Schlagwort-Archiv: Linux

Probleme bei GIT via HTTPS

Geplant war, meine GIT-Repos via HTTPS verfügbar zu machen, um SSH wieder abschalten zu können. Die Authentifizierung erfolgt über das Apache LDAP-Auth-Plugin. Außerdem ist HTTPS in der Regel aus Firmennetzwerken heraus nutzbar.

Jedoch gab es Probleme, die im Grunde daher stammen, dass GIT-Clients GnuTLS als SSL-Library nutzen und nicht wie so häufig das weit verbreitete OpenSSL. Während ich eine OpenSSL-Verbindung mit meinem Server herstellen konnte, schlug das bei GnuTLS grundsätzlich fehl.

Das hat sich folgendermaßen bemerkbar gemacht:

bzw. in Eclipse:

Eine im Netz häufig gefundene Lösung für den Fehler „cannot open git-upload-pack“ ist das Setzen von http.sslverify auf true, was Git anweist, nicht vertrauenswürdige Zertifikate zu ignorieren, jedoch habe ich das CA Certificate in den Key Store importiert. Das war daher nicht das Problem, weitere Lösungsansätze habe ich nicht gefunden. Generell ist „cannot open git-upload-pack“ eine Fehlermeldung, die sehr viele Ursachen haben kann.

Ich bin beim Debugging häufiger auf ähnliche Einträge gestoßen:

Die Lösung ist daher ServerName im Webserver zu setzen:

Diese Direktive muss man im SSL-VirtualHost (z.B. in der Datei /etc/apache2/sites-enabled/default-ssl.conf)  der Apache-Config setzen, damit GnuTLS den ServerName mit dem CN (CommonName) des Zertifikats vergleichen kann.

Ich hoffe, das hilft anderen…

Die allgemeine Konfiguration von GIT via HTTP wurde schon häufig im Netz beschrieben (siehe Quellen).

 

Quellen:

Ganz nebenbei auch noch entdeckt:

Verwandte Posts:

Ubuntu Linux: Passwort vergessen

Wenn man das Ubuntu-Passwort vergessen hat, kann man folgende Punkte durchgehen, um eine Root-Shell zu bekommen, um das Passwort neuzusetzen:

Beim Booten des Servers (oder PCs) den Eintrag mit der Wiederherstellungskonsole auswählen. Dort gibt es den Menü-Punkt „Root-Befehlszeile“.

Für eine Linux-allgemeine Lösung oder für den Fall, dass die Wiederherstellungskonsole nicht zur Verfügung steht, kann man den Grub-Eintrag mit „e“ bearbeiten:

Entweder über den einen oder den anderen Weg sollte nun eine Root-Shell zur Verfügung stehen. Das Problem mit dem „Nur-Lesen“-Dateisystem löst man folgendermaßen:

Nun ist das Dateisystem vom Wurzelverzeichnis im Schreibmodus eingehangen. Mit

kann man nun das Passwort des Nutzers ändern.

Achtung, Sicherheitsrisiko: Das bedeutet, wenn jemand Unberechtigtes an das Boot-Menü kommt, ist die Sicherheit des Systems (Server, Laptop) in Gefahr.

Verwandte Posts:

How to root Ployer Momo 11 Speed

Falls ich es nochmal brauche und falls andere ebenfalls in der Situation sind, ihr Ployer Momo11 Speed oder ein anderes Tablet mit einem Rockchip RK3066 zu rooten, stelle ich hier die Schritte zusammen.

Der Ablauf ist ganz simpel: USB-Debugging aktivieren, Tablet am PC anschließen, per ADB eine su-binary raufschieben, eine passende App für das temporäre Erteilen der Root-Rechte installieren. Fertig.

Ubuntu und adb

Auf Grund der Treiberproblematiken habe ich mich für eine adb-Nutzung unter Linux entschieden. ADB ist beim AndroidSDK im Ordner plattform-tools enthalten (~/AndroidSDK/sdk/platform-tools). Achtung, das ist eine 32-bit-Application. Wer das unter einem 64bit-Ubuntu nutzen möchte, benötigt diese Pakete:

Das früher oft erwähnte ia32-libs scheint es nicht mehr zu geben. Danach unter Ubuntu die folgenden Anweisungen folgen: linux-rockchip.info/mw/index.php?title=ADB_shell_with_RK3066 . Falls die Verbindung nicht zu Stande kommt, einfach mal das Android-Device per USB angeschlossen neustarten.

Root my device

Nun den Anweisungen (http://www.android-hilfe.de/sonstige-android-tablets/336823-ployer-momo11-speed-extreme-edition.html#post4593541) unter Variante 2 (im wesentlichen die SuperSU runterladen, in das Verzeichnis von adb legen, Befehle unter „Root unter ADB“ durchführen) folgen.

Root-Checker sagt nun, dass ich Root-Zugriff habe. Als nächstes habe ich mir die ArkTools (nach ArkTools apk suchen lassen) installiert, das nutzt dann wiederum die Root-Rechte, um ClockWorkMod (CWM) installieren zu können. Nun wäre es theoretisch möglich, Backups vom System komplett zu machen oder neue Android-Versionen auszuprobieren.

Have fun!

Verwandte Posts:

/var/cache ist sehr voll

Auf einem Alix-Board von mir mit einer 4GB-CF-Card ist das Filesystem vollgelaufen. Der größte Platzverbraucher war /var . Darunter ist mir vorallem /var/cache aufgefallen, das besonders voll war.

Hier folgt der Suchansatz:

Dabei hat sich herausgestellt, dass vorallem /var/cache/apt viel verbrauchte. Die Lösung sah dann folgendermaßen aus:

Verwandte Posts:

DD-WRT und SNMP: falscher Port Speed

Mein Monitoring hat mir bei den Standard SNMP Interface OIDs permanent angezeigt, dass die Interfaces der DD-WRT-Kisten WRT54GL und WRT320N nur auf 10 MBit/Fullduplex laufen.

Die Gegenstellen (Server, Switches, PCs) haben sich aber immer auf 100 Mbit/Full geeinigt, es traten keine Interface-Fehler auf und auch beim festkonfigurierten Interface stand beharrlich 10/FD als SNMP-Wert.

Ursache: DD-WRT scheint den richtigen Portspeed nicht zu erkennen.

Lösung:

  1. Mit SSH auf das Gerät gehen.
  2. # vi /var/snmp/snmpd.conf
  3. Mit dem Befehl ps die Prozess-ID von SNMP ablesen

Verwandte Posts:

Gelöschte Bilder und Videos wiederherstellen

Es kann so schnell gehen und die geliebten Kinder- oder Urlaubsfotos sind weg.

Er, zuständig für Datensicherung und -archivierung. Sie, zuständig für Fotoaufnahmen des Kindes. Doch was passiert, wenn die Speicherkarte voll ist und Sie vor dem Löschen denkt, Er hätte die Fotos bereits gesichert…

Goldene Regel 1: Nichts mehr anfassen!

Nun ist es passiert. Gelöscht, im Datengrab versenkt, unwiederbringlich verstört. „Aber ich dachte, du hättest…“ . Videos von den ersten Schritten. Einmalige Fotos. Gelöschte Bilder und Videos wiederherstellen weiterlesen

Verwandte Posts:

Linux-Einzeiler: Toptalker im Apache-Log

Möchte man schnell wissen, wer die Toptalker in einem Apache Access Log sind, dann funktioniert folgende Befehlszeile gut, wenn die Client-IP im Log das erste Element ist:

cut zerlegt die Zeilen anhand des Trenners (Delimiter) “ „, also ein Leerzeichen, und wählt die erste Spalte aus. Das wird an sort übergeben, dass die IPs sortiert. uniq entfernt doppelte Einträge, der Parameter c bewirkt, dass vor den Werten die Anzahl der Häufigkeit ausgegeben wird. Das erneute sort sortiert die Zahlen nach natürlicher Zählweise (Parameter n), die höchsten Zahlen zu erst (Parameter r) und das Sortierkriterium nach Spalte 1, also die Häufigkeit der IPs.

Verwandte Posts:

pfSense-Installation auf eine CF-Card

Ich habe mir ein neues Spielzeug besorgt: ein ALIX.2D13 (x86-System für Mini-Server, Netzwerkdevices, etc.). Mit seinen drei Netzwerkports ist es quasi prädestiniert für eine Firewall. Eine mögliche OpenSource-Firewall ist pfSense.

Da eine Installation via USB-Stick, USB-Laufwerk, etc. nicht möglich ist, hat man drei Möglichkeiten, die CF-Karte zu bestücken:

  • (virtuellen) PC von CD starten, Installation auf CF-Karte durchführen
  • Installation mit debootstrap (nur für Debian/Ubuntu)
  • fertiges Images bitweise auf die Karte kopieren

Da für pfSense bereits Images zur Verfügung stehen, gehe ich diesen Weg. pfSense-Installation auf eine CF-Card weiterlesen

Verwandte Posts:

Filesystem-Check beim nächsten Booten

Normalerweise hilft fsck und seine Abkömmlinge fsck.vfat, fsck.ntfs, fsck.ext4, etc. bei Problemen mit dem Filesystem unter Linux. Jedoch bietet sich bei Partitionen mit Systemdateien das Problem, dass die Geräte eingebunden sind:

Das Beste wäre ja, wenn die Prüfung während des Bootens vor dem Einhängen durchgeführt werden würde. Dazu gibt es zwei Möglichkeiten:

Der Schalter -r kennt jeder: er sorgt für einen Reboot, der Schalter -F sorgt für einen Filesystem Check beim Hochfahren. Die andere Variante ist folgende:

Dadurch wird im Wurzelverzeichnis / eine leere Datei mit dem Namen forcefsck („erzwinge Dateisystem-Check“) angelegt. Wird diese beim Booten gefunden, wird ein Check durchgeführt.

Verwandte Posts:

Eigene DNS-Zone mit BIND

Für mein Heimnetzwerk habe ich mir eine eigene DNS-Zone angelegt. Die verschiedenen Server (Domain Controller, Reverse Proxy, Webserver, Mailserver) sprechen untereinander in der DNS-Zone xentity.lan, wobei .lan als Top Level Domain wie .de, .net., .org. oder .com fungiert und xentity darunter als Domain.

Die Server werden dann Namen wie mail01.xentity.lan, web01.xentity.lan oder dc01.xentity.lan haben, d.h. es sind keine weiteren Zonen unterhalb von xentity.lan geplant.

Ich erkläre nun kompakt, wie das bewerkstelligt werden kann…

Eigene DNS-Zone mit BIND weiterlesen

Verwandte Posts: