Skip to content

DKB: Dauer der Kontoeröffnung

Für die logs: Vom Klicken "Kontoeröffnen" bis zum Zugriff auf Kreditkarte braucht es bei der DKB >4 Wochen. (Nix 2 Wochen, wie oft woanders im Internet steht!)


Man bekommt insgesamt 8 Briefe (Kontonummer, Girocard, Gircopin, VISAcard, Visapin, Tan, Tan-aktivierungscode, Online-Pin). Alle 3 Tage ein Brief.


Geld auf die Kreditkarte muss erst aufs Girokonto überwiesen werden (1-3Tage) und im onlinebanking auf die Kreditkarte "überwiesen" werden(1Tag).
Und es braucht nochmals um den Kreditkartenrahmen zu erhöhen, damit man die Karte mit 1500$ belasten kann als Pfand um ein Auto im Ausland zu leihen.



Ist es woanders schneller? Wie ist es bei der GLS? Die ist ja wenigstens moralischen Unbedenklich.

Neues Raid, Neues Glück: 4k Disk Alignment mit RAID, dmcrypt, LVM und ext4

Die 4k-Blöcke Problematik ist ja nichts neues, da mich das aber einen
langen Abend googlen und man-pages lesen gekostet hat fasse ich mal
zusammen.


Das Problem hat am Beispiel einer InnoDB in diesem Blogpost
ausführlichst erklärt. Im Bild dazu wird deutlich, warum man auf jeder
Schicht (RAID,LVM,..) auf das richtige alignment achten muss:


Beispiel anhand von innoDB


Außerdem lässt sich erahnen, warum beim Filesystem auf einem RAID5 die Aufteilung der Strides und Stripes eine wichtige Rolle spielen. Aber dazu später.



Bevors ans Einrichten geht, muss man sich Überlegen in welcher Reihenfolge man RAID,dmcrypt und LVM aufeinaner stapelt.
Ich habe mich bei meiner Konfiguration für folgendes Vorgehen entschieden:



  1. Burn-In. Klingt übertrieben, aber ich kenne da wen der nach einer Datenrettung auf ein neue Platte nochmals Daten retten musste..

  2. Da nicht jede 4TB Festplatte exakt 4TB groß ist, sollte man zu erst eine Partition erstellen die ein tick kleiner ist (parted -a optimal aligned automatisch).

  3. Dann kommt das RAID5. Entgegen diverser Anleitungen geht das mit dem 4k Alignment auch bei Superblock-1.2 (default).

  4. Dann LVM mit alignment.

  5. dmcrypt (mit --align-payload=8192 und auf embedded Geräten mit -i 10000)

  6. ext4 mit je nach Anzahl der Platten im Raid5 passenden Stripes und strides.


Am Ende sollte man das ganze nochmal Überprüfen und macht am besten noch einen Benchmark mit hdparm -tT oder bonnie++ und vergleicht das Ergebnis.






Sicherheit von LUKS

Ich stolpere mit der Tuer mal direkt ins Haus:


Bruteforce auf der GPU ist schnell & Cryptcontainer erstellt auf langsamen CPUs sind unsicherer.


 Das unter Linux weit verbreitete Harddrive-verschluesselstool cryptsetup nutzt um aus einem Password ein Schluessel zu machen die aufwendige Hashfunktion PBKDF2.
Auf dem gleichen Hashverfahren basieren auch viele andere Sachen wie 1Password, WPA oder auch TrueCrypt. Und genau zu letzterem hat der Programmierer hinter ocl-hashcat jetzt Zahlen zu GPU-basierten Bruteforce Angriff veroeffentlicht:



  • PBKDF2-HMAC-RipeMD160 / AES: 223 kHash/s

  • PBKDF2-HMAC-SHA512 / AES: 95 kHash/s


Damit ist TrueCrypt im worstcase bei 8-stelligen Kleinbuchstaben-Passwoertern in wenigen Tagen geknackt.


Auf LUKS (dm-crypt/cryptsetup) ist dies uebertragbar:



  1. Die Schwierigkeit und damit die Geschwindigkeit von PBKDF2 wird durch die Anzahl der Runden/Iterationen festgelegt.

    TrueCrypt hat (nach meiner Recherche) fest 1000 Iterationen.

    Bei LUKS ist dies is laut Wikieintrag bei Default=10, wird aber von cryptsetup beim erzeugen des Containers von der CPU-Geschwindigkeit abhaengig festgelegt. Ein schneller Rechner erzeugt also ein sicheren Container, als ein langsamer. Mein DualCore Notebook erzeugt 63758 Iterations; auf einem P4 komm ich nur auf 45212. Selbst auszulesen ist dies durch:

    # cryptsetup luksDump /dev/sda

    Und dann auf die Zeile: "Iterations:" achten.



  2. Das von LUKS bei PBKDF2 eingesetzte Hash-Verfahren kann laut Wikieintrag RipeMD160 oder SHA1 sein.
    Alle meine Container nutzen SHA1. Ebenfalls durch oben erwaehnten Befehl selbst nachschlagbar.
    Da von atom nur SHA512 implementiert wurde, kommen fuer eine Umrechnung von SHA512 Hashs/s nach SHA1 Hashs/s der PC3 (der wohl auch fuer die TrueCrypt-Benchmarks benutzt wurde) aus der Tabelle von Hashcat selbst. 3081/152 ist ungefaehr 20. Was bedeutet, dass SHA1 20x so schnell wie SHA512 berechnet werden kann.


Fuer den Container auf meinem Notebook kann man nun folgende Geschwindigkeit abschaetzen:


1000/63758 x 20 x 95k Hashs /s  = 29,8 k Hashs/s


Was fuer ein 8-stelliges Kleinbuchstaben-password 80Tage bedeutet.



Bei der Default-Einstellung von 10-Iterationen hingegen:


1000/10 x 20 x 95k Hashs /s = 190 000 k Hashs/s


 Was fuer 8-stellige Kleinbuchstaben 18 Minuten, fuer 8-stellige Klein/Gross/Zahlen/Sonderzeichen 1,2 Jahre bedeutet.


Da ich leider keine alten Cryptcontainer zur Hand habe, kann ich nicht beurteilen welche Werte realistisch da drin stehen. Kann aber nur davon abraten kurze Passwoerter zu benutzten. Denn der Entwickler von ocl-hashcat nutzt auch Linux. Es ist also nur eine Frage der Zeit, bis das Tool auch LUKS angreifen kann.

Wer billig kauft, kauft zweimal

Seit fast einem Jahr haengt zwischen meinem Standrechner und meinem Router ein GB/s-Switch den ich mal fuer 12Euro wo mitbestellt hatte. Gestern ist es aber zum  Eklat gekommen:


Kurz nachdem ich eine GIGAntische Menge an nichtweiter-zu-spezifizierenden Daten zwischen PC und Notebook ausgetauscht habe war das Internet am PC kaputt.
Ping PC->router zeigte einen Verlust von knapp 30%, ping PC->Notebook(wlan-nic) ebenfalls und im tcpdump am Notebook tauchte auch nicht jedes pingpaket auf. Da ich keine doppelt vergebenen IPs/MACs finden konnte habe ich, mehr aus einer Not an mangelnden Ideen, den Switch am Schreibtisch gepowercycled und siehe da: Alles geht wieder.


Im Nachinein betrachtet musste ich auch feststellen, das die Geschwindigkeit des Eingangs erwaehnten Datentransfers doch beachtlich abgenommen haben muss. So hatte ich am Anfang noch 30MB/s beobachtet, eine Ueberschlagsrechnung von der Gesamtmenge / Zeit  bringt es aber auf unter 5MB/s.


Wenn sich das haeuft, werd ich mir wohl einen neuen Switch besorgen muessen... Hat da wer gute Erfahrung und eine Empfehlung?

Serendipity Blogsoftware, PHP 5 und Strict-mode

Meine Blogsoftware warf nachdem update auf Wheezy einen Haufen an PHP-Warnings.


Die Fehlerquelle war schnell gefunden (die meisten plugins benutzten die Blog-API nicht ganz nach PHP-spezifikation), die Loesung war auch schon in naehe: Ein update auf 1.7_rc3 mit automatischen update der plugins.


Leider verlief das dann doch nicht so wie im updateguide angegeben... /: Hier aber im schnellen meine Loesungen zum Erfolg:





  • baseURL braucht jetzt ein trailing '/'

  • serendipityHTTPPath muss stimmen (per weboberflaeche aendern!! nicht in der mysqldb, weil da noch ein paar hooks dranhaengen)

  • Einen anderen Style auswaehlen, damit das neugenerieren des Styles neu angeschmissen wird

  • aus der .htaccess multiview auskommentieren (das liegt wohl an der lokalen Serverconfig hier)



schlechter Youtube Empfang

Entweder ich bin ungewollt Opfer vom einer 1.April-Betaversion von youtube oder irgendwas zwischen flash's Binaerdatei und Arbeitsspeicher ist leicht kaputt.

Zumindest sind meine Youtubevideos mit rauschen ueberlagert:
Youtube rauscht


Und JA: Auf einem anderem Rechner sieht genau dieses Video gut aus.

Inbox~ bei Thunderbird

In meinem Thunderbird-Ordner befindet sich eine grosse, alte Kopie meiner Inbox:


--- /home/user/.thunderbird/ug1abcda.default/Mail/mail.domain.org ----------------------------------------------------------------
-rw------- 1 user user 1,1G Okt 28 11:12 [##########] Inbox
-rw------- 1 user user 438M Mai 6 19:04 [#### ] Inbox~
[...]


Woher kommt aber diese Inbox~ Datei?

Nach einer kurzen Suche bei google musste ich feststellen, dass google Tilden ignoriert in der Suchmaske.
Auch yahoo macht das.

Nachdem Thunderbird auch mit ohne dieser Datei in diesem Verzeichnis lief, habe ich sie geloescht.

Woher die kommt ist mir aber immernoch unklar hmpf

Parameterreihenfolge bei vnstat

Ich musste gerade feststellen, dass es darauf ankommt in welcher Reihenfolge man die Option '-u' an vnstat uebergibt, damit er ein neue database erstellt:

root@tux:~# vnstat -i eth0 -u
Error: Unable to read database "/tmp/vnstat/eth0".
root@tux:~# vnstat -u -i eth0
Error: Unable to read database "/tmp/vnstat/eth0".
Info: -> A new database has been created.

Und das obwohl die Manpage die obere (falsche) Reihenfolge vorgibt:

SYNOPSIS
vnstat [ -Ddhlmqrstuvw? ] [ --cleartop ] [ --config file ] [ --days ] [ --delete ] [ --dbdir directory ] [ --debug ] [
--disable ] [ --dumpdb ] [ --enable ] [ --help ] [ --hours ] [ -i interface ] [ --iface interface ] [ --iflist ] [ --live
mode ] [ --locale locale ] [ --longhelp ] [ --months ] [ --nick nickname ] [ --oneline ] [ --query ] [ --rateunit ] [
--rebuildtotal ] [ --reset ] [ -ru ] [ --savemerged ] [ --short ] [ --showconfig ] [ --style number ] [ --sync ] [ --testker?
nel ] [ --top10 ] [ -tr time ] [ --traffic time ] [ --update ] [ --version ] [ --weeks ] [ --xml ]


Die Reihenfolge in den Beispielen (es gibt Beispiele in der manpage <3 ) ist aber zum Glueck richtig :)

Webmailer-Userinterface: AOL

Man kann ja sagen was man will ueber AOL, aber deren WEB-Interface ist das uebersichtlichste UI, was ich seit laengerem gesehen habe (selbst mit ohne AdBlock!):

AOL MAIL. WebUI

Nervige IO-Waits beheben

Obwohl es nichtmehr so ganz aktuell ist, hier die Befehle um den scheduler zu aendern:

Mein alter schedular war cfq:

root@pc:~# cat /sys/block/sda/queue/scheduler
noop anticipatory deadline [cfq]


Dann den neuen setzten und angucken, obs geklappt hat:

root@pc:~# echo anticipatory > /sys/block/sda/queue/scheduler
root@pc:~# cat /sys/block/sda/queue/scheduler
noop [anticipatory] deadline cfq