Tanneks site of Life

Festplatten-Sektoren bei USB-SATA Gehäusen

nospam@example.com (Tannek) — Mon, 31 Dec 2018 18:26:00 +0000

Der Witz zu diesem Thema schreibt sich wie von selbst - "2013 hat angerufen und will seine USB-Gehäuse wieder". Manch einer erinnert sich an die Zeit, als man die neuen SATA-Festplatte aus dem PC ausgebaut in ein USB-Gehäuse steckte und - zack - es ging nichts. Die Partitionen wurden mit zig Terrabyte Kapazität angezeigt, liessen sich aber nicht mounten. Man kam nicht mehr an die Daten ran.

Die Ursache damals waren die neuen Festplatten, welche mit 4096-Byte Sektoren sich direkt per SATA verbunden an der Southbridge meldeten. Die USB-Gehäuse waren aber auf die alten Festplatten mit 512-Byte Sektoren eingestellten und nahmen diesen Wert auch sturr bei den neuen Festplatten an. Dadurch waren die Werte in der Partitionstabelle um den Faktor 8 (4096 statt 512er Sektoren) zu gross. Dazu kam dann noch die Umstellung von MBR auf GPT, wobei Tools (fdisk) noch kein GPT konnten. Es blieb also Taschenrechner und "hexedit /dev/sda"... Das Chaos war also perfekt!

Jetzt haben wir 2018 und Festplattengeometrie ist mir ein wenig in Vergessenheit geraten. Zum Testen von meinem neuen NAS baue ich drei Notebookfestplatten in USB-Gehäuse, formatiere am PC darauf Raid,lvm,crypto und baue sie ins NAS. Das NAS erkennt aber nicht ein einziges Raid, sondern viele (md7, md126,md127,...) und synct fröhlich los (sic!). Also Festplatten wieder in USB-Gehäuse, PC an und auch am PC kein funktionierendes raid mehr!? Auch zu Fuss das raid zusammenbauen ging nicht:



$ mdadm --assemble /dev/md0 /dev/sda1 /dev/sdb1 /dev/sdc1

mdadm: no recogniseable superblock on /dev/sdc1

mdadm: /dev/sdc1 has no superblock - assembly aborted

Also sda1 und sdb1 haben ihren Superblock noch (!), aber sdc1 hat seinen verloren? Festplatte kaputt? Ne, S.M.A.R.T.-Werte alle OK. Also wieder raid am PC gebaut und ins neue NAS und wieder zurück:



$ mdadm --assemble /dev/md0 /dev/sda1 /dev/sdb1 /dev/sdc1

mdadm: no recogniseable superblock on /dev/sdb1

mdadm: /dev/sdb1 has no superblock - assembly aborted

$ mdadm --assemble /dev/md0 /dev/sda1 /dev/sdc1 /dev/sdb1

mdadm: no recogniseable superblock on /dev/sdb1

mdadm: /dev/sdb1 has no superblock - assembly aborted

Also jetzt hat nur sdb1 seinen Superblock nicht mehr? Als dann Schächte tauschen am NAS keine Änderung brachte, habe ich mit den unterschieden Gehäusen mir sdb1 angeschaut:



$ #USB-3.0-Gehäuse

$ fdisk -l /dev/sdb

Festplatte /dev/sdb: 93,2 GiB, 100030242816 Bytes, 24421446 Sektoren

Einheiten: Sektoren von 1  4096 = 4096 Bytes

Sektorgröße (logisch/physikalisch): 4096 Bytes / 4096 Bytes

E/A-Größe (minimal/optimal): 4096 Bytes / 268431360 Bytes

Festplattenbezeichnungstyp: dos

Festplattenbezeichner: 0xc9093972



Gerät      Boot Anfang     Ende Sektoren Größe Kn Typ

/dev/sdb1        65535 24421445 24355911 92,9G fd Linux raid autodetect

$ #USB-2.0-Gehäuse

$ fdisk -l /dev/sdc

Festplatte /dev/sdc: 93,2 GiB, 100030242816 Bytes, 195371568 Sektoren

Einheiten: Sektoren von 1  512 = 512 Bytes

Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes

E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

Festplattenbezeichnungstyp: dos

Festplattenbezeichner: 0xc9093972



Gerät      Boot Anfang     Ende Sektoren Größe Kn Typ

/dev/sdc1        65535 24421445 24355911 11,6G fd Linux raid autodetect

Was war passiert?

Während das alte USB-2.0-Gehäuse 512-byte Sektoren an meinem PC angezeigt hat, hat das neue USB-3.0-Gehäuse 4096-byte Sektoren angezeigt. Die Festplatte aus dem USB-3.0-Gehäuse hat also eine Partitionstabelle auf 4k Sektoren bekommen und die im USB-2.0-Gehäuse Partitionstabellen auf Basis von 512-byte Sektoren.

Bei Festplatten und USB-Gehäusen muss man also immer nochmal ein Blick auf die Sektoregroesse werfen und alte Festplatten (kleiner 2TB?) nicht in neue (USB-3.0-)Gehäuse bauen!

DKB: Dauer der Kontoeröffnung

nospam@example.com (Tannek) — Wed, 05 Aug 2015 10:39:01 +0000

Für die logs: Vom Klicken "Kontoeröffnen" bis zum Zugriff auf Kreditkarte braucht es bei der DKB >4 Wochen. (Nix 2 Wochen, wie oft woanders im Internet steht!)

Man bekommt insgesamt 8 Briefe (Kontonummer, Girocard, Gircopin, VISAcard, Visapin, Tan, Tan-aktivierungscode, Online-Pin). Alle 3 Tage ein Brief.

Geld auf die Kreditkarte muss erst aufs Girokonto überwiesen werden (1-3Tage) und im onlinebanking auf die Kreditkarte "überwiesen" werden(1Tag).
Und es braucht nochmals um den Kreditkartenrahmen zu erhöhen, damit man die Karte mit 1500$ belasten kann als Pfand um ein Auto im Ausland zu leihen.

Ist es woanders schneller? Wie ist es bei der GLS? Die ist ja wenigstens moralischen Unbedenklich.

Neues Raid, Neues Glück: 4k Disk Alignment mit RAID, dmcrypt, LVM und ext4

nospam@example.com (Tannek) — Sat, 30 May 2015 09:40:35 +0000

Die 4k-Blöcke Problematik ist ja nichts neues, da mich das aber einen
langen Abend googlen und man-pages lesen gekostet hat fasse ich mal
zusammen.

Das Problem hat am Beispiel einer InnoDB Mikalauskas in diesem Blogpost
ausführlichst erklärt. Im Bild dazu wird deutlich, warum man auf jeder
Schicht (RAID,LVM,..) auf das richtige alignment achten muss:

Außerdem lässt sich erahnen, warum beim Filesystem auf einem RAID5 die Aufteilung der Strides und Stripes eine wichtige Rolle spielen. Aber dazu später.

Bevors ans Einrichten geht, muss man sich Überlegen in welcher Reihenfolge man RAID,dmcrypt und LVM aufeinaner stapelt.
Ich habe mich bei meiner Konfiguration für folgendes Vorgehen entschieden:

Burn-In. Klingt übertrieben, aber ich kenne da wen der nach einer Datenrettung auf ein neue Platte nochmals Daten retten musste..

Da nicht jede 4TB Festplatte exakt 4TB groß ist, sollte man zu erst eine Partition erstellen die ein tick kleiner ist (parted -a optimal aligned automatisch).

Dann kommt das RAID5. Entgegen diverser Anleitungen geht das mit dem 4k Alignment auch bei Superblock-1.2 (default).

Dann LVM mit alignment.

dmcrypt (mit --align-payload=8192 und auf embedded Geräten mit -i 10000)

ext4 mit je nach Anzahl der Platten im Raid5 passenden Stripes und strides.

Am Ende sollte man das ganze nochmal Überprüfen und macht am besten noch einen Benchmark mit hdparm -tT oder bonnie++ und vergleicht das Ergebnis.

Sicherheit von LUKS

nospam@example.com (Tannek) — Sun, 18 Aug 2013 17:27:19 +0000

Ich stolpere mit der Tuer mal direkt ins Haus:

Bruteforce auf der GPU ist schnell & Cryptcontainer erstellt auf langsamen CPUs sind unsicherer.

Das unter Linux weit verbreitete Harddrive-verschluesselstool cryptsetup nutzt um aus einem Password ein Schluessel zu machen die aufwendige Hashfunktion PBKDF2.
Auf dem gleichen Hashverfahren basieren auch viele andere Sachen wie 1Password, WPA oder auch TrueCrypt. Und genau zu letzterem hat der Programmierer hinter ocl-hashcat jetzt Zahlen zu GPU-basierten Bruteforce Angriff veroeffentlicht:

PBKDF2-HMAC-RipeMD160 / AES: 223 kHash/s

PBKDF2-HMAC-SHA512 / AES: 95 kHash/s

Damit ist TrueCrypt im worstcase bei 8-stelligen Kleinbuchstaben-Passwoertern in wenigen Tagen geknackt.

Auf LUKS (dm-crypt/cryptsetup) ist dies uebertragbar:

Die Schwierigkeit und damit die Geschwindigkeit von PBKDF2 wird durch die Anzahl der Runden/Iterationen festgelegt.

TrueCrypt hat (nach meiner Recherche) fest 1000 Iterationen.

Bei LUKS ist dies is laut Wikieintrag bei Default=10, wird aber von cryptsetup beim erzeugen des Containers von der CPU-Geschwindigkeit abhaengig festgelegt. Ein schneller Rechner erzeugt also ein sicheren Container, als ein langsamer. Mein DualCore Notebook erzeugt 63758 Iterations; auf einem P4 komm ich nur auf 45212. Selbst auszulesen ist dies durch:
```
# cryptsetup luksDump /dev/sda
```
Und dann auf die Zeile: "Iterations:" achten.

Das von LUKS bei PBKDF2 eingesetzte Hash-Verfahren kann laut Wikieintrag RipeMD160 oder SHA1 sein.
Alle meine Container nutzen SHA1. Ebenfalls durch oben erwaehnten Befehl selbst nachschlagbar.
Da von atom nur SHA512 implementiert wurde, kommen fuer eine Umrechnung von SHA512 Hashs/s nach SHA1 Hashs/s der PC3 (der wohl auch fuer die TrueCrypt-Benchmarks benutzt wurde) aus der Tabelle von Hashcat selbst. 3081/152 ist ungefaehr 20. Was bedeutet, dass SHA1 20x so schnell wie SHA512 berechnet werden kann.

Fuer den Container auf meinem Notebook kann man nun folgende Geschwindigkeit abschaetzen:

1000/63758 x 20 x 95k Hashs /s = 29,8 k Hashs/s

Was fuer ein 8-stelliges Kleinbuchstaben-password 80Tage bedeutet.

Bei der Default-Einstellung von 10-Iterationen hingegen:

1000/10 x 20 x 95k Hashs /s = 190 000 k Hashs/s

Was fuer 8-stellige Kleinbuchstaben 18 Minuten, fuer 8-stellige Klein/Gross/Zahlen/Sonderzeichen 1,2 Jahre bedeutet.

Da ich leider keine alten Cryptcontainer zur Hand habe, kann ich nicht beurteilen welche Werte realistisch da drin stehen. Kann aber nur davon abraten kurze Passwoerter zu benutzten. Denn der Entwickler von ocl-hashcat nutzt auch Linux. Es ist also nur eine Frage der Zeit, bis das Tool auch LUKS angreifen kann.

Wer billig kauft, kauft zweimal

nospam@example.com (Tannek) — Wed, 12 Jun 2013 07:12:43 +0000

Seit fast einem Jahr haengt zwischen meinem Standrechner und meinem Router ein GB/s-Switch den ich mal fuer 12Euro wo mitbestellt hatte. Gestern ist es aber zum Eklat gekommen:

Kurz nachdem ich eine GIGAntische Menge an nichtweiter-zu-spezifizierenden Daten zwischen PC und Notebook ausgetauscht habe war das Internet am PC kaputt.
Ping PC->router zeigte einen Verlust von knapp 30%, ping PC->Notebook(wlan-nic) ebenfalls und im tcpdump am Notebook tauchte auch nicht jedes pingpaket auf. Da ich keine doppelt vergebenen IPs/MACs finden konnte habe ich, mehr aus einer Not an mangelnden Ideen, den Switch am Schreibtisch gepowercycled und siehe da: Alles geht wieder.

Im Nachinein betrachtet musste ich auch feststellen, das die Geschwindigkeit des Eingangs erwaehnten Datentransfers doch beachtlich abgenommen haben muss. So hatte ich am Anfang noch 30MB/s beobachtet, eine Ueberschlagsrechnung von der Gesamtmenge / Zeit bringt es aber auf unter 5MB/s.

Wenn sich das haeuft, werd ich mir wohl einen neuen Switch besorgen muessen... Hat da wer gute Erfahrung und eine Empfehlung?

Serendipity Blogsoftware, PHP 5 und Strict-mode

nospam@example.com (Tannek) — Mon, 06 May 2013 10:01:16 +0000

Meine Blogsoftware warf nachdem update auf Wheezy einen Haufen an PHP-Warnings.

Die Fehlerquelle war schnell gefunden (die meisten plugins benutzten die Blog-API nicht ganz nach PHP-spezifikation), die Loesung war auch schon in naehe: Ein update auf 1.7_rc3 mit automatischen update der plugins.

Leider verlief das dann doch nicht so wie im updateguide angegeben... /: Hier aber im schnellen meine Loesungen zum Erfolg:

baseURL braucht jetzt ein trailing '/'

serendipityHTTPPath muss stimmen (per weboberflaeche aendern!! nicht in der mysqldb, weil da noch ein paar hooks dranhaengen)

Einen anderen Style auswaehlen, damit das neugenerieren des Styles neu angeschmissen wird

aus der .htaccess multiview auskommentieren (das liegt wohl an der lokalen Serverconfig hier)

schlechter Youtube Empfang

nospam@example.com (Tannek) — Sun, 25 Nov 2012 10:58:14 +0000

Entweder ich bin ungewollt Opfer vom einer 1.April-Betaversion von youtube oder irgendwas zwischen flash's Binaerdatei und Arbeitsspeicher ist leicht kaputt.

Zumindest sind meine Youtubevideos mit rauschen ueberlagert:

Youtube rauscht

Und JA: Auf einem anderem Rechner sieht genau dieses Video gut aus.

Inbox~ bei Thunderbird

nospam@example.com (Tannek) — Sun, 28 Oct 2012 10:18:34 +0000

In meinem Thunderbird-Ordner befindet sich eine grosse, alte Kopie meiner Inbox:



--- /home/user/.thunderbird/ug1abcda.default/Mail/mail.domain.org ----------------------------------------------------------------

-rw------- 1 user user 1,1G Okt 28 11:12   [##########]  Inbox                                                                                                                                                                                                                                                      

-rw------- 1 user user 438M Mai  6 19:04   [####      ]  Inbox~

[...]

Woher kommt aber diese Inbox~ Datei?

Nach einer kurzen Suche bei google musste ich feststellen, dass google Tilden ignoriert in der Suchmaske.
Auch yahoo macht das.

Nachdem Thunderbird auch mit ohne dieser Datei in diesem Verzeichnis lief, habe ich sie geloescht.

Woher die kommt ist mir aber immernoch unklar hmpf

Parameterreihenfolge bei vnstat

nospam@example.com (Tannek) — Mon, 15 Oct 2012 08:20:06 +0000

Ich musste gerade feststellen, dass es darauf ankommt in welcher Reihenfolge man die Option '-u' an vnstat uebergibt, damit er ein neue database erstellt:



root@tux:~# vnstat -i eth0 -u

Error: Unable to read database "/tmp/vnstat/eth0".

root@tux:~# vnstat -u -i eth0

Error: Unable to read database "/tmp/vnstat/eth0".

Info: -> A new database has been created.

Und das obwohl die Manpage die obere (falsche) Reihenfolge vorgibt:



SYNOPSIS

       vnstat  [  -Ddhlmqrstuvw?   ]  [  --cleartop  ] [ --config file ] [ --days ] [ --delete ] [ --dbdir directory ] [ --debug ] [

       --disable ] [ --dumpdb ] [ --enable ] [ --help ] [ --hours ]  [ -i interface ]  [ --iface interface ] [  --iflist  ]  [  --live

       mode  ]  [  --locale  locale  ]  [  --longhelp  ] [ --months ] [ --nick nickname ] [ --oneline ] [ --query ] [ --rateunit ] [

       --rebuildtotal ] [ --reset ] [ -ru ] [ --savemerged ] [ --short ] [ --showconfig ] [ --style number ] [ --sync ] [ --testker?

       nel ] [ --top10 ] [ -tr time ] [ --traffic time ]  [ --update ]  [ --version ] [ --weeks ] [ --xml ]





Die Reihenfolge in den Beispielen  (es gibt Beispiele in der manpage <3 ) ist aber zum Glueck richtig :)

Webmailer-Userinterface: AOL

nospam@example.com (Tannek) — Fri, 10 Aug 2012 08:39:21 +0000

Man kann ja sagen was man will ueber AOL, aber deren WEB-Interface ist das uebersichtlichste UI, was ich seit laengerem gesehen habe (selbst mit ohne AdBlock!):

AOL MAIL. WebUI