Netcup: versteckte vServer-Angebote

Netcup aktualisiert regelmäßig sein Angebot an vServern. Obwohl die neuen Server oft besser un günstiger sind, ist es manchmal sinnvoll, einen Server der älteren Generation zu buchen. So gab es in der 3. Generation Server mit 1000 bzw. 1500 GB SAS-Speicherplatz – ein vergleichbares Angebot gibt es erst seit der brandaktuellen 7er Generation wieder.

Die meisten Server können auch nach einem Genrationenwechsel weiterhin gebucht werden. Allerdings werden diese nicht mehr aktiv beworben und auch nicht mehr direkt verlinkt. Laut Nectup können die Server so lange bestellt werden, wie der Vorrat reicht – es werden aber keine neuen Maschinen dieser Generation angeschafft.

In der Liste auf dieser Seite verlinke ich noch buchbare Server aus den älteren Generationen. Denkt daran, beim bestellen einen der 5-Euro-Gutscheine zu verwenden – nach der Erstbestellung ist das nicht mehr möglich.

Weiterlesen

Sony Xperia Z3 Tablet – Root, Cyanogenmod, DRM-Keys

Heute ist mein neues Tablet angekommen: ein 8 Zoll Sony Xperia z3 Tablet. Da mein Nexus 7 inzwischen etwas in die Jahre gekommen ist, habe ich mich entschieden, dass ein Nachfolger her muss. Bisher war ich treuer Samsung-Kunde. Da ich meine Geräte allerdings immer am Tag 1 mit einem Custom-ROM ausstatte, hat sich Samsung mein seinem Knox-Schutz für die nächsten Jahre disqualifiziert. Erkennt dieser nämlich Root oder ein CustomROM, werden unumkehrbar ein Register überschrieben und damit einige Funktionen für immer unbrauchbar gemacht.

Sony macht es dem Custom-ROM-Nutzer recht einfach, man kann offiziell einen Code zum entsperren des Bootloaders anfordern. Allerdings hat auch dieser seinen Preis: Beim Entsperren des Bootloaders wird eine Partition mit DRM-Schlüssel überschrieben, an denen auch einige Funktionen des Original-ROMs hängen. Da es sich dabei um eine reine Software-Maßnahme handelt, sollte der Prozess jedoch umkehrbar sein.

Weiterlesen

Xubuntu 15.04 auf dem Laptop mit Hybrid-Suspend (Hibernate after Suspend)

Auf meinem Laptop (Acer Travelmate 8371) habe ich seit etwa einem Jahr Windows endgültig verbannt und hatte bisher ArchLinux am Laufen. Dieses Linux ist extem flexibel und lief bisher am saubersten, bis auf den Fingerprint-Reader wird alles unterstützt. Leider bringt die Flexibilität von ArchLinux auch ein (für mich nebenher kaum noch zu schaffenden) Pflegeaufwand mit, so dass ich mich immer mal in Richtung Ubuntu, konkret Xubuntu umgeschaut habe.

Meine Anforderungen sind:

  • möglichst volle Hardware-Unterstützung (auf Kleinigkeiten kann ich ggf. verzichten)
  • saubere Unterstützung von Standby (Suspend to RAM) und Hibernate (Suspend to Disk)
  • saubere Unterstützung von Hibernate after Suspend (das System geht in den Bereitschaftsmodus, nach einer Weile fährt es in den Ruhezustand – wie man es von Windows her kennt)
  • ordentliche Akkulaufzeit
  • keine nervigen Bugs, die das tägliche Arbeiten behindern

Weiterlesen

Digitale Heizungssteuerung mit Arduino

Mit diesem kleinen Bastelprojekt verhindere ich, dass im Winter im Gartenhaus die Temperatur unter null Grad fällt. Da sich die Thermostate diverser Heizlüfter als recht unpräzise heraus gestellt haben und die Variante Zeitschaltuhr nicht auf Änderungen der Außentemperatur reagieren kann, habe ich eine digitale Heizungssteuerung mittels Arduino entwickelt.

Kernkomponenten sind ein Arduino Uno oder Nano, ein digitaler Termperatursensor (DS1820), ein 433MHz Funksender und eine Funksteckdose.

Weiterlesen

Secure your vagrant boxes – replace ssh host keys

Vagrant is a cool piece of software that allows automatic deployment of development machines. It is even usefull to bring the result of development to production. In all cases, security should be a concern. Ready to use box templates often come with a default user (vagrant, password vagrant) and a well-known, insecure private ssh key for that user. This raises a security issue – everyone with network access to the machine can login using the credentials or the ssh key. While this issue is well known and addressed in many discussions (and solved with Vagrant 1.7 which by defautl replaces the keys), another similare issue still exists.

Most box images comes with a ssh host key that was created during the creation of the image. So most running machines will use that hostkey. Since it is well-known, an attacker could easily do a man-in-the-middle-attack to any remote ssh connection going to such a box. In development environments this may no problem (because most connections go from localhost to localhost). But starting with test/integration deployments, ssh connections are more likely to be remote.

My solution for this problem is pretty simple. Since I provision all my boxes with ansible, I use the following snipped to create fresh ssh host keys for each box I run:

# Secure ssh Server-Keys
- local_action: file name=data state=directory
  sudo: false
- local_action: file name=data/ssh-host-keys state=directory
  sudo: false
- name: Creating individual SSH keys for this box
  local_action: command ssh-keygen -t {{ item }} -N "" -f data/ssh-host-keys/ssh_host_{{ item }}_key
                creates=data/ssh-host-keys/ssh_host_{{ item }}_key
  with_items: [ 'dsa', 'ecdsa', 'rsa' ]
  sudo: false
- name: Copying individual SSH private keys for this box to /etc/sshd/
  copy: src=data/ssh-host-keys/ssh_host_{{ item }}_key
        dest=/etc/ssh_host_{{ item }}_key mode=0600
  with_items: [ 'dsa', 'ecdsa', 'rsa' ]
  notify: Restart sshd
- name: Copying individual SSH public keys for this box to /etc/sshd/
  copy: src=data/ssh-host-keys/ssh_host_{{ item }}_key.pub
        dest=/etc/ssh_host_{{ item }}_key.pub mode=0644
  with_items: [ 'dsa', 'ecdsa', 'rsa' ]
  notify: Restart sshd

This should be easy to adapt to other provisioners, including shell provisioner. What it does:

First the script ensires that a local directory data/ssh-host-keys exists. There the new keys will be stored. Placing the keys outside the box allows to keep them even if the box is destroyed/recreated.

If the individual box keys are not present, they are created using ssh-keygen. There are 3 different key algorithms (dsa, ecdsa, and rsa), for each a key pair is created. After this, the keys are copied to /etc/sshd/in the box. Ansible checks if the keys are actually changes and notifies the handler named „Restart sshd“ in this case. The handler restarts the SSH Server so that the new keys are used.

This should work with all base boxes for both, local and remote providers. To provide new keys, simply delete data/ssh-host-keys and run the provisioner again.

Vergleich von Anbietern von vServern

Auf der Suche nach vServern für verschiedene Zwecke habe ich mal einige Anbieter ausprobiert und unter verschiedenen Aspekten getestet:

 

Verschiedene Einsatzzwecke

Backupserver

Hier sind die Anforderungen moderat. Die Systeme sollen wenig kosten, Standard-Images (z.B. Debian Wheezy) sollen sich per Klick installieren lassen. Eine automatische Provisionierung via Ansible soll möglich sein. Die Daten sollen auf einem RAID liegen, ein Backup der virtuellen HDD durch den Anbieter ist nicht nötig.

Produktivserver (Webserver, Entwicklungsserver etc.)

Hier liegen die Anforderungen schon höher.

Weiterlesen

Cyanogenmod auf dem S4 Mini – Kampf den Akku-Killern

Auf meinem S4 Mini (GT-i9195, „Serranoltexx„) habe ich seit dem Tag des Kaufes Cyanogenmod am laufen. Mit CM 10.x war ich soweit ganz zufrieden, die Akku-Laufzeit war recht gut (~3 Tage bei moderater Nutzung), alles funktionierte (bis auf den Kompass-Bug, zu dem es einen einfachen Workaround gibt). Doch mit dem Update auf CM 10.2.1.3 (und einem Upgrade auf die aktuellen Google Apps) war der Akku plötzlich nach einem Tag leer. Jeden Tag. Nach ewiger (ergebnisloser) Suche habe ich beschlossen, das Gerät neu zu installieren und gleich auf CM 11 zu upgraden. Leider hatte ich da das gleiche Problem.

Weiterlesen

Heartbleed-BUG und StartSSL – einfach ein neues Zertifikat erstellen?

Der Heartbleed-SSL-BUG hat viele Nutzer von SSL-Zertifikaten verunsichert. Während einige der CAs anscheinend die Sicherheit des Systems als Ganzes im Blick haben und das kostenlose Widerrufen von Zertifikaten ermöglichen, beharrt StartSSL darauf dass die Sicherung des Schlüssels dem Nutzer obliegt und verlangt ~25 $ für das Widerrufen seiner Zertifikate.

Weiterlesen