SVN-Zugriff mit SSH-Account ohne Shell

Eigentlich ist es kein so ungewöhnliches Szenario: Ich möchte mehreren Personen Zugriff auf ein SVN-Repository ermöglichen, damit wir über einen Ort verfügen, an dem immer die aktuellsten Versionen von Dokumenten liegen und diese nicht umständlich über USB-Stick oder per Mail ausgetauscht werden müssen. Die Verbindung sollte möglichst verschlüsselt sein. Dafür bietet Subversion die Möglichkeit, über SSH auf das Repository zuzugreifen.

Kaum gedacht, schon habe ich einen User ohne Shell angelegt, dazu ein Zertifikat und ab dafür. Schön wärs. Mit der Meldung, der Server würde den Schlüssel nicht akzeptieren, verabschiedete sich der SSH-Client, der von Subversion aufgerufen wurde. Nach mehreren neuen Schlüsseln, stellte sich heraus, dass es wunderbar funktionierte, wenn ich dem User eine Shell zuwies.

Der Suchmaschine sei Dank, habe ich für dieses unschöne Problem eine Lösung gefunden. Dem User bleibt eine Shell zugewiesen, allerdings gibt man dem SSH-Daemon noch ein paar Befehle mit, um den Shell-Zugriff einzuschränken. Folgendes trägt man vor dem Schlüsseltyp in der Datei authorized_keys ein:

command="/usr/bin/svnserve -t -r /home/user/svn/",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty

Offensichtlich startet der Client erstmal den SVN-Server auf der entfernten Maschine, falls dieser nicht schon läuft, ohne Shell geht das schief. Die Lösung funktioniert nur, wenn man sich per Public-Key-Authentication einloggen kann. Sinnvollerweise ist das aber sowieso aktiviert und der passwortbasierte Login deaktiviert.

KDE SC 4.5.0 Pakete verfügbar

Ein Blick auf die englischsprachige Kubuntu-Seite hat mich doch überrascht. Normalerweise dauert es ein paar Tage, bis eine neue Version von KDE SC im Kubuntu-PPA auftaucht. Aber die Kubuntu-Ninjas haben dieses Mal ihrem Namen alle Ehre gemacht und noch am selben Tag die Pakete für Lucid Lynx fertig.

Zum Update auf KDE SC 4.5 genügen wenige Befehle in der Konsole:

sudo apt-add-repository ppa:kubuntu-ppa/backports
sudo apt-get update && sudo apt-get dist-upgrade

Aber aufgemerkt: Nicht nur dass man sich damit „Fremdpakete“ einfängt, man installiert sich auch noch im Gegensatz zu früheren Versionen die Beta 2 von Qt 4.7. Ein Update sollte man sich also genau überlegen.

Loggerhead mit nginx verkuppeln

An mein zukünftiges Ich oder auch jeden anderen, der gerne Loggerhead über eine Subdomain via nginx zugänglich machen möchte:

Bisher habe ich keine Möglichkeit gefunden, Loggerhead ohne große Pythonskripterei an nginx anzubinden und da ich eher wenig Ahnung von Python habe, will ich diese Lösung lieber vermeiden, auch wenn sie den Vorteil genießt, nur einen Webserver zu benötigen.

Da Loggerhead einen eingebauten Webserver mitbringt und sich die Last darauf auch in Grenzen hält, bietet sich also die Möglichkeit an, nginx als Proxy zu verwenden. Dazu legt man in der Konfigurationsdatei einen neuen Server an:

server {
listen 80;
server_name bzr.domain.de;

location ~ ^/ {
proxy_set_header Host $http_host;
proxy_pass http://localhost:8080;
}
}

Zu Beachten ist das Setzen des Host-Feldes des HTTP-Headers auf den ursprünglichen Wert, da sonst alle Links, die von Loggerhead produziert werden, auf localhost zeigen würden. Natürlich muss der Port noch angepasst werden und schon ist Loggerhead über http://bzr.domain.de und nicht nur über http://domain.de:8080 erreichbar.

Vorerst kein 64-Bit Flash mehr

Adobe hat die Beta-Phase seines Flashplugins für 64-Bit Linuxe abgeschlossen. Das klingt an sich schon mal gut, erwartet man doch jetzt einen Termin für ein offizielles Release. Liest man aber die Mitteilung in den Adobe Labs weiter, tritt Ernüchterung ein:

(…) We remain committed to delivering 64-bit support in a future release of Flash Player.  No further information is available at this time. (…)

Ich wanke noch zwischen Freude und Entäuschung. Einerseits ist es schön, dass Adobe einsieht was für einen Müll (via) sie da produzieren und es vom Netz nehmen, andererseits wäre nach so einer langen Testphase doch mal ein ordentliches Stück Software drin gewesen.

Ob es überhaupt noch ein Flashplugin für 64-Bit Systeme geben wird, wage ich angesichts des WebM-Projektes zu bezweifeln.

Ubuntuusers for Chromium Update

Gestern erst habe ich euch die „Ubuntuusers for Chromium“-Erweiterung vorgestellt. In Nacht kam mir dann noch eine sinnvolle Ergänzung in den Sinn, die ich nun mit eingebaut habe.

Neben kleinen Veränderungen am Aussehen und unter der Haube, ist es nun möglich in den verschiedenen Bereichen von Ubuntuusers zu suchen. Desweiteren habe ich die hoffentlich funktionierende Update-URL ergänzt, so dass die Extension bei einer neuen Version automatisch geupdatet werden sollte. Diejenigen, die sich UUfC gestern schon installiert haben, bitte ich von Hand zu aktualisieren, wenn Bedarf besteht. UUfC findet ihr weiterhin in der Extension Gallery von Google.

Nächster Punkt in der Queue ist die Standard-Konformität von HTML und CSS, um mein Gewissen zu beruhigen.

Ubuntuusers for Chromium

Seit dem Wochenende spiele ich ein wenig mit Chromium herum, da mir das Surfen mit dem Feuerfuchs immer mehr zur Qual wird. Mittlerweile gibt es für Chromium auch einigermaßen brauchbare Extensions, die Geschwindigkeit ist ein Traum im Vergleich zum Feuerfuchs, dem schon beim Start die Puste ausgeht.

Sehr schick ist auch das Erweitern von Chromium durch Extensions. Mit geringen Kenntnissen in HTML, Javascript und CSS hat man sich in kurzer Zeit Erweiterungen zusammengezimmert. Das habe ich auch getan und herausgekommen ist ein kleiner Helfer, der mich schnell zu meinen Zielen auf Ubuntuusers.de führt:

Ubuntuusers for Chromium 0.1

Die Erweiterung möchte ich euch natürlich nicht vorenthalten. Installieren könnt ihr sie über die Extension-Gallery von Google Chrome. Über Kommentare würde ich mich freuen.

Ein letzter Hinweis: Die Erweiterung stammt nicht vom Ubuntuusers-Projekt. Bitte stellt also keine Support-Anfragen an das UU-Team.

Yeah, Lucid, yeah!

Da wartet man den ganzen Tag und auf dem Weg nach Hause passiert es dann. Nun frage ich mich, wie sehen denn eure Torrent-Clients aus?

Morgen werde ich noch ein paar mehr einkippen. Torrents zum Befüllen finden sich übrigens bei Dirks Logbuch.

Verschlüsselung mit ProFTPD

Gerade bin ich dabei meinen virtuellen Server stückweise einzurichten. Neben den funktionellen Einstellungen fällt natürlich mein Augenmerk auch auf den Punkt Verschlüsselung. Der Indianer hört auf Rauchzeichen vom Stamm der 443, SSH ist von Natur aus schon verschlüsselt, bei FTP hört es aber auf. Da ich desöfteren von unterschiedlichen Netzen aus per FTP zugreifen möchte, ist eine Verschlüsselung unabdingbar. Hier könnte man natürlich ganz auf einen FTP-Dienst verzichten und über ftp via ssh marschieren. Dann ginge mir allerdings die Möglichkeit verloren, via SysCP neue Benutzer anzulegen, die keinen Benutzeraccount auf dem virtuellen Server haben.

Um die Verbindung mit ProFTPD zu verschlüsseln geht man also wie folgt vor:

1. Zertifikat generieren:
Da es sich um eine SSL-basierte Verschlüsselung handelt, muss man zunächst einen privaten Schlüssel und ein Zertifikat erstellen:

openssl req -x509 -newkey rsa:1024 -keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt -nodes -days 365

Die Schlüsseldatei darf nur vom Benutzer root gelesen werden:

chmod 0600 /etc/ssl/private/proftpd.key

2. ProFTPD konfigurieren:

Nun muss noch ProFTPD so konfiguriert werden, dass es Verbindungen über ftps erlaubt bzw. unterstützt. Hierzu öffnet man die Datei /etc/proftpd/tls.conf in einem Editor und setzt folgende Einstellungen:

<IfModule mod_tls.c>
TLSEngine                     on
TLSLog                        /var/log/proftpd/tls.log
TLSProtocol                   SSLv3
TLSRSACertificateFile         /etc/ssl/certs/proftpd.crt
TLSRSACertificateKeyFile      /etc/ssl/private/proftpd.key
TLSVerifyClient               off
TLSRequired                   on
TLSRenegotiate                required off
</IfModule>

Ob man TLSv1 oder SSLv3 verwendet, hängt leider vom Klienten ab. Manche, wie z.B. Dolphin (via kio-ftps), beherrschen TLS noch nicht. Um die Änderungen zu übernehmen, muss man zuletzt ProFTPD neu starten:

/etc/init.d/proftpd restart

ProFTPD wird nun keine Verbindungen mehr akzeptieren, die über ftp hereinkommen. Stattdessen muss man das ftp(e)s-Protokoll verwenden.

Mit Windows wäre das so nicht passiert.

Heute bin ich mal wieder froh, Windows nur einsetzen zu müssen, wenn es unbedingt notwendig ist.

Vor ein paar Minuten ging ein Kopete Chatfenster mit einer Nachricht eines ehemaligen Kameraden aus der Grundausbildung auf, mit dem ich schon seit Jahren nichts mehr geschrieben hatte. Darin eine eher harmlos wirkende Aufforderung: “schau mal das foto an „. Im Nachhinein sieht der Link schon verdächtig aus, ohne groß nach zu denken habe ich aber drauf geklickt. Nur erschien kein Bild, sondern nichts. Google fand dann einen haufen Meldungen über einen Virus.

Nun. Etwas Gutes hat der Virus dann doch gebracht: Eine nette kleine Plauderei mit dem ehemaligen Kameraden .

//Edit: Entschuldigung an alle Planetenleser. War eigentlich nicht für den UU.de-Planeten gedacht.

Nicht mehr lange

Es ist kaum zu glauben, wie schnell so ein halbes Jahr vorbei fliegt, aber in etwas mehr als zwei Wochen wird Ubuntu 10.04 „Lucid Lynx“ freigegeben. Viele hundert Menschen haben geplant, programmiert, Fehler behoben und viele tausende wollen das Endprodukt dann genießen.

Die Frage, die sich jeder Ubuntu-Benutzer irgendwann zwangsläufig irgendwann mal stellt – und sei es nur für 0,068 Sekunden – ist, wo er sich in dieser Kette einreihen könnte. Da gibt es beispielsweise die Möglichkeit, Bugs zu melden, Patches einzusenden, zu übersetzen oder Hilfe in Foren zu leisten. Das ist unerlässlich, aber verlangt oft viel Zeit und tiefe Kenntnis der Materie, die Otto normal nicht hat.

Was fast keine Kenntnisse und kaum Zeit verschlingt ist, bei der Verteilung der Ubuntu-Abbilder zu helfen. Traffic ist zwar nicht selten, dafür aber in großen Mengen sehr teuer, selbst wenn es nur der Strom ist, den er verbraucht. Die Verteilung per Torrent bietet sich daher an, da es die Last von den Servern nimmt und auf viele Schultern verteilt. Das funktioniert natürlich nur, wenn auch viele die Abbilder über Torrent beziehen und bereitstellen. Ein kleiner Nebeneffekt sind Bandbreiten, die schnell in den Megabyte-Bereich wachsen. Wer versucht hat, Ubuntu kurz nach dem Release herunter zu laden, der weiß das zu schätzen.

Wenn nicht schon in der Standardinstallation vorhanden, lassen sich Torrentclients, wie z.B. Transmission oder Ktorrent, bequem per Paketverwaltung installieren. Für meinen Server mit Indianer freunde ich mich gerade mit Torrentflux an. Die Download- und Uploadgeschwindigkeiten, sollte man in den Einstellungen wenigstens überprüfen und ggf. korrigieren, nicht dass der Surf- oder Telefoniergenuss darunter leidet. Bei Servern, die nicht daheim stehen, sollte man unbedingt die Soft- und Hardlimits setzen, damit der Inklusivtraffic nicht überschritten wird.

Danach muss man nur noch die Torrent-Dateien der Wahl, welche jedes Mal auch in der Ankündigung verlinkt werden, in den Clienten einkippen und los geht’s. Hat man keine Lust mehr, kann man den Seed anhalten oder die Datei einfach wieder entfernen.