Behind the Asteroid - Uberspace Blog

Gut versteckt... in der .bashrc

Tue, 10 Feb 2026 18:58:15 +0000

Wenn wir bei uns einen Asteroid vorfinden, unter dessen User-ID verdächtige Prozesse laufen, dann fangen wir umgehend an, zu untersuchen, was dort denn passiert sein könnte. Heute hatten wir nun einen Fall, den wir zum ersten Mal gesehen haben und der direkt auf die Liste der Dinge kommt, die wir künftig ebenfalls prüfen.

Sechs, Neun, Zwölf – mindestens Zwei

Wed, 29 Oct 2025 14:22:20 +0000

Seit fast 15 Jahren kommunizieren wir, dass wir im Durchschnitt 5 Euro pro Asteroid einnehmen müssen, um unsere Kosten für Serverbetrieb und Gehälter zu decken. 15 Jahre, in denen wir unsere Preisempfehlung stets stabil gehalten haben. Nun ist es aber unvermeidlich: Wir werden künftig mit Einnahmen von durchschnittlich 6 Euro pro Asteroid kalkulieren, dazu unsere Preisempfehlungen entsprechend anpassen, sowie den Mindestpreis anheben müssen. Dazu ein ehrlicher Blick auf die Zahlen.

Was wir gegen Podlove-Exploits tun

Fri, 26 Sep 2025 15:30:16 +0000

Es begann mit ersten Meldungen von Usern, dass ihre Websites plötzlich nicht mehr erreichbar seien oder komische Fehlermeldungen werfen. Während wir die ersten ein, zwei Meldungen untersuchten und schon feststellten, dass sich auf den betreffenden Websites PHP-Schadcode befand, rollte eine regelrechte Exploit-Welle los. Die Gemeinsamkeit: Alle betroffenen WordPress-Installationen setzen den Podlove Podcast Publisher ein.

Spamhandling mit dem Request Tracker

Mon, 22 Sep 2025 16:33:59 +0000

Wann immer ihr uns eine Mail schreibt, landet sie bei uns im - selbst gehosteten - Request Tracker. Und wann immer uns ein Spammer eine Mail schreibt, die es irgendwie durch den Spamfilter schafft, landet sie ebenfalls dort. Es wäre dann also schön, sie entsprechend in unseren Spamfilter einzulernen - aber wie?

Die verborgene Network-Namespace-Falle

Fri, 22 Aug 2025 09:33:00 +0000

“Irgendwas ist mit dem Caddy instabil geworden seit dem Logs-Update”. Es sind Nachrichten wie diese, die man während einer laufenden Alpha-Version eigentlich nicht mehr lesen möchte. Ein Ausflug in die Welt des Debugging.

Wenn der Passwortmanager Alarm schlägt

Thu, 10 Apr 2025 13:21:31 +0000

Einem unserer Teammitglieder ist eine größere Zahl an Zugangsdaten kompromittiert worden. Wir haben aber schnell gehandelt, sämtliche Zugänge entzogen und eine ausführliche Bestandsaufnahme durchgeführt. Kein potenziell kompromittiertes Gerät ist noch in Betrieb; alle Zugänge wurden frisch eingerichtet. Aus dem Vorfall haben wir viel lernen können.

Post-Mortem SSH Probleme 02.04.2025

Thu, 03 Apr 2025 22:00:00 +0100

Post-Mortem zum Uberspace SSH Zwischenfall am 02.04.2025

Unboxing Uberspace8

Fri, 07 Mar 2025 14:00:00 +0100

Wohin geht die Reise mit Uberspace8, was bedeutet das für U7 und wann gehts denn nun los?

Uberspace zu Gast beim Triumvirat

Sun, 05 Jan 2025 00:00:00 +0000

Der Postcast “Das Triumvirat” hat Jonas eingeladen, um jede Menge Hintergründe von Uberspace zu beleuchten. Außerdem ging es um mechanische Tastaturen - hört mal rein!

Bad Robots

Wed, 14 Aug 2024 13:00:00 +0200

KI Scraping Bots sind ein immer größeres Ärgernis und entwickeln sich zu einem echten Problem. In diesem Artikel möchten wir euch ein paar Hintergründe zu unseren Maßnahmen und dem Problem selber liefern.

Wie ein bisschen Rate-Limiting uns schleichend ruiniert hat, und jetzt nicht mehr

Thu, 11 Jul 2024 11:05:03 +0000

Wir haben - endlich - einen der größten Performance-Engpässe unserer Geschichte gefunden, an einer Stelle, die niemand von uns erwartet hätte. Fieserweise hat er uns derart schleichend über 2,5 Jahre hinweg beeinträchtigt, dass er kaum von eben allgemein gestiegenem Ressourcenbedarf zu unterscheiden war.

Ein Mirror für U8

Wed, 10 Jul 2024 11:44:14 +0200

Wie halten wir U8 am “bleeding edge”, ohne dass alles kaputt geht?

Ein Interview mit Jonas

Thu, 30 May 2024 12:28:50 +0000

Das Magazin “WebsitePlanet” hat Jonas für ihr Blog interviewt. Es ist recht lang geworden, aber liefert vielleicht ein paar Einblicke hinter die Kulissen, die anderswo noch keine Erwähnung fanden. Schaut mal rein!

Alle unter einem Dach

Wed, 29 May 2024 16:14:02 +0000

Bisher erfolgte der Login bei uns über den selbstgewählten Benutzernamen. Das unterstützen wir für bestehende Accounts auch weiterhin auf unbestimmte Zeit. Wer sich aber nun einen neuen Asteroid anlegt, für den gilt nun die E-Mail-Adresse zusammen mit dem selbst gewählten Passwort als Login - und der neu angelegte Asteroid ist dann der erste in einer Liste von potentiell mehreren, die über den gleichen Zugang verwaltet werden. Bestehende Asteroids können in diesen neuen, E-Mail-basierten Zugang importiert werden.

Kollie fürs Kollegium

Wed, 21 Feb 2024 10:34:59 +0000

Buchhaltung ist in vielen Unternehmen traditionell eine der am meisten abgegrenzten Abteilungen, wenig integriert mit dem restlichen Team, oft fehlt es an wechselseitigem Verständnis für die jeweiligen Herausforderungen. Wir wollten das bei uns erquicklicher gestalten, und das bedeutet für uns unter anderem, eine gemeinsame technische Basis zu nutzen.

Immer frische Tools geliefert - Pakete bauen auf U7

Tue, 21 Nov 2023 11:45:17 +0000

Wie kommen eigentlich die ganzen Programmiersprachen und neuen Tools in den Uberspace? Wir haben mal aufgeschrieben wie wir eigene Software Pakete in ein betagtes Betriebssystem einbauen.

Wien, 1. Stock

Fri, 17 Nov 2023 09:15:58 +0000

Wir besuchen uns gerne gegenseitig. Weil bei Fernarbeit sozial vieles auf der Strecke bleibt. Weil es uns an konkreten Themen mit hohem Kommunikationsanteil produktiver arbeiten lässt. Weil es uns motiviert und Spaß macht.

Kompromittierung von aquila.uberspace.de

Wed, 15 Nov 2023 15:15:54 +0000

Wir informieren heute über ein Security-Problem auf unseren Servern, das wir am Mittwoch, dem 08.11.2023 entdeckt haben. Das Problem haben wir gleich am selben Tag behoben. Die direkt betroffenen User haben wir schon einen Tag später am Donnerstag informiert.

Neues Schmankerl braucht das Lab

Wed, 04 Oct 2023 08:53:47 +0000

Manche von euch haben an die 10 Uberspace-Becher im Schrank. Manche bei uns nennen sie auch Tassen. Das mag regionale Gründe haben. Wir sind ja so verteilt! Da sie aber deutlich höher als breit sind, sind es eigentlich Becher. Wie auch immer, Hauptsache alle im Schrank. Bekommen als kleines Dankeschön, für das Verfassen eines Lab-Guides.

LL#15 – Liebes Logbuch…

Fri, 08 Sep 2023 14:00:00 +0000

First things first: Seit dem 1. September unterstützt uns nun unsere neue Kollegin Bokan aus Wien im Development! Ein paar nette Onboarding-Tage gemeinsam mit luto bei Jonas in Mainz haben einen guten Start geliefert, und auch eine kleine Führung durch zwei unserer Rechenzentrums-Standorte durfte nicht fehlen. Nun schauen wir gespannt, wie es weitergeht!

LL#14 – Liebes Logbuch…

Fri, 25 Aug 2023 14:00:00 +0000

Hinter den Kulissen von U8 wird weiterhin fleißig an Komponenten geschraubt, darunter “Marvin”: Das wird der Teil sein, der künftig den Stand der Accountkonfiguration hält, per API ansprechbar ist und daraus Configs für die Dienste auf den Hosts generiert. Inzwischen konnten hier auch erste Last-Tests gefahren werden, damit er auch mit mehreren zehntausend Accounts gut performt.

LL#13 – Liebes Logbuch…

Fri, 11 Aug 2023 14:00:00 +0000

Ein bisschen ruhiger ist’s im Moment - nach einer intensiven Woche auf dem Teamtreffen waren die letzten Wochen vor allem von Kleinkram hier und da angefüllt, und das meiste davon eher interner Natur. Aber an unserem Netzwerk hat sich viel getan!

Eine Sache, die wir mit der Inbetriebnahme eigener Router eingeführt haben, haben wir jetzt erstmal wieder zurückgerollt und haben uns vom Full-Table-Routing verabschiedet. Das ist ohnehin ein wenig sinnfrei, wenn wir ohnehin nur einen Uplink-Provider und keine Peerings anderswohin haben. Auf jeden Fall haben wir in unserem Monitoring direkt bemerkt, dass sich die Last unserer Router verringert hat und auch die Round-Trip-Time unserer Datenpakete.

LL#12 – Liebes Logbuch…

Fri, 14 Jul 2023 14:00:00 +0000

Endlich wieder Teamtreffen! Dieses Jahr haben wir eine Woche gemeinsam im Waldschlösschen bei Göttingen verbracht und die Zeit des Wiedersehens in Präsenz umfangreich genutzt, um nicht nur über die größeren Dinge zu reden, die in diesem Jahr noch so anstehen, sondern vor allem auch, um bei Mahlzeiten, im Garten, auf Waldspaziergängen und bei abendlichen Eierlikör- und Pfefferminztee-Gelagen untereinander wieder besser in Kontakt zu kommen. Auch diesmal waren wir nicht ganz unter uns: Unsere frühere Kollegin Sabrina, die ihr noch aus dem Support kennt, hat uns besucht - sowie außerdem, sozusagen als Sneak Preview, unsere künftige Kollegin Bokan, die uns ab September im Development unterstützen wird (kleiner Spoiler, hehe). Wir haben außerdem, wie es sich inzwischen zur Tradition entwickelt, auf die Finanzen des Betriebs geschaut und gemeinsam die Gehälter für das nächste Halbjahr festgelegt.

LL#11 – Liebes Logbuch…

Fri, 16 Jun 2023 14:00:00 +0000

Manchmal kommt beim Aufräumen dann doch etwas unter die Räder, wo einem erst später einfällt, dass man es vielleicht doch nochmal brauchen könnte. Ein kleines bisschen verhält es sich mit PHP 7.4 so, das ein bisschen wieder zurückgekommen ist - aber: Nur für die Kommandozeile, nicht für den Betrieb von Websites. Beim Aussortieren von Versionen von Programmiersprachen, die end of life sind, sind wir ja inzwischen ein wenig strikter und wollen das auch noch ausbauen. Allerdings resultieren daraus manchmal Folgeprobleme, für die es dann doch pragmatische Workarounds braucht - im konkreten Fall beispielsweise bei älteren Nextcloud-Versionen, die noch nicht mit PHP 8 tun, und bei denen aber auch schon der kommandozeilenbasierte Updater auch schon nicht mit PHP 8 tut, also simpel gesagt auch kein Updaten mehr möglich ist, außer komplett per Hand. Für genau solche Fälle stellen wir dann doch noch bis auf Weiteres PHP 7.4 wieder bereit, damit mit dessen Hilfe ein Nextcloud-Update auf eine Version durchgeführt werden kann, die dann mit PHP 8 funktioniert.

LL#10 – Liebes Logbuch…

Fri, 02 Jun 2023 14:00:00 +0000

Nästa: Malmö - und von dort mit dem Öresundståg weiter nach Kopenhagen, der letzten Etappe für heute. Und damit Zeit für die Notizen vom 2. Juni, ihr merkt, das Aufholen läuft! :)

Es mag sich vielleicht noch ein bisschen unwirklich anfühlen, aber so langsam gehen postpandemisch auch die Teilnahmen an Konferenzen wieder los, die uns offen gesagt über so lange Zeit wirklich gefehlt haben. Es geht am Ende doch nichts darüber, anderen Menschen persönlich zu begegnen, und die vielen Begegnungen, die eher am Rand einer Konferenz auf irgendwelchen Fluren oder an irgendwelchen Kaffeeständen stattfinden, weiß vermutlich jeder Mensch zu schätzen, der schon auf solchen Konferenzen war. Jedenfalls hat jemand aus unserem Team endlich mal wieder an einer DjangoCon teilnehmen können, die dieses Jahr in Edinburgh stattfand - was hilfreich ist, weil wir intern so Einiges mit Django machen und auch unsere jüngste Stellenausschreibung darauf ausgerichtet hatten. Die Saison ist damit eröffnet und findet auf der Gulaschprogrammiernacht in wenigen Tagen ihre Fortsetzung, wo ihr auch jemanden aus unserem Team antreffen könnt.

LL#9 – Liebes Logbuch…

Tue, 16 May 2023 14:00:00 +0000

Während weiter die wunderbare schwedische Landschaft an mir vorbeirast, klaube ich meine Notizen vom 16. Mai heraus. Was gibt’s Neues bei uns?

Es ist vollbracht: Nachdem luto teils mit Leah, teils mit mir zusammen insgesamt fünf Bewerbungsgespräche geführt hat - wie bei uns üblich fahren wir dabei zu den Leuten in die jeweilige Stadt, um uns dann ausgiebig Zeit zum Kennenlernen zu nehmen - haben wir uns beraten und uns schließlich für eine Person entschieden und jene sich auch für uns. Ab September kann sich unser Development-Team über Zuwachs freuen! Für uns ist es wichtig, gerade im Hinblick darauf, dass Mitte nächsten Jahres CentOS 7 als Basis unserer derzeitigen U7-Plattform sein End of Life erreicht und wir bis dahin seinen Nachfolger nicht nur fertiggestellt haben müssen, sondern auch die Migration darauf abgeschlossen haben wollen. Auch wenn die Arbeiten dafür schon seit längerer Zeit laufen: Jetzt ist es an der Zeit, den Entwicklungsprozess mit mehr Zeit und Energie auszustatten. Und auch wenn der September noch eine Weile hin ist, hat sich die Gelegenheit ergeben, dass im Rahmen unseres diesjährigen Teamtreffens Ende Juni im Waldschlösschen unser Neuzuwachs auch schon mal zwei Tage reinschauen kann. Wir freuen uns - und verraten euch dann auch, wer bei uns in Zukunft mitarbeitet.

LL#8 – Liebes Logbuch…

Fri, 21 Apr 2023 14:00:00 +0000

Es gilt ein wenig Verzug aufzuholen. Die Geschehnisse der letzten Wochen sind im Moment nur als Notizen festgehalten und wollen noch aufbereitet werden - was während intensivem Interrailen zugegebenermaßen etwas ins Hintertreffen geraten ist, denn der Gedanke, dass sich Reisen und Arbeiten doch leicht kombinieren lassen, war vielleicht doch ein wenig blauäugig. Aber dennoch: Dieser Logbuch-Eintrag wird gerade im wunderbaren X2000 von Stockholm nach Malmö geschrieben - das Internet an Bord ist schnell und stabil, das wünsche ich mir daheim in Deutschland auch so…

LL#7 – Liebes Logbuch…

Fri, 07 Apr 2023 08:27:51 +0000

Mit dem heutigen Karfreitag beginnen die Osterfeiertage, und während auch wir uns ein paar ruhigere Tage gönnen werden und in erster Linie das Monitoring schauen lassen, dass nichts ausfällt, ist noch etwas Zeit, um wieder ein bisschen auf die letzten Wochen zurückzuschauen.

Aber zunächst, last things first: In der Klage der Musikindustrie gegen uns, weil die Visitenkarten-Website des Projekts youtube-dl bei uns gehostet wird, hat jene vor dem LG Hamburg gegen uns obsiegt. Die Gesellschaft für Freiheitsrechte, die uns und unseren Anwalt in der Verteidigung gegen die Klage unterstützt, hat dazu eine Pressemeldung herausgegeben. Details gibt es bei netzpolitik.org oder für unsere englischsprachigen Freunde bei torrentfreak.com. Wir gehen gegen das Urteil in Berufung. Wer dabei helfen möchte, kann die GFF unterstützen.

LL#6 – Liebes Logbuch…

Mon, 20 Feb 2023 17:35:30 +0000

…endlich ist Uberspace 7.15 draußen, mit dem es endlich den lang ersehnten Support für DKIM gibt - und einen ganzen Haufen neuer Versionen: PHP bietet jetzt auch Version 8.2, node.js auch Version 18 und 19, .NET die Version 7, und für PostgreSQL stellen wir die Versionen 14 und 15 bereit. Wovon die Trennung weiterhin schwerfällt, ist PHP 7.4 - nach monatelanger Vorankündigung des End-of-Life-Termins und angekündigter Umschaltung auf PHP 8 gab es dann doch hier und da noch eine ganze Reihe Supportanfragen, und oft auch die erschrockene Erkenntnis, das Software, die heute noch nicht mit PHP 8 kann, in der Regel selbst schon ganz schön Staub angesetzt hat und vielleicht selbst ein Update vertragen könnte. Wie bisher kümmern wir uns darum, die Software, die Uberspace für euch ausmacht, aktuell zu halten - bitte kümmert euch analog dazu um die Software, die ihr selbst installiert. Danke! <3

LL#5 – Liebes Logbuch…

Tue, 24 Jan 2023 15:26:58 +0000

So, das mit dem “Wenn’s klappt, lesen wir uns an dieser Stelle so in knapp zwei Wochen nochmal” vom LL#4 hat ja dann… doch nicht so geklappt, aber wie das so ist: Gegen Ende des Jahres verschiebt sich der Fokus dann doch mehr ins Private, und betrieblich passiert schlicht ein bisschen weniger. Aber nun starten wir frisch ins neue Jahr!

Noch wird das CentOS 7, auf dem unser U7 basiert, rund anderthalb Jahre lang mit Updates versorgt. Es gilt insofern aber auch, keine Zeit zu verlieren, einen würdigen Nachfolger zu bauen. Die in LL#4 angekündigten Überlegungen, sich hierzu vielleicht ganz aus der Welt der RHEL-Nachbauten zu entfernen, haben sich konkretisiert und wir werden hier nun - wenn uns nicht spontan beim Bauen alles um die Ohren fliegt - auf eine Rolling-Release-Distribution setzen. Mehr aktuelle Software, für alle, auf Dauer! Auch ein für unsere Zwecke möglicherweise besser geeignetes Dateisystem ist in der Evaluation, und last but not least hat das Kind intern jetzt auch nicht mehr nur einen Arbeitstitel, sondern auch bereits den endgültigen Namen. Jetzt ist aber erstmal Schluss mit Teasern - wisset, dass wir euch und eure Bedürfnisse auf dem Schirm haben und hinter den Kulissen parallel zur Pflege von U7 fleißig an der nächsten Generation arbeiten, und natürlich auch an einer möglichst schmerzfreien Migration dorthin.

LL#4 – Liebes Logbuch…

Tue, 13 Dec 2022 16:58:32 +0000

Es gibt mal wieder ein neues U7-Release, dessen Änderungen sich wie üblich im ChangeLog nachvollziehen lassen. Neben diversen Updates und der Bereitstellung weiterer Kommandozeilentools (auf eure Wünsche hin - wir leiten ganz oft aus Supportanfragen ab, was potentiell sinnvoll und praktisch für alle wäre!) haben wir einen Mechanismus eingebaut, der allen supervisord-Services, die keine startsecs-Angabe haben, automatisch startsecs=30 verpasst. Hierbei handelt es sich um eine Einstellung, wie lange ein Service mindestens laufen muss, damit supervisord ihn als korrekt funktionierend betrachtet. Standardmäßig wird hier seitens supervisord nur 1 Sekunde lang gewartet - allerdings ist der Start einiger Applikationen, insbesondere derer mit vielen Abhängigkeiten und Modulen, so komplex, dass er länger als eine Sekunde dauert. Bricht der Service dann erst etwas später ab, startet supervisord ihn neu. Dabei wird unterschieden zwischen den Services, die mindestens startsecs viele Sekunden gelaufen sind: Bricht der Service früher ab, klemmt supervisord ihn nach zwei weiteren erfolglosenen Versuchen ab; hat er aber die Mindestdauer an Laufzeit erreicht, erfolgen diese Neustarts wieder und wieder. Das bedeutet, dass ein kaputter Service dann unendlich oft neu gestartet wird, permanent - und dabei jedes Mal aufs Neue CPU-Zeit verbraucht, in einem Umfang, der dann gelegentlich auch unser Monitoring Alarm schlagen lässt. Das ist schlecht für alle: Für uns, weil es gegebenenfalls zur Unzeit jemanden rausklingelt, um sich so eine Situation persönlich anzuschauen, und für euch, weil solche Vorgänge CPU-Zeit “klauen”, die anderswo sicher besser genutzt wäre. Leider ist es seitens supervisord nicht möglich, hier global einen anderen Wert als 1 Sekunde vorzugeben - das ist fest einkompiliert. Wir haben bereits versucht, anzuregen, eine entsprechende globale Einstellung anzuregen, leider ohne Erfolg. Daher nun die alternative Strategie: Wir verpassen jeder einzelnen Service-Konfiguration die entsprechende Einstellung. Wer an dieser Stelle andere Werte einstellen möchte, ist natürlich herzlich willkommen - die werden dann nicht angefasst.

Freelance-Softwareentwicklerin, Rust (d/w/m)

Wed, 30 Nov 2022 11:29:08 +0000

Das Projekt ist vergeben. Bitte nicht mehr darauf bewerben!

This job posting is written in German. However, we all speak English here. Feel free to apply even if you don’t know German. Translating this post is left as an exercise to the applicant. ;)

Achtung! Es geht hier um Freelancing auf Rechungsbasis mit geringem Umfang. Aktuell gibt es bei uns leider keine unbesetzte Vollzeitstelle.

Unser Development-Team besteht aus Python-Devs, Ansible-Künstlerinnen und klassischen Linux-Admins. Damit kommen wir ganz schön weit! Bei einigen Themen ist da jedoch schneller Schluss als uns lieb ist. Nun könnten wir Python-Menschen anfangen Programmiersprachen wie C zu lernen, nur ist das weder für uns noch für den resultierenden Code eine gemütliche Sache.

LL#3 – Liebes Logbuch…

Tue, 22 Nov 2022 14:19:25 +0000

Nachdem es die letzten Monate hoch her ging und viel passiert ist, war der November bei uns bisher etwas ruhiger. Einige Kolleg*innen haben sich eine lang verdiente Auszeit gegönnt und der Rest hat es auch eher etwas ruhiger angehen lassen, damit es bald mit neuer Energie weitergehen kann. Natürlich ist in den letzten Wochen aber trotzdem einiges passiert.

So haben wir jetzt Inhibition für das Monitoring unserer U7 Hosts mit Prometheus und Alertmanager. Das heißt, unser U7-On-Call wird nicht mehr für jeden Service einzeln angeklingelt, wenn ein Host ausfällt, sondern nur noch dafür, dass der Host nicht mehr erreichbar ist. Gleiches gilt auch dafür, wenn eines unserer Rechenzentren ausfällt, dann bekommt unser Operations-On-Call nur noch eine Info darüber, dass das Rechenzentrum nicht mehr erreichbar ist und wird nicht mit hunderten von Alerts geflutet, sodass das Handy nicht mehr stillsteht. Das ist ganz schön anstrengend, wenn man gerade versucht ein Problem zu beheben ;)

LL#2 – Liebes Logbuch…

Tue, 01 Nov 2022 10:37:42 +0000

Wie lässt sich sozialer Zusammenhalt schaffen, wenn man in der Regel nur remote zusammenarbeitet? Kurz gesagt, eine definitive Antwort haben wir darauf auch nicht, aber wir probieren immer wieder Dinge aus. Eins davon war der “Open Friday”, ein regelmäßiger Termin, wo für uns einen Freitagnachmittag freigehalten haben, um 1-2 thematische Sessions zu machen, die nicht unmittelbar mit der Arbeit zu tun haben - mal ging’s um Grundlagen der Fotografie, mal um Erfahrungen mit Brotbacken, mal wurde aus einem privaten Ehrenamt erzählt, mal haben wir uns gegenseitig unsere Lieblingstools - elektronisch oder auch physisch - vorgestellt. Das hat oft viel Spaß gemacht, aber sich mit der Zeit ein wenig totgelaufen: Trotz niedriger Hürde, in dieser Runde etwas aus dem nicht beruflichen Alltag zu teilen, hatten sich zuletzt immer seltener Beiträge finden lassen, und so haben wir beschlossen, diesen Termin in unseren Kalendern erstmal abzureißen, ebenso wie einen alle zwei Wochen mittwochnachmittags stattfindenden “Telekaffee”. Was wir bei unserem Teamtreffen sehr deutlich gemerkt haben: Die meisten von uns dürsten zwar nach sozialer Aktivität - aber für die wenigsten von uns liefern Online-Formate dann tatsächlich das Gefühl von Zusammenhalt, das wir uns wünschen. Wir ziehen für uns daraus, dass gegenseitige Besuche in nächster Zeit erstmal wieder verstärkt dran sind, und unser bahn.business-Konto verzeichnet entsprechend schon wieder rege Ticketbuchungen. Trotz wehmütiger Gedanken an schöne Freitage: Es ist je nach Kontext oft keine Schande, etwas abzureißen, was einfach nicht mehr gut funktioniert, und zwar auch ohne schon den neuen, besseren Plan in der Schublade zu haben. Damit verbunden heißt es aber auch: darauf zu achten, welche Bedürfnisse sich nun wieder in den Vordergrund schieben - und jene zu artikulieren, damit sich daraus Neues entwickeln lässt.

LL#1 – Liebes Logbuch…

Mon, 17 Oct 2022 08:27:52 +0000

Seit gut über einem Jahr erstellen Mo und ich teamintern etwa alle 2-3 Wochen eine kleine Retrospektive. Wir haben die Erfahrung gemacht, dass es bei konsequentem Home-Office und dem damit verbundenen Fehlen von regelmäßigem Teeküchen-Schnack schnell passieren kann, dass Einzelne gar nicht mehr so unmittelbar mitbekommen, was in anderen Teams als dem eigenen (Operations, Development, Support…) so passiert. Die Retrospektive soll dafür sorgen, dass alle regelmäßig einen kleinen Überblick über “alles” bekommen, was in letzter Zeit so lief. Und nachdem das nun intern über ein Jahr lang gut geklappt hat, wollen wir diese Retrospektive künftig auch nach draußen zu tragen - zumindest die Teile davon, die wir auch für euch für potentiell interessant halten. Unter dem Titel “Liebes Logbuch…” halten wir euch insofern nun parallel dazu ein wenig auf dem Laufenden darüber, was bei uns, vom Changelog abgesehen, hinter den Kulissen noch so passiert ist. Auf geht’s!

Ausfälle der Netzwerkanbindung am Standort FRA4

Fri, 09 Sep 2022 09:26:35 +0000

Am letzten Freitagnachmittag (02.09.2022) und am darauffolgenden Samstagabend hat vielleicht bei der ein oder anderen von euch das Monitoring geklingelt, weil euer Uberspace plötzlich nicht mehr erreichbar war. Warum das so war, möchten wir heute versuchen zu erklären.

So wie auch bei euch, hat auch uns unser Monitoring freitags um 14:37 Uhr alarmiert, dass am Standort FRA4 etwas nicht stimmt. Genau genommen haben wir aufgrund der Menge der Meldungen sofort gesehen, dass der Standort scheinbar nicht mehr erreichbar ist, was wir kurz darauf verifizieren konnten.

Ein Bekenntnis zur freien Preiswahl. Und ein Aber.

Fri, 12 Nov 2021 08:59:42 +0000

Seit der Anfangszeit von Uberspace haben wir ein Preismodell, bei dem du wählst, was du monatlich zu zahlen bereit bist. Dabei ist es auch möglich, einen Preis zu wählen, der für uns eigentlich “zu niedrig” ist. Dieser wird dann von Anderen mit einem höheren Preis querfinanziert. Daran möchten wir auch weiterhin festhalten, führen aber trotzdem ein paar Änderungen ein:

Wählst du einen Preis, der unter dem als Budgetpreis empfohlenen Betrag von 5 Euro liegt, leiten wir dich künftig zunächst auf eine separate Seite um, die noch einmal erklärt, dass wir zu diesem Preis nicht nachhaltig arbeiten können. Es geht für uns darum, dass du einen niedrigeren Preis wirklich nur dann zu wählst, wenn ein Hosting bei uns ansonsten daran scheitern würde. Außerdem möchten wir dich auf dieser Seite über die Regelung für diesen reduzierten Preis informieren.

Organisch wachsen - gar nicht so leicht

Tue, 02 Nov 2021 15:11:46 +0000

Wir fallen mal direkt mit der Tür ins Haus: Wir würden gerne ein bisschen wachsen. Keine Sorge, wir reden hier nicht von heuschreckenartigem Risikokapital oder dem Ziel, den Laden höchstbietend zu verkaufen; ganz im Gegenteil: Wenn wir “ein bisschen” sagen, meinen wir das auch genau so. Konkret so um die 5 bis 10 Prozent, denn zuviel Wachstum auf einmal macht auch Dinge schwierig.

Vertrauenswürdige Zertifizierungsstellen und Softwareentwicklung: Mehr Chaos als gedacht

Thu, 21 Oct 2021 16:49:23 +0000

Neulich ist ja nun ein altes Root-Zertifikat von Let’s Encrypt abgelaufen und sehr zur Überraschung Vieler hat das zu einigen mehr - lösbaren - Problemen geführt als erwartet, auch bei uns. Eine der Ursachen ist, dass sich Listen vertrauenswürdiger Zertifizierungsstellen an viel mehr Stellen finden als man so gemeinhin annehmen würde.

Hintergrund

Kurz und knapp vorweg: Eine Liste vertrauenswürdiger Zertifizierungsstellen legt fest, welchen Zertifikaten vertraut wird und welchen nicht. Und wenn das jetzt irgendwie nach einer doch ziemlich wichtigen Geschichte klingt, dann, weil das eben auch wirklich so ist. Eine Angreiferin kann sich zwar problemlos ein Zertifikat erstellen, das auf die Domain deiner Bank lautet; keine vertrauenswürdige Zertifizierungsstelle sollte ihr allerdings eine Signatur dafür geben. Ohne diese wird dein Browser dich beim Aufruf der Domain per HTTPS mit Warnmeldungen überschütten, dass das Zertifikat nicht vertrauenswürdig ist.

Über Zertifikatsketten und Ablaufdaten

Fri, 01 Oct 2021 14:50:17 +0000

Heute haben ein paar Dinge ganz schön geknarzt, die mit Let’s Encrypt, OpenSSL und CentOS zu tun haben und deren Aufarbeitung vielleicht auch im Detail für euch interessant ist. Direkt vorweg: Die Erreichbarkeit deiner bei uns gehosteten Dinge per HTTPS war davon nicht beeinträchtigt.

Ausfall am 29.06.2021

Wed, 30 Jun 2021 14:02:24 +0000

Details zum Stromausfall am 29.06.2021

sudo-Schwachstelle geschlossen

Fri, 29 Jan 2021 18:04:19 +0000

Am 26.01.2021 war es soweit: Eine bereits seit 2011 bestehende Schwachstelle im Tool sudo, das auf so ziemlich jedem Linux-System residiert, wurde in einer koordinierten Aktion geschlossen - und das hieß damit dann auch: Nachtschicht für uns. Denn die fragliche Schwachstelle war gravierend und erlaubte jedem lokalen Benutzer des Systems, sich mit etwas Trickserei root-Privilegen zu verschaffen. Es war also Tempo angesagt!

Bekannt wurde die Lücke unter der Bezeichnung Baron Samedit, eine Anspielung auf Baron Samedi und die Komponente sudoedit, über die die Schwachstelle ausgenutzt werden konnte.

🎃 Erschreckend gute neue Features (Featuredankfest)

Fri, 30 Oct 2020 15:41:46 +0000

Was lange währt, wird hoffentlich gut. Aktuell werden bei uns viele neue Features fertig, an denen wir schon lange für euch gearbeitet haben. Dazu gehört auch Eins, das sehnlichst von euch erwartet wurde.

Mehr Speicher!

Wir haben es euch über Jahre oft versprochen, jetzt ist es endlich so weit: Du kannst zusätzlichen Speicher zu deinen regulären 10GB dazu buchen! Und zwar bis zu 100GB!

Die neue Hausordnung

Fri, 23 Oct 2020 11:28:26 +0000

Liebe Ubernautinnen, lange Zeit war unsere Hausordnung sehr einfach und kurz gehalten. Da uns ein guter Umgang miteinander und eine Transparenz in der Kommunikation mit euch sehr am Herzen liegen, haben wir diese in den letzten Wochen überarbeitet. Wie genau, dass wollen wir euch heute erklären.

Mach's gut alter Freund

Wed, 26 Aug 2020 08:16:58 +0000

Das CentOS 6 end of life kommt näher und damit rückt auch das Ende von Uberspace 6 in greifbare Nähe.

U7 Storage Performance: Update 2 + Bonusfolge

Mon, 24 Aug 2020 08:52:48 +0000

Drei Monate ist unser letzter Beitrag zum Thema U7 Storage Performance her - Zeit für ein Update. Viel hat sich getan und es wird sich noch viel mehr tun: Am Ende des Artikels haben wir eine tolle Ankündigung für euch ;)

Rückblick

Dieser Artikel ist eine Fortsetzung unseres letzten Updates von Ende Mai zum Thema U7 Storage Performance. Die dort beschriebene Auslagerung von MySQL, systemd-journald, yum und weitere Bugfixes haben bereits eine große Verbesserung gebracht, besonders weil die Daten aus euren Datenbanken nun viel viel schneller verarbeitet werden können. Das hat uns eine kurze Verschnaufpause gebracht, in der wir natürlich trotzdem weiter an Verbesserungen gearbeitet haben. Das ist aber leichter gesagt als getan.

uberspace v7.7: web headers

Tue, 16 Jun 2020 09:30:42 +0000

Etherpad-lite anderswo framen? klar. Eine Content-Security-Policy setzen, obwohl die App kein Feature dazu hat? sicher. Den X-Xss-Protection-Header ausmachen? ohje, bitte nicht (geht aber auch). Jetzt frisch auf deinem Uberspace.

tl;dr: You can now change outgoing HTTP headers using uberspace web header. Have a look at the Manual for more details in English.

Für die kurz angebundenen: uberspace web header set / X-Frame-Options ALLOW - so einfach geht das ab heute. Details dazu gibt es, wie immer, im Manual.

U7 Storage Performance: Update

Fri, 29 May 2020 13:19:36 +0000

Im letzten Monat war die Storage-Performance von Uberspace 7 bzw. unserem Ceph Storage Cluster nicht so, wie wir uns sie vorstellen. Wir haben in den letzten Wochen mehrere Maßnahmen gesetzt und können nun Erfolg vermelden!

Verdammt - wir haben Mails verloren.

Tue, 26 May 2020 15:14:18 +0000

Heute um 13:40 Uhr haben wir die Startscripts unserer qmail-Instanzen unter U6 gepatcht, nachdem bekannt geworden war, dass eine bis dahin als rein theoretische und in der Praxis wohl nicht ausnutzbare Lücke unter bestimmten Umständen eben doch ausnutzbar ist. (U7 ist hiervon nicht betroffen; dort ist die bekannt gewordene Lücke bereits anderweitig geschlossen worden.)

Das Problem ist um 16:04 Uhr behoben worden.

Der eigentlich simpel anmutende Patch, der dafür sorgt, dass qmail-Services mit einem Memory-Limit - wie von DJB propagiert 123456578 - gefahren werden, hatte leider auch zur Folge, dass zum Ausführen von qmail-remote nicht mehr genug Luft war. Während lokal zugestellte Mails nur temporär verzögert zugestellt worden sind, weil eine fehlgeschlagene Ausführung von qmail-local nur zu einem “deferral” führt, führt die fehlgeschlagene Ausführung von qmail-remote direkt zu einem “failure” und qmail generiert eine Bouncemail - die dann aus dem gleichen Grund nicht zustellbar ist. qmail erstellt daraufhin eine Mail an uns als Postmaster, die über die Unzustellbarkeit der Bouncemail informiert, und, richtig geraten, jene ist aus dem gleichen Grund nicht zustellbar gewesen. Damit wird die Mail als “triple bounce” abschließend verworfen und Mails, die wir nach draußen schicken wollten, unwiderruflich verloren - sowohl jene, die per Relaying rausgeschickt worden sind, als auch jene, deren lokale Zieladresse eine Weiterleitung darstellte.

Die Technik hinter is.uberspace.online

Tue, 28 Apr 2020 07:17:51 +0000

is.uberspace.online sagt euch zu jeder Tages- und Nachtzeit, wie es um unsere Infrastruktur steht. Wir veröffentlichen dort geplante Wartungsarbeiten, aber auch spontane Gebrechen sowie die Entwarnungen zu beiden. Aber wie läuft das eigentlich im Hintergrund ab?

Die meisten Statusseiten wie die von Pretix oder Intercom haben nur eine Hand voll Komponenten, über die berichtet wird: Website, API und vielleicht ein diffuses “Kundensysteme”. Für viele Anbieter ist das auch vollkommen ausreichend: Ist der Service down, ist er eben für alle down. Andere wie DigitalOcean gehen mehr ins Detail und listen ihre zwölf Standorte. Auch hier: Standort weg, alle Kunden an dem Standort weg - vereinfacht gesagt.

Wie plötzlich alles langsam wurde

Thu, 09 Apr 2020 15:52:07 +0000

Einige von euch werden es mitbekommen haben, letzte Woche gab es bei uns einige Probleme. Die Kollegen waren am rotieren und suchten mit Hochdruck nach einer Lösung, denn im Support gingen plötzlich sehr viele Anfragen ein, weil manche U7 Hosts sehr langsam waren. Ganz plötzlich war es allerdings nicht, wir hatten schon auf dem Schirm, dass die Performance nicht ganz so ist, wie wir uns das wünschen würden, aber mit einem mal wurde es deutlich kritischer. Wir hatten eine Grenze erreicht.

Rundumerneuerung unserer Infrastruktur - einmal alles neu bitte!

Tue, 17 Dec 2019 09:53:57 +0000

Heute berichten wir euch von einer der größten Umstellungen in der Firmengeschichte. Der kompletten Neugestaltung unseres Standorts FRA3, mit neuem Netzwerk und einer neuen Virtualisierungsplattform.

Längere Downtime von MariaDB auf longmore

Thu, 31 Oct 2019 16:19:45 +0000

Heute morgen um 6:33 Uhr hat sich MariaDB auf unserem Host longmore verabschiedet. Die an sich automatisch laufende Recovery verlief dabei nicht wie geplant - am Ende war Einiges an Handarbeit nötig. Die Arbeiten konnten nun aber erfolgreich abgeschlossen werden und mögliche Datenverluste dürften unserer Einschätzung nach minimal sein.

Unser Monitoring alarmierte zunächst den einen, kurz darauf via Eskalation auch noch den zweiten Bereitschaftstechniker, und teilte mit, dass MariaDB auf longmore nicht mehr verfügbar sei. Ein erster Blick ins Journal verriet einen Crash:

Nehmt systemd, haben sie gesagt...

Thu, 19 Sep 2019 10:42:14 +0000

Wir hatten heute Nachmittag eine längere Downtime von einigen supervisord-Instanzen. Nach intensivem Debugging nun: Eine Spurensuche und ein Rant über systemd.

Über Zugfahren in Europa

Thu, 12 Sep 2019 09:44:51 +0000

Ein Beitrag über Reiseketten, Interrail, Super Sparpreise, Verspätungen und die Liebe zum Schienenverkehr.

Von Kamelen und Webseiten

Tue, 20 Aug 2019 08:55:25 +0000

uberspace.de erstrahlt nun schon seit Längerem in neuem Glanz. Um unsere Entwicklung zu beschleunigen, war die neue Seite zunächst bei netlify gehostet. Diese Woche haben wir die Seite jedoch wieder zu uns gezogen.

Über Leistungsbereitschaft, oder: Ein bisschen mehr 24. Jahrhundert, bitte.

Fri, 19 Jul 2019 10:59:10 +0000

Ein jüngst in der SZ erschienenes Interview, das ein Kollege in unserem #random-Channel gepostet hatte, hat mich in den letzten Tagen gedanklich nicht mehr losgelassen. Es geht um die Frage der Leistungsbereitschaft von Arbeitnehmern, und dieses Thema treibt mich, der einerseits selbst Arbeitnehmer beschäftigt und der sich andererseits sich auch mit anderen Arbeitnehmern und Arbeitgebern austauscht, ohnehin häufig um.

In besagtem Interview lässt sich ein Headhunter, Herr Hansen, mit Aussagen wie diesen zitieren:

Behind the scenes: Janto

Fri, 12 Jul 2019 08:35:47 +0000

In loser Folge stellen wir euch die Leute vor, die Uberspace für euch machen. Heute: Janto, der bei uns im Development ein Dutzend Tools jongliert, alles automatisiert, was nicht bei drei auf dem Baum ist, und zuletzt entgegen seiner sonstigen Hauptaufgabe mal wieder richtig tief in die Webentwicklung eingetaucht ist. Jonas hat ihn am Rande eines Arbeitstreffens in Mos Kieler Gartenlaube interviewt.

Neue Zahlungsmöglichkeiten

Fri, 28 Jun 2019 18:13:27 +0000

Ab sofort könnt ihr eure Accounts auch per Kreditkarte und Apple Pay aufladen.

Website Redesign

Wed, 05 Jun 2019 16:00:26 +0000

Ein kleiner Einblick darauf, was uns beim Redesign unser Website wichtig war und wie wir das eine oder andere gelöst haben.

Hello world

Fri, 26 Apr 2019 08:46:53 +0000

Wir wagen den Sprung in die Mehrsprachigkeit und bieten unsere Homepage in Zukunft auch auf Englisch an.

Behind the scenes: Nati

Tue, 23 Apr 2019 14:56:26 +0000

In loser Folge stellen wir euch die Leute vor, die Uberspace für euch machen. Heute: Nati, eigentlich Natascha, die im Moment vornehmlich unsere Buchhaltungsbelege jongliert und sich darum kümmert, dass alle im Team ihre Reisekosten ausgezahlt bekommen - und dass jeder Ubernaut, der sich Guthaben erstatten lässt, das auch wiederbekommt.

So ein ganz normaler, hoffentlich guter Tag, wie sieht der bei dir überhaupt so aus?

Also ein guter Tag ist für mich immer dann, wenn ich es schaffe, so früh wie möglich anzufangen zu arbeiten. Was mir leider nicht so oft gelingt, wie ich das gerne hätte.

sd-pam und der RAM

Mon, 08 Apr 2019 07:46:50 +0000

Warum hat das mit den Namespaces so lange gedauert? Ein Einblick in unsere Entwicklung und die Wände, gegen die wir bei unserem neuesten Feature gelaufen sind.

Depreciation: TLSv1.0 & v1.1

Thu, 04 Apr 2019 06:31:10 +0000

TLSv1.0 und v1.1 ist ab 01.05.2019 für U6 und U7 Geschichte.

Toasting: Uberspace goes .onion

Mon, 01 Apr 2019 05:15:38 +0000

Wir sind ab sofort über uberspaceyukm42r.onion erreichbar. Außerdem bekommt jeder User eine eigene .onastroidst6krpn.onion Domain!

Behind the scenes: Leah

Thu, 21 Feb 2019 16:21:53 +0000

In loser Folge stellen wir euch die Leute vor, die Uberspace für euch machen. Heute: Leah, die bei uns Server mit Ansible dressiert, sie mit Icinga im Auge behält, unser DNS clustert und noch Vieles mehr. Jonas hat sie interviewt.

Hey Leah! Wenn du mal völlig außer acht lässt, was im Arbeitsvertrag steht oder was man in professioneller Weise auf eine Visitenkarte drucken würde, sondern wenn du einfach mal auf deine letzten Monate bei Uberspace zurückschaust: Was wäre eine gute Berufsbezeichnung für das, was du tust?

Kompromittierung von vela.uberspace.de

Tue, 29 Jan 2019 13:27:12 +0000

Am gestrigen 28.01.2019 gegen ca. 16:00 Uhr haben wir festgestellt, dass die Berechtigungen von /usr/bin/python auf dem Host vela.uberspace.de mit einem Setuid-Bit versehen waren. Das bedeutet, dass jeder User mittels dieses Python-Interpreters Code als root-User mit vollem Zugriff auf das gesamte System ausführen könnte. Wir haben insofern nach erster kurzer Analyse den Host um 17:33 Uhr aus Sicherheitsgründen komplett gestoppt. Eine umgehende Betrachtung aller anderen Hosts hat nichts Vergleichbares ergeben. Wir haben offline eine umfangreiche Bereinigung des Hosts vorgenommen und ihn am heutigen 29.01.2019 um 13:46 Uhr wieder hochgefahren. Wir haben allerdings den Start von User-Applikationen (dynamische Websites, eigene Services, Cronjobs, …) soweit möglich angehalten.

pear.php.net gehackt - was nun?

Wed, 23 Jan 2019 20:12:02 +0000

Ein Hinweis von dictvm auf einen Blogpost bei The Hacker News hat uns aufhorchen lassen:

Beware! If you have downloaded PHP PEAR package manager from its official website in past 6 months, we are sorry to say that your server might have been compromised.

tl;dr: Der auf pear.php.net bereitgestellte Installer go-pear.phar ist seit rund 6 Monaten kompromittiert. Wenn du den von uns bereitgestellten PEAR-Paketmanager verwendet hast, gibt es - nach derzeitigem Kenntnisstand - insofern keinen Anlass zur Sorge. Solltest du in den letzten 6 Monaten PEAR selbst über go-pear.phar installiert haben, hast du vermutlich eine kompromittierte Version erwischt und solltest jene dringend gegen eine neue, saubere Version austauschen.

Web Backends, Namespaces und Websockets!

Mon, 21 Jan 2019 11:30:00 +0000

Seitdem es uberspace gibt, gibt es auch das gute, alte RewriteRule [P]. Damit lassen sich Services wie etherpad-lite über den Apache in die große, weite Welt schleusen. Das klappt in den meisten Fällen zwar ganz gut, hat aber das eine oder andere Manko.

Heute möchten wir euch ein neues Feature vorstellen, um all diese Mankos auf einen Schlag loszuwerden: unsere Web-Backends 🎉

tldr/english: our new uberspace web backend set command is now in opt-in beta. Read the docs to learn more. Also review the breaking changes.

Sicherheitslücke in unserem PHP-Setup

Fri, 11 Jan 2019 15:40:34 +0000

Wir legen in unserer Entwicklung großen Wert auf Sicherheit. Jedes Stück Code läuft durch ein Code-Review, Designs werden (meistens) erst durchgesprochen und dann umgesetzt. Normalerweise kommen wir damit auch gut weg und haben uns in der Firmenhistorie nur wenige relevante Lücken erlaubt. Keine davon wurde unseres Wissens nach aktiv ausgentutzt, sondern durch User reported. Eine solche Report-Mail erreichte uns gestern.

tldr: Ein User hat eine Lücke in unserem PHP-Setup gefunden, die es Usern ermöglicht über den Webserver Code im Kontext anderer User auf dem selben Host auszuführen. Wir haben diese Lücke gestern kurz nach Eingang der Meldung gestopft; sie wurde unseres Wissens nach nie aktiv ausgenutzt. Es besteht keine Gefahr für die Zivilbevölkerung.

Error getting authority: Timeout reached (g-io-error-quark, 24)

Wed, 09 Jan 2019 14:23:41 +0000

systemd ist ja ganz schön geil, finden wir. systemd kann einen ganz schön in den Hintern beißen, finden wir auch. So ist uns das gestern Nacht auf dem U7-Host kohoutek passiert. Warum der Host zwei Stunden lang nicht vollständig erreichbar war könnt ihr hier nachlesen.

Am 08.01. haben wir ein vergleichsweise großes Update für das Netzwerk-System unserer Hosts sowie unsere HTTP-nginx/httpd-Infrastruktur ausgerollt. Mehr dazu in einem weiteren Blogpost in den nächsten Tagen. Die allermeisten Hosts haben das gut vertragen, nicht aber kohoutek: Der reagierte nicht mehr auf SSH und die Serielle Console der VM war auch nur schwierig zu erreichen.

Behind the scenes: Mo

Sun, 23 Dec 2018 17:27:30 +0000

In loser Folge stellen wir euch die Leute vor, die Uberspace für euch machen. Heute: Mo, der eigentlich Moritz heißt, aber nicht mit dem anderen Moritz im Team zu verwechseln ist. Mo kritzelt aufregende Grafiken auf seinem Tablet und sorgt dafür, dass Uberspace nicht nur praktisch ist, sondern auch immer schöner aussieht. Jonas hat ihn interviewt.

Wo treibst du dich denn gerade herum, Mo?

Ich bin seit ein paar Tagen in Vietnam. Aus Saigon bin ich direkt auf die eher ruhige Insel Côn Đảo geflüchtet. Abschalten werde ich aber erst in der zweiten Hälfte meiner Reise. Ich habe mir Arbeit mitgenommen und bin dafür etwas länger unterwegs. Dass das so funktioniert genieße ich total!

EOL: PHP 5.6 und 7.0 auf Uberspace 7

Mon, 26 Nov 2018 18:51:56 +0000

Alte Versionen gehören bei PHP leider zum Alltag. Während es natürlich viele schicke, moderne PHP-Apps gibt, stolpern wir hin und wieder über Kleinkrams, der doch bitte gerne PHP 5.4 hätte. Auch 5.6 wird noch häufig gefordert. Dennoch müssen wir hier - der Sicherheit wegen - Zöpfe abschneiden.

Wie bei php selbst und auch in unserem Manual dokumentiert, laufen die PHP-Versionen 5.6 und 7.0 dieses Jahr aus. Danach gibt es keine Updates mehr, auch nicht für Sicherheitslücken. Die beiden Version fliegen demnach bei Uberspace 7 mit dem 31.12.2018 raus. Da wir standardmäßig die Version 7.1 einstellen, sind von der Änderung nur User betroffen, die explizit eine alte Version eingestellt haben: 96 Stück bei PHP 5.6 und nur 37 bei 7.0.

Die verschwundenen Requests im httpd

Thu, 22 Nov 2018 12:23:00 +0000

Vor nun fast einem Jahr war unsere Uberspace 7 Betaphase in voller Fahrt.

Eine Hand voll User prügelte so lange auf U7 ein, bis so ziemlich alle Edgecases ausgereizeit waren. Viele der so gefunden Bugs waren schnell gefixt. Eines Tages bekamen wir allerdings eine vergleichsweise merkwürdige Meldung:

Seit ca. 3 Minuten: Wenn ich https://usr.betahost.uberspace.de/ aufrufe, lande ich auf einer Loginseite von “Mattermost”. Ich hab aber doch gar kein Mattermost auf meinem uberspace.

Behind the scenes: Kim

Mon, 19 Nov 2018 11:03:03 +0000

In loser Folge stellen wir euch die Leute vor, die Uberspace für euch machen. Heute trifft es Kim, mit dem ihr wahrscheinlich bereits zu tun hattet, wenn ihr euch per Mail oder Twitter an unseren Support gewendet habt. Jonas hat ihn per Videochat interviewt.

Hey Kim! Oh, gar nicht im Büro heute?

Nein, heute nicht, denn meine beiden Fahrräder sind gerade zur Reparatur, deshalb arbeite ich heute von Zuhause aus. Ich habe im Moment einfach leider nicht viel Glück mit Fahrrädern, wie’s aussieht. Ansonsten arbeite ich aber durchaus gerne vom Büro aus.

Usertreffen 2018

Sat, 03 Nov 2018 15:15:05 +0000

Ein paar Impressionen unseres ersten Usertreffens.

Das Update auf MariaDB 10.3

Thu, 18 Oct 2018 12:02:01 +0000

Beim Update von MariaDB gab’s Probleme und Ausfälle. Wir erklären euch, was passiert ist.

DDoS - diesmal wirklich heftig (Part 1/n)

Fri, 21 Sep 2018 06:02:03 +0000

Am Sonntag, den 16. September um 17:05 Uhr erreichten uns Meldungen unseres Monitoringsystems, dass einige Services am Standort FRA3 gar nicht, andere nur sporadisch erreichbar sind. Also erst einmal den Hund vertrösten dass man heute ein wenig später mit ihm raus geht. Dann ein erster Blick ins Monitoring, der zeigt, dass es keinen speziellen Host betrifft, sondern den ganzen Standort.

Durch Messungen von anderen Standorten war ein extremer Packet-Loss zu erkennen, was in der Regel auf eine DDoS-Attacke hindeutet. Also gleich ein Ticket bei unserem Rechenzentrumsanbieter (in diesem Fall Uvensys) aufmachen, denn wir haben an diesem Standort eine DDoS-Protection über einen Cloudservice - so der Plan. Leider war das Ticketsystem nicht erreichbar was auf ein echtes Problem vor Ort hindeutete. Also folgte der Griff zum Telefon und nach wenigen Sekunden und einem kurzen “Hi!” waren wir beim Thema. Es bestätigte sich, dass wir es mit einer DDoS-Attacke zu tun haben, die so massiv ist, dass die maximale Bandbreite aller Anbindungen an diesen Standort weit überschritten ist.

Die Sache mit dem Strom

Thu, 20 Sep 2018 08:27:00 +0000

Die Stromversorgung in Rechenzentren ist stabil - das ist unsere Erfahrung, die wir in den letzten 15 Jahren machen durften. Am Freitag den 14. September gegen 12:50 Uhr erlebten wir dann einen für uns bis dato unbekannten Zwischenfall, der uns bewies, dass es mehr gibt als Strom an/Strom aus.

Wenn das lokale Versorgungsunternehmen doch mal Schwierigkeiten mit der Stromversorgung hat, stehen redundante Dieselgeneratoren zur Stelle, die den Standort permanent mit Strom versorgen können. Dies geht natürlich nur, wenn der Tankwagen täglich Nachschub an Diesel liefert :) Bei einem plötzlichen Ausfall der Stromversorgung kommen als Puffer riesige Batteriepools zum Einsatz, die das Rechenzentrum so lange mit Strom versorgen, bis die Generatoren dies übernehmen. Eigentlich eine einfach und sichere Sache die auch in regelmäßigen Intervallen getestet wird um sicherzustellen das Spiel Stromversorger -> Batterien -> Dieselgeneratoren reibungslos funktioniert.

Usertreffen

Tue, 11 Sep 2018 06:41:20 +0000

Wir wollen mit euch fachsimpeln, Spaß haben, trinken, essen, lachen, tanzen!

Die Verantwortung der freien Preiswahl

Mon, 25 Jun 2018 14:01:15 +0000

Der Anlass

Wir haben vor einger Zeit begonnen, User, die weit unter unserer Preisempfehlung von 5€ / Monat bezahlen, darauf hinzuweisen, dass wir uns etwas mehr wünschen. Hier ein Auszug aus der Mail:

Du hast derzeit einen Wunschpreis von 1,00 € eingestellt, der deutlich unter unserem Preisvorschlag von 5,00 € monatlich liegt. Wir möchten dich daran erinnern, dass du unseren Dienst nur zu diesem Preis in Anspruch nehmen kannst, weil andere User freiwillig einen höheren als den vorgeschlagenen Preis bezahlen und dir den Account so querfinanzieren. Wir erhoffen uns davon, dass diejenigen, die es sich leisten können, andere User, die sich das nicht leisten können, mit tragen.

Firmware-Update durchs Schlüsselloch

Thu, 14 Jun 2018 10:15:03 +0000

Gestern haben wir uns daran begeben, zwei neue Router in Betrieb zu nehmen und standen vor einer Blockade. Aus der Ferne konnten wir nur per serieller Konsole auf die Geräte zugreifen, weil der der Netzwerkanschluss noch nicht funktionierte.

HTTPS-Ausfall von 4 Hosts am 6.6.2018

Wed, 06 Jun 2018 12:52:01 +0000

Magie ist kompliziert - aber halt auch cool. Auf Uberspace 7 setzen wir auf ein klein wenig Magie, um Let’s Encrypt Zertifikate für alle eure Domains zu holen. Das klappt auch voll gut! … meistens.

tldr-intermezzo: HTTPS für User-Domains (also alle relevanten) ist vom 6.6.2018 4 bis circa 8 Uhr auf 4 Hosts (whipple, taylor, kojima und klemola) ausgefallen. Es handelte sich dabei um einen einmaligen Fehler und kein generelles Problem. Fürs Warum und zukünftige Gegenmaßnahmen, einfach weiterlesen.

Über Auftragsverarbeitung

Sat, 19 May 2018 08:03:30 +0000

First things first: Es gibt nun einen fertigen Vertrag zur Auftragsverarbeitung, der den Segen unseres externen Datenschutzbeauftragen bekommen hat. Du findest ihn unter https://uberspace.de/dpa und wir haben alles vorbereitet, damit du ihn Anfang ab nächster Woche im Dashboard per Klick abschließen kannst. Du kannst ihn insofern bereits lesen und prüfen oder prüfen lassen, beispielsweise durch deinen Datenschutzbeauftragten, und dann nächste Woche deinen Klick setzen.

Was noch fehlt, ist die Abnahme unseres Entwurfs zur Dokumentation der technischen und organisatorischen Maßnahmen durch unseren externen Datenschutzbeauftragten - dessen Workload, wie man sich vielleicht vorstellen kann, im Rahmen allgemeiner DSGVO-Panik gerade durch die Decke geht und der wundersamerweise dennoch Zeit findet, sich jedwedes Dokuments innerhalb von 2-3 Werktagen anzunehmen. Die vorige von uns gelieferte Fassung fand bereits Zuspruch und bedurfte nur noch geringer Änderungen an der Struktur des Dokuments, so dass die letzte Abnahme nur noch eine Formalität ist.

DSGVO, wir kommen!

Wed, 09 May 2018 07:08:27 +0000

Die Datenschutzgrundverordnung (DSGVO), die vor knapp zwei Jahren eingeführt und europaweit ab dem 25.05.2018 anwendbar wird, hat bei uns wie auch bei vielen anderen zu Fragen und Unsicherheiten geführt. Nun sind wir aber langsam aber sicher auf der Zielgeraden, die nötigen Vorgaben fristgerecht umzusetzen. Dazu gehört neben diversen neuen Dokumentationspflichten insbesondere die Bereitstellung eines Vertrags zur Auftragsverarbeitung, der aktuell in Kooperation mit unserem externen Datenschutzbeauftragen finalisiert wird und mit dem voraussichtlich in der nächsten Woche gerechnet werden kann.

⚛️ Uberlab

Mon, 07 May 2018 19:49:20 +0000

Kann man bei euch eigentlich…

Ein Klassiker im Support ist die Frage, ob und wie man bei uns Dinge wie Wordpress, Ghost, Nextcloud, (…) möglichst einfach installieren kann. Die Antwort ist meistens “klar geht das, wir haben das im Wiki verlinkt oder schau doch mal bei der Suchmaschine deiner Wahl.” Viele von euch schreiben Anleitungen für die Installation, die dann aber irgendwo veröffentlicht werden müssen. Wir haben da bisher immer darum gebeten, im Zweifelsfall selbst eben einen Blog aufzusetzen oder den Artikel als Gastbeitrag in einem anderen Blog zu veröffentlichen. Das hat natürlich Grenzen und nicht jeder hat Lust und Zeit dazu, für eine einzelne Anleitung gleich einen eigenen Blog aufzusetzen. Das ist mehr als verständlich und so verstaubt sicherlich die eine oder andere Anleitung unveröffentlicht auf lokalen ~~Festplatten~~SSDs. Das muss doch irgendwie anders gehen…

Reboot tut (nicht immer) gut

Mon, 22 Jan 2018 19:52:41 +0000

TLDR: Es gab heute um 13:15 einen ungeplanten Reboot und eine damit verbundene, sehr kurze Downtime bei allen U7-Hosts. Grund war, dass wir wegen einem journald-Bug einen Reboot benötigt haben, diesen aber (intern) nicht sauber kommuniziert haben: Code ausgerollt, zack Reboot! Das tut uns leid und sollte in Zukunft nicht mehr passieren. Mehr dazu weiter unten.

Heute am 22.01.2018 gegen 13:15 wurden alle unsere Uberspace 7 Hosts nicht 100% geplant rebootet. Die meisten Hosts waren nach weniger als zwei Minuten wieder da; geplant oder gar angekündigt war der kurze Ausfall allerdings dennoch nicht. Wir möchten euch in diesem Blogpost darlegen, wie es überhaupt dazu gekommen ist.

Let's Encrypt: TLS-SNI und Shared Hosting

Fri, 12 Jan 2018 13:01:01 +0000

TLDR: Eine Hand voll Shared-Hosting-Anbietern ist im Moment von einer Lücke im Zusammenhang mit Let’s Encrypts tls-sni-01 Challenge betroffen. Wir nicht. Warum steht weiter unten.

Let’s Encrypt unterstützt neben der bekannten http-01 Challenge (das ist die mit den wunderschönen /.well-known/acme-challenge/evaGxf...-URLs) auch andere Validierungsformen wie dns-01 (involviert “Magic”-Records im DNS) und auch tls-sni-01. In diesem Fall findet die Validierung im TLS-Protokoll selbst, noch vor HTTP statt. Dazu müssen spezielle, selbst-signierte Zertifikate ausgeliefert werden. Die von euch, die das genauer interessiert: hier geht’s lang zum Standard-Dokument.

Meltdown & Spectre - Bugs in Intel-CPUs

Thu, 04 Jan 2018 18:08:13 +0000

TLDR: Wir sind (wie alle mit Intel-CPUs) von Meltdown und Spectre betroffen. Es gibt Fixes. Sie einzuspielen erfordert einen Reboot. Siehe Liste dazu weiter unten.

Das Problem

Anfang Jänner wurde bekannt, dass alle neueren Intel-CPUs, AMD-CPUs in manchen Konstellationen und sogar einzelne ARM-CPUs von zwei Timing-Sicherheitslücke betroffen sind. Sie tragen die wunderschönen Namen Meltdown und Spectre. Diese Lücken ermöglichen es im Worst-Case privaten Speicher aus dem Kernel auszulesen und so fremde Daten in die Hände zu bekommen.

Die Sache mit den virtuellen DocumentRoots

Wed, 06 Dec 2017 14:40:12 +0000

tl;dr

Wir hatten uns in der Entwicklung darauf verständigt, virtuelle DocumentRoots - ein Feature von U5 und U6 - bei U7 nicht mehr als Feature anzubieten, sondern im Lauf der U7-Beta ein neues Dashboard zu releasen, mit dem es viel einfacher sein wird, mehrere Uberspaces zu verwalten, so wie wir uns das als “best practice” vorstellt haben. (Der Plan mit dem neuen Dashboard besteht natürlich weiter, und die Arbeit daran hat auch schon begonnen.)
Wir haben schon damit gerechnet, dass diese Entscheidung erläuterungsbedürftig werden könnte. Der Widerspruch etlicher User traf uns allerdings in größerem Umfang, mit stärkerer Enttäuschung und mit Argumenten, die wir zu bedenken hatten. Wir wollten keinen “Okay, okay, okay”-Schnellschuss machen und unsere Entscheidung einfach wieder umwerfen, aber wir haben uns mit Usern ausgetauscht und Argumente und Use Cases eingesammelt, darüber gesprochen, und am Ende haben wir beschlossen, die virtuellen DocumentRoots entgegen der ursprünglichen Planung auch auf U7 einzuführen.
Nach wie vor raten wir deutlich davon ab, dieses Feature zum Hosting mehrerer unterschiedlicher Projekte in einem Account zu verwenden, weil zwischen jenen Projekten dann keine Rechtetrennung besteht. Wenn Rechtetrennung wichtig ist - und das ist sie im Zweifelsfall fast immer - solltest du wie bisher dem Rat folgen, mehrere Uberspaces anzulegen. Wir werden das vereinfachen, versprochen.

Worum geht’s eigentlich?

Vom Konzept her ist ein Uberspace dazu gedacht, ein Projekt darauf zu hosten. Dafür wird /var/www/virtual/<user>/html als DocumentRoot angeboten. Schon ziemlich in der Anfangszeit trafen Fragen bei uns ein, ob man da nicht die Möglichkeit schaffen könnten, für kleinere Sachen einfach separate Verzeichnisse anzulegen, um keinen separaten Uberspace dafür anzulegen - “das lohnt doch gar nicht”. Wir waren mit Uberspace gerade erst gestartet, voller Tatendrang, ein wenig blauäugig vielleicht auch, und dachten uns: Klar, basteln wir doch schnell eine RewriteRule, und schon war das Feature geboren: User konnten ab sofort in /var/www/virtual/<user> einfach weitere Verzeichnisse ablegen, die so hießen wie Hostnamen, und schon wurden Anfragen nach jenen Hostnamen aus diesem Verzeichnis bedient (vorausgesetzt, der Hostname wurde auf den Uberspace aufgeschaltet). So weit, so gut - oder besser gesagt: So weit, so okay.

Die U7 Public Beta

Fri, 29 Sep 2017 12:53:02 +0000

Sagt Hallo zu biela, brorsen, encke, faye, finlay, halley, olbers, tempel, tuttle und wolf! Wir haben mehrere Terabyte Plattenplatz, mehrere Dutzend CPU-Kerne und mehrere hundert GB RAM springen lassen und zehn Hosting-Systeme für euch gebaut, damit nach den 50 Usern, die unsere Closed Beta testen konnten, nun alle anderen, die schon auf U7 neugierig sind, ebenfalls loslegen können.

Welche Features machen die Beta schon heute besser als U6?

vollautomatisches HTTPS-Handling mit Let’s Encrypt für alle Domains
HTTP wird grundsätzlich auf HTTPS umgeleitet
Diverse Security-Header werden als Default gesetzt
wir unterstützen nun HTTP/2
OCSP Stapling
PHP ohne Startverzögerungen (eigene PHP-FPM-Instanz pro User)
user.uber.space & *user*@uber.space
MariaDB 10.1 ohne Klimmzüge
insgesamt deutlich frischere Toolchain an Kommandozeilentools
Webserver-Logging ist nun standardmäßig komplett aus (Datensparsamkeit FTW!), kann aber auf Wunsch eingeschaltet werden und liefert dann Logs mit gekürzten IP-Adressen
komplett neues Handbuch auf manual.uberspace.de - aus einem Guss, auf Englisch, mobiltauglich und mit ChangeLog
supervisord als leistungsstärkerer daemontools-Nachfolger zum Verwalten eigener Daemons

Was ist sonst noch fertig?

Python 2.7, 3.4, 3.5, 3.6
PHP 5.6, 7.0, 7.1, 7.2
Perl 5.16.3
Lua 5.1
GCC 4.8 (C/C++)
Cronjobs
Subversion
SQLite 3
node.js 6, 8, 9
virtuelle Mailuser (vmailmgr)
maildrop
ruby
Adminer und phpMyAdmin
Webmail
Rspamd als Ersatz für SpamAssassin und DSPAM

Was kann die Beta noch nicht?

Programmiersprachen: ~~Ruby,~~ Erlang ~~und node.js~~
Datenbanken: PostgreSQL, CouchDB und MongoDB
~~virtuelle Mailuser (vmailmgr)~~
Backups im direkten Userzugriff (wir machen durchaus Backups, aber der Zugriff ohne Support-Eingriff darauf fehlt noch)
~~Adminer und phpMyAdmin~~
Handbuch auf Deutsch
ezmlm-idx
~~maildrop~~
~~gitolite 3~~
Ports öffnen
2-Faktor-Authentifizierung für SSH
Redis
~~SpamAssassin~~
~~Webmail~~

Welche Features werden wir auch nicht mehr einbauen?

gitolite ~~(ersetzt durch gitolite 3)~~
DSPAM (unmaintained)
daemontools (unmaintained, ersetzt durch supervisord)
toast (unmaintained)
CVS (unmaintained)
Namensräume für Mail-Domains (hohe Komplexität und ein Support-Albtraum; nutze lieber separate Uberspaces dafür)
Hostnamens-Verzeichnisse in /var/www/virtual/USER (hoher Supportaufwand, da technisch nicht 100% kompatibel zu echten DocumentRoots; motiviert zum Hosting unterschiedlichster Applikation im gleichen Account und vereinigt die Sicherheitsrisiken aller jener Applikationen; nutze lieber separate Uberspaces dafür)

Wie komme ich an einen U7-Beta-Account?

Auf https://uberspace.de/register?u7=1 bekommst du eine Checkbox angeboten, mit der einen Account auf U7 statt auf der derzeit stabilen Version U6 anlegen kannst.

Uberspace 7 - Episode 8

Wed, 30 Aug 2017 14:50:07 +0000

Moin zusammen! Gehen wir gleich ans Eingemachte. Im letzten Blogartikel schreiben wir:

Zwar ist Uberspace 7 nicht feature complete, aber so gut wie „fertig“ genug, um es endlich für Euch aufzumachen. Das heißt, wir spucken nun nochmal ordentlich in die Hände, gehen Montag in den letzten, zweiwöchigen Sprint und dann… machen wir erst nochmal Urlaub und erholen uns ordentlich. 🌴😎

Die Entwickler unter euch werden wissen: Der letzte Sprint ist nie der letzte und so mussten wir natürlich auch hier (was ETAs angeht hätten wir eigentlich aus der Vergangenheit lernen müssen…) noch mal das Skalpell ansetzen und aus einem Sprint mehrere machen.

Uberspace 7 - Episode 7

Fri, 07 Jul 2017 10:45:04 +0000

Lange haben wir in Sachen Uberspace 7 nichts von uns hören lassen, zu lange. Nicht um künstlich die Spannung zu steigern oder irgendwie Geheimniskrämerei zu betreiben, sondern einfach weil viele kleine und große andere Dinge an unseren Ressourcen nagten und der Blog dabei leider etwas hinten runterfiel.

Auch haben wir bei der Einführung agiler Entwicklungsmethoden immer wieder erkennen müssen, dass Dinge die man richtig, sauber und nachhaltig bauen möchte einfach immer etwas mehr Zeit in Anspruch nehmen, als vorher kalkuliert. Und “etwas mehr” bedeutet durchaus auch mal “noch etwas mehr”. Bitte entschuldigt.

WordPress CVE-2017-8295 - Unauthorized Password Reset

Fri, 05 May 2017 12:06:38 +0000

Standard WordPress-Installationen der Version 4.7.4 sind im Moment für die Lücke CVE-2017-8295 anfällig. Mithilfe dieser Lücke kann ein Angreifer Password-Reset-Mails an beliebige Mailserver umleiten und so an den kritischen Link gelangen. Seitens WordPress gibt es hierfür noch keinen Fix.

Das funktioniert, da WordPress den Host-Header 1:1 für diverse Mail-Header in der ausgehenden Mail benutzt. Wie das genau funktioniert könnt ihr in der Exploit-DB nachlesen.

Ein Angriff würde also beispielsweise so aussehen:

POST /wp/wordpress/wp-login.php?action=lostpassword HTTP/1.1
Host: injected-attackers-mxserver.com <== oh noes! D:
Content-Type: application/x-www-form-urlencoded
Content-Length: 56
user_login=admin&redirect_to=&wp-submit=Get+New+Password

In unserem Setup werden Requests anhand ihrer Host-Header an die jeweiligen Uberspaces und damit an die WordPress-Instanzen verteilt. Wenn nun eine Angreiferin den Header modifiziert, landet der Request gar nicht erst bei der angegriffenen WordPress-Instanz, sondern auf unserer “Diese Domain kennen wir leider nicht”-Seite. Ein WordPress, das bei uns gehostet ist, ist für diese Lücke also nicht anfällig.

Ausfall von aries, columba, octans und sagitta

Thu, 02 Mar 2017 08:29:44 +0000

Heute morgen gegen halb acht begann dietrich, einer unserer KVM-Wirte, folgende Meldungen nach /var/log/messages zu spucken:

Mar 2 07:28:22 dietrich kernel: mce: [Hardware Error]: Machine check events logged
Mar 2 07:28:23 dietrich kernel: EDAC MC1: 1 CE memory read error on CPU_SrcID#1_Ha#0_Chan#0_DIMM#0 (channel:0 slot:0 page:0x186f358 offset:0x500 grain:32 syndrome:0x0 - area:DRAM err_code: 0001:0090 socket:1 ha:0 channel_mask:1 rank:1)
Mar 2 07:29:35 dietrich kernel: mce: [Hardware Error]: Machine check events logged
Mar 2 07:29:35 dietrich kernel: EDAC MC1: 1 CE memory read error on CPU_SrcID#1_Ha#0_Chan#0_DIMM#0 (channel:0 slot:0 page:0x186f358 offset:0x500 grain:32 syndrome:0x0 - area:DRAM err_code: 0001:0090 socket:1 ha:0 channel_mask:1 rank:1)
Mar 2 07:30:45 dietrich kernel: EDAC MC1: 1 CE memory read error on CPU_SrcID#1_Ha#0_Chan#0_DIMM#0 (channel:0 slot:0 page:0x186f358 offset:0x500 grain:32 syndrome:0x0 - area:DRAM err_code:0001:0090 socket:1 ha:0 channel_mask:1 rank:1)
Mar 2 07:31:25 dietrich kernel: mce: [Hardware Error]: Machine check events logged
Mar 2 07:31:26 dietrich kernel: EDAC MC1: 1 CE memory read error on CPU_SrcID#1_Ha#0_Chan#0_DIMM#0 (channel:0 slot:0 page:0x186f358 offset:0x500 grain:32 syndrome:0x0 - area:DRAM err_code:0001:0090 socket:1 ha:0 channel_mask:1 rank:1)
Mar 2 07:31:32 dietrich kernel: EDAC MC1: 1 CE memory read error on CPU_SrcID#1_Ha#0_Chan#0_DIMM#0 (channel:0 slot:0 page:0x186f358 offset:0x500 grain:32 syndrome:0x0 - area:DRAM err_code:0001:0090 socket:1 ha:0 channel_mask:1 rank:1)

Was schon nicht ganz so schön aussah, mündete dann kurz darauf in ein komplettes Einfrieren der Maschine, und damit auch der vier darauf laufenden Gäste aries, columba, octans und sagitta.

Und schwups war DNS aus

Fri, 03 Feb 2017 17:44:54 +0000

Was lernen wir als kleine Kinder von unseren Eltern? Immer in beide Richtungen schauen bevor die Straße überquert wird. – Nur was ist mit Einbahnstraßen? Ist es schlau sich den unnötigen Blick in die verbotene Gegenrichtung zu sparen, oder ist es schlau das Unerwartete zu erwarten und trotzdem in beide Richtungen zu schauen?

Wenn es um Computer geht ist es meist am besten, auch mit dem Unerwarteten zu rechnen, das ist zum Beispiel eine wichtige Lektion wenn es um IT-Security geht, aber auch beim Debugging kann das viel Kopfzerbrechen sparen (aber leider meist keine Zeit). Aber auch in der Kommunikation mit Menschen kann das eine wichtige Lektion sein, sonst passieren manchmal nicht nur Dinge die gewollt waren, sondern auch Dinge die nicht gewollt waren. Besonders gefährlich ist, wenn Dinge als implizit gegeben angenommen werden und nicht explizit gesagt werden.

Uberspace 7 - Episode 6

Sat, 17 Dec 2016 20:11:28 +0000

Update 18.01.2017

Der erste Server ist (voll automatisch) aufgesetzt, alle Kollegen haben einen Account, schauen sich um und finden (und beheben) gerade die ersten Bugs. Die letzten grundlegenden Funktionen sind (oder werden gerade) implementiert und in ein paar Tagen trauen wir uns, die ersten User auf das System zu lassen. Wir haben bereits eine Hand voll Tester rekrutiert und werden diese Gruppe langsam vergrößern. Auch hier wird dann zu gegebener Zeit ein Update erfolgen, in dem wir euch die Möglichkeit geben, einen Account zu testen.

Uberspace 7 - Episode 5

Mon, 17 Oct 2016 17:45:36 +0000

Es geht [gut voran] 1, mit unserer neuen Arbeitsweise sind wir inzwischen gut vertraut und sie ist uns in Mark und Bein übergegangen. Wir wollen euch nun mal kurz unsere Bürotür öffnen und euch zeigen, woran wir gerade arbeiten und wie die nähere Zukunft aussieht.

Wir tauschen unser HTTPS-Frontend aus

Inzwischen ist es spruchreif: Wir tauschen unser HTTPS-Frontend aus. Bisher haben wir auf [Pound] 3 gesetzt, mit Uberspace 7 setzen wir auf [nginx] 4. Das bringt folgende Vorteile:

Write the Docs Europe 2016 in Prag

Thu, 29 Sep 2016 11:21:54 +0000

Jonas und ich waren in der letzten Woche in Prag, um die Write the Docs Europe zu besuchen. Es war für uns beide die erste Write the Docs und, um das schonmal vorwegzunehmen, sicher nicht die letzte!

Warum eine Doku-Konferenz?

Wir wollen unsere Dokumentation verbessern. Nicht, dass sie schlecht wäre, wirklich gut ist sie aber eben auch nur bedingt. Ich weiß, viele von euch mögen sie sehr und ich auch, aber unsere wachsende Popularität stellt uns da gleich vor mehrere Herausforderungen:

Eine Runde mit dem Paternoster gefällig?

Wed, 14 Sep 2016 12:40:00 +0000

Wie ihr im aktuellen Blogpost der Uberspace-7-Reihe lesen könnt, ändert sich im Bereich unserer Shellscripts gerade eine ganze Menge. Aus Config-Dateien werden Ansible-Facts, aus Bash werden Playbooks oder Python-Skripte. Um all diese Teile wieder unter einen Hut zu bekommen, müssten wir einen Ausflug in die Softwareentwicklung machen.

Viele unserer Features - wie das allseits beliebte uberspace-add-domain - erfordern, dass wir euch mehr Rechte einräumen, als ihr eigentlich haben dürft. Auf diesem Weg könnt ihr beispielsweise mit uberspace-add-domain auf die Konfiguration unseres Webservers oder mit uberspace-add-port auf das iptables-Ruleset in engen Grenzen und indirekt, aber dennoch schreibend, zugreifen.

Straßenkampf

Sun, 21 Aug 2016 17:29:40 +0000

tl;dr: Wir stehen am Standort rh-tec (95.143.172.0/24) so massiv unter Beschuss, dass derzeit ein Nullrouting des kompletten IPv4-Netzes den Stand der Dinge darstellt - es ist also aktuell nichts mehr per IPv4 erreichbar. Die Erreichbarkeit per IPv6 ist derzeit weitestgehend unbeeinträchtigt. Gestern wurde zudem die IP von uberspace.de selbst attackiert; das scheint derzeit aber weitestgehend im Griff. Update: Seit ca. 17:35 Uhr kriegen wir wieder Traffic durch; ob die Angreifer nur pausieren oder die Angriffe damit vorbei sind, ist aber nicht einschätzbar. Update 2: Ab ca. 22:45 Uhr gab es nun auch im Netz von uvensys hohen Paketverlust; während die dortige Technikerbereitschaft daran arbeitet, werden offenbar auch auf rh-tec auch wieder Attacken gefahren. Update 3: Seit 22.8. ca. 9:45 Uhr werden wieder IPs in unserem Netz bei Plus.line attackiert; das betrifft nur wenige User-Hosts, aber uberspace.de selbst.

Uberspace 7 - Episode 4

Tue, 16 Aug 2016 11:43:43 +0000

From stateful to stateless - the whole enchilada

Bei Uberspace habt ihr die Möglichkeit, eure eigenen Domains aufzuschalten, Ports in der Firewall zu öffnen und Zertifikate einzutragen. Bei all diesen Aktionen interagiert ihr mit Konfigurationsdateien, auf die ihr eigentlich keinen Zugriff habt - mit dem Webserver, unserem HTTPS-Frontend und der Firewall.

Wo mehr Plattenplatz her kommt

Tue, 09 Aug 2016 14:12:56 +0000

Als wir mit Uberspace angefangen haben, haben wir bekanntermaßen nicht damit gerechnet, dass das so groß wird. Das führte zu ein paar Fehlkalkulationen unsererseits, die verschiedene Probleme aufgeworfen haben, wovon die meisten aber schon lange gelöst sind. Ein hartnäckigeres Problem war das mit dem Plattenplatz. Zu Anfang hatten wir unseren VMs jeweils nur 400 GB Speicher zugewiesen, was sich im Verhältnis zu der Menge an Usern die wir auf die Server gelassen haben als Fehlkalkulation bei der Mischkalkulation herausgestellt hat (Rimshot). Wir lassen keine neuen User mehr auf diese Server, aber auch für die schon vorhandenen User ist der Platz zu knapp und wir müssen ihn vergrößern. Das ist allerdings leider nicht so einfach wie es vielleicht klingt.

httpoxy auf Uberspace

Mon, 18 Jul 2016 20:57:01 +0000

Wie ihr sicherlich schon auf Hackernews oder anders wo gelesen habt, kursiert gerade eine “neue” Lücke für diverse GCI-Applikationen im Netz: httpoxy.

Konkret geht es darum, dass der Proxy-HTTP-Header des Clients aufgrund der CGI-Spezifikation in der Umgebungsvariable $HTTP_PROXY landet. Diese wird von unzähligen Applikationen dazu benutzt, Verbindungen nach außen aufzubauen. Somit hätte ein potentieller Angreifer die volle Kontrolle über diese Aufrufe, die zum Beispiel die API eines Zahlungsanbieters als Ziel haben können.

Uberspace 7 - Episode 3

Wed, 13 Jul 2016 17:15:19 +0000

In Uberspace 7 - Episode 2 haben wir das Thema Tests angerissen:

Nachdem Features definiert wurden sollte man anfangen, Tests zu schreiben und damit die Anforderungen an die Features genau definieren.

Aber wie sieht so ein Test eigentlich aus? Beispiel: Jeder User bekommt mit seinem Account eine Mailbox, die er mit seinem SSH-Kennwort abrufen kann. Ein Test dafür würde folgendermaßen aussehen:

Einen User auf dem Server anlegen
Ein SSH-Passwort setzen
Eine Mail an User schicken
Der User loggt sich per IMAP ein
User holt Mail 1 per IMAP ab (Es kann nur eine Mail da sein, der User ist ganz frisch angelegt und das Postfach war vor der Testmail leer)
Wir überprüfen den Inhalt der Mail auf einen bestimmten String
Profit!

Diesen Test haben wir mit Ansible realisiert. Und jetzt mal Butter bei die Fische, so sieht das in Code aus: Die Variablen testuser und dummypassword haben wir bereits an anderer Stelle definiert, in ansible_fqdn steht der Hostname des Servers. <{{ testuser }}@{{ ansible_fqdn }}> ist also die E-Mail-Adresse des Testusers.

Performance des Hosts Sirius in den letzten Tagen

Fri, 24 Jun 2016 08:17:05 +0000

Wie eine Hand voll User bemerkt haben, lief es in den letzten Tagen auf dem Host “Sirius” nicht ganz so rund, wie wir es selbst gerne hätten. Konkret hatten wir dort seit Dienstag Mittag mit einer erhöhten Load- und I/O-Werten zu kämpfen.

Wir möchten hier bei den betroffenen Sirius-Ubernauten um Entschuldigung bitten, euch erzählen warum das überhaupt der Fall war und auch ein bisschen darüber aufklären, wie wir im Allgemeinen mit solchen Problemen umgehen.

Uberspace 7 - Episode 2

Mon, 20 Jun 2016 12:37:48 +0000

Vielleicht fragt ihr euch, wie man so ein System denn überhaupt entwirft, was die einzelnen Phasen der Entwicklung sind und wie unsere Arbeitsweise so aussieht. Mit herzlichen Grüßen aus dem Bergwerk folgt hier ein kleiner Einblick in unsere tägliche Arbeit und den aktuellen Stand der Dinge.

Die Phasen der Entwicklung

… und was wir anders machen würden, wenn wir nochmal von vorne anfangen würden.

QR-Codes FTW

Fri, 10 Jun 2016 16:34:18 +0000

Der Verwendungszweck von Überweisungen ist ein täglicher Quell der Überraschung: Entgegen unserer Bitte, einfach nur “Uberspace Username” in den Verwendungszweck zu packen, erhalten wir täglich ein Bündel Überweisungen mit so schönen Angaben wie “Für meine Internetseite”, “für 6 Monate, vielen Dank”, “Verwendungszweck” (!) oder allen möglichen Schreibweisen, die teilweise plausibel auf kreative Handschrifterkennung der Bank hinweisen. In erster Linie ist das zum Nachteil des Accountinhabers, denn während Buchungen, deren Verwendungszweck dem vorgegebenen Schema entspricht, automatisiert eingebucht werden, landet alles andere in einer manuellen Nachkontrolle, wird also ggf. erst etwas später gutgeschrieben oder landet im schlechtesten Fall in den offenen Buchungen, wenn wir keinen passenden Account ermitteln können.

Uberspace 7 - Episode 1

Fri, 13 May 2016 10:11:22 +0000

Die Sache mit den ETAs

Eines unserer Grundprinzipien ist: Wir geben keine ETAs. Features kommen, wenn sie fertig sind und nicht zu versprochenen Zeitpunkten. Wir sind der Meinung, dass es nicht gut sein kann, unter Zeitdruck an etwas zu arbeiten und sind fertig, wenn wir eben der Meinung sind, dass wir fertig sind; wenn wir soweit hinter unserer Arbeit stehen, dass wir sie vertreten können und gut finden. Wir haben kein Venture Capital und keine Abteilung im Rücken, die darauf pocht, neue Features schnellstmöglich und unpoliert auf den Markt zu werfen und profitabel zu machen. Daher nehmen wir uns die Zeit, die wir eben brauchen und finden diese Herangehensweise richtig und wichtig. Allerdings haben wir bei einer Sache mit diesem Grundprinzip gebrochen und das ist Uberspace 7. Unser erster ETA war Ende 2015, dann war es Anfang 2016. Jetzt haben wir daraus gelernt und wollen euch in einer Reihe von Blogeinträgen ein wenig an unserem Lernprozess teilhaben lassen und erklären, warum das alles (gefühlt) so schrecklich lange dauert. Aber erst mal ein Schritt zurück: Uberspace 7?

Uberspace-Sticker, die Zweite!

Wed, 23 Mar 2016 15:39:07 +0000

Auf dem 32c3 haben wir erstmals unsere Uberspace-Sticker verteilt. Die Nachfrage dort war so groß, dass sie uns nach 2 Tage schon wieder ausgegangen sind. Nach dem Event hat sich die Tatsache, dass es jetzt Sticker von uns gibt, relativ schnell rumgesprochen, sodass wir einen Haufen Anfragen dazu bekamen. Letzten Endes haben wir “klein beigegeben”, das ganze offiziell gemacht und aufgrund der Anzahl der Anfragen eine eigene Queue in unserem Ticketsystem eingerichtet.

Post Mortem: Ausfall eines unserer Backuphosts

Fri, 11 Mar 2016 11:05:41 +0000

Am Mittwochabend des 9. März meldete unser Monitoring, dass einer unserer Backupserver nicht mehr zu erreichen ist. Nachdem auch Loginversuche über die Remote-Management-Karte (IPMI) nicht möglich waren, blieb uns nur der Weg des Neustarts des Systems. Auf diesem Backupserver befanden sich zum Zeitpunkt des Ausfalls die Dateisystem-Backups von 11 Uberspace-Hosts.

Nach dem Reboot haben wir festgestellt, dass eine der vier Backuppartitionen Fehler aufwies, weshalb die Partition dann wieder ausgehängt wurde um eine Überprüfung des Dateisystems durchzuführen. Gesagt, getan.

Mehr für Selbermacher

Tue, 16 Feb 2016 11:30:25 +0000

Eines der (wenigen) Dinge, die ich von meinem Studium mitgenommen habe ist: Was mehr als zwei mal getan werden muss, sollte automatisiert werden. Und damit geht es wohl in keiner Branche so sehr darum, sich selbst abzuschaffen, wie in unserer. Nach dem automatisiertem Zertifikatsimport haben wir uns natürlich nicht zurück gelehnt und die Füße baumeln lassen, sondern die durch die weggefallenen Supportanfragen gewonnene Zeit genutzt, um munter weiter in die Tasten zu hauen. Et voilà: Jetzt ist es soweit. Es hat sich ein bisschen etwas getan hinter den Kulissen:

Kuck mal wer da hört - OpenSSH 7.1

Thu, 21 Jan 2016 15:11:02 +0000

Wir werden in den nächsten Tagen ein Update von OpenSSH auf Port 22 auf Version 7.1 vornehmen. In den aktuellen Versionen von OpenSSH ist DSA standardmäßig deaktiviert und wir werden diese Konfiguration übernehmen, da DSA schon lange als unsicher gilt und uns daher ein Dorn im Auge ist. Solltest du also (immer noch) DSA-Schlüssel für den SSH-Login verwenden, ist es jetzt an der Zeit, diese schnellstmöglich austauschen. Im Wiki beschreiben wir, wie du dir einen RSA-Schlüssel mit 4096 Bit generieren kannst.

Ein paar Details zu aktuellen Störungen

Fri, 11 Dec 2015 11:46:31 +0000

In der letzten und der laufenden Woche gab es bei uns mehrere Ausfälle, bei denen jeweils KVM-Wirte, auf denen wir in der Regel drei bis vier Uberspace-Hosts betreiben, spontan weggebrochen sind. Vorgestern gab es dann noch einen vollkommen bizarren Fuckup auf gleich sieben KVM-Wirten gleichzeitig, der über Stunden zu sehr langsamem I/O auf den betroffenen Systemen geführt hat und dabei nicht nur die direkt darauf laufenden Uberspace-Hosts beeinträchtigt hat, sondern auch die der Failover-Partner nebendran.

🌴 Telearbeit unter Palmen

Tue, 08 Dec 2015 12:35:39 +0000

Wir bei Uberspace haben - wie ihr vielleicht wisst - kein festes gemeinsames Büro (Die Firmenanschrift in Mainz ist lediglich Jonas’ Anschrift, bei der wir uns zwar alle ab und zu einfinden, dann aber nicht direkt bei ihm einziehen), sondern arbeiten an ganz unterschiedlichen Orten: Von Zuhause, wo das Fahrrad uns hinträgt, im Coworking Space, auf dem Sofa, im Café, im Garten, kurz gesagt: Wo wir eben wollen und wo es Internet gibt. Nachdem ich letztes Jahr bereits einen Monat mit meinem Rucksack durch Thailand geschlendert bin, habe ich dieses Jahr das Experiment gewagt, das Angenehme mit dem Nützlichen zu verbinden, aus einem Monat Aufenthalt zwei Monate zu machen und zwischendurch auch mal zu arbeiten.

Kurz und schmerzlos: PHP 7

Mon, 07 Dec 2015 10:17:40 +0000

Wir haben haben das erste Release von PHP 7 (also die 7.0.0) auf alle unsere Hosts verteilt. Aktiviert werden kann es wie gewohnt:

$ echo PHPVERSION=7.0 > ~/etc/phpversion
$ killall php-cgi

Wichtig: Wer sich eine eigene php.ini angelegt hat, sollte jene durch eine frisch angelegte Version auf Basis der zentralen php.ini ersetzen und ggf. vorgenommene Erweiterungen dort erneut vornehmen, ansonsten dürfte insbesondere der opcache-Support, für den ein Modul über die php.ini geladen wird, nicht funktional sein. Wer eigene PECL-Module kompiliert hat, muss jene für PHP 7 neu bauen, da sich die API-Version geändert hat (von 20131226 auf 20151012).

Let's Encrypt rollt an - auch bei uns

Fri, 04 Dec 2015 15:07:38 +0000

Achtung! Dieser Blogpost ist die Ankündigung unseres Let’s Encrypt-Supports. Leider haben sich seitdem einige Details wie z.B. der lesencrypt-renewer geändert, sodass die Informationen hier nicht mehr sonderlich aktuell sind. Stattdessen bitten wir dich, einen Blick auf den zugehörigen Wiki-Artikel zu werfen, welchen wir stets auf dem neuesten Stand halten.

Das Wichtigste in Kürze.

Let’s Encrypt?

Für alle, die in den letzten Wochen unter einem Stein gelebt haben: Let’s Encrypt ist eine Initiative, die kostenlos und automatisiert Zertifikate ausstellt, die z.B. für HTTPS nutzbar sind.

Automatisierter Zertifikatsimport

Tue, 01 Dec 2015 13:23:46 +0000

Ihr könnt (und sollt!) bei uns ja nun schon lange eigene TLS-Zertifikate für den Webserver benutzen, jedoch war das bisher immer mit einer Mail an den Support verbunden, nach der wir das Zertifikat dann einbinden. Wir haben das bisher nicht etwa so gehandhabt, weil wir zu faul waren, uns etwas anderes zu überlegen oder weil wir euch ärgern wollten, das hatte schlicht sicherheitstechnische Hintergründe: Die Zertifikate werden in unser HTTPS-Frontend Pound eingepflegt und das betrachten wir als außerordentlich kritische Infrastruktur, bei der wir so wenig Angriffsvektoren wie möglich öffnen wollen. Da es ja nun aber doch so aussieht, als ob die freie Verfügbarkeit von TLS-Zertifikaten für jeden direkt vor der Tür steht und wir dies soweit wie möglich automatisieren wollen, haben wir uns mal ein paar Gedanken gemacht, wie das mit dem Zertifikatsimport (so weit wie möglich) ohne unser Zutun ablaufen kann.

Node.js 4.2.2 LTS und 5.1.0

Tue, 01 Dec 2015 07:51:23 +0000

Nur kurz zur Info: Node.js 4.2.2 LTS und 5.1.0 Stable sind erschienen und nun auch bei uns verfügbar.

Unter den Symlinks unter /package/host/localhost ist hinzugekommen:

nodejs-5 -> nodejs-5.1.0

Angepasst haben wir:

nodejs-4 -> nodejs-4.2.2

Das Spiel kennt ihr: Wenn ihr nodejs-4 oder nodejs-5 in eueren Scripten benutzt reicht es, den Dienst einfach neu zu starten.

Der Default bleibt bis auf weiteres node-0.10 da wohl noch einige Zeit ins Land gehen muss, bis die meisten Projekte Support für Node.js (4|5) eingebaut haben…

Reisebericht: Velocity Conf Amsterdam

Fri, 06 Nov 2015 19:14:00 +0000

Daniel und Mic haben bereits in der vorletzten Woche Amsterdam besucht, um an der Velocity Conference teilzunehmen. Der Verlag O’Reilly organisiert an mehreren Orten auf der Welt regelmäßig dieses Event, bei dem es um Web Performance und DevOps geht. Thematisch war das für uns super interessant und es gab viele erfrischende Eindrücke.

Amsterdam ist eine großartige Stadt gerade für Geeks wie uns, die Straßenverkehr und Infrastruktur besonders interessant finden. Es ist ein tolles Gefühl, durch die Straßen zu gehen und Myriaden von Fahrrädern zu begegnen. Das Fahrrad-Netz in Amsterdam stellt eine mit bedacht entwickelte Verkehrslösung dar und vermag uns ebenso begeistern, wie es das Metro-Netz in Tokyo vor ein paar Monaten konnte.

Das Kapital und die Spezialdienste

Thu, 05 Nov 2015 11:53:36 +0000

TL;DR

Die Telekom baut auf veralteter Infrastruktur, statt Glasfaser
Ihre Peers bittet sie übermäßig zur Kasse
Pakete gehen verloren, die Kunden erhalten zu wenig Leistung
Content-Anbieter konkurrieren um die wenige Bandbreite
Nun sollen wir extra bezahlen, um nicht benachteiligt zu werden

Die verdammte Politik

Das “Netz der Zukunft” ist bei 100 MBit/s nicht gerade zukunftsfähig. Die Glasfaserleitungen könnte man auch endlich in die Häuser verlegen und ohne große Zusatzkosten Gigabit liefern. 100 MBit/s auch im Upload? Nicht mit der Telekom.

Geplante Obsoleszenz oder Fehlkonstruktion?

Tue, 03 Nov 2015 18:06:43 +0000

Vor einigen Wochen ist uns in unserem Rechenzentrum eine über das Netz schaltbare Steckdosenleiste abgeraucht und hat dabei 24 Server abgeschaltet. Die Folgen waren: Downtime der Server für mehrere Stunden (wobei ein Großteil Server mit Failover-Partner waren), 4 kaputte Festplatten und der damit verbundene Ärger und zu guter Letzt der Nachteinsatz mehrerer Kollegen, und das alles nur weil eine Steckdosenleiste von jetzt auf gleich den Betrieb einstellen wollte.

Alleine den Ausfall der Steckdose halte ich persönlich für eine Unding - es handelt sich schließlich um ein 1000-Euro-Gerät einer namenhaften Firma. Hier würde ich erwarten, dass ein Defekt im Gerät nicht die Funktion der gesamten Leiste zum Erliegen bringt. Einzelne Ports vielleicht oder der Verlust der Schaltbarkeit würde ich ja noch akzeptieren, aber dass das Ding einfach ausgeht: Nun ja. Nicht weiter darüber aufregen.

Zum Stand von Let's Encrypt

Fri, 30 Oct 2015 20:03:29 +0000

Derzeit schlagen im Support vermehrt Fragen zum Support von Let’s Encrypt auf, nicht zuletzt seit das Projekt vermelden konnte, nun seine Cross-Root-Signatur von IdenTrust erhalten zu haben, was nicht Wenige damit verwechselt haben, dass es da jetzt produktiv losgeht. Deshalb erstmal die wichtigsten Punkte vorab:

Let’s Encrypt ist weiterhin noch nicht allgemein verfügbar; es gibt lediglich eine Closed Beta. Der Verfügbarkeitstermin ist nach deren aktueller Roadmap ~~der 16. November~~ wohl doch erst der 3. Dezember.
Let’s Encrypt ist eine Zertifizierungsstelle, aus der letztlich ganz genauso Zertifikate rausfallen wie aus jeder anderen Zertifizierungsstelle - Zertifikate, die wir also ganz genauso wie jedes andere Zertifikat kostenlos bei uns einbinden können - heute schon.
User, die das Glück haben, am Beta-Programm von Let’s Encrypt teilnehmen zu können, tun das auch bereits.
Ja, wir haben vor, Let’s Encrypt bei uns zu unterstützen, und um diesen Aspekt dreht sich dieser Blogpost.

Wenn davon die Rede ist, dass wir Let’s Encrypt bei uns unterstützen wollen, dann meint das weniger, dass wir deren Zertifikate unterstützen, denn in dieser Hinsicht unterscheidet sich Let’s Encrypt ja nicht von jeder anderen CA. Es bedeutet vielmehr, dass wir deren Validierungsprozess bei uns einbinden möchten, mit dem Ziel, dass User im Prinzip nur noch sowas wie uberspace-letsencrypt (oder sowas in der Richtung) eingeben müssen, und wir kümmern uns darum, ihnen automatisiert einen Account bei Let’s Encrypt zu verschaffen, die Challenges für die Validierung zu erledigen, Key und CSR zu erstellen und das Zertifikat bei uns einzubinden. Soweit der Plan, und wir arbeiten bereits seit einiger Zeit daran, das umzusetzen; ist aber noch nicht fertig. Das macht aber ja nichts, denn Let’s Encrypt selbst ist ja auch noch nicht fertig, d.h. die Zertifikate, die man derzeit von deren Staging-API beziehen kann, tragen ohnehin noch keine Signatur, der Browser vertrauen würden (das ist nur bei den Zertifikaten des Beta-Programms der Fall).

Überarbeitung des Prozesskillers

Thu, 22 Oct 2015 08:22:41 +0000

Uberspace ist eine Shared Hosting-Umgebung, bei der alle nach gewissen Spielregeln spielen müssen. Es liegt in der Natur der Sache: Ressourcen auf unseren Servern sind - wie überall - begrenzt (wenn auch sehr großzügig dimensioniert) und ab und zu müssen wir der Fairness wegen eingreifen. Das gilt zum Beispiel, wenn ein einzelner Prozess überproportional viel RAM belegt - hier kommt unser Prozesskiller ins Spiel.

Den Prozesskiller gibt es schon lange. Anfangs werkelte er stillschweigend bei uns im Hinterzimmer, seit einiger Zeit verschicken wir auch Mails, wenn wir einen Prozess beenden. Bisher gab es bei 500MB RAM-Belegung eine Warnmail, dass wir den Prozess bald beenden werden, und bei 600MB RAM-Belegung den Abschuss und eine entsprechende Nachricht im Posteingang. Jeder, der schon einmal eine Mail mit einem ähnlichen Betreff wie

Node.js 4.2.0

Tue, 13 Oct 2015 12:28:27 +0000

Zwei mal drei macht vier,

widewidewitt und drei macht neune,

ich mach mir die Welt,

widewide wie sie mir gefällt.

Vielleicht haben die Macher von Node.js zu viel Pippi Langstrumpf gelesen, vielleicht aber auch nicht, wer weiß das schon. Fest steht: rechnen können sie nicht. Nach Node.js 0.10 und 0.12 kommt nun also Version 4. Und weil 4.0 auch schon wieder veraltet ist, gibt’s bei uns nun Node.js 4.2.0.

Go go Gopher!

Tue, 29 Sep 2015 10:12:29 +0000

Keine Sorge, wir führen nicht das olle Gopher-Protokoll wieder ein*.

In jüngster Zeit häufen sich dafür Fragen zu Go bei uns im Support. Viele Entwickler scheinen Gefallen an der modernen, performanten Programmiersprache von Google gefunden zu haben und wir freuen uns natürlich über jeden, der bei Uberspace seine Apps entwickelt oder sich neue Programmiersprachen aneignet. 👍

Wir haben unsere Dokumentation für Go daher grundlegend überarbeitet: Go ist nun kein Nebensatz mehr in unserer FAQ, sondern hat seinen eigenen Artikel im Wiki und spielt bei uns damit nun in einer Liga mit Python, Ruby, nodejs, PHP, Erlang und Perl mit.

Roundcube 1.1.3

Wed, 16 Sep 2015 12:59:36 +0000

Wir haben auf allen Hosts Roundcube (also das Webmail-Interface auf https://webmail.$servername.uberspace.de) auf die neueste Version gehoben. Dabei haben wir einen Versionssprung von 1.0.5 auf 1.1.3 hingelegt und unser Deployment-Setup so angepasst, dass wir in Zukunft mit einem Fingerschnippen Updates einspielen können.

Außerdem haben wir etwas an der Konfiguration geschraubt. Neu hinzu gekommen sind:

// prefer displaying HTML messages
$config['prefer_html'] = false;
// display remote inline images
// 0 - Never, always ask
// 1 - Ask if sender is not in address book
// 2 - Always show inline images
$config['show_images'] = 1;
// save compose message every 60 seconds (1min)
$config['draft_autosave'] = 60;
// Add this user-agent to message headers when sending
$config['useragent'] = '';

Diese Einstellungen sind per User im Webinterface änderbar und führen zu mehr Privatsphäre und Sicherheit.

BACKRONYM strikes back

Mon, 31 Aug 2015 20:18:41 +0000

In der Regel verlaufen unsere PHP-Minor-Updates praktisch unbemerkt; so auch unser gestriges Update von PHP 5.6.10 auf 5.6.12 - unbemerkt, bis auf einen Fall: Die PHP-Applikation eines Users weigerte sich spontan, noch eine Datenbankverbindung mit mysql_connect() aufzubauen, obwohl die Zugangsdaten mehrfach kontrolliert wirklich gestimmt haben. Die erstaunliche Meldung:

MySQL server has gone away

… und zwar bereits direkt zum Verbindungsaufbau, noch bevor der Client irgendwas an den MySQL-Server gesendet hat. Und jetzt der spannende Teil: Ein Downgrade auf PHP 5.6.10 behebt das Problem; die Verbindung kommt einwandfrei zustande.

Neue PHP-Versionen ... und ja, auch die 7.0.0RC1

Sun, 30 Aug 2015 16:49:45 +0000

Wir haben mal wieder einen Schwung PHP-Updates verteilt, und zwar folgende Versionen:

5.6.12
5.5.28
5.4.44

Und außerdem erstmalig mit dabei, Trommelwirbel:

7.0.0RC1

Letzteres ist “bleeding edge” und seitens der PHP-Entwickler ausdrücklich noch nicht für den produktiven Einsatz vorgesehen. Unser Default bleibt insofern auch weiterhin noch die neueste stabile Version 5.6.

Wir haben bei den Versionen gegenüber unserer bisherigen Setups ein bisschen getweakt und haben bz2-Support nun direkt einkompiliert, so dass man den nicht mehr via PECL nachinstallieren muss, und aufgrund einiger (weniger) Anfragen auch den gmp-Support aktiviert.

Reboots

Fri, 14 Aug 2015 15:03:29 +0000

Ein Bug im libvirt-Paket von CentOS 6 hat zur Folge, dass wir in den nächsten Nächten leider 24 unserer Server rebooten müssen. Betroffen sind diese Server: alphard, avior, diphda, markab, mirfac, regulus, eltanin, enif, arcturus, alioth, alkaid, dubhe, peacock, sabic, suhail, bellatrix, acrux, betelgeuse, alnilam, alpheca, shaula, elnath, gienah und schedar. (Mist, schon wieder Appetit auf Käse.)

Hier sollen kurz die Gründe erläutert werden und bei der Gelegenheit mal ein genereller Überblick über das gegeben werden, was wir im Punkto Reboots in nächster Zeit vorhaben, denn wir planen Reboots in Zukunft deutlich häufiger durchzuführen als bisher und das ganze besser zu Kommunizieren.

Warum Default-Passwörter ein Übel sind

Thu, 13 Aug 2015 19:12:07 +0000

Ein spannender Fall aus dem Support, der hervorragend vorführt wieso Default-Passwörter ein Übel sind, so früh wie möglich geändert werden sollten und warum es besser ist Software von vornherein so zu schreiben, dasss sie ohne auskommt:

Ein User hatte sich nach der in unserem Wiki verlinkten Anleitung eines anderen Users OpenProject eingerichtet. Als ich mir die Sache später anschaute, sah es zunächst so aus als habe er einen wichtigen Punkt aus der Anleitung übersprungen:

Upgrade unseres HTTPS-Frontends

Thu, 06 Aug 2015 15:35:22 +0000

tl;dr

Wir haben unser HTTPS-Frontend Pound von Version 2.6 auf 2.7 aktualisiert um zeitgemäße Diffie-Hellman-Parameter von 4096 Bit Größe zu unterstützen.

Wenn du Probleme feststellst, die womöglich durch dieses Upgrade entstanden sind, wende dich einfach mit möglichst vielen Details an hallo@uberspace.de! :)

Hinweis: Das Upgrade geschieht in inkrementellen Schritten. Wenn dein Uberspace-Host mit CentOS 6 also nicht sofort als 4096 Bit DH-Parameter unterstützend beim SSL-Test der SSL Labs erkannt wird, dann folgt das Upgrade auf Pound 2.7 auf diesem Host im Laufe der nächsten 24 Stunden. (siehe Update #2)

Das Problem beim Kompilat mit gcc

Wed, 22 Jul 2015 11:07:39 +0000

Seit jeher animieren wir unsere User mit ihren Uberspaces mehr anzustellen, als out-of-the-box möglich ist und sich selbst und uns damit zu überraschen. Dazu gehört unter anderem: Installiert euch doch an Software was ihr wollt. In den allermeisten Fällen ist es gar nicht notwendig, einen root-Account zu haben, mit ein bisschen Geduld und Spucke - und wenn der Quellcode vorliegt - kann man eigentlich alles auch im Userspace installieren. Und hier gilt: Viele Wege führen nach Rom: Man kann entweder alles per Hand frickeln oder aber - wenn’s denn etwas bequemer sein soll - per toast oder brew. Wir sind der Meinung: Macht’s euch lieber bequem 🍸.

node.js 0.12.7 und 0.10.40

Wed, 08 Jul 2015 13:29:04 +0000

Same procedure as every ~~year~~ month: ~~Ein~~ Zwei frische node.js Versionen sind auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki. Die Updates beinhalten unter anderem einen Fix für OpenSSL CVE-2015-1793

Unter den Symlinks unter /package/host/localhost haben wir angepasst:

nodejs-0.12 -> nodejs-0.12.7
nodejs-0.10 -> nodejs-0.10.40

Wie gehabt bleibt vorerst (wobei wir darüber nachdenken, das bald bald mal zu ändern und auf Version 0.12 zu gehen):

nodejs-0 -> nodejs-0.10

Wenn ihr also nodejs-0.12 oder nodejs-0.10 in eueren Scripten benutzt reicht es, den Dienst einfach neu zu starten.

Die Sache mit der Quota und den Datenbanken

Mon, 22 Jun 2015 17:50:00 +0000

Quota ist die technische Bezeichnung für die Menge an Speicherplatz, die dir zur Verfügung steht. Alle Uberspaces haben eine Quota von zehn GB. Falls diese Überschritten wird, legen wir eine Woche lang noch ein GB drauf, danach ist aber wirklich Schluss. In dem Fall schicken wir eine Mail an den Systemuser und sobald die Quota wieder unterschritten ist gibt’s natürlich auch eine Entwarnung per Mail.

Die Quota bezieht alles mit ein: Dein Home-Verzeichnis ~/ (und damit auch deine Mails), deinen DocumentRoot /var/www/virtual/$USER, deine Dateien unter /tmp und eben auch deine Datenbanken.

Ruby Update

Wed, 17 Jun 2015 16:15:48 +0000

Drei Wünsche auf einmal

Soeben haben wir die jeweils neueste Version des Ruby-Interpreters in den drei aktuellen API-Leveln installiert:

Ruby 2.2.2
Ruby 2.1.6
Ruby 2.0.0-p645

Dies beinhaltet auch ein Sicherheits-Update, das zugegebenermaßen bereits überfällig war. Wir geloben Besserung und werden euch von nun an neue Versionen möglichst zeitnah^Wbald bereitstellen.

LinuxCon Japan 2015

Tue, 16 Jun 2015 15:19:31 +0000

Moritz und ich, wir haben es uns gegönnt und sind für eine Woche nach Tokyo geflogen. Dort haben wir der LinuxCon Japan einen Besuch abgestattet, bei der auch für uns einige interessante Themen dabei waren. Außerdem sind wir der Meinung, dass Tokyo eine großartige Stadt ist, die man mal gesehen haben muss.

So sind wir vergangene Woche Montag in den Flieger gestiegen und haben uns die Tortur angetan, über 16 Stunden in einen Flugzeugsitz eingeklemmt zu verbringen. Der Flug ging über Istanbul nach Tokyo Narita, den im Osten der Stadt gelegenen Flughafen. Zusammen mit der Zeitverschiebung sind wir erst am Abend des Dienstag angekommen, so dass wir uns auf eine Nudelsuppe und mehr noch auf ein Bett freuten. Aber die erste Attraktion der Stadt lag bereits auf dem Weg und war unausweichlich.

Redis 3.0.2 und 2.8.21

Fri, 12 Jun 2015 12:11:09 +0000

Wo wir gerade dabei sind: Neu angelegte Redis-Datenbanken gibt’s ab sofort in Version 3.0.2.

Für bereits vorhandene Datenbanken musst du etwas tricksen: Passe deine ~/service/redis/run-Datei auf den neuen Pfad an, aus …

#!/bin/sh
redis-server ~/.redis/conf 2>&1

… mache für Version 2.8.21….

#!/bin/sh
export REDISPATH="/package/host/localhost/redis-2"
exec $REDISPATH/bin/redis-server ~/.redis/conf 2>&1

… oder für die Mutigen:

#!/bin/sh
export REDISPATH="/package/host/localhost/redis-3"
exec $REDISPATH/bin/redis-server ~/.redis/conf 2>&1

… damit springst du von Version 2 auf Version 3. Da Versionssprünge auf andere Major-Versionen unter Umständen schief gehen können, raten wir dir ausdrücklich dazu, bei Version 2 zu bleiben - es sei denn, du weißt, was du tust.

Python 2.7.10, 3.4.3 und 3.5.0

Fri, 12 Jun 2015 11:54:27 +0000

Aktuelle Versionen von Python sind auf alle Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki.

Unter den Symlinks unter /package/host/localhost haben wir angepasst:

python-2.7 -> python-2.7.10
python-3.4 -> python-3.4.3

Neu hinzugekommen ist python-3.5. Außerdem haben wir geändert:

python-3 -> python-3.4

Wenn du also python-2.7, python-3.4, python-2 oder python-3 als Pfadangabe in deinen Scripten benutzt, reicht es, deinen Dienst einfach neu zu starten. Sobald wir sicher sind, dass der Sprung von Version 3.4 auf 3.5 nichts kaputt macht, werden wir python-3 auf python-3.5 legen.

Time to relax: CouchDB 1.6.1

Thu, 11 Jun 2015 07:57:45 +0000

Updates, Updates, Updates. Wer will noch mal, wer hat noch nicht?

Eine frische CouchDB ist auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki.

Neu angelegte Datenbanken gibt’s ab sofort in Version 1.6.1, für bereits vorhandene Datenbanken müsst ihr etwas tricksen: Passt eure ~/service/couchdb/run-Datei auf den neuen Pfad an. Aus …

export COUCHPATH="/package/host/localhost/couchdb-1.5/"

… mach …

export COUCHPATH="/package/host/localhost/couchdb-1.6/"

Dann noch ein beherztes …

[moritz@andromeda ~]$ svc -du ~/service/couchdb

Er voilà:

[moritz@andromeda ~]$ tail ~/service/couchdb/log/main/current | tai64nlocal
2015-06-11 09:54:45.707333500 Apache CouchDB 1.6.1 (LogLevel=info) is starting.
2015-06-11 09:54:45.940712500 Apache CouchDB has started. Time to relax.

Erlang/OTP 17.5

Thu, 11 Jun 2015 07:46:35 +0000

Ein frisches Erlang ist auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki.

Unter den Symlinks unter /package/host/localhost haben wir angepasst:

erlang -> erlang-17
erlang-17 -> erlang-17.5

Wenn ihr also erlang in eueren Scripten benutzt, reicht es, den Dienst einfach neu zu starten.

Alternativ zur Angabe des vollen Pfades könnt ihr eure .bash_profile anpassen. Wenn ihr euch da auf die Major-Version 17 festlegen wollt, ginge das per …

PATH=/package/host/localhost/erlang-17/bin:$PATH

Das hat den Vorteil, dass du Minor-Releases ohne Zutun bekommst und immer auf dem aktuellen Stand bist: Wenn wir z.B. Version 17.6 verteilen, brauchst du deine Scripte nur neu starten und bist automatisch auf der neuen Version.

node.js 0.12.4

Wed, 10 Jun 2015 13:27:02 +0000

Kurz und schmerzlos wie immer: Ein frisches node.js ist auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki.

Unter den Symlinks unter /package/host/localhost haben wir angepasst:

nodejs-0.12 -> nodejs-0.12.4

Wie gehabt bleibt vorerst:

nodejs-0 -> nodejs-0.10

Wenn ihr also nodejs-0.12 in eueren Scripten benutzt reicht es, den Dienst einfach neu zu starten.

Mit dem Jobrad ins Büro

Mon, 08 Jun 2015 11:21:00 +0000

Eigentlich war ich auf der Suche nach einem günstigen Fahrrad für den Winter. Irgendwie muss man als oft vor dem Rechner sitzender Admin ja fit halten. Die durch viel Schweiss und etwas Disziplin im letzten Jahr verlorenen 12kg sollten über den Winter ja nicht schleichend eine Rückkehr feiern können.

Nachdem es im letzten Sommer bereits ein modernes Alu-Rennrad wurde, gesellte sich im Herbst ein klassischer Stahl-Renner zu meiner Sammlung.* Im Winter sollte es dann aber ein Fahrrad mit Profilreifen und Scheibenbremsen werden, dem auch Schlamm, Schnelligkeit, holpriges Gelände und die Kombination aus all dem nichts ausmachen. Zuerst liebäugelte ich mit einem Mountainbike, dann erschien mir die Faktoren bequemer Sitzposition und agilere Lenkung eines Rennrads aber doch als die bessere Option.

Zugriff auf's Dashboard nach Googles OpenID 2.0-Apokalypse

Wed, 13 May 2015 15:15:06 +0000

Wir haben bereits vermehrt per Twitter darauf hingewiesen und auch Google hat bei jedem OpenID-Login mit einem Google-Account vehement auf das Ende des Supports von OpenID 2.0 hingewiesen und nun, da der 20. April hinter uns liegt, schlagen bei uns die Support-Anfragen auf, dass einige User nicht mehr an das Dashboard ihrer Uberspaces kommen, weil sie sich bisher vollständig auf OpenID verlassen haben.

Für diejenigen, die die Warnung beim Login der letzten Monaten übersehen haben, möchten wir hier kurz erläutern, wie sich der Zugriff auf das Dashboard wiederherstellen lässt - einen SSH-Zugang oder Zugriff auf die primäre Mailadresse vorausgesetzt.

AnsibleFest 2015 in London

Wed, 13 May 2015 11:56:49 +0000

Es ist wahrscheinlich gar kein Geheimnis mehr, dass wir uns seit einiger Zeit intensiver mit Ansible befassen. Dabei wollen wir unsere Infrastruktur Schritt für Schritt mit Ansible modernisieren, um die Provisionierung neuer Uberspace-Hosts zu automatisieren und um einfacher neue Features zu verteilen, die wir dann auch verlässlich mit Updates versehen können.

Um also ein wenig die Community zu beschnuppern und dabei noch einige interessante Vorträge mitzunehmen, hatte ich die Gelegenheit das erste AnsibleFest außerhalb der Vereinigten Staaten zu besuchen. So kam ich in den Genuss, mich einige Tage im mir bis dato unbekannten London umzuschauen und mich an Kleinigkeiten wie der unerwartet hohen Zahl von Radfahrern zu erfreuen.

Kuck mal, wer da hört - OpenSSH 6.8

Fri, 08 May 2015 10:55:34 +0000

Nachdem wir nun drei Monate lang OpenSSH 6.7 getestet haben, sind wir jetzt so mutig und tauschen sshd, der auf Port 22 lauscht, gegen eine aktuelle Version aus: OpenSSH 6.8.

Wir verwenden dabei die folgende Konfiguration:

KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

Netter Nebeneffekt: Wir unterstützten nun ed25519. Alle Hosts haben bereits entsprechende Keys:

HostKey /etc/ssh/ssh_host_ed25519_key

Weiterhin unterstützen wir natürlich noch RSA:

HostKey /etc/ssh/ssh_host_rsa_key

Wir unterstützen kein DSA (mehr) und kein ECDSA. Das Datenblatt ist entsprechend angepasst, hier findet ihr wie gewohnt die Fingerprints. Ebenso werden wir das Host Manifest um die ed25519-Keys erweitern (hier gibt’s dann ein Update im Artikel).

Interview mit ½ Uberspace

Tue, 05 May 2015 11:07:22 +0000

Bei der Garage Bilk ist es üblich, den dort arbeitenden Coworkern die Gelegenheit zu geben, sich einfach mal vorzustellen und ein paar Fragen über die eigene Arbeit zu beantworten. Seit einem Monat arbeiten Mic und ich dort aus einem Startup-Büro heraus und so ergab es sich dann, dass wir auch mal Rede und Antwort stehen sollten. Wie’s der Zufall wollte, waren Jonas und Kim ohnehin auch gerade in Düsseldorf.

So hatten wir also Gelegenheit zu erklären, was wir denn genau tun und warum wir plötzlich ein Büro haben, obwohl wir bisher immer damit angegeben haben, überall arbeiten zu können, wo Platz genug ist um ein Laptop aufzuklappen und wo halbwegs taugliches Internet bereit steht. Die Antworten darauf gibt’s in der Garage Bilk-Community.

Uberspace Host Manifest

Thu, 30 Apr 2015 21:45:16 +0000

Als wir angefangen haben, alle unsere Uberspace-Hosts mit Ansible zu managen, hat uns etwas genervt: das manuelle Abgleichen von SSH-Fingerprints.

Da dachten wir, man könnte ja mal die Liste der Uberspace-Hosts mit ihren IP-Adressen und SSH-Fingerprints automatisch generieren. Diese kann man nun herunterladen, die Signatur überprüfen und die Liste der bekannten SSH-Hosts übernehmen.

Dies kommt nun auch dir zu Gute; denn so hast du auf einen Schlag alle Uberspace-Hosts vorliegen und kannst dich fröhlich auf jeden davon verbinden – ohne nervige Fingerprint-Abfrage.

Feature: MySQL Read-Only User

Thu, 30 Apr 2015 19:35:02 +0000

Ein User hat uns gefragt, ob er nicht einen zusätzlichen MySQL-Zugang haben könne, dessen Zugriffsrechte sich auf lesende Operationen beschränken. Für einen Workshop mit Schülern möchte er Anwendungen auf die Datenbank seines Uberspace loslassen, die dort keine Veränderungen vornehmen sollen.

Keine schlechte Idee – dachten wir uns. Denn für diesen Zweck oder ähnliche Szenarien kann dies durchaus nützlich sein. Aber wenn wir eine solche Funktion realisieren, dann soll sie allen Usern zu Gute kommen. Also haben wir ein neues Feature in Uberspace eingebaut: den MySQL Read-Only User.

node.js 0.12.2

Mon, 27 Apr 2015 12:40:22 +0000

Kurz und schmerzlos: Ein frisches node.js ist auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki.

Unter den Symlinks unter /package/host/localhost haben wir angepasst:

nodejs-0.12 -> nodejs-0.12.2

Wie gehabt bleibt vorerst:

nodejs-0 -> nodejs-0.10

Wenn ihr also nodejs-0.12 in eueren Scripten benutzt reicht es, den Dienst einfach neu zu starten.

Ruby auf 2.2.2 aktualisiert

Sun, 26 Apr 2015 16:28:33 +0000

Kurz zwischendurch: Wir stellen nun auch die Ruby-Version 2.2.2 bei uns bereit, die einen Fix für CVE-2015-1855 beinhaltet. Wer als Pfad zum Ruby-Interpreter den /package/host/localhost/ruby-2.2-Symlink verwendet, braucht nichts weiter zu tun; jener zeigt bereits auf die neueste Version. Wer als Pfad die konkrete Versionsangabe /package/host/localhost/ruby-2.2.0 verwendet, sollte seine .bash_profile entsprechend auf die Version 2.2.2 (oder noch besser auf den 2.2-Symlink) anpassen.

Arbeit am ersten Eindruck

Tue, 14 Apr 2015 14:10:21 +0000

Wir haben ein bisschen gefeilt und die Seite überarbeitet, die einen neuen User direkt nach der Registrierung erwartet. Dabei haben wir versucht, drei wichtige Bereiche abzudecken und jene dahingehend zu verbessern, dass wir eben nicht nur Experten-User haben, sondern auch User, die eben erstmal was lernen wollen und müssen, und denen der Einstieg dafür leicht gemacht werden soll, ohne dabei aber den versierteren Usern Möglichkeiten zu nehmen.

Die Sache mit der E-Mail-Adresse

Wir machen ja bekanntlich durchaus ernst damit, keine persönlichen Daten zu erheben und damit auch keine E-Mail-Adresse. Es liegt aber auf der Hand, dass wir User durchaus auch mal initiativ kontaktieren müssen: Um sie zu informieren, wenn sie ihr Konto aufladen müssen, oder wenn ihr Speicherplatz knapp wird, oder wenn wir z.B. einen ihrer Mailaccounts oder auch ihre Website wegen einer Kompromittierung sperren müssen - ganz besonders aber dann, wenn User keinen Zugang mehr zum Dashboard haben und einen Passwort-Wiederherstellungslink brauchen. Unser Konzept war (und ist weiterhin) das der “primären E-Mail-Adresse” in der Form user@host.uberspace.de, die man sich zwar an eine externe Mailadresse weiterleiten lassen kann, aber eben auch via IMAP abrufen kann, ohne uns dazu irgendwelche Daten von sich bereitzustellen. User, die keine externe Mailadresse hinterlegt haben, haben wir bisher im Dashboard unter dem Punkt “Wichtig” mit dem Titel “Wir erreichen dich noch nicht!” darauf hingewiesen, dass sie ihre primäre Mailadresse abrufen sollten (der Hinweis verschwindet automatisch, wenn die Mailbox in den letzten 30 Tagen einmal abgerufen wurde). Dennoch gibt es im Support leider immer wieder Fälle, wo User ihren Zugang zum Dashboard verloren haben und dann konsterniert feststellen, dass wir tatsächlich keine hellseherischen Fähigkeiten haben und eben wirklich nicht überprüfen können, wem ein Account gehört - eben eine der unpraktischeren Seiten der Datensparsamkeit: Wer keine Daten angibt, was ja legitim ist, sollte dann eben auch wirklich, wirklich sein Passwort nicht vergessen.

Updates: ezmlm-idx 7.2.2

Mon, 30 Mar 2015 19:08:00 +0000

Wer bei uns Mailinglisten betreiben möchte, dem steht es natürlich frei, sich selbst Software wie Mailman oder Sympa zu installieren. Out of the box und mit geladenen Batterien gibt es bei uns seit dem Start von Uberspace aber bereits den Community-Fork ezmlm-idx der von Daniel J. Bernstein geschriebenen Mailinglistenverwaltung ezmlm. Natürlich gibt’s dazu bei uns auch gleich die passende Dokumentation im Wiki, so dass die Installation einer eigenen Mailinglistenverwaltung gar nicht nötig ist, zumal sich ezmlm-idx ganz prima in unser netqmail-Setup integriert. Aber das schöne an freier Software ist ja unter anderem auch die Auswahl, nicht wahr?

Updates: kleiner Versionssprung für adminer

Thu, 26 Mar 2015 13:50:29 +0000

Als schlanke Alternative zu phpMyAdmin hat adminer bei uns gerade ein kleines Update erfahren. Aktuell ist nun die Version 4.2.1. Die (nicht sicherheitsrelevanten) Änderungen findet ihr im offiziellen Changelog.

Wie gewohnt erreicht ihr die jeweilige adminer-Instanz eures Uberspace immer über adminer.$host.uberspace.de. Unsere Testaccounts liegen z.B. auf dem Host andromeda, also erreiche ich die dortige adminer-Installation über adminer.andromeda.uberspace.de. Diese und weitere Angaben gibt’s aber auch immer im Datenblatt.

PHP Update 5.6.6, 5.5.22 und 5.4.38

Tue, 24 Feb 2015 13:05:25 +0000

Wir haben auf allen Hosts PHP in den aktuellen Versionen 5.6.6, 5.5.22 und 5.4.38 ausgerollt. Diese Versionen beheben den Use-After-Free-Bug in der Funktion unserialize(). Weitere Informationen gibt’s im Heise Newsticker.

Unter Umständen muss die Version noch angepasst werden (schaue im Zweifelsfall mal in deine ~/etc/phpversion und wo du schon mal dabei bist: Wir empfehlen dir ausdrücklich, eine Minor-Version zu wählen, also z.B. PHPVERSION=5.6. Das hat den Vorteil, dass du Bugfix-Releases und Sicherheits-Patches ohne Zutun bekommst und immer auf dem aktuellen Stand bist.)

Updates: adminer in Version 4.2.0

Fri, 20 Feb 2015 01:00:23 +0000

Vor rund 2 Wochen wurde die Version 4.2.0 der schlanken phpMyAdmin-Alternative adminer veröffentlicht, die wir gerade auf unsere Hosts verteilt haben.

Kurzer Hinweis: Ihr erreicht adminer übrigens immer über adminer.$host.uberspace.de. Unsere Testaccounts liegen z.B. auf dem Host andromeda, also erreiche ich die dortige adminer-Installation über adminer.andromeda.uberspace.de.

Sicherheit und Kompatibilität

Wed, 11 Feb 2015 19:59:29 +0000

Disclaimer:

Wenn ihr die die Begriffe “eMail” und “sichere Kommunikation” in einem Zusammenhang hört oder lest (und nicht direkt dazu gesagt wird, dass bei eMail eben eine Ende-zu-Ende-Verschlüsselung fehlt), könnt ihr aufhören zuzuhören / zu lesen oder wahlweise auch die Bullshit-Bingo-Karte zücken und mit dem Ausfüllen beginnen.

eMail ist nicht sicher, jedenfalls nicht ohne PGP oder S/MIME, weil es eben an einer Ende-zu-Ende-Verschlüsselung mangelt (das gilt nebenbei auch für De-Mail, egal ob im Gesetz was anderes steht). Die ganze Verschlüsselung die wir heutzutage machen dient nur dazu a) die Passwörter zu schützen und b) es Dritten nicht ganz so leicht zu machen die Mails während sie von Server zu Server übertragen werden mitzuschneiden. Mindestens der Betreiber Eures Mailservers und der Eurer Kommunikationspartner könnten in die Mails reinschauen. Bei eMail ist nicht garantiert, dass der Absender wirklich derjenige ist der er zu sein vorgibt, die Kommunikation ist nicht vertraulich, es ist nicht garantiert dass die Nachricht in einer bestimmten Zeit oder überhaupt ihr Ziel erreicht, es ist nichtmal garantiert dass es in solchen Fällen eine Fehlermeldung gibt

Hallo node.js v0.12.0

Sun, 08 Feb 2015 19:46:49 +0000

Ein frisches node.js ist auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki

Unter den Symlinks unter /package/host/localhost kommt neu dazu:

nodejs-0.12 -> nodejs-0.12.0

Wir belassen 0.8 und 0.10 so wie sie sind:

nodejs-0.8 -> nodejs-0.8.25
nodejs-0.10 -> nodejs-0.10.36

~~Geändert haben wir außerdem:~~ siehe Update vom10.02.2015

nodejs-0 -> nodejs-0.12

Wenn ihr also einen von den obigen Symlinks in eueren Scripten benutzt reicht es, den Dienst einfach neu zu starten, wenn wir mal wieder ein Update ausrollen.

ident: Wissen wer der User ist...

Sat, 31 Jan 2015 20:18:16 +0000

Eigentlich wäre es uns natürlich am liebsten, wenn wir uns im Internet alle zu benehmen wüssten, dass Spam der Vergangenheit angehört und Menschen fair genug miteinander umgehen, ohne die Identifizierung einzelner vereinfachen zu müssen. Leider sind wir von einer solchen Gesellschaft aber noch etwas zu weit entfernt. Wir waren nämlich vor kurzem doch etwas überrumpelt, als nach immerhin 3 Jahren des Uberspace-Betriebs der erste Hinweis auf gerade angeblich akut stattfindendes, missbräuchliches Verhalten eines unserer User bei uns einging.

Routingprobleme beim Standort rh-tec

Sat, 31 Jan 2015 13:51:27 +0000

tl;dr: Hardware-Probleme bei rh-tec haben dazu geführt, dass ein Router Pakete verworfen hat. Anfänglich sah es nach einem Problem aus, das nur Telekom-Kunden betroffen hat. Gegen Mittag breitete sich das auf andere Provider aus, so dass sämtliche Hosts bei rh-tec stellenweise nicht zuverlässig erreichbar waren. rh-tec hat das Problem inzwischen gelöst.

Wir haben seit heute früh eine große Zahl an Störungsmeldungen bezüglich der Nichterreichbarkeit von Servern erhalten. Allerdings stammten diese Meldungen weit überwiegend von Usern aus dem Netz der Telekom (DTAG), während die Erreichbarkeit der Server über andere Zugangsprovider in der Regel nicht betroffen schien. Einzelne Meldungen betrafen zwar auch unter anderem o2, Kabel Deutschland oder Unitymedia; es gab aber auch viele User bei eben jenen Providern, die eine problemlose Erreichbarkeit bestätigten.

PHP Update 5.6.5

Wed, 28 Jan 2015 19:03:01 +0000

Wir haben PHP nun in den aktuellen Versionen 5.6.5, 5.5.21 und 5.4.37 installiert.

$ php -v
PHP 5.6.5 (cli) (built: Jan 28 2015 17:45:40)

Alle Uberspaces haben die neue Version nun zur Verfügung. Je nachdem, wie genau die Version des Interpreters eingestellt wurde, wird die aktuelle Version bereits verwendet. ~~Du musst also vermutlich nichts weiter tun, um sie zu bekommen~~. Standardmäßig bleibt Dein Uberspace jedoch erstmal bei genau der Version, die zur Installation aktuell war.

Update auf node.js v0.10.36

Wed, 28 Jan 2015 10:24:27 +0000

Ein frisches node.js ist auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki

Die Symlinks unter /package/host/localhost sind angepasst:

nodejs -> nodejs-0
nodejs-0 -> nodejs-0.10
nodejs-0.10 -> nodejs-0.10.36

Wenn ihr also einen von den obigen Pfaden in eueren Scripten benutzt, reicht es, den Dienst einfach neu zu starten.

CVE-2015-0235: Updates für GHOST eingespielt

Wed, 28 Jan 2015 03:50:20 +0000

tl;dr: Updates eingespielt, alles ist gut. :)

Aufgepasst: Nutzer der Blogsoftware Ghost können gleich wieder aufatmen. Hier geht es ganz explizit nicht um eine Lücke in Ghost, sondern um eine frische Sicherheitslücke mit dem gleichen Namen, der wir uns ~~entgeistert~~ entledigt haben.

Diese Lücke wurde in spezifischen GNU Lib C (glibc)-Versionen gefunden, die eigentlich bereits 2013 ausgemerzt wurde. Leider ist diese kritische Lücke aber nie als solche aufgefallen, so dass sie nur unbeabsichtigt behoben wurde. In diesem Zeitraum wurden aber ausgerechnet diese Versionen auch in die stabilen Enterprise-Distributionen aufgenommen, so dass nun auch die von uns eingesetzten CentOS 5- und 6-Systeme von dieser Lücke betroffen sind. Aufgefallen ist das erst bei einem internen Audit von Qualys, die bei ihrer weiteren Analyse festgestellt haben, dass sich durch den Aufruf der Funktion gethostbyname ein Buffer Overflow auslösen lässt. Das ermöglicht es, den Speicherbereich eines Programms so zu beschreiben, dass mit den Berechtigungen dieses Programms Code ausgeführt werden kann.

Kuck mal, wer da hört - OpenSSH 6.7

Tue, 27 Jan 2015 16:19:08 +0000

Anfang des Monats gab es einen Blogartikel, der sich mit der Sicherheit und Absicherung von OpenSSH beschäftigt. Wir sind häufig angesprochen worden, ob wir die vorgeschlagenen Änderungen nicht auf unseren Hosts umsetzen können, das ist jedoch etwas einfacher gesagt als getan, denn …

[root@andromeda ssh-6.7]# yum list installed | grep openssh | head -n 1
openssh.x86_64 5.3p1-104.el6_6.1 @updates

… die OpenSSH-Version von CentOS ist leider etwas betagt und die Änderungen setzen mindestens Version 6.7 voraus. Nun ist SSH aber ein so wichtiges System, dass wir nicht Hals über Kopf (wir lernen ja dazu) alle Zöpfe abschneiden wollen.

Ich sehe was, was du nicht siehst

Sat, 17 Jan 2015 22:04:35 +0000

Um die Privatsphäre unserer User zu verbessern, setzen wir bei uns schon seit längerer Zeit die mount-Option hidepid ein, die dafür sorgt, dass User nur ihre eigenen Prozesse sehen können, aber nicht die Prozesse anderer User. Die entsprechende Funktionalität ist zwar erst ab dem Linux-Kernel 3.2+ verfügbar; Red Hat hat sie aber in die Kernelversionen 2.6.18 bzw. 2.6.32 zurückportiert, die bei Red Hat Enterprise Linux und damit auch bei CentOS 5 und 6 zum Einsatz kommen. So weit, so gut.

Ruby 2.2.0 erschienen - auch bei uns, klar

Sun, 28 Dec 2014 17:58:20 +0000

An den Weihnachtsfeiertagen ist Ruby 2.2.0 erschienen, und das haben wir dann auch mal direkt bei uns verteilt. Vom Handling her, was z.B. Gem-Installationen mit --user-install angeht, dürften keine Überraschungen zu erwarten sein. Wie üblich sind die Gems für MySQL, FastCGI und SQLite3 bereits vorinstalliert, wobei wir die Gelegenheit genutzt haben, das SQLite3 in /package auf die aktuelle Version 3.8.7.4 hochzubringen. Viel Spaß mit der neuen Version, und bei Problemen bitte melden!

Brauen oder toasten?

Wed, 17 Dec 2014 15:25:54 +0000

Eher durch Zufall sind wir darüber gestolpert, dass das bei den Mac-Usern in unserem Team sehr geschätzte Tool homebrew nun auch einen Linux-Port hat. Wer Homebrew also bereits auf seinem Mac einsetzt, muss sich nun nicht noch zusätzlich mit toast befassen, um Software zu installieren, die bei uns nicht out of the box oder in einer benötigten Version installiert ist.

In dem Zuge haben wir uns dann gedacht, dass es ja kaum schaden kann, das gleich mal bei uns im Wiki zu dokumentieren. Es sei aber noch darauf hingewiesen, dass wir Homebrew noch nicht als offizielles Uberspace-Feature betrachten und es daher noch nicht auf unseren Hosts bereitstellen. Die Installation gestaltet sich aber als recht einfach.

POODLE: Es traf nicht nur HTTPS

Thu, 11 Dec 2014 22:14:35 +0000

Wenn Lücken wie POODLE bekannt werden, herrscht bei uns schon fast soetwas wie Routine. Diejenigen von uns die sich um solche Dinge kümmern verabschieden sich von allen Plänen für den Nachmittag, den Abend, die Nacht, machen im Browser Tabs mit den üblichen IT-News-Seiten, den Homepages der von uns verwendeten Softwares und (zur zwischenzeitlichen Entspannung) mit Katzen- oder Hundecontent auf und dann heißt es Warten auf Details und Softwareupdates. Bei POODLE wurde schnell klar, dass es diesmal weniger um Updates geht, als vielmehr darum SSL 3.0 endlich abzuschalten. Das sollte bei einem 18 Jahre alten Protokoll, das bereits drei Nachfolger hat eigentlich überhaupt kein Problem sein. (Um ganz ehrlich zu sein: eigentlich ist es eine Schande, dass SSL 3.0 und TLS 1.0 nicht schon seit Jahren überall abgeschaltet werden können.) Gerade nach der BEAST-Lücke in TLS 1.0 haben viele Browser auch mit 10jähriger Verzögerung endlich angefangen neuere Standards wie TLS 1.1 oder 1.2 zu implementieren, da sollte doch einer Abschaltung von SSL 3.0 wirklich nichts mehr im Wege stehen. Oder?

Immer Ärger mit gestohlenen Themes

Sun, 23 Nov 2014 16:49:13 +0000

Speziell an diesem Wochenende beobachten wir eine ungewöhnliche Häufung von Listings einiger unserer Hosts auf http://cbl.abuseat.org/. Die CBL ist keine Blacklist von Hosts, die wegen Spamming auffällig wären, sondern weil sie Malware hosten. Dass so etwas sporadisch mal passiert, bleibt nie ganz aus, aber die Häufung war schon sehr ungewöhnlich.

Speziell bei Shared Hosting ist das ein ziemliches Problem, denn wenn sich auf einem Host erstmal zig WordPress-, Joomla!- oder Drupal-Versionen befinden, die dutzendfach mit Themes und Plugins ausgestattet werden, ist es schon unwahrscheinlich genug, dass sich alle User ihrer Verantwortung bewusst sind, diese Systeme (die sie sich ja selbst installieren) auch aktuell zu halten, um jene möglichst frei von Einbrüchen zu halten.

Updates: phpMyAdmin

Fri, 14 Nov 2014 22:50:30 +0000

Es gab mal wieder ein kleines Update für phpMyAdmin, also haben wir soeben Version 4.1.14.6 verteilt. Das Update beseitigt zwei mögliche Einfalltore für Cross-Site-Scripting-Attacken.

Warum wir nicht die aktuelle ‘stable’-Version von phpMyAdmin nutzen, nämlich den 4.2-Zweig, ist auch ganz schnell erklärt: Wir setzen auf unseren Hosts aktuell MySQL 5.0 (CentOS 5) sowie 5.1 (CentOS 6) ein. Leider hat phpMyAdmin den Support für Versionen <5.5 aber mit dem 4.2.3-Release eingestellt. phpMyAdmin erhält aber auch in Version 4.1 noch regelmäßig Sicherheitsupdates.

Neue PHP-Versionen mit neuerer ICU4C

Fri, 14 Nov 2014 21:17:04 +0000

Wir haben mal wieder einen Schwung PHP-Updates verteilt und hätten damit nun auf allen Hosts:

5.6.3 (Default für neue Uberspaces)
5.5.19
5.4.35

Infos, wie die Versionen für den eigenen Account aktiviert werden können, finden sich im Wiki.

Die 5.3er-Serie ist mit 5.3.29 nebenbei offiziell end of life; wer die noch einsetzt, sollte sich schleunigst mal auf die Todo-Liste setzen, auf eine neuere Version zu migrieren. Auf neuen Hosts werden wir aller Voraussicht nach nur noch Versionen ab 5.4 aufwärts bereitstellen.

Das ist aber igitt

Thu, 13 Nov 2014 11:21:37 +0000

Gestern wurden wir erst per Mail von einem User und schließlich über einen (inzwischen gelöschten und daher nicht mehr verlinkbaren) Tweet eines anderen Users darauf hingewiesen, bei Uberspace.de würde “Pädocontent” gehostet, garniert mit dem Hashtag #würg - ein Vorwurf, den wir so keinesfalls stehenlassen wollen.

Um das direkt klarzustellen: Gäbe es irgendwo bei uns Content, der Kindesmissbrauch dokumentiert oder gar bebildert, wäre der Account kurz nach der Abuse-Meldung dicht. Solche Dinge sind illegal, und wir sind mit Sicherheit kein Offshore-Hoster, dem vollkommen scheißegal ist, was seine User so publizieren.

fail2ban

Wed, 12 Nov 2014 10:30:00 +0000

Wie, was, fail2ban?

Wir experimentieren neuerdings mit fail2ban, um Bruteforce-Angriffe auf bestimmte Dienste abzufangen. Das Programm durchsucht Logs nach einem vorgegebenen Schema und kann, wenn dieses Schema mehr als x mal in Zeitraum y gefunden wurde, Aktionen durchführen, wie beispielsweise die IP-Adresse blockieren. Die Konfiguration ist auf allen unseren Hosts die gleiche, hier mal am Beispiel von crater:

[root@crater ~]# fail2ban-client status
Status
|- Number of jail: 6
`- Jail list: apache-joomla-login, apache-wp-login, apache-auth, apache-friendica-load-prevention, ssh-iptables, wp-spam

Unsere Regeln

Das Prinzip ist immer das selbe. Da der Filter für die Wordpress-Loginmaske am meisten anschlägt, hier mal die dahinter liegende Konfiguration:

Update auf node.js v0.10.33

Wed, 12 Nov 2014 09:40:29 +0000

Ein frisches node.js ist auf allen Servern verteilt, weitere Informationen dazu wie gewohnt im Wiki

Die Symlinks unter /package/host/localhost sind angepasst:

nodejs -> nodejs-0
nodejs-0 -> nodejs-0.10
nodejs-0.10 -> nodejs-0.10.33

Wenn ihr also einen von den obigen Pfaden in eueren Scripten benutzt, reicht es, den Dienst einfach neu zu starten.

POODLE: SSLv3 via HTTPS deaktiviert

Wed, 15 Oct 2014 00:44:36 +0000

Schon den ganzen Tag gerüchtete es, dass im Laufe des 15. Oktober nach Heartbleed und Shellshock eine weitere Sicherheitslücke mit großem, Internet-weiten Ausmaß angekündigt wird. Inzwischen sind die Details dazu publik.

Wie bei vergangenen SSL-/TLS-bezogenen Angriffen (CRIME, BEAST, etc) hat dieser Angriffsvektor mit POODLE (Padding Oracle On Downgraded Legacy

Encryption) von Google ein durchaus aussprechbares und einprägsames Akronym als Namen erhalten - auch wenn POODLE sowohl ohne dedizierte Webseite als auch ohne ein dramatisches Logo auskommen musste.

Update auf Python 3.4

Mon, 13 Oct 2014 12:14:12 +0000

Wir haben heute auf allen Host das python-3.4.1 verteilt. Weitere Informationen findet Ihr in unserem Wiki

Ein Haufen neuer PHP-Versionen

Thu, 09 Oct 2014 16:06:39 +0000

Wir haben heute auf allen Host neue PHP-Versionen verteilt. Im Detail wären das dann die folgenden:

5.3.29
5.4.33
5.5.17
5.6.1

Alle diese Versionen sind gegen die libxml Version 2.9.1 gelinkt da dieses hin und wieder im Support angefragt wurde. Wie diese PHP-Versionen nun zum Einsatz kommen können wird im Wiki sehr detailiert beschrieben.

Updates: phpMyAdmin & Roundcube

Tue, 07 Oct 2014 14:41:20 +0000

Wir haben heute Nachmittag kurz und schmerzlos Updates für phpMyAdmin (4.1.14.5) und Roundcube (1.0.3) auf allen Hosts verteilt.

Von Banken und welche Länder sie so böse finden

Thu, 02 Oct 2014 21:45:56 +0000

Aus der Münchner Abendzeitung im Mai dieses Jahres:

Dieser Spaß ging nach hinten los: In einer Überweisung an einen Freund trug ein Münchner im Januar als Verwendungszweck unter anderem „bin laden“ ein – und geriet so ins Fadenkreuz der Ermittler.

Sein Name steht nun zehn Jahre auf der schwarzen Liste der Bundesbank, wegen des nicht begründeten Verdachts der versuchten Terrorfinanzierung.

Der Titel des Artikels bezeichnet den fraglichen Verwendungszweck als “schlechten Witz”, aber das, was hier ein noch viel schlechterer Witz ist, ist ja wohl die völlig wahnsinnige Folge einer simplen Überweisung, deren Zusammenhang mit tatsächlicher Terrorfinanzierung man ja nun wirklich arg in Zweifel ziehen kann. Als wenn ein Geldwäscher Überweisungen mit dem Verwendungszweck “Geldwäsche” tätigen würde, oder Bombenbauer ihre Lieferanten per Überweisungen mit “10kg Plutonium gem. Auftragsbestätigung vom …” bezahlten.

Mini-One-Stop-Shop ... habt ihr sie noch alle?

Fri, 26 Sep 2014 11:31:50 +0000

Ab 2015 ändert sich die Behandlung der Umsatzsteuer bei Privatkunden im europäischen Ausland, was die Lieferung von elektronischen Gütern angeht. Bisher galt, dass der Anbieter in dem Land, in dem er sitzt, eben die Umsatzsteuer jenes Landes erhebt. Das bedeutet: Wenn ich mir bei Amazon ein MP3-Album kaufe, beinhaltet der Preis 15% luxemburgische Umsatzsteuer - und nicht etwa 19% deutsche Umsatzsteuer. Da Amazon für MP3s - die ausschließlich an Privatkunden verkauft werden - ohnehin keine Rechnungen mit ausgewiesener Umsatzsteuer erstellt, fällt das kaum jemandem auf. Ein in Deutschland beheimateter MP3-Lieferant hingegen müsste 19% Umsatzsteuer berechnen, was logischerweise in höheren Endkundenpreisen resultiert. Für Unternehmen führt das dazu, dass es lukrativer sein kann, sich in einem Land anzusiedeln, das möglichst niedrige Umsatzsteuersätze hat.

Warum es sinnvoll ist, Domains und Hosting zu trennen

Wed, 20 Nov 2013 23:00:00 +0000

Kundenbindung

Über Jahre und Jahrzehnte hinweg haben insbesondere Massen-Webhoster den Eindruck entstehen lassen, Domains und Hosting seien untrennbar miteinander verbunden: Wollte man irgendwo einen Webspace haben, brauchte man zwingend eine Domain dafür. Hatte man schon eine, musste man sie zwingend zum Hostingprovider umziehen.

"Ich kann alle User sehen!"

Sun, 03 Apr 2011 22:00:00 +0000

Nicht oft, aber doch hin und wieder bekommen wir Hinweise bzw. Anfragen von Usern, die sich darüber wundern (oder sich auch daran stören), dass man bei uns sehen kann, welche User es so auf einem System gibt. Manche finden das unschön; andere sehen uns in diesem Punkt als „tiefenentspannt“, manche sehen darin auch eine schwere Sicherheitslücke - die es aber faktisch gar nicht ist.

Die kurze Antwort ist: „Das ist bei Unix eben so“.

Wieso eigentlich "Uberspace"?

Sun, 23 Jan 2011 23:00:00 +0000

Worum es uns eigentlich geht, war von Anfang an der Begriff „Userspace“, also mit „s“ statt „b“. Unter Linux wird mit Userspace traditionell alles bezeichnet, was nicht im Kernelspace läuft, sprich, alles, was irgendwie von einem Menschen konfiguriert und gestartet wurde. In der etwas engeren Auslegung verstehen viele unter „Userspace“ auch den Bereich, in dem ein normaler Linux-Systemuser schalten und walten kann - also den Bereich, für den keine Root-Rechte benötigt werden.