erdgeist is a Berlin based freelance and open source developer and political activist. Feel free to stroll around in the public parts of his brain.

Contact

Write an email to erdgeist@erdgeist.org preferredly PGP encrypted, the key, fingerprint: F7BE F9DA 9349 6A28 6EDB 12FD F2F6 132B C32F B29F. Reach me via Jabber at xmpp:erdgeist@erdgeist.org, where my OTR fingerprint is 7A4BC16B 479D4D10 EAC30B3B B52FD269 ADF818E3.

Follow @erdgeist on Twitter. Listen to the OHM podcast with monoxyd and CCC's monthly radio show Chaosradio. Look out for contributions to Die Datenschleuder and www.ccc.de, sporadically also on Frühstücksblog. Get the book 1984.exe.

Software projects

opentracker is a highly scalable tracker software for the bittorrent protocol, currently in use on the largest bulk trackers around.

ezjail is a jail management framework for the FreeBSD operating system, aiming to aid in setting up und updating virtual FreeBSD instances.

jaildaemon is a tool for the FreeBSD operating system to allow flexible and secure communication from jail environments to the host system.

minimunin is a tiny munin-node implementation for FreeBSD written in pure bourne shell providing basic plugin support.

elektropost is an ongoing mail server and webmail frontend project, documented to be set up on a FreeBSD jail and instanced on elektropost.org.

el is a unix tool aiding the Telefonbuch project for export and search queries.

anonbox is a web service to generate and maintain throw away email addresses, instanced on anonbox.net, including a javascript implementation of a unicode capable mbox-to-html renderer.

Telefonbuch is a project to quickly dump a certain kind of digital phone books.

vchat-client is a curses based chat client for the arcane vchat protocol.

briefkasten is a web service to anonymously submit messages via the web generating PGP mails and is instanced on the zeit-online briefkasten.

etherpad is a documentation project on how to setup the classic etherpad software in a FreeBSD jail.

timestretch is a fast implementation for SOLA, a sample time stretching algorithm.

Unless state otherwise, the software is released under beerware license. Some project's documentation is not yet migrated. You can also browse around my gitweb.

Blog

  • Selbstausbeuter

    In einer Welt des Kommerz einen nicht- oder antikommerziellen Kosmos zu pflegen, ist hart. Die Menschen, die sich in dieser besonderen Sphäre zusammenfinden, wie wir sie auf unseren CCC-Veranstaltungen seit Jahren hochhalten, kommen aus den unterschiedlichsten Schichten und leben im Rest des Jahres nicht im luftleeren Raum. Sie müssen sich ernähren, müssen wohnen und wollen gesellschaftliche Teilhabe auch an Ereignissen, bei denen sie nicht – wie bei Camp und Congress und viele der kleineren CCC-Veranstaltungen – bewusst subventioniert werden. Doch auf unseren Veranstaltungen müssen wir alle damit klarkommen, das Spannungsfeld von deutlichen Wohlstandsunterschieden und die Auswirkungen von Lebensentwürfen mit unterschiedlicher Zeitflexibilität hautnah mitzuerleben.

    Wir sehen unsere Veranstaltungen als solidarisch organisierte Ereignisse, bei denen Teilnehmer mit mehr finanziellen Resourcen regelmäßig mehr geben – sei es direkt beim Solidar-Eintrittspreis oder beim großzügigeren Merch-Kauf – als Teilnehmer mit weniger flexiblen Möglichkeiten. Für besondere Härtefälle versuchen wir zudem seit Jahren, faire Möglichkeiten anzubieten, sich an den unvermeidlichen Kosten der Veranstaltung im Rahmen der eigenen finanziellen Kräfte zu beteiligen. Auch wenn sich hundert Euro pro Jahr erträglich anhören, gibt es genug Lebenskünstler und Hacker, für die dieser Zehner im Monat einen bedeutenden Einschnitt bedeutet.

    Dass wir trotzdem mit einem konkurrenzlos fairen Eintritt von rund hundert Euro für vier Tage Konferenz hinkommen, liegt an der beeindruckenden, sich selbst organisierenden freiwilligen Arbeit der inzwischen tausenden Helfer. Und diese sind dazu natürlich nicht für jede beliebige Veranstaltung bereit, sondern spenden ihre Zeit und Energie einer Community, der sie gern angehören. Niemand mag es aber, ausgenutzt zu werden. Unser Experiment funktioniert nur deshalb so gut, weil wir seit Jahren offensiv vorleben, und auch sozial kontrollieren, dass dieses ehrenamtliche, unbezahlte Engagement vieler nicht von einzelnen anderen monetarisiert wird. Denn in dem Moment, wo Zweifel aufkommen, ob die Orga Entscheidungen trifft, um sich selber zu bereichern, oder wenn geduldet wird, dass sich jemand innerhalb der Veranstaltung oder am Namen bereichern möchte – da liegt ja schließlich buchstäblich das Geld auf der Straße – , bricht die einzigartige Kultur des nicht-kommerziellen Raums zusammen.

    Nun ist es so, dass auch die Menge Freizeit, die ein Einzelner in sein Ehrenamt (und als solches sehen wir den Beitrag zu den C3) investieren kann, je nach Hintergrund schwankt. Alleine zu den Orga-Treffen aus der Bundesrepublik anzureisen, ist zeitlich und finanziell anstrengend und wird daher von uns gefördert. Einige Menschen werden von den Mechanismen der "hochflexiblen" Arbeitswelt täglich von 7-17 Uhr plus Anfahrt ausgelaugt, haben familiäre Verpflichtungen und können sich vielleicht nur an Wochenenden voll einbringen, andere hingegen haben hochspezialisierte Jobs, kommen mit moderatem Zeiteinsatz finanziell gut über die Runden und können daher mehr oder regelmäßiger Energie in unser gemeinsames Projekt stecken.

    Und hier liegt die größte Gefahr für das Gerechtigkeitsempfinden: Wer seine Resourcen überschätzt (und das ist nicht als Vorwurf an die Freiwilligen zu verstehen) und sich in unserer Szene in einem Maße einbringt, wie es ihnen andere mit zeitflexibleren Umständen vorleben, kann schnell an die Grenzen seiner Möglichkeiten kommen. Ich habe es in meinem Umfeld mehrfach gesehen, dass sich gerade in Jahren mit Congress- und Camp-Vorbereitung Freunde Hals über Kopf in den Orgatrubel gestürzt haben statt erwerbszuarbeiten, um dann am Ende des Jahres überrascht auf ihren Kontoauszug zu starren. Mir selber ist es passiert, dass ich nach einem Campsommer mit den über's Jahr mental beiseitesortierten Steuerforderungen konfrontiert wurde und dem Vollzieher Dinge erklären musste.

    Daher denke ich, dass die Szene einen offensiven Umgang mit Freunden braucht, die dabei sind, sich selbst zu verheizen. Es ist total cool, wenn sich jeder im Rahmen seiner Möglichkeiten zu 100 % einbringt – eventuell mit koordinierten und an anderer Stelle wieder aufgefangenen 110 %. Nicht cool ist, wenn wir als Community einige Teilnehmer erst nach einer Phase der Anstrengungen über ihrem Limit auflesen, wenn sie sich verzweifelt nach einem Lebensunterhalt oder gar einem Schuldenabbauplan umsehen müssen. Der naheliegendste – weil vordergründig gerechte – Weg ist natürlich, die Community mit Verweis auf die Ursachen der Klemme zu aktivieren und mit Crowdfunding oder einem Spendenhut das Schlimmste aufzufangen. Die Hilfsbereitschaft in der Community gibt dies meist auch her.

    Problematisch sind hier aber zwei Dinge: Wenn aus einer kurzfristigen Hilfe in einer Notsituation ein Anspruch extrapoliert wird, landen wir ziemlich schnell bei der Diskussion, ab wann diese teils selbstverschuldeten Umstände keine Hilfe mehr rechtfertigen, oder anders, wie man schon im Vorfeld freiwillige Mithilfe am Projekt zurückweist, bei der abzusehen ist, dass sich der Teilnehmer in eine solche Abhängigkeit begibt.

    Denn wenn die ersten anfangen, ihre Existenz – wenn auch teilweise – an den Erfolg der Community zu hängen, braucht es für die Sicherstellung ihrer Existenz Mittel. Und wenn es Mittel zu verteilen gibt, wird jeder seinen Beitrag mit dem Beitrag dieser anderen vergleichen – nicht mehr seine Möglichkeiten mit denen der anderen – und eine entsprechende Vergütung für sich einfordern. Es bräuchte plötzlich viel mehr Geld und ein striktes Controlling für die zu verteilenden Mittel. Und wenn Teilnehmer dieselben Aufgaben unbezahlt erledigen wie vergütete Mit-Teilnehmer, kommt die berechtigte Frage nach dem Warum auf. Die Folge davon ist, dass Teilnehmer anfangen, ihre Beteiligung zu überdenken und zurückzufahren.

    Dieser dem Congress-Gedanken diametral stehende Gegenentwurf – eine Annäherung an so etwas wie reale Personalkosten – würde eine Spirale von zwangsweise darauffolgenden Eintrittspreis-Erhöhungen nach sich ziehen oder schlimmer noch: den Einmarsch von gezielter Werbung, was einem Ende der Unabhängigkeit und Glaubwürdigkeit des Kulturkreises gleichkäme. Bis heute zeichnet sich die ganze Veranstaltung durch eine erfrischende Freiheit von Werbemüll aus – und wir wollen das so behalten. Und an den Preisen deutlich zu drehen, würde wiederum einen Ausschluss von Schwächeren nach sich ziehen – für uns ebenso inakzeptabel.

    Zweitens finde ich bedenklich, dass die Möglichkeiten, die Community zu aktivieren, stark von der Sichtbarkeit (oder Reichweite oder Vernetzung) des Betroffenen abhängt. Im Konkreten: Wenn ein Teilnehmer als Lagerverwalter im LOC nach dem Abbau vor dem Nichts steht, hat er eine viel kleinere Plattform als beispielsweise ich oder bestimmte Teams mit einer starken Außen- oder Innenwirkung (think Podcaster, c3nav, Heralde). Dieser privilegierten Position müssen sich die sichtbaren Helfer bewusst werden, bevor sie diese von uns allen hergestellte Reichweite benutzen, um einen gefühlt gerechtfertigten Ausgleich für ihre Arbeit zu fordern.

    Und wir als Community müssen uns der Aufgabe stellen, offen über Selbstausbeutung zu sprechen, Mithilfe-Angebote kritisch nach der individuellen Nachhaltigkeit hinterfragen und im Zweifel zurückzuweisen.

  • Wild wild certs

    TLS certificates, not so long ago still a gold mine for shady “trust” resellers, have become a commodity, since Let’s encrypt made it their mission to provide everyone with domain-validated certificates to secure their connections. There’s a plethora of useful tools to keep your certs up-to-date. I for my part favour the bash-only dehydrated and even wrote a tiny guide how to get it running on FreeBSD using privilege separation (i.e. not as root).

    Now all was well and I deployed this everywhere until I stumbled over a project where users could create their own team-sites on demand, having their own subdomain. But because acme – the protocol behind Let’s encrypt – did not support wild card certs, I would (at least in theory) have created a different cert for each of these domains, or at least have their sub domain added to the SubjAltName list of the web server’s cert. Which is what I grudgingly did for a while: Identify the most active team sites and manually add them to the domain name list for my LE certs.

    You can imagine how glad I was when I heard that acme v2 added support for wild card certs. Until I noticed that they require a new authentication method over DNS to provide them. What the hell were they smoking? In order to renew your wild card cert every 90 days, you would need to allow unattended updates to your name server from the server taking care of the renewals. To understand, what a stupid idea the is, look no further than at the proliferation of plugins of varying software quality now scripting DNS service updates for dehydrated.

    In every remotely sane setup you would separate the services so that your web server wouldn’t need to know about its name server, let alone have access and credentials to update it. With the old acme http-01 protocol, the instance handling nearly every aspect of TLS anyway – in my case nginx – would be the only service involved, allowing for some neat separation: Only the .well-known directory would need to have a letsencrypt specific ownership.

    A much less intrusive solution would have been to just require a static TXT record in your zone, stating that wild card certs are okay in principle (i.e. _acme.example.com TXT "wild card enable") and then have the acme server use the old http-01 mechanism to fetch challenge tokens from one or multiple random sub domains. This should be more than enough to proof that you control wild card dns.

    However now we’re stuck with the less than optimal solution and I still needed a wild card cert. Since I do not directly control the name server, I needed to ask for a delegation. That meant that I would actually have to run a name server for this zone. On my web server. Great!

    After shopping around for a while I’ve found tinydns, the authoritative name server from the djbdns bundle, to still be the least complicated server around. It sports its own very simple DNS record description language (that’s important, if you want to update and create it from simple shell scripts), is really, REALLY tiny and has an excellent security and performance track record. It basically pre-compiles every conceivable DNS response, stores it in an efficient constant single file database which can be atomically replaced while the server is running, meaning I didn’t have to meddle with permission to send signals to reload the zones.

    Unfortunately, Dan Bernstein, tinydns’ author really likes you to run services the way he considers most convenient, using the daemon tools package sporting a steep learning curve. Since tinydns comes as a simple stand alone server, I just wrote a FreeBSD rc-script to start it as the FreeBSD gods have intended services to be started. Just place this file as /usr/local/etc/rc.d/tinydns, set execute (+x) permissions and enable it in rc.conf.

    #!/bin/sh
    
    #
    # PROVIDES: tinydns
    # REQUIRE: DAEMON cleanvar
    # BEFORE: LOGIN
    # KEYWORD: shutdown
    #
    # Add the following to /etc/rc.conf to enable this service:
    #
    # tinydns_enable="YES"
    #
    # tinydns_ip
    # tinydns_root
    
    . /etc/rc.subr
    
    name=tinydns
    rcvar=tinydns_enable
    command=/usr/local/bin/tinydns
    
    start_cmd=tinydns_start
    pidfile=/var/run/tinydns
    
    load_rc_config $name
    
    : ${tinydns_enable:=no}
    : ${tinydns_ip:=0.0.0.0}
    : ${tinydns_root:=/etc/tinydns/root}
    
    tinydns_start() {
        IP=${tinydns_ip} ROOT=${tinydns_root} UID=bind GID=bind ${command} >/dev/null 2>/dev/null &
        echo $! > ${pidfile}
    }
    
    run_rc_command "$1"
    

    I placed my compiled zone file in /etc/tinydns/root/data.cdb, so the paths just work. My uncompiled zone file (i.e. source at /etc/tinydns/root/data) looks like this:

    Zservice.example.com.:ns.service.example.com.:erdgeist@ccc.de.::86400:7200:604800:43200:43200
    &service.example.com.::ns.service.example.com.:43200
    
    +ns.service.example.com.:10.1.1.1:43200
    
    @service.example.com.::mail.service.example.com.:50:43200
    @*.service.example.com::mail.service.example.com.:50:43200
    
    +service.example.com.:10.1.1.2:43200
    +*.service.example.com.:10.1.1.2:43200
    

    For AAAA records you might pre-compile an answer here or use Fefes tindydns IPv6 patches for a simpler syntax.

    Once the file is there, you compile it using tinydns-data (within the /etc/tinydns/root/ directory. Yay!). Best is to also give it to your letsencrypt user right now.

    cd /etc/tinydns/root
    tinydns-data > data.cdb
    chown -R letsencrypt /etc/tinydns/root
    

    Finally, you need to add the actual code to your hooks. I just modified the file hook.sh in /usr/local/etc/dehydrated/ to read in the deploy_challenge() { function

    printf "\'_acme-challenge.%s:%s:120\n" ${DOMAIN} ${TOKEN_VALUE} >> /etc/tinydns/root/data
    cd /etc/tinydns/root/
    tinydns-data > /etc/tinydns/root/data.cdb
    

    and for later cleanup in the clean_challenge() { function I added

    sed -E -i '' '/_acme-challenge/d' /etc/tinydns/root/data
    cd /etc/tinydns/root/
    tinydns-data > /etc/tinydns/root/data.cdb
    

    After all is set and done, you need to change the default scheme to dns-01 in your dehydrated config (which is kind of silly, because all other domains on that nginx host require http-01 auth, but maybe there’ll be a patch to dehydrated to support multiple challenge types in the same config). I just changed the config line for CHALLENGETYPE line to read CHALLENGETYPE="dns-01" in my /usr/local/etc/dehydrated/config. I also enabled the HOOK=/usr/local/etc/dehydrated/hook.sh line.

    Then you can just run

    su letsencrypt
    dehydrated -c
    

    and enjoy your wild card certs.

  • Kinderkrankheiten

    Nachdem ich jetzt zwei Jahre mit meinem Elektroroller [1] quasi täglich [2] durch die Stadt gleite, ist es Zeit für eine Retrospektive. Ich habe lange überlegt, ob ich meine Erfahrungen mit meinem speziellen Modell so allgemeingültig zusammenfassen kann. Zudem bin ich kein erfahrener Produkttester und würde ungern unnötig Werbung oder Schmäh für einen Anbieter verbreiten. Da ich aber wieder an jeder zweiten Kreuzung von nebenan wartenden Leihroller-Fahrern über mein Moped ausgefragt werde, kann ich auch mal allen eine Zusammenfassung dalassen: Ich habe mir vor zwei Jahren einen Unu-Roller mit einem 3kW-Motor gekauft und einen zweiten Akku dazu.

    Die wichtigsten Kenndaten [3]: nominelle Reichweite mit beiden Akkus 100 km, realistisch: 80 km. Die letzten fünf Kilometer fährt man nur noch 20 km/h. Ladegeschwindigkeit (pro Akku) sind 10 km/h, zweites Ladegerät zu kaufen lohnt, Y-Kaltgeräte-Adapter für die Reise auch. Akku wiegt so 8-9 kg, kriegt man mit Tragegurt (ist bei) auch mal zwei Treppen hoch. Moped wiegt weniger als ich.

    Zuallererst: Im realen Leben ist die Reichweitenangst vollständig unbegründet. In den letzten zwei Jahren Regulärbetrieb bin ich genau einmal liegengeblieben. Hört sich erstmal doof an, heißt aber nur, dass man seinen Akku rausholen per ÖPNV heimbringen, aufladen und zurückbringen muss. Mit meinem Verbrenner bin ich mehrmals im Jahr leergefahren und musste dann tatsächlich schieben oder Kanister organisieren, befüllen und mich mit dem Taxifahrer streiten, die stinkende Plastebox per Kurzstrecke mitnehmen zu dürfen.

    Das Aufladen geht durch einen ganz einfachen Effekt in die tägliche Routine über: Zwischen 75 % und 100 % Akkuladung pumpt der Motor-Controller an der Kreuzung nochmal extra Strom in den Motor, darunter verhält er sich konservativer. Soll heißen: Je voller der Akku, desto mehr Fahrvergnügen an der Ampel. Das konditioniert von ganz alleine darauf, den Akku zum Laden mit reinzunehmen. Für längere Strecken innerhalb der Stadt nehme ich daher immer zwei volle Akkus mit, wenn eins dicke reichen würde.

    Für einen Trip in die Pampa sollte man sich im Umkreis von 75 km ein Restaurant suchen, in dem man seine Akkus aufladen darf. In zwei Stunden bekommt man in der Summe rund 40 km drauf. Der Rest ist Mathematik. Wenn alles gut geht. Bei meinem ersten Testtrip ging leider nicht alles gut. Das Hinterrad hatte aufgrund einer kleinen Delle in der Felge subtilen Luftverlust. Und platte Reifen sind der natürliche Feind der Reichweite. Das kurz vor Bernau festzustellen, brachte mir die ganze Tourplanung durcheinander [4] und machte, dass ich am Ende doch noch mit der U-Bahn den Akku nach hause fahren musste.

    Das Problem artete sogar noch aus, und das lag absurderweise daran, dass ich mein Moped ganz leise wollte. Die meisten E-Roller kommen mit einem unangenehmen Plaste-Surren daher. Da ich mich nach zwei Jahrzehnten Rasselmotor Fahren darauf gefreut hatte, majestätisch durch die Nacht zu gleiten, sind diese Roller ein No-go für mich. Das Geräusch stammt (soweit ich das beobachten konnte) vom Riemenantrieb – der Motor ist unter dem Sitz und die Kraft muss auf's Hinterrad. Die Unus haben hingegen einen Nabenmotor direkt im Rad eingebaut und produzieren außer dem Reifen-Fahrbahn-Geräusch [5] keinen Ton. Leider hat sich Unu entschieden, die Felge fest auf dem Motor zu verschweißen. In der Werkstatt wollten sie daher für die defekte Felge (eBay-Preis gebraucht 'n Zehner) ungefähr den Neupreis des Motors haben. Nach einigem Grübeln kam dann die Werkstatt darauf, die Felge geradezuhämmern und einen Schlauch einzuziehen. Muss man wissen. Seitdem hatte ich keine überraschenden Reichweitenprobleme mehr.

    Unüberraschend kommen die nur im Winter. Kalte Akkus sind zickig – so ab 0 Grad. Nehmt die rein. Eiskalte Akkus machen, dass der Motor kaum noch anzieht und die Reichweite einbricht – wenn man überhaupt noch Lust hat, die auszufahren. Ansonsten ist das Moped auch im Winterbetrieb tauglich. So richtig meterhohen Schnee zum Testen hatten wir leider nicht. Obwohl ich diesen Winter nur schwer testen konnte. Das lag daran, dass man mit dem Unu super einkaufen fahren kann.

    Im Fach unter dem Sitz passen zwei Akkus nebeneinander rein. Wenn man eins rausnimmt, passt ein kompletter Rewe-Einkaufskorb [6] rein. Und dann ist zwischen den Beinen immer noch Platz. Bei einem späten Einkauf – meine Kaufhalle hat 24/6 auf – habe ich in einer Novembernacht das volle Einkaufsprogramm mitgemacht und mir noch eine TKP [7] in der linken Hand balanciert. Wie das dann halt so ist, habe ich elegant mit dem Knie den Pizzakarton unglücklich gegen das Lenkrad geschoben, das mich prompt gegen einen fies platzierten Poller lenkte. [8] Die Geschichte des Pärchens, das mir beim Zusammensammeln von Verkleidungsteilen und Einkäufen half, im Tausch gegen die Benutzung meines Mobiltelefons, würde noch einen ganzen Blogpost füllen. Ein paar strukturell wichtige Teile wie Blinker und Fußstellflächen waren ab, daher musste ich zur Werkstatt und wurde dann von den Freuden deutsch-chinesischer Handelsfreundschaft überrascht:

    Unu wechselte Mitte 2017 den Zulieferer für die Ersatzteile, der wiederum eine ganz eigene Idee von Vorratshaltung hatte. Als bei dem die Bestellungen für die Karosserieteile eingingen, fingen die erst an, die Produktion dafür binnen Monatsfrist zu planen. Kurzum: nach einem Vierteljahr hatte ich meinen Roller wieder. Zum Glück war ich ein gut Stück dieser Zeit eh nicht im Lande. Bisschen peinlich ist es trotzdem, wenn sie jetzt auch – nach eigenen Beteuerungen – die Lieferkette wieder im Griff haben.

    Eins noch: Das erste, zu dem mich die mir zugeteilte Bosch-Vertragswerkstatt zu meinem Roller fragte, war der Zustand der Spiegel. Und tatsächlich, so ziemlich alles an den Spiegeln wirkt wacklig: Allein weil das Moped so leicht ist, zittern die Spiegel schon auf asphaltierten Straßen ganz verwirrend, auf Kopfsteinpflaster braucht man sie gar nicht zu benutzen versuchen. Die Konterschrauben unten an den Spiegel muss man mit echtem Werkzeug nachziehen, sie lösen sich sehr gern von allein. Unu legt aus Verlegenheit schon den passenden 15-er Schlüssel zum Handbuch bei. Die kleinen Blinker/Licht-Konsolen, auf denen sie draufstecken, geben auch irgendwann nach, drehen sich dann so leicht nach vorne und hinten und wurden bei mir schon drei mal gewechselt. Aber dafür sind die Spiegel schick!

    Kurzum, wie das so ist als early adopter einer hippen Technologie: Man macht alle Kinderkrankheiten einmal mit. Zwischendurch war die Frustration durchaus da, mich auch nach anderen Anbietern umzuschauen. [9] Meine Probleme sind aber fürs erste gelöst, die Lösungen für andere Betroffene runterzuschreiben, war auch Motivation für diesen Text. Ich weiß jetzt nach zwei Jahren ziemlich genau, woran ich bin, meine Akkus tun immer noch und fühlen sich nach zwei weiteren Jahren Stadtbetrieb an. Und auf ein neues Akku- oder Ladesystem umzusteigen, ist mit impliziten Kosten verbunden, zudem würde ich bei anderen Herstellern eben auch nochmal alle Kinderkrankheiten mitnehmen und die wären wiederum neu und überraschend. Daher bleibe ich erstmal bei meinem Model.

    [1] https://erdgeist.org/posts/2017/emobil.html
    [2] Warum ich den letzten Winter nicht täglich fuhr, erfahrt ihr weiter unten!
    [3] https://unumotors.com/de/product/specs
    [4] https://twitter.com/erdgeist/status/871031823396220929
    [5] https://de.wikipedia.org/wiki/Reifen-Fahrbahn-Ger%C3%A4usch
    [6] Also dessen Inhalt. Nicht der Korb.
    [7] Tiefkühlpizza.
    [8] Zu den Kosten und Effekten der Disziplinierung von Autofahrern hier entlang.
    [9] Unter anderem will Vespa jetzt mit einem E-Roller rauskommen.
  • Just add water

    Since letsencrypt has made it easy to actually get the little green lock icon in all the browser, I've deployed it nearly everwhere, where reloading keys every three months is not an issue (looking at you, dovecot and ejabberd). When using FreeBSD, the security/dehydrated port has made things smooth enough for me not to be to afraid to execute it from a periodic script: It only requires bash and curl and can be executed as non-privileged user.

    So here's a step by step instruction how to properly set it up:

    1. Install the port/package:

      pkg install dehydrated
      
    2. Create the letsencrypt user, for example:

      echo letsencrypt::::::::/bin/sh: | adduser -w random -f -
      
    3. Create your config copy /usr/local/etc/dehydrated/config by duplicating the example:

      cp /usr/local/etc/dehydrated/config.example /usr/local/etc/dehydrated/config
      
    4. Edit /usr/local/etc/dehydrated/config so it reads CONTACT_EMAIL=me@foo.com. (Don't forget to remove the # at the line's start.)

    5. By default, dehydrated's work dir is /usr/local/etc/dehydrated. I do not like that, because the letsencrypt user needs write access to that directory for its housekeeping files and could modify things like the config and – worse – the deploy.sh script. So I create a different work dir:

      mkdir /var/dehydrated
      chown -R letsencrypt /var/dehydrated
      
    6. And then I change /usr/local/etc/dehydrated/config to read BASEDIR=/var/dehydrated. (Again, don't forget to un-comment the line.)

    7. The web directory for challenge replies defaults to /usr/local/www/dehydrated. It needs to be writable by letsencrypt user:

      chown -R letsencrypt /usr/local/www/dehydrated
      
    8. Configure domains.txt:

      echo 'foo.com www.foo.com' > /var/dehydrated/domains.txt
      
    9. I want dehydrated to be run weekly by periodic, I also setup the deploy script (see below). I put those lines in /etc/periodic.conf:

      weekly_dehydrated_enable="YES"
      weekly_dehydrated_user="letsencrypt"
      weekly_dehydrated_deployscript="/usr/local/etc/dehydrated/deploy.sh"
      
    10. The deploy.sh script needs to be setup, it will tell all frontends to reload certs. For my nginx installations, it is enough to put this into /usr/local/etc/dehydrated/deploy.sh:

      #!/bin/sh
      
      /usr/sbin/service nginx reload
      
    11. Don't forget execute permissions:

      chmod +x /usr/local/etc/dehydrated/deploy.sh
      
    12. Finally, for nginx to correctly route requests to the web dir, add this to your server block. Don't forget to enable listen 80:

      location /.well-known/acme-challenge/ {
          alias /usr/local/www/dehydrated/;
      }
      
    13. Before running dehydrated for the first time, you should reload your nginx config. This also is an implicit check for correct permissions on deploy.sh ;):

      /usr/local/etc/dehydrated/deploy.sh
      
    14. Run dehydrated to set up and agree to terms and conditions:

      su letsencrypt -c 'dehydrated --register --accept-terms'
      
    15. Then run it again to actually do a challenge/response and generate certs:

      su letsencrypt -c 'dehydrated -c'
      
    16. If everything went fine, tell nginx to use the new certs in your server block. Don't forget to enable listen 443 ssl:

      ssl_certificate /var/dehydrated/certs/www.foo.com/fullchain.pem;
      ssl_certificate_key /var/dehydrated/certs/www.foo.com/privkey.pem;
      
    17. Make nginx use your new certs:

      /usr/local/etc/dehydrated/deploy.sh
      

    You should be able to see your web site with a little green lock icon now, carrying a letsencrypt cert.

    In order to verify that all your setups have been setup correctly, I wrote a script that checks them all:

    HOSTS="mail.foo.com:25:smtp mail.foo.com:imaps www.foo.com jabber.foo.com:5232"
    unset LANG LC_CTYPE LC_MESSAGES LC_TIME
    
    for host in $HOSTS; do
      unset starttls
      [ ${host%:*} = ${host} ] && host=${host}.:443
      if [ ${host%*:*:*} != ${host} ]; then
        starttls="-starttls ${host#*:*:} "
        host=${host%:*}
      fi
      echo $host ${starttls}
      notafter=$( yes q | openssl s_client -servername ${host} -connect ${host} ${starttls} 2>/dev/null | openssl x509 -noout -enddate | grep ^notAfter= | cut -d = -f 2- )
      secs=$( date -j -f "%b %d %T %Y %Z" "${notafter}" +%s )
      now=$( date +%s )
      printf "% 4d days .. until %s\n" $(( (secs - now) / 86400 )) "${notafter}"
    done
    
  • Running poudriere in ezjail

    Ever since poudriere was published, I felt the obligation to run a public repository with packages tuned to my needs (i.e. without X11, without Java, with a certain TLS library as default, etc). But considering this tool's complexity, I never felt comfortable running it on a production system's host. So naturally I've been looking for a way to jail it away and only 2 years after this tutorial outlined how that works, I managed to acutally try it out. Long story short: This guide kinda works and I got poudriere running in a jail. But I want the jail to automatically start up, get the correct dataset attached and receive all permissions needed to do zfs stuff and creating its own builder jails, in other words: I wanted to embed it as an ezjail.

    Now, turns out, that's actually not so hard: If you're running ezjail with zfs enabled, you first create the dataset for poudriere to work on:

    zfs create -o jailed=on tank/poudriere
    

    then you just create your poudriere jail, making sure to pass it an ::1 IP address:

    ezjail-admin create -c zfs poudriere 127.0.0.1,lo0|::1
    

    and then manually edit the two config lines in /usr/local/etc/ezjail/poudriere to read:

    export jail_poudriere_parameters="children.max=10 allow.mount=1 allow.mount.devfs=1 allow.mount.procfs=1 allow.mount.zfs=1 allow.mount.nullfs=1 allow.raw_sockets=1 allow.socket_af=1 allow.sysvipc=1 allow.chflags=1 enforce_statfs=1"
    export jail_poudriere_zfs_datasets="tank/poudriere"
    

    dont forget that this jail needs a resolv.conf, too and now you can just:

    ezjail-admin console -f poudriere
    

    and follow the FreeBSD handbook section on poudriere to get your poudriere jobs running. Since I wanted the web server jail to serve the packages, I exposed them in /etc/fstab.www_domain.com by adding a line:

    /usr/jails/poudriere/tank/poudriere/data/packages /usr/jails/www.domain.com/packages nullfs ro 0 0
    

    and after an ezjail-admin restart www.domain.com, you should be able to use the packages built by adding a /usr/local/etc/pkg/repos/www.conf of:

    www: {
      url: "file:///packages/103amd64-local-workstation/",
      enabled: yes
    }
    

    Update: Should you be missing the file systems inside your poudriere jail, make sure to mount them in your periodic script that runs poudriere (using zfs mount -a, before running poudriere), or take a look at the thread on the ezjail mailing list regarding rc.d/zfs not finding the dataset when it's run.

  • Sonne im Tank

    Seit September bin ich e-mobil. Ich bin mein ganzes Führerschein tragendes Leben lang auf Mopeds durch Berlin geheizt, beginnend bei einer Schwalbe, seitdem immer mit lauten und müffelnden Zweitaktern – bei entsprechendem Verschleiß. Ich wollte vermeiden, mehrere Tonnen Stahl durch die Gegend zu hieven, wenn ich doch nur meinen Hintern von A nach B bewegen wollte, und habe daher trotz mehrerer Autos auch immer noch als primäres Fortbewegungsmittel ein Moped beibehalten. [1] Trotzdem ist der wohlige Geruch von Zweitaktabgasen, der harmonische und weit wahrnehmbare Klang nicht unbedingt das Omen, das man seiner Ankunft voraussenden möchte – und die Wartungsanfälligkeit dieses fragilen Haufens beweglicher Teile ließ mich schon vor einer Weile die Fühler in Richtung Elektroroller ausstrecken.

    Zwar gab der Markt seit sechs, sieben Jahren auch welche her – allerdings schreckten die Preise im Bereich einer Kleinwagenneuanschaffung ab und meine guten Vorsätze verschwanden schnell wieder in der Schublade. Und die frühen Reichweiten-Angebote von so 25 bis 30 Kilometern haben nichts mit den Strecken zu tun, die ich an einem terminlich gut befüllten Tag in Berlin so in die Reifen schrubbe. Mein Reichweiten-Maßstab ist die Sommerresidenz von Freunden nahe Berlin, für die ich rund 80 Kilometer runterreißen muss – jaja, kein Spaß auf einem geschwindigkeitsbegrenzten Kraftfahrzeug, und auch auf meinen Verbrennern hatte ich unterwegs schon eine Stammtankstelle auserkoren. [2] Aber zumindest kann ich mal eben ranfahren, "Kaffee" kaufen und weiterfahren. "Mal eben" Akkus aufladen kannste hingegen knicken.

    Schon vor ein paar Jahren [3] startete die Firma Gogoro in Taipei einen Dienst, bei dem man sich um das Laden nicht mehr kümmern muss, sondern die Akkus an Straßenecken im Späti leer gegen voll tauschen kann. Die sind nun als Mietmobile nach Berlin expandiert [4], jedoch finde ich die weder gutaussehend noch gutklingend. Aber hohe Absatzzahlen ziehen ja auch immer sinkende Preise nach sich und richtig:

    In den letzten Jahren hat sich da so richtig was getan: Die Preise für Elektromotoren und Batterien sind gepurzelt – nicht zuletzt durch die krassen E-Mobilisierungsprogramme in China und Indien [5], Ladezeiten und Energiedichten kommen in erträgliche Größenordnungen und ein Berliner Unternehmen bietet Hipster-geeignete Scooter zum Kampfpreis an. [6] In der Rechts-Unten-Vollausstattung mit zwei Akkus ist man schon mit 3,5 k€ [7] dabei – das ist nur marginal mehr, als ich in meine alten Benziner investiert habe. Und das liegt vor allem daran, dass an so einem E-Roller nix mehr dran ist:

    Nabenmotor im Hinterrad nebst Motorsteuerung, einigermaßen stabiler leichtgewichtiger Rahmen, quasi ein besseres Fahrrad, Akkufach und Sattel. Also habe ich zugeschlagen und fahre seit September quasi durchgängig E-Roller im Berufsverkehr. Und ja, es rockt: Kaum bewegliche Teile, so ein Elektromotor ist im Vergleich zu einem Verbrenner trivial und hält gern mal zig Jahre. Gut, bisschen Bremskram, Tacho und Verkleidung, aber im Prinzip war's das. Und als mir das Akkufach wegen eines unglücklichen Steinschlags an einer Ecke rausgebrochen ist, gab's vom Hersteller ein Paket mit einem tiefgezogenen Plasteteil, das ich mit einem Schraubendreher in 10 Minuten selber tauschen konnte. Ich kann im Prinzip für die nächsten zwanzig Jahre mit dem Gerät fahren, ohne nennenswerte Wartungskosten zu haben.

    Und dann der Verbrauch: Aufladen geht mit 220 V, Netzteil ist bei und lädt in rund vier Stunden voll. Die Hersteller-Angaben von "70 % aufgeladen in einer Stunde" sind doch ein bisschen optimistisch, aber eine komplette Ladung bekomme ich zuhause für rund 30 Cent. Da ich nicht erst tanke, wenn die Akkus leer sind, ist der genaue Preis schwer zu schätzen, aber meine monatlichen Ausgaben für's Tanken sind von 60 Euro auf 6 Euro gesunken. Und das noch in den ersten Monaten, wo mich der Fahrspaß das Moped noch deutlich häufiger benutzen lässt. Und Fahrspaß it is!

    Das Moped, was ich mir ausgesucht habe, ist im Vergleich zu den Leihrollern von eMio und Coup rund 20 % kleiner und deutlich leichter – und jedes am Roller gesparte Kilo muss ich nicht abnehmen, um an der Ampel schneller wegzukommen. Entsprechend saust es sich an der Kreuzung auch los. Danach gleitet man quasi durch den Straßenverkehr und viel toller: durch Parks und über Fahrradwege und Bürgersteige, ohne negativ aufzufallen. Um das Moped am Café abzustellen, bin ich auch schon durch die Stuhlreihen auf dem Gehweh gerollt und niemand hat auch nur geguckt – mit dem 2-Takter undenkbar. Und wenn man einen Sozius an Board hat [8], ist sogar ein entspanntes Gespräch möglich.

    Tzschja, und der Pferdefuß? Die Reichweiten-Experimente sind nicht vollständig geglückt: Vollständig leer kann (und sollte man) das Akku nicht realistisch fahren, da auf den letzten 15 % Ladestand ein bequemes Fußgängertempo rauskommt [9]. Und auch dann landet man nicht bei den 50 Kilometern Distanz, sondern eher so bei 45, von denen man nur die ersten 40 vorankommt. Selbst mit den beiden Akkus sind die 80 Kilometer zur Datsche [10] des Kumpels also nicht (oder nur ohne Bremsen und mit viel Bangen) ohne Zwischenstopp zu erreichen. [11] Das heißt, dass ich mir jetzt ein Restaurant suchen muss, wo ich auf dem Weg kurz zum Schnitzel Essen anhalten und währenddessen zwei Akkus kurz-betanken muss. Hmm.

    Auch ansonsten ist die Kapazität noch nicht da, wo man überhaupt nicht mehr drüber nachdenken muss: Die Akkus selber wiegen so acht Kilogramm und kommen mit Henkel: Mit Erdgeschoss-Büro ist das Tauschen schon in die tägliche Routine übergegangen, weil der Motorcontroller auf den ersten 25 % Akku noch einmal spürbar schneller anzieht und daher ein volles Akku spaßsteigernd ist. [12] Allerdings ist es nicht so, dass ich ernstlich leide, wenn ich mal zwei Tage das Tauschen vergessen habe, also kein nervöses Hetzen wie beim Smartphone. Was die Kapazität angeht, bin ich verdammt nah am Wohlfühlbereich dran, und wenn von den wöchentlichen Presseberichten über eine Verdopplung und Verdreifachung der Energiedichte in Akkus im Labor [13] auch nur eins die Serienreife erreicht, erreiche ich die Auftank-Frequenz des Benziners.

    Da ich auch stolzer Winterfahrer bin, habe ich ein paar Erfahrungen mit den Akkus in der Kälte gemacht. Grundsätzlich gilt: Akkus nicht nachts draußen parken. Und wenn man sie tagsüber ein paar Stunden in der Kälte lässt, zieht das Moped nochmal deutlich schlechter an und man verliert bei Frost rund 10 % Reichweite. Kein Showstopper, aber sollte man beachten.

    Das einzige, was mich beim Unu ein bisschen ankekst, ist die Helmsituation. Das Akkufach ist riesig, und wenn man nur einen Akku mitnimmt, hat man echt viel Stauraum für einen mittleren Einkauf. [14] Jedoch ist das Akku quaderförmig hoch (es passen also zwei nebeneinander), was keinen Platz mehr für einen normalen Helm lässt. Sinnigerweise passt der Helm prima rein, wenn kein Akku drin ist: Aber ganz ehrlich schleppe ich lieber Helm statt Akku mit. [15]

    Nun kann ich also mit gutem Beispiel voran Energie sparend durch die Stadt heizen und meine Gesamtökobilanz wieder massieren. Beim Recherchieren bin ich noch auf das offensichtlich weit verbreitete Vorurteil gestoßen, Elektro-Mobile würden ja viel dreckiger betrieben werden, als Benziner, da der Strom aus Kohlekraftwerken käme. Gilt für mich zwar nicht, aber noch krasser ist, dass die meisten Raffinerien Benzin mittels Kohlestrom herstellen [16], der die Bilanz pro Kilometer sofort wieder Richtung Elektro-Mobil korrigiert. Und Meldungen wie die hier [17] machen mir Mut, wirklich Sonnenkraft unterm Hintern zu spüren – Proctoheliose FTW!

    Fußnoten:

    [1] Als ich mal den Verbrauch meines letzten Mopeds auf 100 km hochgerechnet habe, schlackerten mir aber auch die Ohren. Zweitakter sind wirklich ineffizient.
    [2] Präteritum und Perfektform von erkiesen. https://de.wiktionary.org/wiki/erkiesen
    [3] http://www.intaiwan.de/2016/08/08/gogoro-berlin-e-scooter-elektro-roller/
    [4] https://www.electrive.net/2016/08/02/bosch-startet-elektro-scooter-sharing-namens-coup-in-berlin/
    [5] http://business.financialpost.com/news/transportation/fossil-fuel-vehicles-will-vanish-in-8-years-in-twin-death-spiral-for-big-oil-and-big-autos-says-study-that-shocking-the-industry
    [6] https://unumotors.com/
    [7] Dabei kostet der zweite Akku 700 Euro und das Upgrade von der noch erträglichen 2kW-Motor-Version auf die 3kW-Vollausstattung 500 Euro. Den 1-kW-Motor zum Starterpreis von 1600 Euro will man sich nicht wirklich antun.
    [8] Für einen Beifahrer muss man sich ob des geringeren Platzangebots sehr lieb haben oder zwei schmale Personen anordnen, sonst heißt es Gepäckträgerberührung.
    [9] Jaja, ich weiß das daher, dass ich das Akku auch tatsächlich leergefahren habe.
    [10] Für Wessis: Ferienlaube.
    [11] Ob das mit einem der beiden Motoren geringerer Leistung möglich gewesen wäre, weiß ich dabei aber nicht.
    [12] Es kann daher sein, dass die Anzugsfreudigkeit auf den ersten Kilometern in die Reichweite frisst.
    [13] Citation needed.
    [14] Der Rest vom Großeinkauf passt bequem zwischen die Füße und in den Rucksack.
    [15] Obwohl das im Winter vielleicht doch die bessere Wahl wäre.
    [16] https://www.youtube.com/watch?v=BQpX-9OyEr4
    [17] https://www.indy100.com/article/two-thirds-germany-powered-renewable-energy-easter-day-green-7737221
  • Don't piss in my beer

    Twelve years ago I started a little project called ezjail, an opinionated tool that helps FreeBSD admins to make compartmentalization a lot easier. Long before real virtualisation was a real thing for the rest of us, it helped me scratch my itches maintaining virtual servers I could give out to my more or less technically savvy friends without too much headaches regarding the safety of my files. Of course, this project has been released under my favorite licence.

    Keep in mind, that this licence actually doesn't ask for much. Basically it only says not to steal it and run around claiming it's yours. Now, you'll never guess, what happened in 2013. ;)

    That's right: After apparently not reacting quickly enough to some man page rewrites submitted to me by an author from the philippines, I seem to have made an enemy for life! I've encountered an interesting version of a hostile fork named qjail: my project was copied, the fork renamed and most (but not all) of the references to the ezjail project name replaced by the fork's name.

    When I reported my astonishment to the adults running the FreeBSD project, they quickly took action and blocked the port until qjail acknowledged me being the author. Others noticed as well and decided to move away from the copy cat.

    The open source philosophy and some licence law details must have been lost on the guy, as becomes obvious by some later quite funny follow-ups. To quote from emails later in that thread (you have to start reading from the bottom).

    One does not have to be a lawyer to know the lack of any license verbiage embedded in computer programs released to the public becomes property of public domain forever. Putting license verbiage on your next port version is unenforceable because it's already property of public domain.

    And even more hilarious

    This outburst only confirms my suspicion that your suffering from dementia caused by advancing age. I tried to give you a way to save face as I purposed in my private email to you.

    I understand what you are going through and forgive you for your actions. I pray you are under medical care for this condition. There are drugs which reduce these effects and prolong the periods of normalness.

    While I usually try not to stand in the way of others doing stuff, I found the process annoying enough to act. In turn, ezjail became a constant target of FUD and suggestions to switch in all kinds of forums I never had the time to check and correct.

    What made things worse is that the guy just started learning the very language ezjail was written in. Considering jails being a security mechanism, that's a very bold move.

    In the end, the differences in qjail became so distinct that he could not rip off later developments like the whole zfs sub system, contributed by a friend of mine.

    Time went by and things changed in the FreeBSD world that were a little unfortunate to my project: FreeBSD jails were reorganized and the official jail management tool moved from reading a simple config language to a structured one (making it impossible to edit and parse in the rather simple scripting language sh). A legacy wrapper was added which showed a depreciation message every time ezjail would start a virtual system:

    WARNING: Per-jail configuration via jail_* variables is obsolete. Please consider to migrate to /etc/jail.conf

    Of course, this only was grist to the FUD mill, claiming ezjail was outdated. For technical reasons, while it is easy to get rid of this warning (qjail did), but unfortunately not when doing it properly. (Tl;dr: you can reproduce the original functionality of the wrapper, but you're doomed to chase changes in the system's implementation forever. Also you keep several, possibly diverging states of your config files without a way to parse the ones that the OS considers official.)

    If you zoom out on the thread I just linked to, you'll notice that the very guy who stole my code now lobbies to have the wrapper code removed, which would essentially break ezjail.

    And to make things even more absurd: when called out on his proposal, he approached me with a "fix" to the carnage he tries to bring upon me. You'll never guess if he wrote the code he asks me to copy into my project himself. ;)

    In summary: I can't really lurk around in all the forums and honestly I don't have the time for fighting an unsuspected arch enemy. But if you want to understand how frustrating open source development can become, once you're up against someone with more time than ability, feel free to join me over a beer!

    Update

    As an impressive turd seasoning, I just found that qjail's current licence header reads:

    As per the international "Berne Convention" this work is protected and all rights reserved.

    Before qjail may be forked, written permission must be obtained from the author.

    No worries mate. Not gonna fork it. Promise!

Playground

See the lecture about opentracker on 24C3 (slides), Wahlcomputer in Erlangen, Format String Exploits, see the interviews and TV show contributions (todo).

Skypixels are helium balloons lit by independent LED boards remote controlled by a NFR2401 controller.

GodMachine was an installation in the Dresden Museum of hygiene, allowing visitors to control the weather by gestures.

Laserharfe is a music instrument built together with friends. It converts hands moving in laser beams to MIDI signals and works on off the shelf electronics.

Some rather personal content, songs I wrote or recorded, some in my former band, Pumpanickle. Poetry I wrote. Recently into selecting or writing intros for podcasts alternativlos, turing galaxis, Frühstücksblog podcast, Neusprech, Fnord News Show and OHM podcast.