Stephans Blog

Aus verschiedenen Gründen ( Speicher , Gigabit Ports ,.. ) und weil ich einfach auch ein Bastelwlan haben wollte ( das sollte dann der alte Router werden ) musste ein neuer Router her.
Eigentlich wollte ich ja einen , der zwei WLAns simultan kann egal ob physikalisch oder als virtueller Access Point.
Ausserdem sollte am besten Openwrt drauf laufen .
Diesen Alleskönner schien es nicht zu geben weswegen ich einen wrt160N bestellte.
Bekommen hatte ich allerdings einen wrt160NL.

Der Unterschied zwischen den Geräten erschloss sich mir erst beim Stöbern in der englischen wikipedia .
Der wrt160NL hat einen Atheroschip, dies kann VAP ermöglichen !!

Momentan bin ich nach diesem howto dabei, die Firmware zu bauen

Meine bisherigen Schritte

mkdir OpenWrt
cd OpenWrt/
svn co svn://svn.openwrt.org/openwrt/trunk/
cd trunk
svn up

sollte eine Versionsnummer von r17264 oder größer sein

./scripts/feeds update
make defconfig
make package/symlinks
make menuconfig


Im Menü habe ich als Target System ar71xx und als Target Profil wrt160nl eingestellt.
Momentan läuft das

make

noch

Was macht man wenn die downloads zu große Peaks ergeben und der apache2 dadurch in die Knie geht?
Ich durch stöbern im Netz mod_cband enndeckt.
Installiert via
apt-get -s install libapache2-mod-cband
( für Debian/ubuntu). Dann habe ich in den zu bremsenden Host folgende Zeilen hinzgefügt

CBandSpeed 2048kb/s 10 30
# Der Vhost darf nur maximal 2048kb/s Bandbreite nutzen sowie max. 10 Requests und max. 30 offene Verbindungenn
CBandRemoteSpeed 100kb/s 3 3
# Jeder Client darf nur 100kb/s nutzen aufgeteilt in 3 Quests und drei offene Verbindungen


Wer auf einem Rechner verschiedene SSH Keys für verschiedene Ziele verwalten möchte, kann dies mit einer simplen Konfigurationserweiterung tun.
Man erstelle eine Datei
~/.ssh/config mit folgendem Inhalt

Host 127.0.0.1
User root
IdentityFile /home/user/.ssh/id_dsa_2


Wenn haben die SSH Dictionary Attacken nicht auch genervt. Auch wenn das eigene System sicher war hat der Spuk doch Bandbreite gefressen und die Systeme unter Last gesetzt .
Beim stöbern [1 fand ich diesen Ansatz mit iptables :
iptables -N SSH_CHECK
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP

Was wird gemacht:
– Der gesammte SSH Verkehr geht durch einen neue Queue ( SSH_Check)
-Wenn es innerhalb von 60 Sekunden von einer IP drei neue Verbindungsversuche gibt, wird diese für 60 Sekunden geblockt

Das hat sich als sehr wirksam erwiesen
[1]
http://hostingfu.com/article/ssh-dictionary-attack-prevention-with-iptables

Jetzt habe ich mir auch suhosin ( PHP hardening) als Plugin installiert.
Dazu braucht man erstmal ein paar Pakete
apt-get install build-essential php-dev
wget http://download.suhosin.org/suhosin-0.9.27.tgz
tar xfv suhosin-0.9.27
cd suhosin-0.9.27
Danach kann man es kompilieren

phpize
./configure
make
make install
Wenn das kompilieren fehlschlägt mit einer Fehlermeldung wie dieserer (war bei mir
In file included from /usr/local/include/php/ext/mbstring/mbstring.h:75,
from /usr/ports/security/php-suhosin/work/suhosin/rfc1867.c:40:
...

dann ist der schnelleste Fix in der Datei rfc1867.c
if HAVE_MBSTRING && !defined(COMPILE_DL_MBSTRING)
in
if 0 && HAVE_MBSTRING && !defined(COMPILE_DL_MBSTRING)
zu ändern

Habe ich gerade beim stöbern im Netz gefunden: Japanische Freaks haben R2-D2 so modifiziert, so das dieser Nagiosscreens projeziert.

Das benötigt jedes Rechenzentrum 🙂

..

Nachdem ich mit meiner Wetterstation ins stocken kam läuft endlich auch das Barometer flüssig .
Ich musste dazu einen elektrischen Verstärker auch noch aus der USA [2] bestellen für dem 1-Wire Bus.

Das Barometer lief unter OWFS dann immer nocht nicht. Mit OWW ( OneWireWeather ) [3] statisch kompiliert und danach noch relativ hart umkompiliert werden .
Zwei Zeilen sind sehr wichtig.

logform $bar1$
txtform $bar1$

So wird allerdings der Luftdruck ohne Zusätze angezeigt.
Und das Ergebniss im rrdgraph kann sich sehen lassen.

und wöchentlich

[1]
http://blog.hlawatsch.org/?p=16
[2]
http://www.hobby-boards.com/catalog/main_page.php
[3]
http://oww.sourceforge.net//a>

Neulich hatte ich eine Mail in meinem Postfach von einer Judy, die mich zu einer Fahrschulprüfung einlud.
Klar Spam , aber ein bisschen erstaunt da meine Fahrschulprüfung 10 Jahre her ist.
Also wurde ich neugierig und fand einige Links wie diesen [1]der, meiner Meinung nach, verbreitet werden sollte.

[1]
Link

Ich hatte mir so ein schönes kleines 1 Disk NAS gekauft und wollte es mounten. Dies blieb leider ohne Erfolg bis ich auf einer anderen Seite in Internet den entscheidenden Hinweis entdeckte.

Solche NAS benötigen in der fstab noch einen weiteren Parameter.
Der entscheidende Parameter ist markiert.

//192.168.1.91/PUBLIC/ /mountpont smbfs username=user,password=password,nounix

Da ich mir jetzt zum zweiten Mal die Konfiguration eines MRTG aus den Fingern saugen musste , schreibe ich mir bis zum nächsten Mal auf 😉

MRTG und snmpd müssen installiert sein
Die snmpd.conf ( eigentlich selbat weklärend
cat ../snmp/snmpd.conf
#optional
syslocation Serverraum
syscontact Admin (admin@localhost)
# Der wichtige Parameter
rocommunity public 127.0.0.1


Mit diesem Befehl wird die Konfiguration für den MRTG geschrieben und die Dateien für die Interfaces initial angelegt.
cfgmaker public@127.0.0.1 --global "Workdir: /www/mrtg" --output /etc/mrtg.cfg

Mit folgendem Befehl kann noch eine Indexdatei erstellt werden.
indexmaker --output=index.html /etc/mrtg.cfg

Das als Cronjob und das MRTG lebt
mrtg /etc/mrtg.cfg