Netz - Rettung - Recht

root@xerxes:~# cat /etc/debian_version
5.0.1

One done, (at least) four to go.

Die sog. "History" ist beim INN die zentrale Tabelle, die Message-IDs (also die eindeutige Kennung jedes Newspostings) mit ihrem Speicherort verbindet, so daß man ein über eine Message-ID referenziertes Posting auch im Speicher-Backend wiederfinden kann; zugleich wird vor der Annahme von Postings über die History geprüft, dass das entsprechende Posting noch nicht vorhanden ist. Es sammeln sich also große Datenmengen an, auf die zudem ständig zugegriffen werden muß; ein effizientes Handling derselben ist daher Pflicht. INN unterstützt deshalb zur Verkürzung von Zugriffszeiten einen Cache für die History, der die letzten Zugriffe zwischenspeichert.

Seit Jahren betreibe ich meinen Newsserver, seit Jahren stolpere ich in den täglichen Reports des Servers darüber, daß mein Cache offenbar nicht (richtig) funktioniert, und seit Jahren plane ich, daß "bei Gelegenheit" einmal zu überprüfen. Allerdings kommt so eine "Gelegenheit" normalerweise spät oder nie …

Dieser Tage bin ich dann tatsächlich einmal dazu gekommen, das anzugehen und mich zu erkundigen, wo für das schlechte Abschneiden des Caches wohl die Ursachel liegen könne. Diese Werte erscheinen schließlich wirklich nicht berauschend:

History cache:
Reason                      Count     %Count
Cache misses               190461      66.9%
Do not exist                94182      33.1%
Positive hits                   0       0.0%
Negative hits                   0       0.0%

Entscheidend für das (Nicht-)Funktionieren des Caches ist, wie ich dann erfuhr, dessen Größe, die durch den Parameter hiscachesize in der inn.conf gesteuert wird. Empfohlen wurde, ihn auf mindestens 1 kB zu setzen, ggf. auch höher; bei mir stand er, wie ich dann sah, auf 0 … was einiges erklären dürfte.

Nach Erhöhung der Cachegröße auf 5 kB sieht die Sache jetzt doch deutlich besser aus:

Reason                 Count     %Count
Positive hits         183728      65.9%
Negative hits          59022      21.2%
Do not exist           35762      12.8%
Cache misses              81       0.0%

Kleine Ursache, große Wirkung, man kennt das ja.

Bereits vor zwei Jahren hatte ich mich von ToJe dazu animieren lassen, mich mit dem mobilen Internet nicht nur in der Form von WLAN-Hotspots zu beschäftigen, sondern auch in der (fast) völlig unabhängigen Form der GPRS- oder von mir aus auch UMTS-, jedenfalls Mobilfunkkarte mit passender SIM. simyo war damals der empfohlene Anbieter, eine Cardbus-GPRS-Karte war in Form einer auf Vodafone gebrandeten Nokia D211 recht schnell bei Ebay angekauft, und dann konnte es losgehen. Ich freute mich schon darauf, endlich - wie von Bekannten gesehen - auch bei meinen häufigen Zugfahrten oder auf Dienstreisen oder auch im Urlaub mobil sein zu können. Leider wurde daraus so recht nichts.

Anfänglich funktionierte die Sache bei mir nämlich gar nicht. Nach längerem Versuchen kam ich dann darauf, die SIM-Karte einfach einmal im Handy zu testen - und erfuhr so, daß man sie erst durch einen kostenpflichtigen Anruf überhaupt aktivieren muß. Gnah. Gut, hätte man wissen können. Auch danach funktionierte die ganze Chose aber nur sehr bedingt: die Verbindung kam oft nicht zustande, gerne brach sie nach einigen Sekunden wieder ab, und mit dem ganzen Verhau der proprietären Steuersoftware und der automatisch angelegten Modems unter Windows kam ich nicht wirklich zurecht. Daher ließ ich die Sache schleifen, und als ich im vergangenen August mal (potentiell) darauf angewiesen gewesen wäre (glücklicherweise fand sich dann am Aufenthaltsort doch noch ein Raum mit WLAN), war die simyo-Karte wegen Nichtnutzung (sprich: Nichtaufladung) schon unwiderruflich deaktiviert. Man bedeutete mir an der Hotline, da müsse ich dann leider eine neue Karte ordern. Not.

"Mobiles Internet - funktionierend" vollständig lesen

Man glaubt gar nicht, welche Massen an Krümeln, Staub und Dreck so eine Tastatur im harten Büroalltag abbekommt - bis man sie sich einmal genauer ansieht und dann schon einen leichten Ekel bekommt. Alleine schon die Patina der letzten Jahre auf den Tasten …

Gut, wenn sich eben diese - gemeint sind die Tastenkappen - ablösen lassen. In Ermangelung einer Spülmaschine oder der rechten Zeit, sie einmal gründlich im warmen Spülwasser einweichen zu lassen, empfiehlt sich dann der Rückgriff auf die vorhandene Reinigungsflüssigkeit. (Ausschütteln des Tastenbretts nicht vergessen!) Danach glänzt und blinkt alles sozusagen wieder - bis zum nächsten oder übernächsten Frühjahr.

(Es hilft für den Zusammenbau übrigens, ein gutes Gedächtnis oder eine andere Tastatur in der Nähe zu haben. Ansonsten ist das eine gute Entschuldigung für Tippfehler …)

Die von mir vor zwei Wochen etwas besorgt beobachteten Hitzewallungen haben sich mittlerweile als episodenhaft erwiesen; die "Fieberkurve" ist nahezu wieder auf den Ausgangswert zurückgekehrt und dort weitgehend stabil. Ich nehme das mal als Entwarnung.

(Und es bleibt doch dabei: wenn man nicht weiß, daß es ist heiß, macht’s einen auch nicht desgleichen. )

Munin hat seine Vorteile und ist insgesamt sehr nett - andererseits hat es aber, wie jede Überwachungsmaßnahme, den Nachteil, daß man so von Dingen erfährt, die man sonst nie erfahren hätte - und sich dann anfängt, Sorgen zu machen. So zum Beispiel über den steilen Anstieg der Temperatur einer gehosteten Maschine. Glücklicherweise handelt es sich aber wohl nur um eine vorübergehende Episode, denn inzwischen wird’s da schon wieder kühler.

Jetzt hat es dieses Wochenende doch geklappt, wenigstens eine der mittlerweile gesammelten neuen Ideen einmal umzusetzen und sowohl auf meiner heimischen Allroundkiste als auch auf den von mir betreuten Servern das Monitoring-Tool Munin, benannt nach einem der Raben des Göttervaters Odin, zu installieren, das mit Hilfe von Plugins aus verschiedenen Quellen Daten sammelt und diese dann in täglichen, wöchentlichen, monatlichen und jährlichen Graphen aufbereitet. Zwar ist das eine oder andere sicherlich noch zu tun, die Darstellung zu optimieren, vielleicht die Menge der Datenquellen nach dem ersten Enthusiasmus etwas zu begrenzen und fortgeschrittene Aufgaben wie das Erstellen von Summenübersichten einmal auszuprobieren, aber bisher gefällt mir das schon sehr, sehr gut - und erfüllt zudem einen lange gehegten Wunsch. Schon seit Jahren hätte ich auch gerne so hübsche Bilder und Statistiken - ganz zu schweigen von der Nutzbarkeit dieser Darstellungen einerseits für einen generellen Überblick über die Be- und Auslastung der Maschinen und andererseits zur Aufklärung sonst ungeklärter Abstürze, Fehler und Probleme:Wie oft läßt sich aus Logfiles nicht wirklich klar erkennen, warum eine Maschine sich weggehäng hat? Wenn das letzte, was man von ihr sieht, bspw. eine steil steigende Kurve bei Load, Speicherauslastung, Temperatur oder sonstwas ist, weiß man zumindest schon einmal, in welche Richtung man suchen kann.

"Servermonitoring mit Munin" vollständig lesen

Sie geht wieder!

Nachdem ich bereits am Dienstag darüber berichtete, daß Seagate jetzt endlich auch weitere Firmware-Updates zur Verfügung gestellt hat, habe ich am Mittwochabend dann erfolgreich gewirkt: erst ein Image der Platte aufs NAS, dann das Update als ISO heruntergeladen und gebrannt, rebootet, beide Platten mit dem Firmware-Update versorgt, und jetzt bin ich mit der Firmware SN06 wieder auf der (hoffentlich) sicheren Seite.

Immer dieser Streß …

Es gibt Dinge, die möchte man eher weniger gerne in Logfiles lesen:

02/04/2009 06:01:52  <Power Failed! The UPS is operating on battery power.>
02/04/2009 06:01:52  <The operating system will be shut down in 5 minute(s) : 0 second(s)!>
02/04/2009 06:06:52  <The UPS will be shutdown in 4 minute(s) : 0 second(s)!>
02/04/2009 06:06:58  <Shutdown OS>
02/04/2009 06:07:29  <Program: upsd was forced to stop!>

Die Maschine ist 5 Minuten später aber gut wieder hochgekommen. Leider kann man das aus - mir immer noch unklaren Gründen - von Netzwerk und Internetanbindung nicht sagen. Besonders unschön, wenn man einige hundert Kilometer vom Orte des Geschehens entfernt und auf die Anleitung eher weniger IT-affiner Hilfe angewiesen ist …

Die DSL-Anbindung ließ sich mit dem einfachsten aller Vorgehen (Router vom Strom trennen - warten - Power on) wiederherstellen; danach litt allerdings das LAN unter völliger Überlastung mit minutenlangen Wartezeiten via SSH und Paketverlusten zwischen 30 und 70 Prozent, sowohl intern als auch extern. Nachdem mich dieses Phänomen schonmal (auch nach dem längeren Ausfall der Internetanbindung) fast einen Tag gekostet hatte, hatte ich auch dafür ein einfaches Rezept: den lokalen Multifunktionsserver, ein Debian Lenny, mal für fünf Minuten durch Abziehen des LAN-Kabels vom Netz trennen. Danach war alles wieder gut. *kopfkratz*

Was genau jetzt dafür verantwortlich ist, daß nach einem Ausfall der Internetanbindung das LAN völig zusammenbricht, und warum sich das nach dem kurzfristigen Abklemmen einer (leider zentralen) Maschine wieder gibt, ist mir als insofern IT-Laien weiter völlig schleierhaft.

Bei der Lektüre meiner Logfiles fiel mir gestern auf, daß sich da jemand wohl einmal durchs Wörterbuch zu raten versuchte, beginnend mit root, dann weiter über ftp, mysql, daemon etc. bis hin zu test, temp, bill, martin, sekretariat, x737 und zzz, insgesamt knapp 1.000 Versuche. Interessanterweise habe ich dasselbe Phänomen auf einer weiteren Maschine feststellen können, die auch im Hostingnetz von Strato steht - Server bei anderen Hostinganbietern waren nicht betroffen. In beiden Fällen gingen die Versuche von ein- und derselben IP aus, nämlich 195.242.98.180, und liefen vom 02.02.2009 21:27 bis 21:42 bzw. 22:05 Uhr. Die IP gehört lt. whois zu

netnum: 195.242.98.0 - 195.242.99.255
netname: INTERNETWORX
descr: InterNetworx Network
org: ORG-IA541-RIPE

mit Sitz - vermutlich - in den Niederlanden; die angegebenen Mailadressen waren aber alle - möglicherweise fehlkonfigurationsbedingt - nicht erreichbar. Erwähnenswert vielleicht noch, daß auf beiden angegangenen Maschinen der sshd auf einem nicht standardisierten Port lauscht, was das Logfile bisher eigentlich angenehm rauschfrei gehalten hat. Dem Wörterbuchangriff muß also ein Portscan vorausgegangen sein.

Wenn wir mal davon absehen, daß das vielleicht doch für die Zukunft irgendwann einmal nach fail2ban und Konsorten schreit: Ist sonst noch jemanden vergleichbares (damit meine ich dieselbe Ausgangs-IP und einen ähnlichen Zeitraum, vielleicht auch gegen eine bei Strato gehostete Maschine) aufgefallen? Oder hat gar jemand einen Verantwortlichen erfolgreich kontaktieren können?

(Disclaimer: Ich weiß, daß solche Aktionen grundsätzlich nichts besonderes sind. Ich finde allerdings, daß der konkrete Fall - Aufsuchen eines ungewöhnlich plazierten sshd, Aktionen vom selben Host aus nahezu parallel gegen zwei Maschinen beim selben Anbieter - zumindest insoweit aus dem üblichen Rahmen fällt, daß mich interessieren würde, ob das bei mir zwei Zufallstreffer sind oder es eine gezielte Aktion gegen den betreffenden Anbieter war.)

Sie geht, sie geht nicht, das geht gar nicht … Seagate machte es seinen Kunden in den letzten Tagen nicht leicht; erst lange Zeit Dementis, dann die Warnung vor Firmwareproblemen bei den verschiedensten Baureihen, Firmware-Updates, danach der Rückruf für die Updates, neue Updates - und für Kunden mit Seagate Barracuda ES.2-Platten war es die ganze Zeit noch schwerer, gab es doch in der Knowledge-Base nur den Hinweis, welche Firmwareversionen betroffen seien, verbunden mit der Bitte, sich an den Support zu wenden. Der dürfte allerdings mit Mails zugeschüttet worden sein, so daß sich eine gute Woche lang nichts regte.

Inzwischen sieht das aber anders aus, und wenn es außer mir weitere Betroffene mit solchen Platten (SATA-Platten mit den Modellnummern ST31000340NS, ST3750330NS, ST3500320NS und ST3250310NS) geben sollte, sei denen gesagt: auf der entsprechenden Knowledge-Base-Seite gibt es jetzt weitere Informationen, allerdings vorerst nur in der englischen Sprachversion! Wer also auf Deutsch weiter den alten Text geboten bekommt, sollte auf die englische Seite umschalten. Dort werden nun die betroffenen Platten anhand ihrer "Part Number" identifiziert und Links zu Firmware-Updates geboten.

Wer seinen Rechner nicht aufschrauben möchte, um auf dem Etikett der Festplatte die "Part Number" festzustellen, dem kann gleichfalls geholfen werden. Zwar kann die von Seagate angebotene Software DriveDetect sinnigerweise nicht die "Part Number" auslesen, sondern nur Modell, Seriennummer und Firmware-Version, aber Seagate kann diese Informationen offenbar zusammenführen. Jedenfalls kann man auf den Supportseiten seinen Garantiestatus überprüfen lassen; und dort erhält man nach Eingabe von Modell- und Seriennummer (die mit DriveDetect ausgelesen werden können) nicht nur die Restlaufzeit der Garantie angezeigt, sondern auch - ha! - die "Part Number". Damit kann man dann auf der bereits genannten Knowledge-Base-Seite prüfen, ob die eigene Platte betroffen ist, und ggf. die richtige Firmware-Version herunterladen.

Spamfilter sind heute wichtig, will man nicht von der Flut unerwünschter E-Mails überrollt und erschlagen werden - und die entsprechenden Techniken sind durchaus weit entwickelt. Es gibt allerdings auch reihenweise eher ungeeignete Anti-Spam-Maßnahmen, die zunehmend den legitimen Mailverkehr behindern oder gar verhindern. Insbesondere als Unternehmer sollte man daher darauf achten, nicht etwa versehentlich Kundenanfragen auszufiltern und besonders vorsichtig an die Problematik heranzugehen.

Nicht so offenbar ein Unternehmen, das mir eigentlich zunächst ganz positiv auffiel ("Ich sende Ihnen das Angebot dann per E-Mail. Wie ist denn Ihre Mail-Adresse?"). Dort hat man nämlich offenbar entschieden, daß man ja weiß, von welchen Absendern erwünschte E-Mails kommen. Wenn man dann - wie ich - eine Vielzahl von E-Mail-Adressen für verschiedene Zwecke eingerichtet hat, um eingehende E-Mails zu strukturieren, aber normalerweise nur von einer Standardadresse aus antwortet, ist die Reaktion folgende:

To: Thomas Hochstein <****>
Subject: Return to Sender
From: administrator@****de
X-Mailer: ICS SMTP Component V2.32

Ihre Email wurde durch unseren SPAM-FILTER sofort gelöscht.

Um Ihre Email in unserer Positivliste einzutragen rufen Sie bitte
folgende Telefonnummer an:
[…]

Nun denn. Für einen privaten Nutzer halte ich das für unbrauchbar. Bei einer Firma fällt mir keine wirklich passende Bezeichnung dafür ein …

Willkommen im Internetzeitalter!

Gute Nachrichten: die Nutzer von bawue.net dürfen sich vermutlich demnächst über eine Wiederherstellung ihrer verlorenen Daten freuen. Wie der Gäubote berichtet, wurden nicht nur die Täter ermitteln, sondern auch die entwendete Hardware sichergestellt, darunter dann wohl auch das Festplattenraid und die Backups von bawue.net.

Ärgerlich nur, daß die Geschädigten wohl wieder einmal auf ihrem Schaden sitzenbleiben werden, denn daß die im wesentlichen geständigen Beschuldigten, die sich nur wechselseitig die Verantwortung für den Vandalismus zuschieben, jeweils auch nur Teile des von ihnen angerichteten Schadens werden begleichen können, dürfte wohl eine übermäßig optimistische Annahme sein. Viel wahrscheinlicher ist hingegen, daß im Gegenteil die Allgemeinheit für sie wird aufkommen müssen …

Die vergangene Woche war für manchen Online-Anbieter eine ganz schwarze. Nicht nur, daß in den Webserver der DLRG eingebrochen wurde und die dort vorhandenen Daten samt des Backups mutwillig gelöscht wurden, einen kleinen Anbieter von Internetzugängen und -diensten auf im wesentlichen ehrenamtlicher Vereinsbasis hat es noch härter gebeutelt: in das von bawue.net mitgenutzte Rechenzentrum wurde eingebrochen und in erheblichem Umfang Technik entwendet oder mutwillig zerstört. Ein kompletter Ausfall der Dienste, teilweise über Tage, und erheblicher Datenverlust war die Folge, von immenser, nächtelanger Arbeit für das Admin-Team ganz zu schweigen.

Leider wieder ein sehr trauriger Anlaß zur Mahnung und zum Überdenken des eigenen Backupkonzeptes. Der "worst case" ist oft "worse", als man denken würde.

Nachdem nunmehr die Kündigung von Alturo schriftlich in Textform vorliegt, ist es an der Zeit, Alternativen zu erforschen, wie auch Zugschlus das bereits tut (und ankündigt, seine Erfahrungen in gewohnter Weise zu teilen). Das Angebot eines vservers für 24 Monate, davon das erste Jahr kostenlos, das 1&1 den Alturo-Wechslern macht, mag ja noch ganz interessant sein, wenn sich ein vserver anbietet, aber der 1&1-Mietserver für 69,- EUR im Monat ist recht sicher auch beim Erlass der ersten drei Monatsgebühren keine wirklich sinnvolle Alternative für ein 15-EUR-Gerät.

Bleibt also die Umstellung auf einen vserver, die sich jedenfalls dann nicht anbietet, wenn die Maschine auch einmal als Gameserver dienen soll, oder andere seriöse Mietserver-Angebote in vergleichbarer Leistungs- und Preislage, als da wären Netdirekt, Hetzner und Strato, das mit seinem (recht versteckten und nicht beworbenen) Power-Server zumindest in vergleichbaren Bereichen angesiedelt ist. Lustig die Reaktionen auf die Schließung von Alturo: bei Netdirekt wurde das Einstiegsmodell direkt am Folgetag 3 EUR teurer, bei Hetzner tauchen ebenso schnell zwei kleinere Servermodelle (DS 1000 und DS 2000) auf, die den Alturo-Angeboten nachgebildet sind (und deren kleineres jetzt schon wieder vom Markt ist), und Strato wie auch Manitu legen spezielle Wechsler-Angebote optisch im Alturo-Design auf (wie diese Übernahme der Kennfarben wohl wettbewerbsrechtlich zu beurteilen ist?).

"Alternativen zu Alturo" vollständig lesen