Da heute wenig Talks waren blieb viel Zeit für "Networking". Viele interessante Leute aus dem Umfeld von NixOS gesprochen, einige davon von RhodeCode . Kurzum haben die das Ziel reproduzierbar ein System mit allen benötigten Bibliotheken zu erstellen. Schöne Features sind die eingebauten atomaren Installationen und der eingebaute Rollback. Schlägt die Installation eines Paketes fehl, wird komplett zurück gerollt. Es wird kein kaputtes/pflegebedürftiges System hinterlassen. Auch wenn die Installation geklappt hat, kann vom Admin manuell zurückgerollt werden. Z.B. weil die neue Version einer Spezifischen Software Probleme verursacht. Nur die Dokumentation läßt noch arg zu wünschen übrig. Daran wird aber aktuell gearbeitet. NixOS ist absolut einen Test wert. Außerdem ging es natürlich auch um Cloud Platformen, OpenStack und Docker .

Heute Abend habe ich mein Notebook schon mal für das morgige Training Making your first contribution to OpenStack vorbereitet. Also eine VM mit DevStack ausgestattet. Freue mich schon :)

Alles in allem ein sehr schöner Tag. Eine angenehme Veranstaltung mit netten Menschen. Super Organisation des EP14- und BCC -Teams.

Update aus einem Lightning-Talks

https://packaging.python.org/en/latest/

For managing my ebooks, I started to use calibre , and it turns out, calibre is a very flexible tool.

I am able to run it on my raspberry pi as a quite nice web app. Have a look at calibre-server . It is possible to "talk" to the library database with a command line interface called calibredb . With this, it is really easy to import/export/search stuff without using the usual GUI. callibredb allows you to create entirely new database, as well. If you are using tmpfs for /tmp and your memory is limited, set TMPDIR before you start.

$ export TMPDIR=/BIG_DISK/tmp

$ calibredb add -r /home/mpd/new_ebooks/ /BIG_DISK/calibre_library/

As another quite nice feature, calibre is able to convert from different formats to another. It is easily possible to convert a pdf to mobi - for example Sage A. Weils more than great thesis ceph - and read it on the kindle.

And there is a lot more. Give it a try :)

Per gvfs eingehängte Devices oder Server-Verbindungen bequem per CLI aushängen. Da gvfs auf file://, sftp://, etc. basiert, darf der Doppelpunkt nicht als Worttrenner werdendet werden:

_gumount() {

        COMPREPLY=()
        local opts cur
        _get_comp_words_by_ref -n : cur
        opts=$(gvfs-mount -l -i | grep default_location | sed 's#.*default_location=\([^:]\+\):\(.*\)#\1\\:\2#')
        if [[ ! $opts ]] ; then
                return 1
        fi

        COMPREPLY=( $(compgen -W "$opts" -- "$cur") )
        __ltrim_colon_completions "$cur"
        return 0
}
complete -F _gumount gumount

gmount() {
        if (($# != 1)) ; then
                cat <<EOF
Give me one device or network resource.
gmount /dev/sdc1
gmount sftp://leierkasten.local/root
EOF
                return 1
        fi
        opts=()
        if [[ -b $1 ]] ; then
                opts+=("-d")
        fi

        gvfs-mount "${opts[@]}" "$1"
}

Siehe auch: http://stackoverflow.com/questions/10528695/how-to-reset-comp-wordbreaks-without-effecting-other-completion-script/12495480

Auf meinem Arch Linux mpd-Server wollte ich dem User mpd erlauben den Rechner herunter zu fahren. Die einfachste Variante ist es, den Benutzer mpd einfach zur Gruppe wheel hinzuzufügen. Diese wird auch in polkit als Admingruppe anerkannt. Nun wollte ich mpd aber nur erlauben herunter zu fahren und nicht gleich Zugriff auf alle Adminfunktionalität zu geben.

Dazu muss eine Datei /etc/polkit-1/rules.d/mpd.rules angelegt werden:

polkit.addRule(function(action, subject) {

    if (action.id == 'org.freedesktop.login1.power-off' &&
        subject.isInGroup('mpd')
    ) {
        return polkit.Result.YES;
    }
});

Ich habe hiermit gleich der Gruppe mpd Berechtigungen zum poweroff gegeben. Mit subject.user == 'mpd', hätte dies auf nur den einen Benutzer begrenzt werden können.

Was passiert hier?

Wenn eine Action mit der id 'org.freedesktop.login1.power-off' kommt und der Benutzer sich in der Gruppe mpd befindet, gibt die Funktion polkit.Result.YES zurück. Damit weiß das fragende Programm, dass es die gewünschte Aktion durchführen darf.

Das Resultat ist also, dass mpd nur herunterfahren, aber nicht z.B. reboot, suspend oder hibernate darf. Außerdem ist ein Herunterfahren nur erlaubt wenn es keine weiteren Sessions auf dem Rechner gibt. org.freedesktop.login1.power-off-multiple-sessions ist die Aktion, nach der bei mehr als einem angemeldeten Benutzer gefragt wird.

In jedem nicht explizit erlaubten Kommando (z.B. reboot) wird nach dem root-Passwort gefragt.

[mpd@server ~]$ reboot 

==== AUTHENTICATING FOR org.freedesktop.login1.reboot ===
Authentication is required for rebooting the system.
Authenticating as: root
Password:

Ist der User root angemeldet wird poweroff unüberwindbar abgelehnt

[mpd@server ~]$ poweroff

User root is logged in on sshd.
Please retry operation after closing inhibitors and logging out other users.
Alternatively, ignore inhibitors and users with 'systemctl poweroff -i'.

Das ganze sieht auf den ersten Blick wie JavaScript aus, stellt sich raus... ist JavaScript:

$ man polkit

Rules files are written in the JavaScript[7] programming
language and interface with polkitd through the global polkit object
(of type Polkit).

Sehr ohne Context, ein paar Python Links, die ich in den letzten Tagen und Wochen interessant fand.

http://www.jeffknupp.com/blog/2014/06/18/improve-your-python-python-classes-and-object-oriented-programming/

pypy3 mit python 3.2.5 rausgekommen. http://morepypy.blogspot.de/2014/06/pypy3-231-fulcrum.html

Hilfsbibliothek um python 2 & 3 im selben Code zu unterstützen: https://pypi.python.org/pypi/six

Würde Python 2.8 bei der Portiereung auf 3 helfen? https://regebro.wordpress.com/2014/06/03/would-a-python-2-8-help-you-port-to-python-3/

[UPDATE 23. Jun 2019]

I just realized... starting from OpenSSH 7.3, it is even easier by using ProxyJump...

Host server1 10.0.1.1

        Hostname 10.0.1.1
        ProxyJump user1@jumphost1.example.org:22,user2@jumphost2.example.org:2222

... or using -J

ssh -J user1@jumphost1.example.org:22 10.0.1.1

See Proxies and Jump Hosts

[/UPDATE]

[UPDATE 06. May 2016]

Carlos Lopes Pereira pointed me to the article SSH Agent Forwarding Is a Bug by @neerolyte. I also think this is a valid point, so removed the agent forwarding flags.

[/UPDATE]

Sometimes it makes sense to use ssh jump hosts to reach hosts in a DMZ. To avoid connecting those jump host manually and starting another ssh-connection on the jump host, we are using ProxyCommand, defined in ssh_config.

Historically, we are using nc on the jump host, to forward the connection to the target host.

Host server1 10.0.1.1

        Hostname 10.0.1.1
        ProxyCommand ssh -q -x IP_OF_JUMP_HOST 'nc %h 22'

Unfortunately, this cause a large number of orphaned nc-processes on the jump host. It is possible to get rid of those leftovers by using nc -w 1 %h 22.

But why using nc? Why installing another piece of software on the ssh jump hosts? ssh is capable to do this on its own, using ssh -W %h:22.

     -W host:port

             Requests that standard input and output on the client be forwarded
             to host on port over the secure channel.  Implies -N, -T,
             ExitOnForwardFailure and ClearAllForwardings and works with Protocol
             version 2 only.

Changing the ssh_config:

Host server1 10.0.1.1

        Hostname 10.0.1.1
        ProxyCommand ssh -q -x IP_OF_JUMP_HOST -W %h:22

Hinweis:Desktopumgebungen bringen eventuell schon Einstellungen für natural scrolling mit.

$ xmodmap -e "pointer = 1 2 3 5 4 7 6 8 9 10 11 12"

## Oder
$ xinput list
⎡ Virtual core pointer                       id=2    [master pointer  (3)]
⎜   ↳ Virtual core XTEST pointer                 id=4    [slave  pointer  (2)]
⎜   ↳ SynPS/2 Synaptics TouchPad                 id=11   [slave  pointer  (2)]
...
$ xinput set-button-map 11 1 2 3 5 4 7 6 8 9 10 11 12

xmodmap setzt die Einstellung für alle pointer, während er bei xinput explizit angegeben werden muss. xinput eignet sich daher für den Fall, dass sich Mäuse unterschiedlich verhalten sollen. Z.B. soll ein Scrollrad wie gehabt scrollen, ein TouchPad aber natural.

Die Einstellungen lassen sich zur Laufzeit wieder zurücksetzen in dem 5, 4 und 7,6 (horizontal) wieder zurück getauscht werden:

$ xmodmap -e "pointer = 1 2 3 4 5 6 7 8 9 10 11 12"

# bzw
$ xinput set-button-map 11 1 2 3 4 5 6 7 8 9 10 11 12

Zum globalen persistieren für alle input pointer eigenet sich die 1. Variante mit xmodmap am besten. Einfach eine ~/.Xmodmap mit folgendem Inhalt anlegen:

$ cat .Xmodmap

pointer = 1 2 3 5 4 7 6 8 9 10 11 12

Um die Einstellungen für jede Maus einzeln zu persistieren ist etwas mehr Hirnschmalz nötig. Z.B. https://github.com/cemmanouilidis/naturalscrolling .

Ich habe ein Update auf Xorg 1.15.0 gemacht und danach funktionierte meine Einstellung der Caps_Lock- als zusätzliche Control-Taste nicht mehr. Ich musste die ~/.Xmodmap anpass um meine gewohnte Konfiguration wiederherzustellen:

keycode 66 = Control_L

clear lock
add Control = Control_L

Wieder einmal ist ein Jahr vergangen... Neue Fingerprints:

imap:

MD5: 78:E8:22:A9:AA:5C:83:74:FE:85:70:76:89:51:09:C8
SHA1: 63:DC:51:31:8D:80:52:7A:F0:0E:B5:26:FD:CD:F3:74:00:1B:B5:46
Not Before: Jan 16 20:18:55 2014 GMT
Not After : Jan 16 20:18:55 2015 GMT


smtp:
MD5: AA:24:96:3E:05:5B:AD:56:E2:6E:CE:44:8D:89:AD:06
SHA1: 41:ED:EE:25:7D:7F:29:22:2F:26:36:C0:35:39:08:84:68:DC:14:27
Not Before: Jan 16 20:20:02 2014 GMT
Not After : Jan 16 20:20:02 2015 GMT

Endlich habe ich es mal geschafft mich ein paar Stunden hinzusetzen und das CSS für https://chrigl.de/ anzupassen. Die nicht-Edit-Variante der Seite läuft auf meinem Galaxy S3 ganz gut. Beim Edit-Bereich muss man ein paar kleine Abstriche machen. z.B. sind manche Felder minimal zu lang. Doch da ich der einzige Editor bin, kann ich gut darüber hinweg sehen.

Zuerst habe ich das CSS mit dem Firefox lokal auf dem Notebook mit media queries auf verschiede Größen getrimmt. Im Anschluss daran testete ich die Seite direkt im Firefox auf dem Galaxy S3. Wie zu erwarten sah ich ein anderes Ergebnis als auf dem Desktop-Firefox.

Da es aber doch die eine oder andere Seite im Netz gibt, die sich auch auf mobilen Geräten vernünftig anzeigen lassen, habe ich nach einer Debugging-Möglichkeit für den Firefox auf Android gesucht... und bin fündig geworden. Zu meiner Überraschung sogar mit Firefox-Bordmitteln (Remote debugging Firefox for Android und Firefox Remote Debugging ).

Zuerst galt es die Development-Option meines Cyanogenmod 10.2 zu aktivieren. Völlig intuitiv geht dies über Einstellungen => Über das Telefon. Dort gibt es ein Feld Build-Nummer. Wie man leicht errät, ist nach siebenmaligem drücken auf Build-Nummerdie Development-Option verfügbar. Erreichbar ist sie nun über Einstellungen => Developer options. Dort muss USB Debuggingaktiviert werden. Zusätzlich habe ich Firefox als Select debug appausgewählt.

Nach dem setzen des forwards konnte ich mit dem Devtools des Desktop-Firefoxes auf den Firefox auf Andriod verbinden und das DOM etc. ändern. Also alles wie lokal gewohnt. Es ist sogar möglich per Klick auf dem Telefon ein Element zu selektieren. Funktioniert sehr schön alles! Mit diesem Modus habe ich die letzten Kleinigkeiten ausgemerzt. Im echten Leben würde ich wohl früher mal auf dem Smartphone testen.

Für Interessierete steht der Quellcode auf Launchpad zur Verfügung.