chr.istoph, der Blog

Nach der Neuinstallation konnte ich auf keine Updateserver zugreifen, da IPv6 nicht mehr funktionierte. So schreib ich folgende Nachricht an den Support:
Nach dem Neuaufsätzen des Servers ist mit den von Ihnen voreingestellten
Konfigurationen keine IPv6 Kommunikation möglich:
iface eth0 inet6 static
address 2a01:4f8:
...

Eine halbe Stunde später bekam ich die nachreicht das alles wieder funktioniert.
könnten Sie bitte prüfen, ob das Problem weiterhin besteht?

Keine 24 Stunden später funktionierte dann aber nichts mehr und mir wurde einfach das Netz gekappt und ein neues zugewiesen:
bei der IPv6 Überprüfung unseres Netzbereiches ist uns aufgefallen
das Sie ein falsches IPv6 Netz benutzen. Dieses ist nicht für den
aktuellen Standort Ihres Servers vorgesehen. Wir bitten Sie Ihre
Konfiguration anzupassen und das alte Subnetz von Ihrem Server zu entfernen.

Es handelt sich dabei um den Server EQ 4 - RZ 14 und
das nicht mehr gültige dem IPv6 Netz: 2a01:4f8

Mann kann es sich auch echt einfach machen. Da dies bei mir nun wieder zu Problemen führt Interessiert Hetzner gar nicht erst. Den jetzt muss ich wieder Firewalls und DNS anpassen, was recht ärgerlich ist da DNS Einträge bekanntlich bis zu 24 Stunden brauchen.

Es passiert immer wieder das irgendein Depp im Wohnheimnetz einen DHCP Server anschließt. Dies kann zur folge haben das Bewohner aufgrund einer falschen IP und default route kein Internet haben, im schlimmsten Fall kann man dadurch man in the middle attacken fahren.

Mittels dhcping bekommt man heraus welche DHCP Server im Netz antworten verteilen. So ist schnell ein Übeltäter lokalisiert.
dhcping -s 255.255.255.255 -r -v

Um dieses Problem aber generell in den Griff zu bekommen haben ich auf dem Cisco Switch DHCP snooping eingerichtet. Dafür habe ich erst alle möglichen Server Ports freigeschaltet. So kann es nicht Passieren das bei Umbauarbeiten am Netzwerk keiner mehr eine DHCP Adresse bekommt. Anschließend habe ich für das gesamte 240 VLAN das dhcp snooping aktiviert.

switch(config)#interface range GigabitEthernet 2/1-48
switch(config-if-range)#ip dhcp snooping trust
switch(config-if-range)#exit
switch(config)#ip dhcp snooping vlan 240
switch(config)#do show ip dhcp snooping

Switch DHCP snooping is disabled
DHCP snooping is configured on following VLANs:
none
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
GigabitEthernet2/1 yes unlimited


Oft sind veraltete Passwörter oder Accounts ein Einfallstor für Hacker Angriffe. In meiner auth.log finden sich hierfür fiele Beispiele. Um Herauszufinden welche User einen Account mit Passwort zugriff haben, habe ich folgende Überprüfung gemacht:

grep '\$' /etc/shadow | awk -F: '{print $1}'
root


Heute wollte auf einem der Server trotz, ssh -X oder -Y, kein X Forwarded mehr. Nach Kurzer suche war der Fehler ganz einfach.
# xterm
xterm Xt error: Can't open display: %s
xterm: DISPLAY is not set

Es Fehlte einfach nur das Paket xauth, danach ging alles wieder.
apt-get install xauth

Da die Hardware nun Funktionierte wollte ich natürlich auch schöne RRD Graphen erstellen. Alles was man dafür braucht das Debian Weezey Image für den PI und Installiertes RRD:
apt-get install rrdtool

Dazu müssen die folgenden Module geladen sein:
modprobe wire
modprobe w1_gpio
modprobe w1_therm

Dieses Script such nun automatisch alle 1-Wire Sensoren ab und erstelle für sie ein RRD Graph.

#!/bin/bash

rrddata=/usr/local/rrd
rrdimg=/var/www/img

if [ ! -d "/sys/bus/w1/devices/w1_bus_master1/" ]; then
	echo "dir not exist: /sys/bus/w1/devices/w1_bus_master1/ kernel module laden?"
	echo "  modprobe wire; modprobe w1_gpio; modprobe w1_therm"
	exit 1
fi
if [ ! -e "/usr/bin/rrdtool" ]; then
	echo "rrdtool not installd"
	exit 1
fi

for dev in $(ls /sys/bus/w1/devices/w1_bus_master1/ | grep ^10 ); do 
	echo $dev
	if [ ! -e "$rrddata/$dev.rrd" ]; then
		echo "create: $rrddata/$dev.rrd"
		if [ ! -d "$rrddata" ]; then
			mkdir -pv "$rrddata"
		fi
		rrdtool create "$rrddata/$dev.rrd" --step 60 \
                        DS:celsius:GAUGE:600:U:U \
                        RRA:AVERAGE:0.5:1:2880 \
                        RRA:AVERAGE:0.5:60:700 \
			RRA:AVERAGE:0.5:240:720 \
			RRA:AVERAGE:0.5:1440:730 || exit 1
	fi

	temperatur=$(grep 't=' /sys/bus/w1/devices/w1_bus_master1/$dev/w1_slave | awk -F '=' '{print $2}')
	echo "$temperatur"
	/usr/bin/rrdupdate "$rrddata/$dev.rrd" N:$temperatur

	if [ ! -d $rrdimg ]; then
		mkdir -p "$rrdimg"
	fi
	/usr/bin/rrdtool graph $rrdimg/$dev.png -a PNG -w 1000 -h 300 -M -s -129600 -v "Grad Celsius" \
                "DEF:c=$rrddata/$dev.rrd:celsius:AVERAGE" \
                "CDEF:gc=c,1024,/" \
                "AREA:gc#00FF00:Grad Celsius" \
                "GPRINT:gc:LAST:Last \:    %3.2lf °C" \
                "GPRINT:gc:AVERAGE:Average \: %3.2lf °C" \
                "GPRINT:gc:MIN:Min \: %3.2lf °C" \
                "GPRINT:gc:MAX:Max \: %3.2lf °C"
done

exit 0

Das Script habe ich dann in crontab -e eingetragen, so das es Jede Minute ausgeführt wird. Damit meine CF Karte dabei nicht kaputt geschrieben wird habe ich für das erstelle Image eine tmpfs angelegt. Für mein Beispiel habe ich in der /etc/fstab
tmpfs /var/www/img tmpfs defaults,size=2M 0

[Update]
mit einem Kernel Update waren plötzlich alle Sensoren verschwunden. Hierfür musste man die in der /boot/config.txt folgenden Option hinzufügen.

dtoverlay=w1-gpio