[09:40] <tuor> Hi, ich arbeite mit einem Ubuntu 14.04 und versuche gerade die erste VM zu installieren. Ich habe die VM mit virt-install erstellt. Das Problem: das LV welches von libvirt erstellt wurde ist gerade mal 4MB gross: https://paste.ubuntu.com/15178437/ Die letzten Zeilen des Syslogs: https://paste.ubuntu.com/15178430/
[09:41] <tuor> So habe ich meine vm erstellt: https://paste.ubuntu.com/15178446/
[09:41] <jokrebel> warum/wie bist Du root?
[09:43] <tuor> Weil das ein Server ist und ich auf Servern keinen Sinn darin sehe nicht root zu sein und immer sudo eintippen zu müssen. Ich habe beim installieren ein root-Passwort gesetzt und habe mich per SSH als root eingelogt.
[09:46] <jokrebel> toll... Dir ist klar, dass ein root-Passwort setzen den Supportanspruch eigentlich vergeigt. Du bist nicht erst seit ein paar Tagen mit Ubuntu unterwegs!
[09:47] <jokrebel> tuor: Und _kein_ root-login möglich zu haben macht sehrwohl (grade auf Servern) Sinn. (Hint: man muss den Usernamen wissen um überhaupt angreifen zu können)
[09:49] <jokrebel> Leute wie Du braucht die Bot-Net-Gemeinde
[09:50] <tuor> Können wir dieses Thema auch mal bei seite lassen? Es geht mir nicht um die Sicherheit meiner Server. Wir können das gerne mal im Offtopic besprechen aber hat jetzt nichts mit dem Thema zu tun. Ich würde mir die Diskusion in diesem Kanal hier lieber ersparen.
[09:51] <tuor> (sorry ich sehe gerade, dass mein Deutsch zu wünschen übrig lässt.)
[09:53] <stevieh> abgesehen davon, dass ich auch keine Probleme damit habe, root ein Passwort zu geben, würde ich gerade solche vms wenn möglich immer unter einem user fahren...
[09:56] <tuor> stevieh, werden sie auch. Der user libvirt startet den kvm prozess. Ich steuere die VMs mit virsh. Oder meinst du ich sollt lbvirt nicht als root steuern? Wann ja, warum?
[09:57] <stevieh> k.a. ich kenn lbvirt nicht. Aber alles, was man nicht als root machen muss - im Regelbetrieb - sollte man auch nicht machen, da sonst ein angreifer eines prozesses eben die ganze Kiste hat.
[10:02] <tuor> Ich werde dann mal überprüfen als welcher Benutzer die VM läuft, damit falls ein Angreifer (falls er es schafft Code auf dem Hypervisor auszuführen) nicht zu viel anstellen kann.
[10:05] <tuor> Kann mir auch jemand bei meinem Problem helfen (und mal die Sicherheit meines Servers im Offtopic mit mir besprechen)?
[10:08] <stevieh> tuor: ich hab keine ahnung von Virtualisierung ;-)
[10:09] <tuor> Ah ok. Ich wollte nur mal zum Thema zurück, damit falls mir jemand helfen kann, es nicht untergeht.
[10:12] <stevieh> :-)
[11:44] <exoplanet> hallo. Ich habe hier einen Synology NAS, der mit meinem Server eine verbindung hat und auch dauerernd daten sendet. Zwischen synology:2049(nfs) server:783(spamd/spamassasin). Das Problem ist jedoch dass auf dem Server kein Program auf dem Port lauscht. Über netstat, lsof, etc. habe ich alle mir bekannten Methoden zum nachschlagen eines Ports. Kann ich in proc direct nachschauen welche Ports benutzt werden?
[11:45] <bekks> Ich verstehe die Frage nicht.
[11:45] <bekks> Du hast ein NAS, welches per NFS an ein Ubuntu (welches?) angebunden ist?
[11:52] <exoplanet> 14.04. Ja über NFS angebunden. Allerdings gibt es eine verbindung vom NFS port auf dem NAS zum spamassasin port auf dem server. In beide Richtungen wird die selbe Datenmenge geschickt. Allerdings gibt es auf dem Server keinen spamassasin Dienst (spamd). Und ein auflisten via netstat zeigt auch keinen offenen Port 783.  
[11:53] <bekks> Es reicht doch wenn da ein spamassasin client das NAS scannt.
[11:53] <bekks> ICh seh da jetzt nicht das Problem :)
[11:56] <bekks> Schieb mal die Ausgabe von "sudo lsof -i" in einen Pastebin.
[12:00] <exoplanet> bekks, https://paste.ubuntu.com/15179305/ (minimal install)
[12:01] <bekks> exoplanet: Kann ich mal ein "cat /etc/issue" sehen, in einem Pastebin?
[12:04] <exoplanet> Pastebin ist nicht nötig: "Ubuntu 14.04.1 LTS \n \l" bekks 
[12:04] <exoplanet> (muss mal update)
[12:04]  * exoplanet afk für eine stunde
[12:05] <Fuchs> eh, hoi exoplanet :) 
[12:05] <Fuchs> lange nicht gelesen 
[12:27] <siegbert> Moin
[12:58] <Anticom> Tag zusammen. Wie finde ich heraus, zu welcher IP meine known_host's gemappt sind?
[12:58] <bekks> In dem Du in die config reinschaust.
[12:58] <Anticom> So funktioniert das doch (vereinfacht gesprochen), oder?
[12:58] <Anticom> bekks: in welche config?
[12:59] <bekks> Das kommt darauf an, von welchen known_hosts du genau redest.
[13:00] <Anticom> bekks: Vielleicht habe ich die Frage ungünstig gestellt. Ich möchte wissen, wie ich einen gemerkten fingerprint zur IP xy löschen kann. Hab gesehen, dass man z.B. per sed einfach die entsprechende Zeile aus ~/.ssh/known_hosts rausschmeißen kann
[13:00] <Anticom> Ungünstigerweise sehe ich in known_hosts aber nicht die IPs zu den fingerabdrücken
[13:00] <bekks> Sondern was?
[13:00] <Anticom> irgendwelche (base64 kodierten ?!) hashes oder sowas
[13:01] <Anticom> ich hab keine Ahnung, wie known_hosts genau aufgebaut ist, deswegen frage ich ja :>
[13:01] <bekks> Du hast was ganz anderes gefragt :)
[13:01] <Anticom> vermutlich sind es die öffentlichen AES schlüssel oder sowas
[13:01] <Anticom> Naja ich möchte wissen, wie ich von einem der Einträge in known_hosts auf die zugehörige IP schließen kann, damit ich dann den entsprechenden eintrag löschen kann
[13:02] <bekks> AES Schlüssel? :)
[13:02] <bekks> Du verwechselst da gerade gewaltig was.
[13:02] <Anticom> Was sind diese fingerprints dann?
[13:02] <Anticom> oops, meinte RSA nicht AES :)
[13:03] <bekks> In man 8 sshd ist das Format der known_hosts beschrieben.
[13:11] <Anticom> nvm
[13:19] <stevieh> ich lösch die einfach immer komplett. Tut auch nicht weh ;-9
[13:35] <tuor> Das war das problem: http://comments.gmane.org/gmane.comp.emulators.libvirt.user/4555
[14:54] <Hinnerk> frostschutz: Hallo! Hättest Du vielleicht Zeit mir bei der Änderung meiner Partitionierung Raid1 & lvm zu helfen? Es geht um die zu kleine Boot-Partition. Die Idee war, der Swap Partition etwas Platz wegzunehmen und dorthin Boot zu verschieben.
[14:55] <exoplanet> Warum gibt es hier keine PID/Programmnamen? $netstat  -natp: tcp        0      0 192.168.1.244:783       192.168.1.17:2049       VERBUNDEN   -      
[14:55] <Fuchs> exoplanet: je nach dem fehlen die Berechtigungen dafuer, passiert das auch als root? 
[14:55] <Fuchs> wobei das eigentlich nur fuer den Namen gilt, PID sollte immer da sein 
[14:58] <exoplanet> Fuchs, ist mit root Rechten ausgeführt. :(
[14:59] <exoplanet> Sind 90GB rüber gegangen ist idled die Verbindung bei 4,5KB/s
[14:59] <Fuchs> hrm
[14:59] <Fuchs> lsof versuchen 
[15:00] <exoplanet> Sollte der Backup Process sein. rsnapshot → rsync → nfs 0 hops
[15:02] <exoplanet> Fuchs, bei "lsof | grep 2049" gibt mehrere zeilen "lsof: no pwd entry for UID 1020" aus.
[15:03] <Fuchs> *kopfkratz*  okay
[15:03] <Fuchs> keine Ahnung
[15:04] <exoplanet> ps -p 1020 gibt abgesehen vom Spalten-Header nichts zurück.
[15:04] <Hinnerk> Ok, Frage an Alle: Meine Boot-Partition ist zu klein für Updates. Ich habe eine zu große Swap-Partition. Alles unter Raid 1. Ich möchte jetzt die Swap Partition verkleinern (derzeit ca 19 GB) um ca. 2 GB (oder evtl. sogar mehr? Was ist sinnvoll?). In den freien Platz möchte ich dann Boot neu anlegen. Kann mich jemand durch den Vorgang durchlotsen?
[15:08] <stevieh> Hinnerk: mach mal ein df -h in ein pastebin
[15:08] <exoplanet> Fuchs, dieser Post legt nahe dass es ein Kernel Prozess vom nfs kernel-Treiber ist (oder so ähnlich). → http://unix.stackexchange.com/a/97753
[15:09] <Hinnerk> pastebin.com/KSzDseaW
[15:09] <Fuchs> das wuerde es erklaeren, ja
[15:10] <stevieh> Hinnerk: mach mal n link, wo ich drauf klicken kann ;-)
[15:10] <Hinnerk> sorry, musste das abtippen, weil ich über ikvm kein copy paste machen kann
[15:10] <Hinnerk> http://pastebin.com/KSzDseaW
[15:11] <Hinnerk> http://pastebin.com/gJT4B2q2
[15:12] <Hinnerk> das ist lsblk
[15:13] <Hinnerk> wie man sieht ist boot zu klein und swap zu groß :)
[15:13] <stevieh> wieviel ram haste denn? ;-9
[15:13] <Hinnerk> ram? 16 GB. ist ein server.
[15:14] <stevieh> server brauchen eh kein swap.
[15:15] <stevieh> Also, ich würde so vorgehen: backup machen, vor allem von boot. Aber zu sicherheit beim Rest auch. dann live booten, raid wegmachen, partitionen löschen, partitionen hinmachen, raid hinmachen und wieder zurück.
[15:16] <stevieh> und mir überlegen, ob crypted swap auf raid wirklich nötig ist, wenn der server bei einem selbst steht.
[15:18] <Hinnerk> das muss anders gehen. Habe mich letztens mit frostschutz unterhalten, er sah einen weg den er auch als nicht allzu schwierig ansah. 
[15:21] <stevieh> na, dann mach es anders.
[15:21] <Hinnerk> er meinte (ohne das ich alle details notwendigerweise druchblicke - also eher nicht): 1. live booten. 2. swap löschen. 3. boot partition anlegen und dann 4. neue swap erstellen.
[15:21] <Hinnerk> aber ich kenne mich mit dne details halt nicht aus.
[15:21] <stevieh> äh, wo ist da jetzt der unterschied?
[15:21] <stevieh> dass ich gleich beide lösche?
[15:22] <Hinnerk> ah, die anderen partitionen wolltest du nicht anfassen?
[15:22] <Hinnerk> klang so, als wenn du empfiehlst alles neu aufzusetzen.
[15:22] <stevieh> nö, musste nicht anfassen, aber halt hölle aufpassen
[15:23] <Hinnerk> das ist klar. deswegen wollte ich ganz gerne einen babysitter :)
[15:24] <stevieh> nein, die schritte mussu selbst machen. Und auch selbst schuld sein, wenn es schief geht ,-)
[15:25] <stevieh> theoretisch kannste wahrscheinlich sogar raid aufbrechen und dann vergrösseren und wieder anlegen, aber ist ein Akt.
[15:25] <stevieh> https://www.howtoforge.com/how-to-resize-raid-partitions-shrink-and-grow-software-raid
[15:26] <Hinnerk> soll ja auch keiner remote machen :)   aber mir wäre es lieber wenn am ende niemand schuld ist, sondern die operation erfolgreich verläuft.
[15:26] <jokrebel> Hinnerk: Babysitter sagen nun mal "Backup anlegen" 
[15:26] <stevieh> Hinnerk: hast du bei root ein passwort gesetzt?
[15:27] <Hinnerk> alle wichtigen daten habe ich bereits gesichert. im allerschlimmsten fall müsste ich also das system einfach neu anlegen - was im zweifelsfall auch ein gangbarer weg wäre, aber eben nicht bevorzugt.
[15:27] <Hinnerk> hm, ich arbeite immer mit sudo.
[15:27] <stevieh> dann ist gut.
[15:27] <stevieh> *grin*
[15:27] <Hinnerk> kann mich nicht mehr genau erinnern, ob ich ein root passwort gesetzt habe.
[15:27] <jokrebel> *fish*
[15:28] <stevieh> head -1 /etc/shadow
[15:29] <stevieh> ne, alles ok, mach mal dein boot grösser
[15:29] <Hinnerk> ok, und woran erkenne ich an der ausgabe ob ich ein root passwort habe?
[15:30] <stevieh> wenn die ersten zeichen so aussehen: root::
[15:30] <Hinnerk> jo: root:!:...
[15:30] <stevieh> müsste ich mal nen Shell einzeiler draus machen ;-)
[15:30] <stevieh> okok
[15:32] <Hinnerk> na gut. dann fang ich mal an... 
[15:34] <stevieh> ich hab mal "aus spass" eine Platte aus dem Raid rausgemacht und geschaut, wie ich an den Rest komme. Das war kein Spass.
[15:35] <Hinnerk> welchen raid level?
[15:37] <stevieh> 1
[15:38] <Hinnerk> ist gparted das sinnvollste tool für die op?
[15:38] <Hinnerk> hätte gedacht, das das zumindest bei raid 1 noch überschaubar ist...
[15:38] <stevieh> ja, ich auch ;-)
[15:40] <lugarius> Moin
[15:43] <stevieh> vermutlich. 
[15:52] <Hinnerk> mir ist leider nicht klar, wie ich genau vorgehen soll. habe das live system gestartet und mdadm installiert mit der option (--no-install-recommends), wie es in der ubuntu anleitung erwähnt wird. kann nach mdadm --assemble --scan auch md1 und md0 sehen. allerdings ist swap md2 - das taucht nicht auf.
[15:55] <Hinnerk> ich sehe allerdings die partitionen sda3 und sdb3, die zusammen md2 bilden. ist es jetzt zu kurz gegriffen, diese einfach zu löschen?
[15:55] <stevieh> ich glaube eigentlich nicht, weil ich glaub die raid signatur steht ja auf den Partitionen. 
[15:56] <stevieh> aber ey :-)
[15:56] <stevieh> du hast ja n backup.
[15:56] <Hinnerk> fühle mich gleich viel besser :)
[15:57] <Hinnerk> wozu eigentlich verkehrsregeln, wenn man ein gaspedal UND einen airbag hat?
[15:57] <stevieh> helmdiskussionen gibts nebenan
[15:58] <Hinnerk> egal. jedenfalls überzeugt mich ein "ich glaube eigentlich nicht" nciht davon, das ich jetzt auf löschen klicke...
[15:58] <stevieh> :-)
[15:58] <frostschutz> Hinnerk, /query
[16:09] <dreamon_> Virtualbox zickt. Sagt ich soll "/sbin/rcvboxdrv setup" machen. Wenn ich das mache kommt Bad Argument
[16:10] <jokrebel> dann sind wohl die falschen parameter angegeben (oder keine)
[16:11] <LetoThe2nd> liegt wohl dran, dass es wahrscheinlich sagte /etc/init/vboxdrv setup
[16:11] <dreamon_> jokrebel, Der Fehler tritt bei mehreren auf.  Ich werfs mal runter und installiere neu
[16:16] <stevieh> Hinnerk: http://ubuntuforums.org/showthread.php?t=901414
[16:18] <stevieh> wobei ich nicht verstehe, dass ich da was auf sda direkt löschen sollte.
[17:58] <yogg> Hi
[18:00] <yogg> Ich habe eine Openvpn Verbindung in meinem Netzwerkmanager eingerichtet. Bekomme ich den irgendwie dazu, dass er das Passwort für mein Zertifikat nicht speichert?
[18:40] <m15k> Hi. Mach ich das richtig mit dem "--"? lxc-attach -n ubuntu-nginx --clear-env -- echo "root:blaa" | chpasswd
[18:45] <m15k> Ich glaube ich führe chpasswd auf meinem host aus und nicht im container.
[18:48] <pille> kannst du einfach testen, mach mal: lxc-attach -n ubuntu-nginx --clear-env -- echo "root:blaa" | echo `hostname`
[18:51] <m15k> pille, genau, ist lokales command
[18:51] <m15k> nicht im container, mist
[18:51] <pille> mit dem teil direkt kenn ich mich leider nicht aus... alles nach -- sollte an den container übertragen werden, richtig?
[18:52] <m15k> pille, so zumindest die theorie
[18:53] <pille> m15k, was ist mit: lxc-attach -n ubuntu-nginx --clear-env -- echo "root:blaa" \| echo `hostname`
[18:55] <m15k> pille, Dann gibt er nur den Befehl aus
[18:56] <pille> m15k, wie den befehl? kannst mir den output mal zeigen?
[18:57] <m15k> lxc-attach -n ubuntu-nginx --clear-env echo 'BLAA' \| hostname
[18:57] <m15k> BLAA | hostname
[18:57] <pille> und die 2 bindestriche waren aber schon mit drin, oder?
[18:58] <m15k> lxc-attach -n ubuntu-nginx --clear-env -- echo 'BLAA' \| `hostname`
[18:58] <m15k> so :)
[18:58] <m15k> ergibt aber trotzdem den host vom host und nicht vom container
[18:58] <pille> hat der container denn nen eigenen hostnamen? :) kannst du mal was nehmen, was im container anders ist, z.b. path?
[18:59] <m15k> lxc-attach -n ubuntu-nginx --clear-env -- hostname -> ubuntu-nginx
[19:00] <pille> okay... gib mir ne minute
[19:00] <m15k> pille, okay - danke
[19:04] <pille> m15k, probier mal: lxc-attach -n ubuntu-nginx --clear-env -- /bin/bash -c "echo root:blaa \| echo `hostname`"
[19:07] <m15k> pille, du bist der man
[19:07] <m15k> funkt zwar nicht so, aber es hat geklappt
[19:07] <m15k> lxc-attach -n ubuntu-nginx --clear-env -- /bin/bash -c "echo root:blaa | hostname"
[19:07] <m15k> danke dir!
[19:08] <pille> gerne :)
[19:08] <pille> musst natürlich wieder dein chpasswd einsetzen :D
[19:09] <m15k> jo funkt! :)
[19:10] <pille> top! lag natürlich daran, dass die pipe nur innerhalb einer shell funktioniert ^^
[23:11] <maredebianum> Wie weit ist die LTS Version eigentlich, ich habe schon wieder eine zu kleine, volle /boot Partition (crypted LVM), ändert sich da noch was? So nervt's etwas, weil upgrades hart auf die Nase fallen.
[23:11] <bekks> 14.04 ist stabil.
[23:11] <bekks> Wenn /boot zu voll ist, deinstallier halt alte Kernel.
[23:12] <maredebianum>  bekks: stabil mit immer noch zu kleiner boot-Partition vom neulich genutzten Installer ;)
[23:12] <bekks> Dann räum da halt auf :)
[23:13] <maredebianum> bekks: Ja ich kann das (und muss es jetzt wieder, grmpf), der durchschnittliche User sollte nicht einfach bei den Kernels beräumen. Sowas soll $system bitte sinnvoll selbst können.
[23:14] <bekks> Sollte es nicht. Ich knüpfe den Entwickler eigenhändig auf, der entscheidet, dass sich ein Kernel bei mir zu löschen habe.
[23:15] <bekks> Und so wichtige Dinge wie Kernel zu löschen muss der User entscheiden.
[23:16] <bekks> Ich sehe jetzt aúch nicht das Problem, da du das ja kannst?
[23:20] <maredebianum> bekks: / voll nervt auch, aber ist nicht so dumm gelaufen wie nur altes Zeug booten können, und keine Updates ;) Kernel+User? Ich denke, die Fortschritte, die in Sachen userfriendlyness gemacht wurden, liegen genau darin, dass man nicht mehr selbst das Zeug verstehen muss bis zum kompilieren können und herumprobieren. Den Normal-user interessiert doch der Kernel erstmal gar nicht. Und für dich kannst du ja dann die "keep ancient stuf
[23:21] <bekks> Es gibt diese Option nunmal nicht und auch keine Bestrebungen sie einzuführen.
[23:22] <k1l> doch gibts. seit 15.04 oder so werden alte kernels automatisch entfernt. glaube das die letzten 2 bleiben oder so. kann man aber sicher in ner conf einstellen.
[23:22] <k1l> das problem bei 14.04 ist halt nur, dass /boot bei verschlüsselungs lvm foo zu klein ist. das läuft mit paar kerneln voll
[23:22] <bekks> purge-old-kernels macht das, aber das stammt aus bikeshed.
[23:23] <k1l> bekks: seit 15.04 ist da $irgendwas standard, dass es macht.
[23:23] <bekks> Krasse Sache. Muss ich mir bei Xenial mal genauer ansehen.
[23:28] <k1l> warum /boot nur 250mb groß ist in zeiten von TB platten ist mir aber auch ein rätsel
[23:29] <bekks> Da passen knapp zwei Kernel rein. :)
[23:29] <maredebianum> 250MB sind einfach old-school/zu wenig für heutige Kernel. Disk ist mindestens 1000-fach so groß. https://help.ubuntu.com/community/Lubuntu/Documentation/RemoveOldKernels dokumentiert die Problematik ausführlich, und aptitudes Verhalten mag sich unterscheiden nach full-upgrade (remove unused deps) und safe-upgrade (keep all old stuff, bekks ;)
[23:30] <bekks> Dann nimm halt nicht den Standard bei der Installation sondern pass es an? Du sagtest doch, du könntest das?
[23:30] <maredebianum> Nee, das ging nur mit Schmerzen und war hinterher nicht tauglich.
[23:31] <bekks> Dann musste aufräumen.
[23:33] <maredebianum> Warum soll ich 'ne Stunde rumkonfigurieren wegen einem Installer, der fail defaults hat? Habs probiert, nicht empfehlenswert, nicht zielführend, musste nochmal gemacht werden. Klar muss ich jetzt jeden Monat wieder den Automaten aufräumen ;) 
[23:34] <bekks> Stunde? Full disk encryption mit angepassten Größen ist im Installer in zwei Minuten zusammengetackert.
[23:36] <maredebianum> Fand ich jetzt nicht so intuitiv, und hinterher war es anders/falsch (jede Partition mit einzelner Passphrase), mehr hab ich nicht rausholen können. Nix für Anfänger jedenfalls.
[23:36] <bekks> Dann hast du keine FDE aufgesetzt, sondern eben jedes LV einzeln verschlüsselt.
[23:39] <maredebianum> FDE war IIRC eben nur als automatische Installation möglich (habe es jedenfalls nicht manuell einstellen können). Ein Review der automatischen Vorschläge wünschte ich mir sowieso. Na ja, danke jedenfalls für die moralische Unterstützung ;)
[23:40] <bekks> Gerne wieder.