well-adjusted

It is no measure of health to be well adjusted to a profoundly sick society. [Jiddu Krishnamurti]

GPG Key Transition
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256,SHA1


Thu, 2013-07-04

For a number of reasons, i've recently set up a new OpenPGP key, and
will be transitioning away from my old one.

The old key will continue to be valid for some time, but i prefer all
future correspondence to come to the new one.  I would also like this
new key to be re-integrated into the web of trust.  This message is
signed by both keys to certify the transition.

the old key was:

pub   1024D/D58ADB39 2004-10-20 [expires: 2013-11-27]
      Key fingerprint = CE37 FE4D A5EE 969D 5E04  8A9B F807 D9C9 D58A DB39

And the new key is:

pub   4096R/436F8597 2013-07-03 [expires: 2018-07-02]
      Key fingerprint = 4423 67D2 7818 ACE5 06DF  3645 538A EE39 436F 8597

To fetch the full key, you can get it with:

  wget -q -O- http://well-adjusted.de/~jrspieker/436F8597.asc | gpg --import -

Or, to fetch my new key from a public key server, you can simply do:

  gpg --keyserver subkeys.pgp.net --recv-key 436F8597

If you already know my old key, you can now verify that the new key is
signed by the old one:

  gpg --check-sigs 436F8597

If you don't already know my old key, or you just want to be double
extra paranoid, you can check the fingerprint against the one above:

  gpg --fingerprint 436F8597

If you are satisfied that you've got the right key, and the UIDs match
what you expect, I'd appreciate it if you would sign my key:

  gpg --sign-key 436F8597

Lastly, if you could upload these signatures, i would appreciate it.
You can either send me an e-mail with the new signatures (if you have
a functional MTA on your system):

  gpg --armor --export 436F8597 | mail -s 'OpenPGP Signatures' jrspieker@well-adjusted.de

Or you can just upload the signatures to a public keyserver directly:

  gpg --keyserver subkeys.pgp.net --send-key 436F8597

Please let me know if there is any trouble, and sorry for the
inconvenience.

Regards,
Jochen Spieker

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=n1FH
-----END PGP SIGNATURE-----
Warum?
# cat /tmp/dhcp.leases
1362381768 00:11:41:30:a1:fc 172.16.27.156 nas-server 01:00:11:41:30:a1:fc
1362381399 00:22:f7:0d:07:65 172.16.27.179 manowar *
1362381294 00:15:6d:c5:fe:cf 172.16.27.191 paperbag 01:00:15:6d:c5:fe:cf
1362379383 00:15:99:66:1f:76 172.16.27.247 WORRYWORT 01:00:15:99:66:1f:76
1362365416 00:1f:16:10:f6:b9 172.16.27.193 * *
1362383112 00:1a:4d:52:41:09 172.16.27.137 abattoir *
1362366454 00:15:af:e0:1c:91 172.16.7.236 cupcake *
1362374802 00:1d:6a:56:bf:b7 172.16.7.188 * 01:00:1d:6a:56:bf:b7
1362368416 00:0d:4b:20:0b:21 172.16.27.145 tinbox *
1362365154 00:25:90:05:2b:25 172.16.27.138 jigsaw-ipmi 01:00:25:90:05:2b:25

Und die Leute fragen mich, wofür ich das hier brauche:

Patchpanel

vgsplit

Es ist eigentlich schon eine Weile her, dass ich das erste Mal dachte zu wissen, wie geil LVM ist. Ich hab mich aber geirrt, es ist noch geiler.

Die Geschichte: beim Aufsetzen eines Systems konnte ich mich nicht gleich dazu durchringen, /home auf ein LUKS-Device zu legen. Stattdessen habe ich /boot und das root-FS in normale Partitionen gepackt und über den Rest des Platzes ein Physical Volume angelegt, das nie mehr als zur Hälfte belegt war.

Grob rekostruiert:

$ pvs
PV                         VG      Fmt  Attr PSize  PFree
/dev/sda3                  vg0     lvm2 a--  127.99g  75.60g

$ vgs
VG      #PV #LV #SN Attr   VSize  VFree
vg0       1   3   0 wz--n- 127.99g  75.60g

$ lvs
LV    VG      Attr     LSize  Pool Origin Data%  Move Log Copy%  Convert
home  vg0     -wi-ao-- 22.28g
swap  vg0     -wi-ao--  1.91g
usr   vg0     -wi-ao-- 10.24g
var   vg0     -wi-ao-- 10.24g

So, wie kriege ich jetzt die Daten von nur einem Volume in einer VG möglichst live in eine neue VG auf einem LUKS-Volume migriert? -Erstaunlich einfach!

Zuerst musste ich Platz für eine neue Partition schaffen. Dazu habe ich erst das Physical Volume mit pvresize verkleinert und anschließend mit parted die zu große Partition gelöscht und mit dem gleichen Startsektor aber geringerer Größe wieder angelegt. Das ist der heikelste Teil. Um Rechenfehler (MB/MiB etc.) zu umgehen, empfiehlt es sich, die neue Partition größzügig anzulegen und anschließend nochmal pvresize darauf loszulassen.

Danach habe ich im freien Platz eine neue Partition darauf angelegt und per cryptsetup luksFormat den LUKS-container erstellt. Den dann per cryptsetup luksOpen aufgemacht und mit vgextend der existierenden VG hinzugefügt.

Die Situation jetzt also: /home ist immer noch in der gleichen VG, aber zu dieser VG gehört jetzt auch ein, noch ungenutztes, Physical Volume mit LUKS darunter.

Trick 1 (den kannte ich schon länger): mit Hilfe von pvmove kann man LVs von einem PV auf ein anderes verschieben. Ich habe das bisher nur gemacht, um eine komplette VG auf einen anderen Datenträger zu verschieben. Hier habe ich das benutzt, um /home auf den LUKS-Container zu verschieben. Das ist je nach Größe der LV recht zeitintensiv, geht aber schneller, als viele kleine Dateien zu kopieren und vor Allem halt online.

Trick 2: Da nun /home auf einem anderen PV liegt, als alle anderen LVs, kann man mit vgsplit dieses PV samt LV in eine neue VG schieben. Das geht nun leider nicht mehr online, aber immerhin sehr schnell. Also umount /home, vgsplit -n vg0 crypto0, vgchange -ay crypto0 und wieder mount /home.

Voilà:

$ pvs
PV                         VG      Fmt  Attr PSize  PFree
/dev/mapper/home-decrypted crypto0 lvm2 a--  27.94g   4.66g
/dev/sda3                  vg0     lvm2 a--  47.99g  25.60g

$ vgs
VG      #PV #LV #SN Attr   VSize  VFree
crypto0   1   1   0 wz--n- 27.94g   4.66g
vg0       1   3   0 wz--n- 47.99g  25.60g

$ lvs
LV    VG      Attr     LSize  Pool Origin Data%  Move Log Copy%  Convert
home  crypto0 -wi-ao-- 23.28g
swap  vg0     -wi-ao--  1.91g
usr   vg0     -wi-ao-- 10.24g
var   vg0     -wi-ao-- 10.24g

Zum Schluss muss man dann nur noch die /etc/{fs,crypt}tab anpassen und bei Bedarf die alte, unverschlüsselte Partition so vergrößern, dass der Verschnitt weg ist.

Upgrade

Ich habe mir endlich mal die Zeit genommen, einen neuen virtuellen Server zu mieten und alle Dienste dahin umzuziehen. Details zu Hard- und Software sind hier nachzulesen.

Ich hätte das viel früher tun sollen. Die neue VM ist spürbar schneller, insbesondere bei allem, was mit I/O zu tun hat. Das, und der viermal so große Arbeitsspeicher, machen „dickere“ Webanwendungen wie tt-rss und Roundcube (Accounts auf Anfrage) erst richtig benutzbar.

Bei der Gelegenheit habe ich auch gleich ein paar Backports mehr installiert. Das Dovecot-Upgrade von 1.2 auf 2.1 war der aufwändigste Teil, hat sich aber gelohnt.

Was nur komisch war: das hat sich so richtig nach Arbeit angefühlt. Setup, Datenmigration, DNS TTL runtersetzen, Tests, User informieren, Downtime, nochmal Daten migrieren, DNS umstellen, nochmal draufgucken.

Brrr. Insgesamt 1,5-2PT, würde ich sagen. Bei einem angemessenen Stundensatz habe ich das aber durch den günstigeren Tarif für den Server in neun bis zehn Jahren wieder raus. :)

Clean IT

Hmm, lecker, Clean IT.

Was ich da am Spannendsten finde: bei allen angedachten Regelungen scheint durch, dass in den Köpfen der Verantwortlichen eine klare Grenze zwischen Anbietern und Konsumenten gezogen werden kann. Zwar ist inzwischen angekommen, dass es "User Generated Content" gibt. Aber die Infrastruktur, die angebotenen Dienste, sind in der Hand vergleichsweise weniger.

Die "Regierungserklärung" von Andy Müller Maguhn ist immer noch aktuell.

Die machen mit ihren Gesetzen genau das kaputt, was das Internet so einzigartig macht. Das Schlimme: die müssen sie nicht mal viel überwachen. Filter, Abhörschnittstellen und Haftungsregeln reichen schon, um "normale" Leute an der aktiven Gestaltung des Netzes zu hindern. Abgesehen von AGB, Kopierschutz, Geräteverdongelung und allgemeiner Unkenntnis über die technischen Vorgänge.

Und deswegen finde ich es wichtig, dass Leute ihre eigene Infrastruktur betreiben. Und deswegen ist Freie Software wichtig. Und deswegen sind offene Standards wichtig. Und Netzneutralität. Dezentral organisierte Plattformen. Vollwertige Netzzügänge. Zugängliche Hardware. Technische Bildung.

Wir müssen Tatsachen schaffen, damit sie es nicht mehr wagen, uns die Werkzeuge aus der Hand zu nehmen. So wie es jetzt, so wird es ja gern hochgehalten, mit "Facebook und Twitter" ist.

Entscheidung

Es gibt Dinge, die ziehen sich über Wochen oder Monate hin, in denen nichts Interessantes passiert. Und dann muss man innerhalb weniger Stunden eine Entscheidung treffen und nur ein paar Tage später ist alles in trockenen Tüchern. Ein Hauskauf kann so laufen.

Wohnzimmer

Es müssen ja einige Dinge zusammenkommen: Nutzwert, Behaglichkeit, Lage, Preis. Und eine „Liebe auf den ersten Blick“ darf es auch sein.

Hat alles geklappt. :)

Religion: The ultimate tyranny

Ich wollte ja gerne zitieren, aber es fällt schwer, den besten Abschnitt rauszufischen. Na gut, ein Versuch, hart an der Grenze des Zitatrechts:

There is no aspect of our lives, no matter how intimate, which religion does not unblushingly insist on its right to control. Whom we may love, whom we may desire, with whom we may physically express those feelings: in such restrictions on our freedom religion is at its most insistent and intrusive. But it does not stop even here, for religion does not limit its control to our deeds or even words: no, the invisible Thought Police of religion do not scruple to pursue us even into the innermost recesses of our minds and there to stand ready to condemn us for our very thoughts. Not even the most heinous ruler or most brutal slave-owner ever achieved such extremes of tyranny; yet religion grants us no privacy, nowhere to hide, no freedom to entertain even a fleeting thought without its being immediately known to - and judged by - a cosmic dictator. Religion is the ultimate slavery: it is the slavery of the mind, slavery to the fear of divine judgment and damnation. The devilish irony consists in the fact that 'divine judgment' and 'damnation' are themselves the inventions of religion: religion creates and exquisitely perfects the fear, then cynically declares itself the sole and indispensable liberator from it.

Paula Kirby, Washington Post "On Faith"

All The World Green

He is balancing a diamond
On a blade of grass
The dew will settle on our grave
When all the world is green

– Tom Waits, All The World Is Green (Blood Money, 2002)

Die Albumversion ist schon schön, aber live vom 05. Juli 2008 in Atlanta mit dem kurzen Klarinetten(?)- und Gitarrensolo wirft mich das komplett um. Holzbläser sind toll. Müsste man eigentlich mal einen Slow Fox zu tanzen, wenn man das dem Lied angemessen könnte.

Wenn man derart inkliniert ist, kann man auch wunderbar hintendran Life In A Glasshouse hören. Hat auch eine herzzerreißende Klarinette. Die macht aus dem Klagelied eine Hymne. Lässt mich vor Freude fast weinen.

(Kann aber auch alles an der Flasche Wein in meinem Kopf liegen. Ich trinke viel zu selten Wein. Glaub ich aber nicht.)

Page created
Comments? Use or send an e-mail.