Wissenswertes…oder auch nicht.

Ist das Glas jetzt halbvoll oder halbleer? So was bekommt man zu sehen, wenn man in Windows 7 Starter Updates einspielt…

Ein Kollege bat mich um Unterstützung bei einer Migration von Windows 2003 auf Windows 2008 R2 (und dem Umstieg von Exchange 2003 auf Exchange 2010). Die Benutzer hatten ihre Citrix-Profile und das Home-Laufwerk auf dem Windows 2003 DC. Nachdem die Daten auf den neuen Server umgezogen worden sind, mussten noch die entsprechenden Einstellungen in den AD-Eigenschaften der Benutzer gemacht werden. Interessanterweise zogen diese aber nicht; angeblich wurde das Basislaufwerk nicht gefunden bzw. es gab keinen Zugriff darauf. Nach einigem Rumprobieren (das Event-Log gab mehr nicht her) habe ich mal wieder die Allzweckwaffe PROCMON gezogen. Ich habe auf die versteckte Freigabe für die Home-Verzeichnisse gefiltert und der Kollege hat sich angemeldet.

Und siehe da: ZUGRIFF VERWEIGERT. Von hier aus war es zur Lösung dann kein weiter Weg mehr: bei den Freigabeberechtigungen wurde nicht daran gedacht, dass diese standardmäßig nur auf „Lesen“ gesetzt sind. Und was wissen wir alle noch aus der Windows-Schulung?;-) Bei der Kombination von NTFS- und Freigaberechten zieht das Schärfere. Nebenbei habe ich dann noch entdeckt, dass bei einem Benutzer noch der alte Pfad eingetragen war.

Bei den Profilen gab es dann wohl noch einen weiteren Fehler, den der Kollege dann in der Zwischenzeit gefunden hatte. Der Windows-Teil ist damit fast abgeschlossen und ich kann heute Abend endlich den alten DC herunterstufen und die Mailboxen verschieben.

Ich kann den Jungs von SYSINTERNALS gar nicht genug danken!

PS: Man sollte allerdings nicht vergessen das Programm wieder zu beenden. Offensichtlich frisst es nach längerer Laufzeit alle Resourcen auf. Vielleicht wird es doch mal Zeit, dass ich anfange das SYSINTERNALS-Buch zu lesen;-)

vor einiger Zeit wurde ja in einen Server der Bundespolizei eingebrochen. Offensichtlich hat man die Systeme jetzt einer eingehenden Prüfung unterzogen und das Ergebnis war erschütternd:

• veraltete Hard- und Software
• Sicherheitssysteme sind, wenn überhaupt vorhanden, unzureichend
• mangelhaft ausgebildete Mitarbeiter
• fehlende Dokumentation
• theoretisch kann jeder Benutzer das System verändern
• Änderungen werden offensichtlich nicht mitgeloggt
• Remotezugriff erfolgt über Klartextprotokolle
• keine vernünftige Absicherung gegen Malware, die über Wechseldatenträger ins System kommen

Da Angreifer (zumindest behauptet der Bericht das) die Systeme manipulieren könnten, stellt sich für mich die Frage, inwiefern die Systeme überhaupt noch vertrauenswürdig sind.

Wenn Systeme der Bundespolizei schon in solch einem Zustand sind, wie sehen dann erst weniger kritische Infrastrukturen aus?

Wie kann so was in einem (angeblichen) High-Tech-Land passieren?

Neulich an einem Freitag Abend bekam ich einen Anruf von einem Ex-Kunden, der meine Nummer aus XING rausgekramt hat. Er kämpfte schon seit über zwei Stunden mit seinem Exchange-Server; dessen Festplatte (Laufwerk C:) füllte sich rasant. Er hatte zwar schon alles Mögliche gelöscht, aber nach kurzer Zeit war auch dieser Platz wieder aufgebraucht.

Als Erstes tippte ich auf eine SPAM-Attacke und dadurch erzeugte Transaktionsprotokolle. Die Transaktionsprotokolle lagen aber auf einer anderen Partition, so daß dieser Grund ausgeschlossen werden konnte. Das Problem war also: wie stelle ich fest was gerade meine Platte vollschreibt?

Ich bin in solchen Momenten immer wieder erstaunt dass es immer noch Admins gibt, die die Sysinternals-Tools nicht kennen. Ich habe ihn angewiesen, das Tool ProcMon auf dem Rechner zu starten. Zur Erinnerung: ProcMon zeigt in Echtzeit u.a. Festplattenaktivitäten, Registryzugriffe und Netzwerkverkehr an. Per Telefon habe ich ihm dann erklärt, wie man das Logging soweit einschränkt dass nur noch Festplattenaktivitäten angezeigt werden.

Der Erfolg stellte sich sofort ein: zwei Prozesse waren für fast alel Zugriffe verantwortlich. Der eine Prozess war offensichtlich ein Tool für die Überwachung des MegaRAID-Kontrollers und der zweite Prozess war Javaw.exe. Über den Taskmanager beendete er Javaw.exe und sofort war Ruhe. Scheinbar war das Logging des MegaRAID-Tools etwas ausser Kontrolle geraten.

Dank eines Sysinternals-Tools konnten wir den Fehler in weniger als 15 Minuten diagnostizieren und beheben.

PS: Nach langer Wartezeit ist auch endlich das Buch zu den Tools auf dem Markt. „Windows Sysinternals Administrator’s Reference“ von Mark Russinovich und Aaron Margosis. Über O‘ Reilly kann man das eBook schon beziehen; die Printausgabe verzögert sich noch etwas.

Gelegentlich passiert unter Linux mal was, das andere Leute immer nur im Zusammenhang mit Windows erwähnen: das komplette Einfrieren des Rechners. Maximal kann noch die Maus bewegt werden; der Rechner ist aber per Netzwerk nicht mehr erreichbar. Ich habe zwei Verdächtige: entweder ist es der proprietäre NVIDIA-Treiber oder der Google Chromium (der Browser).

Um dem Fehler auf die Spur zu kommen, habe ich den NVIDIA-Treiber deinstalliert. Das System meldete auch brav den Austausch des proprietären Treibers gegen die Open Source Variante, den Noveau-Treiber. Bedauerlichweise startete aber nach einem Reboot X nicht wieder. Ich habe dann versucht per startx das grafische System zu starten und bekam die folgenden Fehlermeldung:

NV: The PCI device 0x10de0649 (GeForce 9600M GT) at 01@00:00:0 has a kernel module claiming it. NV: This driver cannot operate until it has been unloaded. No devices detected.

Der Treibereintrag schien also schon der richtige zu sein (in der xorg.conf stand auch „nv“ statt „nvidia“), aber irgend etwas behagte dem System immer noch nicht. Leider scheint es SAX2 zur Konfiguration der Grafikkarte nicht mehr zu geben und ich war jetzt etwas ratlos, wie ich die Grafikkarteneinstellungen ändern sollte.

Google brachte dann wieder die Lösung und die war brutal, aber wirkungsvoll: einfach die xorg.conf löschen! Das System konfiguriert dann alles neu. Und wirklich, danach funktionierte das grafische System wieder.

Und ich sah mich schon die Nacht durchbasteln…

Heute gibt es mal eine private Ankündigung: es ist soweit. Die Kündigung ist geschrieben und akzeptiert, der Termin steht fest. Nach 46 Jahren ändert sich ab dem 28.07.2011 meine Anschrift[1]. Wir bleiben zwar in Essen, ziehen aber in unser eigenes Haus. Die neue Adresse werden wir zu gegebener Zeit mit Hilfe der guten alten Post oder per E-Mail bekannt geben.

Ich bin mal gespannt, ob wir vom ersten Tag an Telefon und Internet haben. Zumindest im ersten Jahr werden wir einen Internetzugang sowie Telefon über Kabel nutzen; danach gibt es hoffentlich einen Provider für den Glasfaseranschluß, der schon im Keller liegen soll;-)

[1] es ändert sich natürlich *unsere* Anschrift; aber nur ich wohne seit 46 Jahren dort.

Endlich komme ich mal dazu zwei Bücher vorzustellen, die ich vor einiger Zeit beendet habe.

Das erste Buch ist Versteckte Botschaften von Klaus Schmeh. Der Untertitel Die faszinierende Geschichte der Steganographie verrät eigentlich schon, worum es geht. Steganographie ist ja die Kunst der unbemerkten Übertragung von Botschaften, wobei im Gegensatz zur Kryptographie die Botschaften eben nicht „unleserlich“ gemacht (d.h. verschlüsselt) werden, sondern eben in einer unverfänglichen Botschaft „versteckt“ werden. Aus dem Altertum gibt es den Fall einer Übertragung einer Geheimbotschaft, die auf die Kopfhaut des Boten geschrieben wurde. Nachdem die Haare gewachsen waren, wurde der Bote losgeschickt. Zugegebenermassen nicht geeignet für dringende Nachrichten, aber sehr originell…

Da Klaus Schmeh das Feld der versteckten Botschaften sehr weit auslegt, wurde ich durch einige Kapitel doch positiv überrascht. Neben den üblichen Dingen (Geheimtinte, versteckte Botschaften in Bildern, Anfangsbuchstaben von Texten) lernt man auch etwas über Jargonsprachen und den Schutz vor Plagiatoren.

Ich möchte hier gar nicht zu viel verraten; ich belasse bei einer klaren Kaufempfehlung;-) (das Buch setzt keine Vorkenntnisse voraus)

Das zweite Buch spricht eher wieder einen speziellen Leserkreis an: Allahs Missionare (Ein Bericht aus der Schule des Heiligen Krieges) von Willi Germund

In diesem Buch geht es um die Theorie hinter radikalen Islamisten; um die Theoretiker und die Ausbildungsstätten. Der Autor beschreibt die Ursprünge der radikalen Theorien und zeigtauf, wo heute die Hintermänner sitzen (und welche Ziele sie verfolgen). Da viele der „Köpfe“ heute in Pakistan leben und lehren, hat dieses Buch aufgrund der aktuellen Ereignisse plötzlich eine größere Wichtigkeit bekommen. Wer sich für die Hintergründe interessiert, sollte sich das Buch mal anschauen. Ich möchte allerdings nicht unerwähnt lassen, dass ich dem Autor nicht in allen Punkten folgen kann (und will) und ich bei ihm eine gewisse Fixiertheit auf bestimmte Dinge erkenne. Aber man muss ja nicht immer nur Sachen lesen, die der eigenen Meinung zu Hundert Prozent entsprechen.

Vor ein paar Tagen hatte ich das Gefühl, ich sollte mal wieder ein Backup machen. Unter Windows nutze ich dazu ACRONIS und darüber sichere ich die Linux-Partitionen mit.

Meine Home-Partition unter Linux befindet sich auf einem verschlüsselten Laufwerk; d.h. eigentlich also in einer IMG-Datei (DM-Crypt, wenn ich mich richtig erinnere). Ein weiterer, vermutlich nicht ganz unwichtiger Punkt ist seit dem Umstieg auf OpenSUSE 11.4 die Verwendung des Programms BleachBit zum Löschen von Spuren im Browser und im Dateisystem. Soweit also die Vorgeschichte…

Heute dann plötzlich der Schock: beim Öffnen von Thunderbird wird ein Fehler gemeldet; neue Mails können nicht abgespeichert werden. DF -H zeigt zwar noch genug Platz an, aber das Mailprogramm bleibt dabei. Ein flüchtiger Blick in die Mailordner und der Schock ist da: nur noch Mails aus 2009!

Zwischendurch wirft eine Fehlermeldung den Dateinamen mailbox.msf raus. Also starte ich LSOF -r 1 | grep .msf um vielleicht eine fehlende Datei zu finden. Aber auch das bringt keine neuen Erkenntnisse. Eine Überprüfung der Zugriffsrechte zeigt, dass diese korrekt sind.

Dann die erste Entwarnung: ich rufe ein Konto nach dem Anderen auf und stelle fest, dass nur GMX betroffen ist. Nun starte ich tail -f /var/log/messages und dort dann die entscheidende Meldung (Auszug):

[ 9516.667964] dm-0: rw=0, want=13882297160, limit=65534968
[ 9516.667966] EXT3-fs error (device dm-0): ext3_free_branches: Read failure, inode=1573054, block=1735287144
[ 9516.668234] attempt to access beyond end of device

Da ist wohl mächtig was schief gelaufen. Die Inbox-Datei für GMX ist nur noch ca. 15 MB groß. Ich verschiebe nun (als root) den Ordner auf eine andere Partition und erhalte dabei Lesefehler. Nach dem Kopieren ist die Datei nur noch 4 MB groß. Ich kopiere sie wieder zurück und erhalte erst mal wieder den altbekannten Fehler. Nun stelle ich für GMX einen ganz neuen Ordner ein und plötzlich werden wieder Mails runtergeladen. Nachdem ich dann den Pfadverweis wieder auf den Originalordner zurückgestellt habe, funktioniert auch der. Im Moment sieht alles gut aus; auch wenn die Unsicherheit bleibt.

Die Lehren aus der Geschichte:

• Mein Backup-Konzept taugt nichts. In der Sicherung waren nur wenige Dateien und selbst wenn alles dagewesen wäre, hätte ich die Daten nur mit viel Mühe aus der IMG-Datei bekommen.
• Ich hätte gerne die Partition mit dem Home-Verzeichnis repariert (fsck.ext3). Allerdings bekam ich eine Warnung (Überprüfung bei gemountetem Laufwerk wird zum Datenverlust führen) und ich habe keine Ahnung, wie ich das Dateisystem der verschlüsselten Partition im nicht-gemounteten Zustand überprüfe.
• Bestimmte Tools wie BleachBit sollte man vielleicht doch nicht ohne vorherige Sicherung benutzen (obwohl ich nicht nachweisen kann, dass es schuld war)
• Ich muss mich um ein Tool kümmern, mit dem ich aus Linux heraus sichern kann.
• Ich muss mir regelmäßige Datensicherungen angewöhnen.
• Vorher muss ich erst mal analysieren, was ich überhaupt sichern will/muss.
• Und ich muss mein System besser verstehen…

Der Verlust wiegt glücklicherweise nicht ganz so schwer, da der Großteil der wichtigen Mails über ein anderes Konto läuft. Aber ärgerlich ist es trotzdem…

Heute morgen hatte ich das Vergnügen eines Zahnarztbesuches. Im Rahmen der Untersuchung wurden Kiefer und Zähne geröngt; dazu bewegt sich der Apparat einmal um den Kopf herum.

Nun wäre das ja kaum eine Erwähnung wert; aber der Apparat spielte dazu Musik.

Für Elise…

Manche Dinge kann man sich nicht ausdenken.