flockigen Jazz für zwischendurch.

Unendliche Weiten

Tue, 19 May 2015 00:00:00 +0000

Ich finde ja, oft kommt es nicht so richtig rüber, wie weit und unermesslich das Weltall ist. In dem Video „Riding light“ sieht der Betrachter wie sich das Licht der Sonne vom Inneren unseres Sonnensystems bis zum Planeten Jupiter in Echtzeit bewegt. Einen anderen Ansatz verfolgte das Video „Power of Ten“ aus dem Jahr 1977, in dem in 10s die Entfernung immer um 10 mulitipliziert wurde.

DJ Scientist & DJ Arok present: Godly Grooves

Mon, 24 Nov 2014 00:00:00 +0000

Sehr sehr abgefahrener Kram. den hier DJ Scientist and DJ Arok ausgegraben haben. Teilweise echt sehr, sehr gute Teile dabei. Der Inhalt, nunja ;-).

Messer — Lügen

Thu, 20 Nov 2014 00:00:00 +0000

Tim Schumacher

Sauerteigbrot

Nachtrag zum FrOSCon Vortrag „Matrix Server Setup“

.zshrc config

Eine Einführung in Scuttlebutt

Begriffe

Protokoll

Soziales Netzwerk

Fazit

TypeScript 2.8 RC

Conditional Types

Granular Control on Mapped Type Modifiers

Fazit

Gajim 1.0

Was zum Docker

Container sind zustandslos und unveränderbar

Was heißt „zustandslos“?

docker volumes

bind mounts

Was heißt „unveränderbar“?

Aber ich kann doch nicht den Container löschen

Einen Dienst mit docker-compose einrichten

Fazit

Home 2001 - Hold

Ghost in the Shell Live Action Review

Über mich

Kontakt

Social Media

Mamorkuchen

Archivist (s/t)

Main Concept - Wir Leben´s Lieber (feat. Boshi San)

Netzwerksetup über IPv6 Link Local und ansible

Quarkbrötchen

Überprüfung des Ablaufdatums von DNSSEC gesicherten Zonen in Zabbix

Mein VPN-Setup

Infrastruktur

Server Konfiguration

Client Konfiguration (Linux)

Client Konfiguration (Android)

Fazit

Postfix mit Zabbix überwachen

Vorraussetzungen installieren

Skript einrichten

Zabbix Agent einrichten

Zabbix Template importieren

DNSSEC mit Bind & OVH

Cold Coffee Experiment

Some easy Jazz!

Unendliche Weiten

DJ Scientist & DJ Arok present: Godly Grooves

Messer — Lügen

Einen Dienst mit `docker-compose` einrichten