Trotzdem traue ich dem Ding nicht. Vielleicht bin ich schon zu lange darauf konditioniert auf den Sperr-Knopf von KDE zu drücken. Ich sehe dann sofort den Bildschirmschoner und weiss das die Sperrung aktiv ist. Ich denke mal das fehlt mir, denn wenn ich mit kbluelock arbeite sehe ich den Desktop wenn ich gehe und wenn ich zurückkomme ist er auch wieder da. Es bleibt das Mißtrauen, ob er überhaupt gesperrt war. Da kann ich irgendwie nicht raus aus meiner Haut.

(Danke an Marcel für den Link). Und damit das keiner vergisst:

Die allermeisten Tools benutzen ssh, da es hier einfach ist eine Anmeldung ohne Prompt und Passwort hinzubekommen und da es von Hause aus schon die Möglichkeit mitbringt Befehle auf anderen Systemen auszuführen. Viele Tools erweitern ebenso scp. Hier eine Auswahl:

• Dancers Shell
• Parallel Distributed Shell
• Parallel ssh, scp, rsync, slurp, nuke
• PuSSH is Pythonic, Ubiquitous SSH
• Tentakel
• psh

Folgende beiden Tools bieten erweiterte Funtkionalitäten:

• PIKT - Arbeitet über RPC und bietet zusätzlich Monitoring sowie eine eigene Script-Sprache
• CTL - Zusätzlich Web-Interface mit ACLs und ‘Zuguck’-Modus

Im zweiten Teil geht es dann um Configuration-Management.

Hier am Haus habe ich dieses Jahr eigentlich nix gemacht. Irgendwie bin ich nur dazu gekommen mir eine Handschwengelpumpe für die Zisterne zu kaufen. An Aufbau war nicht mehr zu denken, daher liegt das für nächstes Jahr. Trotzdem hat sich hier, dank meines Schwiegervaters Ulli, einiges getan. Er hat im Keller die Gittereinsätze gegen echte Isolierfenster getauscht und im Badezimmer ebenfalls das alte Fenster gegen etwas Modernes ersetzt. Damit ihm auch im neuen Jahr nicht langweilig wird liegen in der Garage schon die Fenster für Max sein Zimmer und das Esszimmer. Damit sind wir fast durch. Bei Paul und dem Flur im Obergeschoss sind noch alte Fenster drin, aber wir wissen noch nicht was zu tun ist. Längerfristig planen wir das Dach des Anbaus abzureissen und ein Stockwerk draufzusetzen, was die beiden Fenster überflüssig machen würde. Sollte sich das noch länger hinziehen kommen da Kunstoffenster rein, dann ist das kein zu großer Verlust wenn dann der Anbau gemacht wird.

Die Kinder wachsen und gedeihen von alleine, man muss sie nur füttern. Paul ist seit August in der Schule und macht mich Stolz ohne Ende. Er ist nur vier Monate dort und kann schon Lesen und Schreiben! Ich kann mich noch daran erinnern, wie lange das bei mir gedauert hat, daher finde ich das sehr respektabel. Max ist ein verschmitzter, liebenswerter Filou und Michel weiss genau was er will und was nicht. Manchmal ertappt ich mich, wie ich meine Kinder anschaue und zufrieden lächle - es gab keine bessere Entscheidung in meinen Leben, als Meike zu heiraten und mit ihr eine Familie zu gründen.

Die größten Veränderungen standen bei mir in der Firma an. Seit Anfang Februar bin ich Teamleiter und trage die Verantwortung für einen Haufen Server, einen Berg Storage und ein paar Diven. Sie allen brauchen manchmal ihre Streicheleinheiten oder einen kleinen Schubs. Man führt Mitarbeitergespräche und merkt förmlich wie sich all diese Phrasen, welche man selbst von seinen Vorgesetzten nie hören wollte, sich auf der Zunge vorbereiten gesagt zu werden. Manchmal gelingt es mir, manchmal nicht. Intressant ist auch der Rollenwechsel bei Gesprächen mit Lieferanten. Früher saß ich bei Firmen und wollte denen etwas verkaufen, heute sitze ich auf der andere Seite und lasse mir erzählen wie toll doch all die Dinge sind. Manchmal sind sie das auch, wie zum Beispiel die CMT-Maschinen von Sun. Manchmal muss man aber auch unangenehm werden, wie beim Redhat Network. Es ist schön Dinge zu planen, anzuschieben, am Laufen zu halten und Ergebnisse zu sehen. Davon kann und wird es im nächsten mehr geben und das ist eine schöne Aussicht.

Mit meiner Arbeit hat sich bestimmt auch mein Blog und was gebloggt wird verändert. Das hat natürlich damit zu tun, das ich nicht mehr selbst soviel an den Dingen schraube. Zudem habe ich viele andere Dinge im Kopf die nicht unbedingt in dieses Blog gehören. Ich habe mir öfters Gedanken darüber gemacht, ob diese Veränderungen hier im Blog nun gut oder schlecht sind, aber letztlich ist es mir egal, denn es war für mich immer ein bischen ein Spiegel dessen was ich so mache und wenn sich das ändert ändert sich eben auch mein Blog. Vielleicht fange ich auch an zu zwitschern oder werde lakonisch, mal gucken.

Nachdem bloggen schon im Jahre 2006 Mainstream war, ging es 2007 irgendwie bergab. Manche Blogs gingen thematisch in die Breite, so das man sich fragt ob sie 2009 neben FOSS und Politik als Themen, auch noch der Bunten oder dem Neuen Blatt Konkurrenz machen wollen. Auch platte Polemik mit langen Wortwüsten auf niedrigen Niveau waren sehr 2008. Gute Blogs gab es schon immer wenig und es werden leider auch nicht mehr.

Die meisten Hypes sind auch in diesen Jahr wieder vollkommen an mir vorbeigegangen. Diese kleinen Notebooks mit den großen Preisen fand ich klasse. Nicht die Hardware, sondern den Umstand das sie in Übersee für 300 $ verkauft wurden und hier für 300 € und mehr, wobei der Euro bei 1,50 $ stand. Aber hey, Apple macht das seit Jahren mit seinen Kunden so, warum sollen die anderen es nicht tun? Mit den Netbooks kamen die Atom-Prozessoren von Intel. Ich hatte kurz nachgedacht, ob man damit nicht meine NSLU2 ablösen könnte, aber weder der 230er oder der 330er mit DualCore unterstützen SpeedStepping und verbraten damit immer 40 Watt, egal ob sie nun Idlen oder etwas tun. Es gibt zwar welche die das können, diese gibt aber nur in Komplett-Geräten. Halber Kram also, wie so vieles. Dann lieber ein AMD Sempr0n (wer zur Hölle hat sich den Namen ausgedacht?) LE. Der macht maximal 45 Watt kann dafür aber Powernow! Linux-mäßig gibt es auch nix aufregendes mehr, was ich in vielen Dingen aber gar nicht schlecht finde. Irgendwann muss jeder mal erwachsen werden. Ob OpenSolaris der Riesenwurf wird kann ich nicht sagen. Mein Bauch sagt das Sun einfach Nexenta kaufen sollte und ein Solaris OE (Oldschool Edition) und ein Solaris UE (Ubuntu Editon) herausbringen sollten, aber dafür ist der eigene Schatten wohl noch zu groß.

So und nun hoffe ich das 2008 geht und nie mehr wiederkommt. Selbst wenn, ich hab noch nie der Vergangenheit nachgehangen.

Kontrolle sichern

Zuallererst gilt es dem Benutzer die Kontrolle über das authorized_keys-File zu entziehen, denn die später beschriebenen Maßnahmen haben keinen Sinn, wenn der Benutzer sie einfach umgehen kann. Denn normalerweise liegt diese Datei im Home-Verzeichnis des Benutzer und er könnte sie einfach löschen und neu erstellen. Genau an dieser Stelle wird angesetzt, indem man auf den betroffenen Systeme die /etc/ssh/sshd_config ändert:

AuthorizedKeysFile /etc/ssh/authorized_keys/%u

Durch diese Änderung liegen die Key-Files in /etc/ssh/authorized_keys/ und tragen den Namen des Benutzers. Durch entsprechende Dateiberechtigungen können Änderungen nur noch durch Root vorgenommen werden:

# ls -l
insgesamt 16
-rw-r----- 1 root joern 397 25. Dez 23:13 joern
-rw------- 1 root root  396 25. Dez 16:53 root

Zugriff absichern

Nun können Restriktionen für die SSH-Session im Key-File hinterlegt werden:

from="*.aumund.org",no-port-forwarding,no-X11-forwarding,no-pty ssh-rsa AAAAB3NzaC1yc2[..]EyqAw== joern@cm-master

Dieser Benutzer darf sich also nur von Hosts der aumund.org Domäne einloggen, es gibt kein Port- und X11-Forwarding und auch keine interactive Shell. Alle Optionen finden sich in der Man-Page (man sshd im Abschnitt AUTHORIZED_KEYS FILE FORMAT)

Sicheres Automatisieren

Mit SSH lassen sich wunderbar einfach Aufgaben automatisieren. Normalerweise nimmt man dazu einen Key ohne Passphrase. Wem das nicht reicht steht vor einem Problem: Der ssh-agent funktioniert nur solange man angemeldet ist. Hier hilft KeyChain aus, denn es setzt einen SSH-Agenten pro Benutzer und nicht einen pro Session.

Die Benutzung ist sehr einfach. Nach der Installation erweitert man die .bash_profile des betroffenen Benutzers:

/usr/bin/keychain ~/.ssh/id_rsa ~/.ssh/id_dsa
source ~/.keychain/${HOSTNAME}-sh > /dev/null

Beim nächsten Anmelden wird dann die Benutzer-Session aufgesetzt

KeyChain 2.6.8; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL

 * Initializing /home/joern/.keychain/cm-master-sh file...
 * Initializing /home/joern/.keychain/cm-master-csh file...
 * Initializing /home/joern/.keychain/cm-master-fish file...
 * Starting ssh-agent
 * Warning: can't find /home/joern/.ssh/id_dsa; skipping
 * Adding 1 ssh key(s)...
Enter passphrase for /home/joern/.ssh/id_rsa:
Identity added: /home/joern/.ssh/id_rsa (/home/joern/.ssh/id_rsa)

und steht nun bis zum nächsten Reboot(!) zur Verfügung. An der Sache mit dem Reboot sollte man immer denken, wenn man Aufgaben automatisiert hat, ansonsten kann es zu ernsten Problemen kommen.

Referenzen:
Playing with OpenSSH public keys
Secure, Automated, Key based SSH