Blonko!

Als backup-dude binnen Openminds had ik gisteren de backup-configuratie aangepast om enkele nieuwe machines toe te voegen die we eerder die dag hadden geplaatst, en ondertussen dacht ik om even slim te zijn, en standaard /var/cache/apt/archives (waar apt/dpkg onder debian zijn afgehaalde pakketten plaatst) niet mee te nemen in de backups. Dus pas ik de FileSet aan voor de standaard Linux machines, en plaats ik die bij de ‘Excludes’. Snel nog even de backups gestart van de nieuwe machines zodat ik zeker ben dat dat goed loopt, en dan naar huis (BBQ!).

Deze morgen bekijk ik zoals elke ochtend de backup log die in mijn mailbox te vinden is… Wat blijkt, elke machine was volledig gebackupped. Blijkbaar redeneerde bacula (de software) als volgt: “ik heb nog geen backup met die configuratie van de fileset, dus doe ik maar een full backup”. Logisch als je het achteraf bekijkt, maar het was toch even schrikken! Fijn dat de software goed en intelligent geschreven is.

Nu, een extra full-backup kan nooit geen kwaad, en we hebben plaats genoeg (straks dan nog eens mijn storage wat vergroten, want nu komt het (tijdelijk) wat krap).

De laatste dagen is vrij veel te doen geweest in de pers over verschillende mass-defacements. De eerste melding was over http://www.wielerbondvlaanderen.be/ op de site van de krant De Standaard. Gisteren verscheen een iets beter en duidelijker artikel op zdnet. Men laat daarin uitschijnen dat dit iets van ‘dit moment’ is, maar defacements zijn al zo oud als de webservers zelf. Maar doordat enkele populaire sites getroffen werden, komt dit natuurlijk wel in het nieuws.

De mass-defacements zijn ietwat misleidend, want meestal is het maar één server die gehacked werd, de impact is er natuurlijk niet minder om. Dit kan gebeuren door ofwel een beveiligingsfout van de server, of door foute en slechte code op de website van een gebruiker.

De veiligheid van de server is de verantwoordelijkheid van de systeembeheerder. Daar kan je als eindgebruiker weinig aan doen, en het is moeilijk te controleren (certificaten zeggen ook niet alles ).

Wanneer de onveiligheid zich bevindt in een van de scripts van een gebruiker, dan kan normaal enkel die ene gebruiker zijn site gehacked worden. Wanneer de server echter geconfigureerd is om alles als één gebruiker uit te voeren (veel hosters hun configuratie is zo), heb je natuurlijk toegang (minstens leesrechten) tot alles files van alle gebruikers, want de webserver moet die files ook kunnen lezen. Op een linux server kan dit eenvoudig verholpen worden door, voordat de webserver het script uitvoert, de identiteit van de gebruiker aan te nemen. Dan kan normaal enkel geknoeid worden met de files waar die ene gebruiker toegang tot heeft.

Voor de systeembeheerders, details hierover zijn te vinden op Google, zoek even op suphp, phpcgiwrap, suexec en aanverwanten. In onze configuratie loopt elke aanvraag als de gebruiker zelf. Dit geeft niet enkel voordelen bij slechte scripts (phpbb! phpnuke!), maar ook bij het configureren van de sites door onze gebruikers (chmod 777 hoeft niet meer!). De enige raad dat ik nog kan geven: zorg dat je eigen software veilig is, en zorg dat je software van derden up-to-date is!

Wil je een overzichtje van defacements, dan kan je best even gaan rondneuzen op Zone-h.

De dell DRAC4 kaart werkt onder linux, en onder Debian linux, maar let op, ik heb me doodgezocht op het volgende:

Je moet meer dan 4 seriële poorten configureren in je kernel wanneer je deze wil gebruiken. Dit is een optie onder “Device Drivers”, “Character Devices”, “Serial …”. Daar kan je kiezen hoeveel seriële poorten er maximaal zijn. Verander dit van 4 naar 8 bvb, recompile, reboot (of module herladen), en tadaa! Onder debian dien je /etc/default/dellomsa ook aan te passen, dat hij de ‘racsrv’ start.

En dan kan je de telnet interface aanzetten met
cd /opt/dellomsa/srvadmin/rac/bin/
./racadm config - g cfgSerial - o cfgSerialConsoleEnable 1

Ambiance!

Dit weekend ben ik op Elephants Dream gebotst, de eerste 3D animatiefilm die naar de gedachten van “Open Source” gemaakt werd. De film is gratis van het net te plukken, en alle bestanden om de film te maken, zijn ook beschikbaar. Zo kan je zelf de film her-renderen (mocht je wat cpu cycles over hebben), of de files openen in Blender, en zo onderzoeken hoe de film gemaakt werd, en eruit leren (of een sequel maken) .

Vanavond zijn we een pintje gaan drinken onder de stralende zon op uitnodiging van Netlash. Aan de vooravond van de Gentse Feesten was het gezellig samenzijn, en een praatje te doen over gebruikersomgevingen, de Gentse Feesten en aanverwanten. Dat mag er voor mij altijd wel eens bij, eens met de mensen samenzitten, wat dingen bespreken en je wat laten gaan in gedachtenpistes en de mensen leren kennen buiten de leefwereld van het zakendoen. Ondertussen heeft Jan ook eens de mensen van Netlash gezien, en vice versa; het is altijd leuker een gezicht te kunnen plakken op de mensen achter de mails en telefoons.

Als het eens goed weer is in augustus, inviteren we eens terug!