Moodle 2.9.x Teil I

Moodle 2.9.x braucht als DB-Engine zwingend InnoDB und läuft nicht mehr mit MyISAM. Im Verlauf des Updates meldet sich deswegen Moodle mit der Meldung

Erster Schritt ist die Kontrolle, ob die eigene mySQL DB InnoDB überhaupt unterstützt. Hierzu z.B. in phpmyadmin anmelden und dort auf dem Reiter SQL

absetzen [1]. Meist zeigt die Ausgabe das hier:

showengines

und alles ist gut. Wenn nicht, dann hat man richtig Arbeit an der Backe und muss zuerst die MySQL Installation auf Vordermann bringen.

Dann im Backend von Moodle (als Administrator) die URL wie folgt anpassen:

und der Migrationsprozess rattert los. Das kann dauern. Lange.

Moodle schimpft dann evtl. über Tabellen im Antelope Format, statt des gewünschten Barracuda:

Hier ist man nun auf die Shell gezwungen, wenn ich das richtig sehe. DB-Experten mögen mich korrigieren.

Erst einmal nachschauen, welche Tabellen überhaupt bearbeitet werden müssen. Das geht mit einem Script, das Moodle mitbringt und das über dem Moodle-Stammverzeichnis ausgeführt werden muss:

Bei mir ergab das

was sich mit Hilfe des oben genannten Scripts durch den Schalter –fix jedoch nicht reparieren lässt, weil man hierzu mehr Rechte innerhalb der MySQL-DB benötigt, als bei mir hier der Apache hat.

Moodle selbst läuft auch unter Version 2.9.x noch mit Antelope – das Upgrade kann also stattfinden. Da ich die Nebenwirkungen von Barracuda schlecht abschätzen kann, wenn ich mit der DB-Kompression spiele (da hängen auch noch WordPresse und Typos mit dran), bespreche ich mich mal lieber zuerst mit Frank. Mal sehen, was der meint – und dann geht es weiter.

 

 

Eins an der Waffel

kruppsrezepte

Krups hat gelinde gesagt eines an der Waffel: Da verticken die ein sehr brauchbares Waffeleisen zusammen mit einer unsäglich schlechten Rezept-CD.

Die CD ist nur für Windows und MacOS gedacht / gemacht. Mit Hilfe von wine bekommt man /DE/Rezepte.exe zwar auch unter Linux zum Laufen – allerdings erklärt das nicht, wie Krups überhaupt auf so einen Quatsch gekommen ist: Flash liefert für die Rezeptesammlung lediglich eine Umblätterfunktion, die leidlich nett aussieht und heute auch in HTML+CSS+JavaScript zu machen wäre. So oder so: Wer will in der Küche mit seinem Laptop werkeln? Wenn, dann befindet sich dort vielleicht ein Tablet und das hat kein CD-Laufwerk.

Die Druckfunktion der Flash-App für Einzelrezepte ist ebenfalls unbrauchbar: Sie erstellt Screenshots der Flashseiten. Zum Glück muss man sich nicht alle Rezepte einzeln per Screenshot-Export holen, sondern kann sich auch ein komplettes PDF aus der Flashoberfläche heraus exportieren. Um Flash herum kommt man nicht. Im Gesamt-PDF ist der Text dann auch als solcher enthalten – nicht nur Bilder. Allerdings: Man erhält auch hier ein PDF mit weißem Text auf braun-grauem Hintergrund, so dass der Spaß beim Drucken schnell vergeht. Offensichtlich arbeitet Krups mit den Herstellern von Tonern und Tinten zusammen.

einsanderwaffel

Überhaupt. Unter Windows würde die CD versuchen, so die Einstellungen in der autorun.inf, die Rezeptsammlung zu installieren, was auch wieder keiner, dem Systemsicherheit ein wenig wichtig ist, wollen kann. Da wundert es mich wenig, dass ClamAV einen PUA.Win32.Packer.Upx-28 in der setup.exe meldet. Auch wenn die Datei selbst harmlos ist (eine Suche bei virustotal zeigt 0 Schädlinge), ist das ein weiteres Indiz für die Strategie “Hauptsache es tut auf dem Rechner des Chefs der Marketingabteilung, der von Technik Gott sei Dank keine Ahnung hat”.

Und hier enden die Seltsamkeiten nicht: Auf der CD befindet sich im Ordner /AutoPlay/Videos eine Datei Magnolia.mpg in der ein Haus auf Englisch beworben wird. Ein Haus? Auf einer Waffel-Rezepte-CD? Wo haben die das Ding nur her?

Die Waffeleisen wurde vom ETM-Testmagazin mit der Note “sehr gut” ausgezeichnet und erhielt 93,8% aller möglichen Punkte. Einen großen Anteil hieran wird die Dokumentation bzw. Beilage zum Waffeleisen nicht gehabt haben – oder ETM ist bei derartigen Dingen unkritisch. Die bei Testberichte verlinkten Amazon-Kommentare sind hier ebenfalls blind – oder beziehen sich offensichtlich auf eine ältere Version der ausgelieferten Ware, weil stellenweise noch von Rezepte-PDFs die Rede ist, was eindeutig die bessere Wahl wäre.

Im Ergebnis: Die Rezepte-CD ist voll mit sinnlosem Chichi und obendrein technisch grottenschlecht gemacht. Krups gibt hier kein gutes Bild ab.

Jetzt hoffe ich, dass bei Krups die Ingenieure mehr im Hirn haben als das Personal in der Marketing- und Verpackungsabteilung, denn die Idee des Waffeleisens ist an und für sich gut: Die Pfannen können einfach entfernt und gespült werden und für eine gleichmäßige Verteilung des Teigs sorgt ein händisch zu bedienender Drehmechanismus. Dazu kommt ein ebenfalls einfach zu spülender weil entfernbarer Teigtropfenfänger, der darüber hinaus magnetisch am Gehäuse befestigt werden kann, so dass dieser im Schrank am senkrecht gestellten Eisen bleibt.

Etwas kritisch bin ich, was das Material der Pfannen angeht. Diese sind aus Aluminium und können somit kaum Wärme speichern. Eisen wäre besser, Gußeisen ideal. Auch da ist noch Raum nach oben, bis man das hier elektrisch bekommt.

XMPP continued

Der XMPP Server unter Prosody läuft einfach. Etwas hakelig erwies sich die Konfiguration der Chaträume, die meinem Eindruck nach auch von den Fähigkeiten der mit dem Server verbundenen Clients abhängig ist: deren Zusammenspiel mit Prosody erzeugt einige Inkonsistenzen. Bei den folgenden Einstellungen für Prosody

erlaubte es mir Conversations nicht, einen Chatraum einzurichten. Leider klappt das auch nicht mit

das ja eigentlich das Recht zur Raumerstellung auf die Admins beschränken sollte. Das funktionierte bei meinen Versuchen ein einziges mal – danach dann nicht mehr. Warum, war den Logs für mich nicht zu entnehmen. Da stand

(blabla steht hier für den gewählten Raumnamen) aber ich googlete mich in die Ecke ohne schlau zu werden. Ich stellte deswegen auf

um und überwache zur Sicherheit das Verzeichnis mit den Raumdefinitionen, auf dass ich mitbekomme, was mein Server so alles hostet. Diese liegen hier:

Eine weitere Hürde auf dem Weg zu eigenen MUCs war, dass mein Zertifikat für den Server nur auf domain.tld und www.domain.tld läuft. Der Standard für MUCs scheint aber conference.domain.tld zu sein. Ich hätte mir demnach ein extra Zertifikat besorgen oder richtig Geld in die Hand nehmen müssen, was mir schlicht zu blöd war. Startssl muss reichen. Also sind die Chaträume nun eben unter www zu finden. Für die eigenen Bedürfnisse geht das.

Überhaupt: Die Clients.

Meine Erfahrungen beschränken sich auf xabber, tigase, yaxim und conversations. Von diesen beherrscht nur conversations in Zusammenspiel mit Prosody den (fast) reibungslosen Versand von Dateien und Bildern, den Austausch von OTR-verschlüsselten Nachrichten sowie nun auch die Einrichtung und Verwaltung (privat / öffentlich, Einladungen verschicken und annehmen) von Räumen.

Screenshot_2015-06-04-09-11-42

Beim Versand von Bildern und Dateien mit Conversations / Prosody muss man allerdings darauf achten, dass die Beteiligten gegenseitig ihren Online-Status sehen dürfen und auch beide online sind (grüner send / camera button) – sonst fällt der Prozess kommentarlos auf die Nase.

Eine Option zur Zwischenspeicherung von Dateien und Bildern auf dem Server habe ich in Prosody nicht gefunden und dafür scheint es auch kein Modul zu geben. Das Modul mod_storage_internal kann nur mit Text umgehen und auch mod_offline behandelt lediglich Text. Ich muss mir mal mod_storage_sql ansehen. Evtl geht ja da was (auch wenn die Beschreibung der DB-Felder für mich nicht so aussieht).

Dazu kommt: Verschickt man über Conversations dickere Dateien (getestet habe ich mit bis zu 16MB), dann fällt auch dies gelegentlich auf die Nase, obwohl sich die Beteiligten gegenseitig sehen. Hier scheint das Zusammenspiel zwischen Conversations und Cyanogenmod (Energieeinstellungen) eine Fehlerquelle zu sein: schaltet sich der Bildschirm ab, dann bricht häufig auch die Dateiübertragung zusammen.

Insgesamt betrachtet: Die grundlegenden Dinge funktionieren nun – bei vielen Details ist noch Luft nach oben.

De B ian

Was ich auch an einem Debian 7 mit Apache 2.2 zu drehen versuche, mehr als ein B hole ich bei SSLLabs nicht raus. Apache 2.2 kennt

nicht und damit scheint man am Ende.

Wer einen moderneren Apachen fährt, dem sollte ein

zumindest nicht nur meiner Denke nach weiterhelfen.

Unter Ubuntu 14.04 mit Apache 2.4 reicht auch das

meinen Versuchen nach für ein A Rating, sofern die Schlüssel lang genug sind.

Es ist ein Gewürge …

XMPP

Ich habe meine Metadaten gerne unter Kontrolle und mir deswegen einen XMPP Server unter Prosody gegönnt. Hier einige Notizen rund um die Installation.

Basis

Prosody Paketquellen einbinden um von der trägen Paketverwaltung in den Ubuntu Repos unabhängig zu werden:

Den Key der Paketquelle holen und in APT werfen:

Prosody installieren:

Einstellungen für den Benutzer prosody in /etc/passwd kontrollieren, der nur /bin/false als Shell erhalten darf:

Prosody Konfiguration anpassen – unter Lua ist ein doppeltes Minus ein Kommentarzeichen:

Die Konfigurationsdatei ist gut strukturiert und weitgehend selbsterklärend, so dass beim Lesen kaum Fragen offen bleiben. Im Zweifel alle Restfragen über die sauber strukturierte Dokumentation bei https://prosody.im klären.

In der Konfiguration

  1. den Admin für den XMPP Server festlegen
  2. die Sektion Module durchsehen und z.B. version sowie uptime deaktivieren, damit wir nach Außen hin nicht gleich alle Angriffspunkte verraten.

Ebenfalls kontrollieren, ob Registrierungen über Clients abgelehnt werden. Das scheint nötig zu sein, damit man nicht mit Konten zugespamt wird:

Wir wollen die Verbindung zwischen Client und Server Zwangsverschlüsseln:

Das geht im Prinzip auch für s2s (Server to Server) Verbindungen. Hier liegt auch der Grund, warum wir dringend OTR Verschlüsselung haben wollen, wenn wir nicht auf der eigenen Domain chatten.

Die Passwörter der Benutzer verschlüsselt speichern, auch wenn die Nebenwirkung ist, dass manche Clients länger brauchen, um sich anzumelden:

SSL Key einbinden. Hierbei für Zwischenzertifikate ein PEM basteln wie für Dovecot und Freunde ebenfalls üblich.

Siehe zu intermediären Zertifikaten auch: https://prosody.im/doc/certificates?s[]=pem#certificate_chains

Unser Zertifikatsspeicher für Prosody verwendet schlicht Symlinks, um sich die Arbeit einfacher zu machen, wenn Zertifikate erneuert werden:

Die Hosts einrichten:

Prosody neu starten:

Nach Fehlern suchen:

Einen Fehler finden und wohl erst einmal schlicht hinnehmen:

Siehe hierzu auch https://prosody.im/doc/depends#luaexpat und den Hinweis, dass man in diesem Fall auf compression verzichten sollte (das ist der Default).

Die Benutzer anlegen – den oben eingetragenen Admin hierbei nicht vergessen:

Jetzt mit den ersten Clients eine Verbindung aufbauen und den Verbindungen zusehen, wie sie reinkommen:

Einen Blick in den Benutzerkontenbereich werfen:

Dort nachsehen, ob die *.dat Dateien auch wirklich nur verschlüsselte Passwörter enthalten.

Am Ende den gesamten Server auf den Prüfstand stellen: https://xmpp.net/

Sicherheit

Siehe zum folgenden Abschnitt: https://code.google.com/p/prosody-modules/wiki/mod_log_auth und auch https://jabber.lqdn.fr/securing-our-jabber-server-with-fail2ban-securisation-du-serveur-jabber-avec-fail2ban/

Im Modules Verzeichnis von Prosody ein weiteres Modul hinterlegen:

Das Modul umbenennen, damit es läuft:

Das Modul in der Konfiguration einschalten

Prosody neu starten und kontrollieren, ob nun die Connects mitgeschrieben werden:

Einen Filter für fail2ban anlegen:

Inhalt:

In der jail.local hinterlegen:

Die Dienste neu starten:

In Check_MK die Service discovery für den XMPP-Server-Host neu anschubsen, damit man auch dort sieht, was passiert.

Die nächsten Schritte: Für meine Schule muss das auch noch eingerichtet werden – dann allerdings mit LDAPs Anbindung, damit es jeder gleich nutzen kann und die Benutzerverwaltung einfacher wird.

Tunnelbau

Die OMD steht in der Schule hinter der Dom0, die für diesen Rechner gleichzeitig das Gateway ins Netz ist:

Die Ausgabe muss jeweils 1 lauten.

Zwei iptables Regeln sorgen dafür, dass die Ports und der Traffic zur OMD durchgereicht werden:

Ein Aufruf von https://domnullundgateway.tld:9393/checkmk/ sorgt so dafür, dass Anfragen an die OMD, die intern unter https://192.168.0.2 zu erreichen ist, weiter geleitet werden.

Damit man diese Regeln nicht immer wieder neu setzen muss, stehen sie in /etc/network/interfaces am Ende der Konfiguration der Netzwerkkarte eth0 jeweils nach einem up.

Warmtal

IMG_20150425_164422

Im Warmtal bei Langenenslingen befindet sich der Hohle Fels. Da wollte ich mal vorbei schauen, in der Hoffnung, hier eine der Selemannsküche vergleichbare Formation zu finden. War aber nix.

IMG_20150425_165852

Direkt im Warmtal liegt die Höhle nicht, sondern in einem kleinen Seitental und dort hinter viel Gebüsch verborgen.

IMG_20150425_170008

Und so richtig spannend ist sie auch nicht. Der Eingang ist evtl. 1,5m hoch und 4m breit. Von dort aus geht aus ca. 3m weit in eine schmucklose Halle, an deren Ende Verzweifelte versuchten, ein wenig mehr Länge mit einem Spaten zu gewinnen.


Größere Karte anzeigen

Wer länger graben würde, würde sicherlich noch ein wenig mehr Hohlraum finden – aber warum sich hier die Mühe machen?

Ich hab das Löchlein nun in OSM verortet und noch ein paar Wege dazu gepackt, ein paar andere der Realität angepasst und ein Naturschutzgebiet eingezeichnet, bei dem es wohl um Pflanzen auf extrem mageren Böden geht.

Arch Dovevot Postfix

Auf allen meinen Laptops schleppe ich eine Kopie des lokalen Mailservers meiner Workstation mit mir herum – inzwischen eine Mail-Sammlung die rund 7 Jahre zurück reicht und mehrere GB umfasst. Hier einige Notizen zur Installation von Dovecot und Postfix unter Arch für die ausschließlich lokale Nutzung. Sicherheit ist nur dadurch gegeben, dass dieser Mailserver von Außen nicht zu erreichen ist – auch weil noch eine Firewall die Zugriffe blockiert.

Die aktiven Zeilen in der /etc/postfix/main.cf

Die aktiven Zeilen in der /etc/dovecot/dovecot.conf

Damit die Anmeldung als lokaler Benutzer funktioniert, noch die /etc/pam.d/dovecot:

Man könnte nun die Dienste jeweils aktivieren

und somit permanent auf den lokalen Mailserver zugreifen – muss man aber nicht. Da diese Konfiguration bei mir auf einem MSI Wind U 100 läuft, spare ich mir die Ressourcen lieber und starte den Mailserver per Bash-Script, wenn ich auf mein lokales Mail-Archiv wirklich zugreifen muss. So lange man den Server localhost.localdomain im Thunderbird nicht anklickt, funktioniert dieser ja auch so für alle anderen IMAP Konten – und wenn man aus Versehen doch klickt, dieser aber nicht gestartet wurde, dann motzt Thunderbird halt, dass der Server nicht zu erreichen sei.

Rossberghöhlensystem

rbh1

Die bei uns übliche Nebelhöhlen – Sommerrodelbahn – Rossberghöhlen-Tour für jüngere Besucher musste heute unser französischer Austauschschüler über sich ergehen lassen.

Ich finde den Rossberg auch heute noch [1, 2, 3] super. Das Rossberghöhlensystem mit den zwei im Binder benannten Höhlen (Rossberghöhle 1 und 2), einigen sehr schönen Dolinen, einer dritten Kleinhöhle und am gleichen Hang auch einigen Bohnerzgruben macht Lust auf mehr.


Größere Karte anzeigen

Ich habe heute versucht die Höhlen mit Hilfe von OSM Tracker genauer einzumessen. Irgendwie … am Ende habe ich das Gefühl, bei der Positionierung dann doch mehr geschätzt zu haben, als dass ich exakte Daten eingetragen hätte. Der Kontakt zu den Satelliten war relativ bescheiden – oder meine Hardware taugt nix.

Schön war es in der RBH 1 vor allem auch deswegen, weil die Sonne den Boden erhitzte und der Wasserdampf in Schwaden durch die Höhle zog. Sah richtig cool aus.

rbh3

Im Eingang zur kleinsten, von uns heute Rossberghöhle 3 genannten, Höhle am Hang steht ein Baum. Nach dem niedrigen Schlupf folgt eine kleine Halle, in der Kinder aufrecht stehen können.

rb-doline

Der gesamte der Sonnenmatte gegenüberliegende Hang bis vor zur Hardtstraße ist ein einziges Dolinenfeld. Teilweise wünscht man sich einen Spaten, weil der Geruch der Senken sehr stark an Höhle erinnert und viele kleine Spalten nach mehr Hohlraum dahinter aussehen.

rbh2

Der Einstiegsschacht in die RBH 2 verlangt nach einer Strickleiter. Seit viel zu vielen Jahren ist hier Ende für uns.

Bambus

Die Meldungen rund um Maas gewandeltes Verhältnis zur Vorratsdatenspeicherung gleichen sich. Entweder wird der schnelle Meinungswechsel seit Dezember hervor gehoben oder es steht die Umfallerpartei SPD ganz Allgemein im Zentrum. Es läuft darauf hinaus: Herrn Maas scheint seine Partei, seine Karriere oder ein Mit-mir-wird-es-nicht-ganz-so-schlimm wichtiger zu sein.

“Schade” wäre bei diesem Thema nun das falsche Wort, auch wenn es wenigstens noch Verständnis dafür mitbringt, dass viele KritikerInnen wohl unter derart massivem Druck ebenfalls nicht bestehen würden.

Widerstandsfähigkeit ist es jedoch genau die Eigenschaft, die ich mir wünschen würde. Die Standhaftigkeit einer Frau Leutheuser-Schnarrenberger [1] gepaart mit ihrer Intelligenz und ihrem Einsatz für die Menschen- und Bürgerrechte kommt mir in den Sinn.

Ich fürchte: Auch was Diskriminierung und Verfolgung von Minderheiten, Krieg, Folter oder die Todesstrafe … angeht [2], würden jederzeit die gleichen Mechanismen greifen können. Heute. In Deutschland. Da hilft auch kein “das ist doch was ganz anderes”-Geheul, denn es ist Teil von uns, lieber mitzumachen, als für unsere Werte einzustehen und damit isoliert zu sein.

Maas ist eben auch nur Bambus.

PS: Ich habe Frau Leutheuser-Schnarrenberger deswegen heute eine Dankes-E-Mail geschrieben und den Landesverband von Herrn Maas auf CC genommen.