Timmey's Brain-Extension alias madroot.net

Man kann zwar direkt alles auf die Platte knallen und hoffen,dass diese die Reise von der Qualitätskontrolle in den eigenen Haushalt defektfrei und ohne Stürze ( was bei der Hektik bei den einschlägigen Lieferdiensten und den oftmals ruppigen Sortieranlagen eher einem Glücksspiel gleicht) überstanden hat, Kontrolle ist aber besser – und im unternehmerischen Einsatz verpflichtend.

Das Ganze mal am Beispiel einer Seagate Exos X18 St18000NM000J mit 18 TB.

Als Erstes sei hier die Möglichkeit der herstellereigenen Software für solche Zwecke genannt. Das ist der vom Hersteller vorgeschlagenen und im Normalfall auch bevorzugte Weg. Im Falle von Seagate wären das die Seatools bzw Seatools_Lite.

Allerdings prüfen diese nur herstellereigene Parameter bzw. führen „nur“ einen Selbsttest durch. Man weiss daher nicht,ob das Speichermonster vielleicht ab Werk irgendwo „in der Mitte“ defekte Sektoren hat oder durch irgendeinen anderen Einfluss Schaden genommen hat.

Immerhin ist ein menschliches Haar ungefähr 20.000 mal dicker als die Flughöhe der Schreib/Leseköpfe beträgt. Eine sehr interessante Bschreibung findet man bei Seagate (Abbildung6) in folgendem Artikel: https://www.seagate.com/de/de/tech-insights/advanced-format-4k-sector-hard-drives-master-ti/

Gegen Datenverlust durch Herstellungsfehler,Toleranzen oder unsachgemäße Handhabung hilft ein sogenannter „Burn-In-Test“,welchen ich im folgenden beschreibe und gerade selbst so durchführe:

1. oben genannter Test mit SeaTools_Lite, um einen groben Überblick zu bekommen,was die Platte über sich selbst zu berichten hat
2. ein Kurztest mit den smartmontools,um sich die rohen S.M.A.R.T.-Daten anzusehen. Dauert ungefähr 3 min
3. der S.M.A.R.T.-Extended Test. Dauert je nach Plattengröße eine ganze Weile – bei der Exos rund 25h 😉

Jetzt könnte/würde man die Platte möglicherweise mit badblocks auf Schreib-/Lesefehler testen bzw. stressen, was allerdings bei 18 TB gut und gerne nochmal ein paar Tage dauern könnte. Das Archwiki beschreibt in seinem Artikel https://wiki.archlinux.org/title/badblocks eine Alternative,die zumindest einigermaßen überschaubar erscheint. Sie weisen auch darauf hin,daß badblocks „eigentlich zur Überprüfung von Disketten gedacht ist und nicht auf die Anforderungen moderner Festplatten zugeschnitten“ ist.

Achtung! Das folgende überschreibt jegliche Daten auf dem Laufwerk. Man sollte ganz sicher sein,dass man die richtige HDD ausgewählt hat!

Das Laufwerk „/dev/sda“ ist nur beispielhaft gewählt,weil es bei meinem Server unter ProxMox momentan die einzige SATA-HDD ist.

Das ganze sieht dann so aus:

4. man spannt eine Verschlüsselungsschicht über die ganze Platte:

cryptsetup open /dev/sda <name_des_Cryptogeräts> --type plain --cipher aes-xts-plain64

und beschreibt die Platte mit Nullen (welche verschlüsselt gespeichert werden),
was nebenbei bemerkt wieder rund 24h dauert:

shred -v -n 0 -z /dev/mapper/<name_des_Cryptogeräts>

Wenn das Ganze durchgelaufen ist, prüft man mit

cmp -b /dev/zero /dev/mapper/name

auf Veränderungen.

Wenn das Programm nach einer undefinierten Zeitspanne 
(Es läuft gerade noch,während ich den Artikel schreibe, geschätzt < 24h) 
nichts ausspuckt,abgesehen von einem EOF, dann hat man
a) die Platte einmal durchweg mit Nullen beschrieben,wieder ausgelesen und verglichen,
ob wirklich Nullen geschrieben wurden.
b) und kann davon ausgehen,dass die Platte fehlerfrei ist.

Laut Archwiki ist diese Methode wesentlich schneller,als die Platte mit badblocks zu prüfen. ;)
"This method is also way faster than badblocks even with a single pass."

P.S. Nicht von der SEEK/READ Error Rate bei den smartmontools verrückt machen lassen. Seagate nutzt diesen Wert für Prüfsummen. Diese Zahl sagt nichts über tatsächliche Defekte aus.

Wenn man ProxMox im Cluster betreibt und einer der Server nicht erreichbar/down ist,kann es passieren dass man sich am Webinterface nicht mehr anmelden kann.

Das ist wohl so gewollt,ist aber in den meisten Fällen nicht hilfreich. Ich zumindest habe meine Gründe,in meinem Homelab nicht alle Server gleichzeitig laufen zu lassen.

Das Problem lässt sich aber lösen,indem man sich per SSH anmeldet und den Befehl

pvecm expected 1

(wobei „1“ stellvertretend für die Anzahl der laufenden Maschinen steht) eingibt. Danach ist die Anmeldung am Web-IF wieder möglich.

Grundsätzlich erwartet ProxMox (aus verständlichen Gründen), dass im Cluster alle Nodes laufen.

Über den Fehler kann man auch mal schnell bei einer geplanten Wartung stolpern und guckt dann dumm aus der Wäsche bzw. verplempert gegebenenfalls sinnlose Zeit mit der Fehlersuche,wo gar kein Fehler ist.

Daher hier als Hilfe/Erinnerung für mich und Andere.

ANMERKUNG:

Der Betrieb mit abgeschalteten Nodes ist nicht der gedachte Einsatzzweck für einen Cluster.

Mehr Infos dazu hier:

https://forum.proxmox.com/threads/proxmox-ve-login-failed-please-try-again.55488/

Macht mich wahnsinnig,es gibt schliesslich Monitore,die zwar HDMI aber KEINE Lautsprecher haben.

Lösung:
„dtparam=audio=on“
in die config.txt und neu starten

Es kann bei einem Debian Container auf Proxmox passieren,dass man sich a) nicht per SSH anmelden kann und b) auch die lokale Konsole auf dem Proxmox-Host schwarz bleibt.

a) ist die sichere Grundeinstellung eines frisch installierten Debian-Systems,die root die direkte anmeldung per ssh mit Passwort verbietet und das ist auch gut so. Im Normalfall legt man während der Installation einen Nutzer an,mit dem man sich dann auch per SSH anmelden kann. In einem LXC-Container aus dem ProxMox Repo kann man zwar ein Passwort für Root eingeben,anmelden klappt damit aber nicht. Dumm nur,dass man diese Einstellung auch nicht auf der Serverkonsole im Host ändern kann,da diese kein Prompt einzeigt.

Die Lösung für b) ist recht einfach und hängt mit der Netzwerkeinstellung für DHCP bei IPv6 zusammen.

Man ändert in den Eigenschaften des Containers die Einstellungen bei IPv6 auf statisch und lässt das Feld leer. Danach kann man auf der jetzt funktionierenden Konsole Nutzer anlegen oder in der /etc/ssh/sshd_config die Option PermitRootLogin yes einrichten,damit man per ssh auf die Kiste kommt. Natürlich den sshd neu starten nicht vergessen 😉
Quelle: https://forum.proxmox.com/threads/ssh-aktivieren-in-debian-container-funktioniert-nicht.79909/

 sudo date –set ‚2018-04-19 09:30:00‘

Grad gebraucht,weil mein Pi-Hole 16h in der Vergangenheit gelebt hat und nichts mehr ging. Ich hätte erwartet,dass Raspbian von Haus aus schon ntp-tools mitbringt,da der PI von Haus aus keine gepufferte Echtzeituhr hat.

P.S. das sind 2 Hochkommas. Ich hab grad keine Nerven um nachzuschauen warum das beknackte WordPress bei einem Zitat das 1.Hochkomma heruntersetzt.

Es wird halt nur noch Dreck fabriziert!

In einer Admin-Shell (CMD):

wmic diskdrive get model,name,serialnumber

In der Powershell:

Get-PhysicalDisk | Select-Object FriendlyName,SerialNumber

Hier gefunden:

https://www.windows-faq.de/2021/09/08/modell-und-seriennummer-der-eingebauten-ssd-oder-hdd-abfragen/

Gelegentlich lande ich auf Seiten,wo das SSL Zertifikat  (HTTPS) gerade abgelaufen ist,auch wenn so etwas in Zeiten von Let’s Encrypt nicht mehr passieren sollte. Das ist extrem nervig und hilft auch niemandem weiter,wenn man gerade DIESE EINE Information von dieser Seite benötigt. Noch perfider ist das ganze,wenn das Zertifikat bei mainstreamkritischen Seiten zurückgezogen wurde.  Vielen Dank,liebe Zensurbeamte aus der „EineZensurfindetnichtstatt“-EU. Ich möchte mir meine Meinung gern selbst bilden. Dazu gehören auch ausländische Sender/Seiten und insbesondere die OFFIZIELLEN REGIERUNGSSEITEN der sogenannten „Bösewichte“.  Schliesslich darf man sich als Angeklagter ja auch vor dem Gericht verteidigen bzw seine Beweggründe darlegen.

ACHTUNG! Das folgende kann äußerst gefährlich sein wenn man sich nicht absolut sicher ist,was einen auf der Seite erwartet. Man sollte bei solchen Seiten extrem vorsichtig sein und keine persönlichen Daten eingeben,falls es sich z.B. um einen Webshop handelt. Wer seine Transportverschlüsselung nicht im Griff hat,hat vermutlich auch die Sicherheit seines Webshops nicht im Griff. Von Vorsatz reden wir hier noch gar nicht.

How to Fix NET::ERR_CERT_REVOKED in Google Chrome
In Google Chrome, once you get to the page that displays the NET::ERR_CERT_REVOKED error, click anywhere on that page and type ‘thisisunsafe’ .It will instantly bypass this warning message.

Gefunden hier:

https://aboutssl.org/how-to-fix-net-err-cert-revoked-error/

Zwei Tage Fehler gesucht und irgendwelche Schwierigkeiten mit der o.g Konfig gehabt. Nur mein Smartphone zeigt ein ! auf dem WLAN-Symbol. Drüber gestolpert bin ich,weil auf meinem Dual-Boot System die Linuxinstallation keine Updates mehr ziehen konnte

zum Beispiel bringt ein „dig“ auf sigok.verteiltesysteme.net (wie in den Anleitungen zu unbound auf dem pi-hole beschrieben) zwar NOERROR ,aber auch in der Antwort nur „sigok.verteiltesysteme.net. 41 IN A“ – da gehört aber die IP-Adresse in die Antwort.

Perfiderweise meldet der Test auf https://dnssec.vs.uni-due.de auch DNSSEC OK.

Die Lösung hab ich auf Reddit gefunden:

If you are running Raspbian Bullseye, it is using resolvconf, which can create an unwanted forwarding file for unbound. You can verify this with the following command from the Pi terminal, which will show all uncommented lines in the unbound configuration directories.

sudo grep -v ‚#\|^$‘ -R /etc/unbound/unbound.conf*

If you have the unwanted file, do the following:

Edit file /etc/resolvconf.conf and comment out the last line which should read:

unbound_conf=/etc/unbound/unbound.conf.d/resolvconf_resolvers.conf
Delete the unwanted unbound configuration file:

sudo rm /etc/unbound/unbound.conf.d/resolvconf_resolvers.conf

restart unbound:

sudo service unbound restart

https://www.reddit.com/r/pihole/comments/rnoyw0/dns_shows_ips_other_than_my_own_with_unbound/hpts7o1/?utm_source=share&utm_medium=ios_app&utm_name=iossmf&context=3

Jetzt sollte das ordentlich funktionieren

Als erstes sicherstellen,daß Nginx auch per IPv6 lauscht

vi /etc/nginx/sites-enabled/sub.example.com

server {
listen 80;
listen [::]:80;
#listen 443 ssl http2;
#listen [::]:443 ssl http2;

server_name sub.example.com;
#ssl_certificate /etc/acme.sh/sub.example.com/fullchain.pem;
#ssl_certificate_key /etc/acme.sh/sub.example.com/privkey.pem;

<Rest der Config>

acme.sh –issue –nginx -d sub.example.com

mkdir -p /etc/acme.sh/sub.example.com

acme.sh –install-cert -d sub.example.com –key-file /etc/acme.sh/sub.example.com/privkey.pem –fullchain-file /etc/acme.sh/sub.example.com/fullchain.pem

vi /etc/nginx/sites-enabled/sub.example.com

• # entfernen
• :wq

service nginx reload

Klasse…macht zumindest mir die Administration bzw Fehlersuche der Webkonfiguration einfacher.

Die Debianphilospophie versteh ich sowieso nicht. Warum soll man sich in einem grauen Terminal herumquälen,wenn Farbbildschirme seit über 20 Jahren Standard sind und man mit Farbe für Übersicht sorgen kann?

Skript hier zu finden:

https://gist.github.com/ralavay/c4c7750795ccfd72c2db

P.S. Ja,ich mag Vi(m). Ich kann mich mit nano irgendwie nicht anfreunden.