RackBlogger

Nachdem kürzlich bekannt wurde, daß sich beim Patchen der OpenSSL-Bibliothek in Debian 4.0 ein Bug eingeschlichen hat, welcher alle unter Debian mit OpenSSL erzeugten Schlüssel (egal ob SSH, SSL oder OpenVPN) quasi unbrauchbar macht, haben wir nun in mehrstündiger Arbeit alle Schlüssel ausgetauscht. Ich warte gerade noch auf die letzten aktualisierten SSL-Zertifikate (ja, auch die müssen neu ausgestellt werden, da sich ja der Private Key geändert hat).

An dieser Stelle ein paar Hinweise zur zusätzlichen Absicherung von SSH-Zugängen:

• am besten SSH durch entsprechende Firewall-Regeln nur von bestimmten IPs aus erlauben (z.B. vom Büro-Netzwerk)
• den privaten SSH-Schlüssel nur auf einem “Kommunikations-Server” ablegen, und von dort aus auf den jeweiligen Zielserver connecten. Also nicht den privaten Schlüssel auf jeder Maschine ablegen, nur um faul bequem von jedem Rechner auf jeden Rechner connecten zu können.
• NIEMALS root-Anmeldung per SSH erlauben! In /etc/ssh/sshd_config den Eintrag “PermitRootLogin” auf “no” setzen.
• Falls z.B. für automatische Backups ein root-Login möglich sein muss, dann PermitRootLogin auf “forced-commands-only” setzen, und den jeweils erlaubten Befehl in der authorized_keys2 dem jeweiligen Schlüssel voranstellen, z.B.: command=”/usr/bin/rsync –server –sender […]” ssh-rsa […]
• Falls man den Zugriff auf SSH nicht per Firewall regulieren kann/will, kann man in authorized_keys2 mit der Option from festlegen, von wo aus dieses Login akzeptiert wird, z.B.: from=”12.34.56.78″ ssh-rsa […]

Weitere Ideen?

Dann fang’ ich einfach mal an: die letzten Tage waren einfach deshalb etwas stressig, weil wir ein neues Büro bezogen haben.

Seit dem 02.05.2008 sind wir nun im Innovations- und Gründerzentrum (IGZ) in Erlangen-Tennenlohe beheimatet. Diese neue Location gibt uns viele Vorteile - vor allem ein intensiveres Networking mit “benachbarten” Firmen (im wörtlichen wie auch im übertragenen Sinne) sowie die Nähe zur Technischen Fakultät der Uni Erlangen. Vor allem aber sind wir derzeit mitten in der Entwicklung eines neuen Produktes, weshalb wir gerne auf die Infrastruktur und Fördermöglichkeiten eines Innovationszentrums zurückgreifen. An dieser Stelle auch schonmal vielen Dank an alle bisherigen und zukünftigen Begleiter des Projektes!

Was sich jedenfalls gelohnt hat und ich auch immer wieder so machen würde: Büromöbel von IKEA. Ob EFFEKTIV oder GALANT - das Tolle ist, dass man selbst nach fast 10 Jahren noch Möbel dazu kaufen kann, und trotzdem alles optisch zusammen passt. Die Büromöbel sind wirklich sehr robust - für manche war das schon der zweite Umzug, und diese sind nun über neun Jahre alt.

Hier noch ein Blick auf den “Empfang” mit der Lounge für Besucher oder zum Schmökern in Büchern:

Aber auch bezüglich der Infrastruktur hat sich einiges getan. Es gibt nur noch einen zentralen Büroserver (quasi lautlos), auf dem in einzelnen XEN-Instanzen virtuelle Server für Asterisk, Office und Entwicklung laufen. Der Asterisk-Server greift auf durchgereichte ISDN-Hardware zurück, die den Anschluß ans Telefonnetz ermöglich (meiner Meinung nach ist VoIP über die Bürogrenze hinweg derzeit nicht ohne spürbare Qualitätseinbußen möglich). Um den digitalen Empfang und Versand von Faxen kümmert sich Hylafax. Ein Samba-Server stellt alle benötigten Dateien zur Verfügung, die Drucker sind alle direkt ans Netzwerk angeschlossen. Der Entwicklungsserver dient der kompletten Verwaltung von Code, Dokumentation und Tests; über eine NFS-Freigabe können die Sachen dann auch auf XEN-Test-Instanzen unter etlichen anderen Linux-Distributionen sowie unter FreeBSD und OpenSolaris getestet werden.

Der Internetzugang erfolgt nun nicht mehr über eine popelige DSL-Leitung, sondern per Direktanbindung über einen Inhouse-POP (die Latenz zu unseren Servern in Nürnberg beträgt nun unter einer Millisekunde! ).

Nach einer knappen Woche voller organisatorischer Dinge (Umzug, Telefon- und Internetzugang, Bürokratie) und dem von mir besuchten Seminar kehrt nun langsam etwas Ruhe ein. Morgen Nachmittag habe ich noch einen wichtigen Termin (über den ich dann in Teil II berichten werde), und dann ist eh erst einmal Bergkirchweih.

Ich wollte mich nur mal kurz melden… die letzten zwei Wochen waren ziemlich voll mit äußerst abwechslungsreichen Terminen. Eben bin ich von einem zweitätigen Seminar zurückgekommen (Fortbildung muss sein). Was genau in den letzten Tagen passiert ist, und was noch in den nächsten Tagen passieren wird, werde ich in Kürze in der Serie “Alles Neu macht der Mai” präsentieren.

Heute, im Gespräch mit einem Kunden:

Kunde: […] Und dann stellen wir uns noch ein 3 Terabyte Datenklo hin […]

Den Begriff hatte ich auch noch nicht gehört, finde ihn aber sehr beschreibend.

… ist eine korridierte RJ45-Buchse.

Das betroffene Gerät hing nacheinander mit verschiedenen Netzwerkkabeln an zwei verschiedenen Switches, am Switch-Ausgang eines IP-Telefons und sogar an einem 10-MBit-Hub (!) - überall wurde ein Netzwerk-Link angezeigt, aber es kam nix ‘rüber.

Leider kam ich erst nach fast zwei Stunden auf die Idee, mal die RJ45-Buchse des (neuen!!) Gerätes zu reinigen (mit ‘nem Schraubenzieher die Kontakte abgeschrubbt, dann mit Druckluft aus der Dose nachgespült, und am Ende noch Kontaktspray drauf). Und siehe da - es geht!

Mein manchmal lästiger Perfektionismus trieb mich dazu, die mit DocBook erzeugte PDF-Datei auch noch in unserem Corporate Design zu setzen, zu dem eine bestimmte Schriftart gehört. Dieser teuer bezahlte Font liegt mir aber “nur” im OpenType-Format vor. OpenType ist ja eigentlich ein ziemlich geniales Format, wenn es denn nur ausreichend unterstützt werden würde… :-/

So unterstützt der Renderer FOP, der die per XSL erzeugte .fo-Datei in ein PDF umwandelt, leider keine sogenannten “CFF-Glyphs” in OpenType-Fonts. Ich habe es laaaange versucht (auch mit der 0.95beta und der trunk-Version von FOP), aber irgendwann aufgegeben. Stattdessen habe ich die Schriftart online nochmal als Type1 gekauft… Damit hat’s dann reibungslos funktioniert. Was macht man nicht alles für ein schönes Layout…

… anders kann ich mir das nicht erklären:

Bevor ich das noch aus Versehen kaufe, pack ich’s besser für heute…

Ich habe heute ein Angebot für einen Internetzugang erhalten, bei dem jedes GB satte 8,- Euro netto kostet…

Es handelt sich dabei übrigens um eine direkte POP-Anbindung, und nicht um UMTS o.ä. - so ganz zeitgemäß scheint mir der Preis nicht zu sein. Mal schauen ob sich da noch was verhandeln lässt…