Ich habe ein Plugin gefunden, um GnuPG mit Apple Mail unter Snow Leopard zu benutzen!

Vor einigen Monaten entschied ich mich auf meinem neuen Macbook Pro unter MacOS Snow Leopard statt unter Linux zu arbeiten. Leider spielt das Apple Mail Add-On GNU Privacy Guard nicht mit MacOS 10.6. Als Übergangslösung kompilierte ich mir die Kommandozeilenversion von GnuPG wie auf der Webseite erwähnt. So konnte ich immerhin verschlüsselte Mails lesen und schreiben.

Heute recherchierte ich erneut zu diesem Thema und stieß auf über diese Diskussion auf eine inoffizielle Beta Software, die sofort funktionierte!

Man lade http://dl.dropbox.com/u/112247/GPGMail.mailbundle.zip herunter, beende Apple Mail und kopiere das heruntergeladene Paket nach /Benutzer/Library/Mail/Bundles/.

Fröhliches Verschlüsseln!

Bis vor kurzem sah meine Backupsituation noch so aus: Wichtige Daten werden im privaten Netz gespiegelt, projektbezogene Dateien manuell auf DVD ausgelagert. Alles lief über Unison. Ein historisch gewachsenes Chaos.

Bei der Konzeption und Planung des Backups und der Auswahl von geeigneter Software, wurde mir schnell bewusst, dass es mehr sein musste, als eine Skriptlösung. Mein Bestreben eine übersichtliche Methode zu haben, ein Netzwerk von PCs mit unterschiedlichen Betriebssystemen (Linux, MacOS X, Windows) zu sichern, führte mich schließlich zu BackupPC.

• Ansprechende Oberfläche zur Datenwiederherstellung,
• problemlosen Umgang mit Umlauten und Leerzeichen in Pfad- und
  Dateinamen,
• Benutzer haben Zugriff auf ihre Backups,
• Behandlung von mobilen Rechnern,
  
• ausführliche Dokumentation,
• Pooling, d.h. identische Dateien werden nur einmal abgespeichert.

Die folgenden Notizen mögen dem Einsteiger an der einen oder anderen Stelle helfen. Sie ersetzen auf keinen Fall die gute Dokumentation der Software und andere hilfreiche Anleitungen, auf die ich unten verlinke. Konkrete Pfadangaben beziehen sich auf Gentoo Linux, sollten sich auf anderen Systemen jedoch auch verorten lassen.

BackupPC läuft ohne, doch empfiehlt sich der Übersichtlichkeit halber das Webfrontend (Screenshots). Dafür muss ein Webserver laufen. (z.B. Apache)

Apache

Geschrieben ist BackupPC in Perl. Die empfohlene Konfiguration setzt auf das mod_perl Modul.

Aktivierung über /etc/conf.d/apache2:

APACHE2_OPTS="-D PERL"

http://localhost/perl-status zeigt ob und wie mod_perl installiert ist.

Da Apache in meinem Szenario auch der Webentwicklung dient, läuft er mit Unterstützung für Namensbasierte Virtuelle Hosts (vhosts). Der Server liefert also mehrere lokale Adressen/Domains aus. Der Backup Server soll auf localhost als Default VHost erreichbar sein.

/etc/apache2/vhosts.d/backuppc.include mit folgendem Inhalt erstellen

<Directory /var/www/localhost/cgi-bin>
        SetHandler perl-script
        PerlResponseHandler ModPerl::Registry
        PerlOptions +ParseHeaders
        Options +ExecCGI +Indexes
        AllowOverride AuthConfig 
        Order deny,allow
        Deny from all
        Allow from 192.168.2 127.0.0.1
        AuthName "backuppc"
        AuthType Basic
        AuthUserFile /usr/local/etc/apache2/.htpasswd
        Require valid-user
</Directory>

/etc/apache2/vhosts.d/00_default_vhost.conf: Nach dem Eintrag

default_vhost.include

wird die neue Datei eingebunden:

Include /etc/apache2/vhosts.d/backuppc.include

Anlegen von Benutzern für das Webfrontend:

htpasswd  /usr/local/etc/apache2/.htpasswd backuppc
htpasswd  /usr/local/etc/apache2/.htpasswd userA
htpasswd  /usr/local/etc/apache2/.htpasswd userB

Für BackupPC muss Apache als Benutzer backuppc laufen.
httpd.conf:

User backuppc
Group backuppc

localhost   0       backuppc userA
rechnerB    0       userA
rechnerC    0       userB

Da Apache als BackupPC Benutzer läuft, können Schwierigkeiten mit existierenden Webseiten aufgrund fehlender Dateirechte auftreten. Ich habe den Benutzer backuppc der Gruppe apache zugewiesen

usermod -aG apache backuppc

und die Gruppenrechte der betroffenen Pfade entsprechend angepasst. Sauberere Lösung wären es einen zweiten Webserver aufzusetzen (lighttpd), zwei unterschiedliche Instanzen von Apache laufen zu lassen, einen der Server in einer virtuellen Maschine laufen zu lassen oder ihn physisch zu trennen.

BackupPC

Damit der Backupprozess als root mit vollen Zugriffsrechten auch auf Systemdateien ablaufen kann, werden die Berechtigungen des Benutzers backuppc mit dem Kommando visudo erweitert. Im Beispiel darf backuppc ohne Eingabe eines Passwortes den rsync Befehl zur Sicherung der Daten ausführen. Dateisysteme (z.B. /boot) dürfen ein- und ausgehängt werden.

backuppc  ALL=(ALL)  NOPASSWD: /usr/bin/rsync *,/bin/mount *,/bin/umount *

Der Übersichtlichkeit halber bekommt jeder PC seine eigene Konfigurationsdatei:
/etc/BackupPC/pc/hostname.pl

Anpassen des Backup Kommandos für localhost:

$Conf{RsyncClientCmd} = '/usr/bin/sudo $rsyncPath $argList+';
$Conf{RsyncClientRestoreCmd} = '/usr/bin/sudo $rsyncPath $argList+';

Den root Zugang mittels sudo freizugeben findet auch bei der Sicherung von Daten auf entfernten Unix und MacOSX Rechnern Anwendung, muss dort also ebenso konfiguriert werden.

Einbinden von zu sichernden Verzeichnisbäumen. Wenn Datenbanken gesichert werden sollen, hier ist der Platz für den Datenbanksicherungsbefehl.

$Conf{DumpPreUserCmd} = '/usr/bin/sudo mount /boot';
$Conf{DumpPostUserCmd} = '/usr/bin/sudo umount /boot';
$Conf{RestorePreUserCmd} = '/usr/bin/sudo mount /boot';
$Conf{RestorePostUserCmd} = '/usr/bin/sudo umount /boot';

Die Variablen

$Conf{RsyncShareName}, $Conf{BackupFilesExclude}

definieren die zu sichernden Daten,

$Conf{BlackoutPeriods}

spezifiziert Tageszeiten, zu denen kein Backup erfolgen soll.

SSH Tunnel

Unix basierte Rechner im Netzwerk werden über ssh gesichert. Dafür muss dem Benutzer backuppc das Recht eingeräumt werden, sich auf dem entfernten Rechner ohne Angabe eine Passwortes anzumelden. Vorgehen: Als userA auf dem Client und als Benutzer backuppc auf dem Server mit

ssh-keygen -t rsa

ohne Angabe eines Passworts Schlüsselpaare erzeugen. Der öffentliche Schlüssel id_rsa.pub vom Benutzer backuppc wird in die Datei ~/.ssh/authorized_keys von userA geschrieben

cat backuppc_id_rsa.pub >> ~/.ssh/authorized_keys

Beispiel der ~/.ssh/authorized_keys mit zusätzlicher Beschränkung auf die Server IP

from="192.168.foo.foo" ssh-rsa c2EAAAABIwAAA(...)Qb69lo== backuppc@server-hostname

auf dem Server wird der Schlüssel von userA hinzugefügt

cat userA_id_rsa.pub >> ~/.ssh/known_hosts

Die Bekanntmachung des Hosts geschieht einfacher über die Verbindungsaufnahme auf der Kommandozeile - siehe Testkommando. Zur Überprüfung des Fingerabdrucks des Rechners mit dem eine Verbindung aufgebaut werden soll:

ssh-keygen -l

/etc/ssh/ssh_host_rsa_key.pub

Beispiel known_hosts

rechnerA,192.168.foo.foo ssh-rsa IwAAAQEAq2PwH9(...)qDmlogB==

Das Heimatverzeichnis von backuppc sollte existieren.
Verbindungstest: Eingeloggt als Benutzer backuppc wird mittels

ssh userA@rechnerB

versucht eine Verbindung aufzubauen. Funktioniert das, wird BackupPC angewiesen es genauso zu machen:

$Conf{RsyncClientCmd} = '$sshPath -q -x -l userA $host /usr/bin/sudo $rsyncPath $argList+';
$Conf{RsyncClientRestoreCmd} = '$sshPath -q -x -l userA $host /usr/bin/sudo $rsyncPath $argList+';

WOL (wake on lan) aktivieren

Rechner, die bei Nichtbenutzung in den Bereitschaftsmodus wechseln, weckt

Conf{PingCmd} = '/etc/BackupPC/pc/wakeup.sh 00:16:cb:a3:39:64 1 $host';

wobei /etc/BackupPC/pc/wakeup.sh folgendermaßen aussieht:

#!/bin/bash
# Jeglicher Output auf die Standardausgabe muss vermieden werden
wakeonlan $1 &>/dev/null
# Zeit in Minuten zum Aufwachen
sleep ${2}m
# ist der Rechner erreichbar?
/bin/ping -c 1 -w 3 $3

Mac OSX Rechner: Systemeinstellungen - Energie sparen - "Bei administrativen Netzwerkzugriffen aufwachen" aktivieren. Mac Laptops mit Snow Leopard (>2009) wachen auch über WLAN auf, wenn das Netzteil angeschlossen und der Deckel aufgeklappt ist.
Bei Windows findet sich diese Einstellung im Eigenschaftsdialog der Netzwerkkarte. Wo genau hängt von der verwendeten Hardware ab.
Beispiel für SiS 900-basierte PCI-Fast Ethernet-Adapter: Gerätemanager -> Netzwerkadapter -> Energieverwaltung -> Aktivieren von "Gerät kann den Computer aus dem Standbymodus aktivieren" UND "Nur Verwaltungsstationen können Standbycomputer aktivieren".

Links:

• BackupPC Anleitung (für Fedora)
• Suchmaske für das Mailinglistenarchiv (englisch)
• Backup zentralisiert verwalten mit BackupPC
• Howto zum Thema Wake On Lan
• BackupPC Howto und ausführliche SSH Tunnel Konfiguration auf deutsch.

Im Grunde ist dieser Artikel eine Übersetzung von Neddyseagoons' Rough Guide to Restoring Removed Key System Packages mit nur marginalen Erweiterungen.

Der Frühling ist da und das Gentoo Linux System auf meinem Laptop aufzuräumen stand an. "emerge -p --depclean" ermittelt diverse Abhängigkeiten und macht Vorschläge, welche Pakete entfernt werden können. Das man diese Vorschläge sorgfältig prüfen sollte, bevor man --depclean freie Hand gibt, war mir bewusst. Da auf dem System jedoch zwei Versionen der glibc installiert waren, keimte in mir der Wunsch die überflüssige Bibliothek los zu werden. Obwohl "equery depends glibc" keine Abhängigkeiten zu der alten glibc meldete, kompilierte ich dennoch wichtige Systempakete wie python neu, bevor ich mutig "emerge -C =sys-libs/glibc-2.3.4.20040808-r1" befahl. Im Verlauf meldete der Prozess sehr schnell Fehler. So ziemlich kein Programm konnte mehr ausgeführt werden. Selbst "shutdown -h now" funktionierte nicht mehr!

Mit den folgenden Schritten habe ich den Rechner wiederbelebt.

1. Voraussetzungen:
1. Tarball des defekten Pakets (glibc, gcc ...)
2. Stage3 Gentoo tarball für die entsprechende Rechnerarchitektur
Ich habe mir die Dateien auf einen USB Stick kopiert, da die CD für das laufende Live System gebraucht wird.
3. >10GB freien Festplattenspeicher bzw 1GB, da das bestehende /usr/portage von Platte eingebunden wird.
2. Gentoo Installation in eine Datei
1. Live CD booten (Ich benutze Knoppix. Viele andere Linux LiveCDs können verwendet werden, doch muss man darauf achten, dass Programme wie gcc und chroot zur Verfügung stehen.)
• "knoppix 2" fährt das Live System bis zur Kommandozeile hoch.
2. Mounten einer Partition mit >1GB unter /mnt/gentoo
• "fdisk -l" listet alle verfügbaren Partitionen auf,
• mkdir /mnt/gentoo; mount /dev/sdaX /mnt/gentoo
3. Erstellen einer 1GB großen Datei
• dd if=/dev/zero of=/mnt/gentoo/recovery.file count=250000 bs=4096
4. Dateisystem erstellen (ext2 - ein Journal ist überflüssig)
• mke2fs /mnt/gentoo/recovery.file
5. Mountpunkt für das neue System
• mkdir /mnt/fixme
• mount -o loop -t ext2 /mnt/gentoo/recovery.file /mnt/fixme
6. Entpacken des Stage3 Gentoo Tarballs
• unter http://de-mirror.org/distro/gentoo/releases/x86/2008.0/ lassen sich die Stage3 Pakete z. B. auf einem deutschen Server finden.
• tar entpackt ins Arbeitsverzeichnis
• cd /mnt/fixme
• tar -xvjf /pfad/zum/tarball/stage3-x86-2008.0.tar.bz2
7. Prozeß- und Gerätedateiverzeichnisse einbinden
• mount -t proc none /mnt/fixme/proc
• mount -o bind /dev /mnt/fixme/dev
8. Einbinden der vorhandenen Paketverzeichnisse (portage tree)
• mount -o bind /mnt/gentoo/usr/portage /mnt/fixme/usr/portage
9. Sprung ins neue System und Anpassungen an die neue Umgebung
• chroot /mnt/fixme /bin/bash
• env-update
• source /etc/profile
• export PS1="(geschafft) $PS1"
10. Fertig! Alle Systemwerkzeuge funktionieren wieder und da wir das alte /usr/portage eingebunden haben, können wir auch auf alle Sourcen zugreifen.
3. Reparatur
1. Wenn es noch nicht unter /usr/portage/distfiles liegt, laden wir es manuell von einem Spiegel der Wahl herunter.
• emerge glibc
2. Bauen der Binärdaten
• quickpkg glibc
3. Das Binärpaket finden wir anschließend unter /usr/portage/packages/All, das uns ja auch nach Beenden des Rettungssystems zur Verfügung steht.
4. Beenden des Rettungssystems
• exit
5. Entpacken (Installation) des erstellten Paketes und Neustart
• cd /mnt/gentoo
• tar -xvjf /usr/portage/packages/All/glibc-2.x.x.tbz2
• shutdown -r now

1. Quellen:

1. Neddyseagoons' Rough Guide to Restoring Removed Key System Packages
2. Gentoo Stage3 Tarballs
3. Forumsdiskussion zum Thema

Sound Programme, die ich im Gentoo ProAudio Overlay vermisst habe.

jmeters (0.2.0)

ist ein Mehrkanal Audio VU und PPM Meter für Jack.
jmeters-0.2.0.ebuild

rotter (v.0.5)

ist ein Aufnahmeprogramm, dazu gedacht den Output von Radiosendern zu loggen. Natürlich auch für Jack.
rotter-0.5.ebuild

silentjack (v.0.2)

gibt Meldung, wenn ein zu analysierende Audiosignal unter einen Schwellwert fällt.
silentjack-0.2.ebuild

jack_capture (v.0.9.23)

nimmt in der Grundeinstellung alles auf, was den Jack Server in Richtung Soundkarte verlässt.
jack_capture-0.9.23.ebuild

Wem der KDE interne Browser Konqueror langsamer vorkommt als Firefox mit aktiviertem HTTP Pipelining, liegt richtig.

Mit Hilfe des kleinen, einfach aufzusetzenden Proxyservers namens Polipo habe ich Konqueror merklich beschleunigen können. Auf der Homepage finden sich vorkompilierte Installationspakete für wichtige Linux Distributionen.

Die Konfiguration erledigt sich im Dreischritt:

1. /etc/resolv.conf auf erreichbare, geografisch nahe Namserveradressen überprüfen


2. Polipo starten z.B. mit /etc/init.d/polipo start


3. Konqueror Manuelle Proxy Einstellung auf 127.0.0.1:8123