https://www.helptux.be/blog/ Recent content in Blog on Helptux Computing Hugo -- gohugo.io nl Sat, 16 May 2026 00:00:00 +0000 https://www.helptux.be/blog/2026-05-16-geen-internet-na-reboot/ Sat, 16 May 2026 00:00:00 +0000 https://www.helptux.be/blog/2026-05-16-geen-internet-na-reboot/ Rebooten is gevaarlijk. Zeker als het een virtuele machine is. Na een stroompanne (dat is natuurlijk niet echt een reboot) kwam één van mijn machines niet meer terug. Ze startte wel op, maar geen enkel netwerkverkeer. Ik heb vanalles geprobeerd. Een paar nuttige dingen. Bekijken welke interface gebruikt wordt (en dan nakijken of dat MAC-adres op de switch binnen komt - ja hoor): virsh dominfo echnaton.nidavellir.be Op de machine de configuratie juist zetten: https://www.helptux.be/blog/2026-05-02-mediawiki-fpm/ Sat, 02 May 2026 00:00:00 +0000 https://www.helptux.be/blog/2026-05-02-mediawiki-fpm/ Ik draaide mijn Mediawiki(’s) onder mod_php in Apache. Dat werkt wel, maar soms moet je dingen ook wel eens veranderen. Bovendien wil ik op een webserver ruimte vrijmaken voor Dockerapplicaties en dus moeten de Mediawiki’s verplaatst worden naar een andere host. En die werkt met PHP-FPM. Ik heb best wel wat gezocht op het internet, niet veel gevonden en dan gewoon geprobeerd. Met wat hulp van vriend Claude zijn we dan toch geëindigd met een werkende oplossing. https://www.helptux.be/blog/2025-07-21-backuppc/ Mon, 21 Jul 2025 00:00:00 +0000 https://www.helptux.be/blog/2025-07-21-backuppc/ Ik gebruik BackupPC om automatisch een back-up te maken van al mijn servers. Maar er zijn al sinds de upgrade van de server naar Ubuntu 22.04 foutmeldingen, dus besloot ik om er vandaag eens te goei naar te kijken. Na wat onderzoek blijkt dat er versie 4 (of Ubuntu 22.04/Jammy) een extra pakket is om te installeren: backuppc-rsync. Hoewel automatisch geïnstalleerd als dependency van backuppc, blijkt het toch nog niet vanzelf te werken (BackupPC gebruikt een eigen, gepatchede, versie van rsync). https://www.helptux.be/blog/2025-07-21-certbot-webroot/ Mon, 21 Jul 2025 00:00:00 +0000 https://www.helptux.be/blog/2025-07-21-certbot-webroot/ Ik had onlangs een aantal problemen (of uitdagingen voor managers) bij het vernieuwen van HTTPS-certificaten via Certbot (je weet wel, Let’s Encrypt). Bij de meeste van mijn websites gaat dit automagisch door de integratie met Cloudflare (Certbot past DNS-entries aan). Maar sommige domeinen hebben niet zo’n integratie, en dan moet het met de webroot- of nginx-plugin. Ik gebruik de webroot-plugin, want SSL wordt afgehandeld op een proxyserver en ik wil niet alle andere sites even uitschakelen om het certificaat van één te vernieuwen. https://www.helptux.be/blog/2025-06-07-fun-met-firewall/ Sat, 07 Jun 2025 00:00:00 +0000 https://www.helptux.be/blog/2025-06-07-fun-met-firewall/ Ik ben niet meer zo vaak bezig met de nitty-gritty krochten van de wondere wereld van het systeembeheer (nu meer iemand die presentaties maakt en nota’s schrijft), maar af en toe wil ik toch ook nog iets met de handen doen. Caveat emptor zoals een Romein zou zeggen, en dit verhaal bewijst dat ze in ’t Antieke Rome goed wisten wat ze deden! Voor een keer dat het geen DNS-probleem is … https://www.helptux.be/blog/2025-06-01-waar-dienen-knoppen-voor/ Sun, 01 Jun 2025 00:00:00 +0000 https://www.helptux.be/blog/2025-06-01-waar-dienen-knoppen-voor/ Ons (allez, het is niet ons, het) klein theaterzaaltje waar wij ieder jaar het beste van onszelf geven, heeft een geluidsinstallatie en daar hoort uiteraard een mengpaneel bij. Dat mengpaneel heeft veel schuivers, knopjes en allerlei cryptische tekens; maar helaas geen handleiding (meer). Bovendien zijn wij nu ook geen geluidstechniekers (of toch geen professionele). We zijn ook wel geen volslagen leken, dus er komt altijd wel een goed geluid uit. Maar wat iedere knop nu juist doet, dat weten we eigenlijk ook niet goed. https://www.helptux.be/blog/2025-05-21-docker-cheatsheet/ Wed, 21 May 2025 00:00:00 +0000 https://www.helptux.be/blog/2025-05-21-docker-cheatsheet/ Netwerk met subnet podman network ls --format "{{.Name}}: {{range .Subnets}}{{.Subnet}} {{end}}" Containers die luisteren op een subnet podman ps --filter network=<$name$> Bash starten in een container (die al draait) podman exec -ti <$container_name$> /bin/bash https://www.helptux.be/blog/2024-04-13-tip-voor-openvpn/ Sat, 13 Apr 2024 00:00:00 +0000 https://www.helptux.be/blog/2024-04-13-tip-voor-openvpn/ Deze week is het servercertificaat voor mijn OpenVPN-server vervallen. Op zich is dat niet zo’n nieuws, gewoon vervangen en alles werkt terug. Alleen. Dat bleek niet zo te zijn. Wat ik ook probeerde, ik kreeg een foutmelding: unsupported certificate purpose. Apr 13 18:50:32 hathor.dc.nidavellir.be openvpn[528784]: VERIFY ERROR: depth=0, error=unsupported certificate purpose: CN=twosret.dc.nidavellir.be, serial=SNIP Apr 13 18:50:32 hathor.dc.nidavellir.be openvpn[528784]: OpenSSL: error:0A000086:SSL routines::certificate verify failed Apr 13 18:50:32 hathor.dc.nidavellir.be openvpn[528784]: TLS_ERROR: BIO read tls_read_plaintext error Apr 13 18:50:32 hathor. https://www.helptux.be/blog/2024-03-11-openid-nextcloud/ Mon, 11 Mar 2024 00:00:00 +0000 https://www.helptux.be/blog/2024-03-11-openid-nextcloud/ Zoals het een echte nerd betaamt heb ik meer zelfgehoste websites en applicaties dan je eigenlijk nodig hebt voor een normaal en gelukkig leven. Voor elk van die websites heb je natuurlijk een gebruikersnaam en wachtwoord nodig, en dat wordt op de duur onbeheer(s)baar, zeker wanneer je ook anderen toegang wil geven. Je wil (of ik toch) dus een centrale gebruikersdatabase, opdat iedereen maar één gebruikersnaam en wachtwoord moet onthouden. De industry standard is natuurlijk een vorm van LDAP, maar zo zot ben ik nu ook weer niet. https://www.helptux.be/blog/2023-08-10-prometheus-collector-python/ Thu, 10 Aug 2023 00:00:00 +0000 https://www.helptux.be/blog/2023-08-10-prometheus-collector-python/ De titel is misschien een beetje vreemd, maar het wordt al snel duidelijker. Ik werk aan een applicatie die op meerdere plaatsen (endpoints) metrics wil beschikbaar stellen via het Prometheus-formaat. In normale situaties heb je maar één endpoint en dan kan je gewoon de Python-library “as is” gebruiken. Maar zo niet in mijn geval. Ik wil veel meer endpoints, en dat kan. Alleen is het niet meteen duidelijk hoe je dat moet doen, en om iedereen mijn zoektocht te besparen heb ik het ter leering ende vermaek opgeschreven. https://www.helptux.be/blog/2023-03-10-procedure-migratie-kvm/ Fri, 10 Mar 2023 00:00:00 +0000 https://www.helptux.be/blog/2023-03-10-procedure-migratie-kvm/ Ik heb onlangs een nieuwe fysieke server gehuurd, want op de oude begon ik tegen de maximale hoeveelheid RAM-geheugen te botsen. Nu is dat op zich niet zo spectaculair, alleen gebruik ik dat systeem als KVM host; en is het niet de bedoeling om voor twee servers te blijven betalen. Een migratie van de ene naar de andere drong zich dus op. Het is gelukkig niet zo moeilijk, alleen moet je wel met een paar uitdagingen rekening houden om alles goed te laten verlopen. https://www.helptux.be/blog/2023-02-13-spiekbriefje-it-management/ Mon, 13 Feb 2023 00:00:00 +0000 https://www.helptux.be/blog/2023-02-13-spiekbriefje-it-management/ Inhoud PMI area’s 5S (Kaizen) COBIT 5 principes 7 enablers 5 process area’s Evaluate, direct and monitor Align, plan and organise Build, acquire and implement Deliver, service and support Monitor, evaluate and assess PMI area’s Basis voor goed projectbeheer. Beheer scope. Kwaliteit. Team management. Kosten beheersen. Timing. Communicatie. Aanschaffen. Risicobeheersing. Integratie van 1 t.e.m. 8. 5S (Kaizen) Focus op het elimineren van waste. Seiri (sorteren) Is het nodig? Seiton (ordenen) https://www.helptux.be/blog/2022-11-09-switch-de-switch/ Wed, 09 Nov 2022 00:00:00 +0000 https://www.helptux.be/blog/2022-11-09-switch-de-switch/ Een minuut stilte graag, want mijn oude getrouwe Unifi Security Gateway nidavellir-ro-dc heeft eergisteren schielijk de geest gegeven. Na vijf jaar trouwe arbeid was de laatste verbouwing er waarschijnlijk te veel aan. Nu leverde dat wel wat problemen op. Zoals trouwe lezers van deze blog weten is mijn setup nogal complex, en een router is een nogal belangrijk onderdeel van gelijk welk netwerk. Gelukkig waren de systeembeheergoden met mij, want er waren gelukkig een paar dingen die wel nog werkten. https://www.helptux.be/blog/2022-10-05-too-many-redirects-cloudflare/ Wed, 05 Oct 2022 00:00:00 +0000 https://www.helptux.be/blog/2022-10-05-too-many-redirects-cloudflare/ Ik gebruik Cloudflare niet alleen als DNS-provider (handig! uitgebruid! integratie met Let’s Encrypt!), maar ook als proxy voor websites om zo de load een beetje van mijn servers te halen. Maar bij sommige domeinen krijg ik ERR_TOO_MANY_REDIRECTS als ik de website probeer te bezoeken. En dat wil je natuurlijk niet. Om het probleem (en vooral de oplossing) te snappen is het volstrekt niet nodig om een architectuurdiagram te tekenen, maar iedereen pronkt nu eenmaal graag met zijn equipment; sommigen met hun supercar, ik met mijn serverpark. https://www.helptux.be/blog/2022-08-29-ssh-met-wachtwoord/ Mon, 29 Aug 2022 00:00:00 +0000 https://www.helptux.be/blog/2022-08-29-ssh-met-wachtwoord/ Een korte geplukt van Stack Overflow: hoe ervoor zorgen dat je met je wachtwoord kan aanmelden op een server, in plaats van met een SSH-sleutel. ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no $gebruiker@$server Dit werkt natuurlijk enkel wanneer de server wachtwoordgebaseerd aanmelden toelaat (wat in de meeste gevallen niet zo zal zijn om veiligheidsredenen). https://www.helptux.be/blog/2022-06-09-pip-op-windows/ Thu, 09 Jun 2022 00:00:00 +0000 https://www.helptux.be/blog/2022-06-09-pip-op-windows/ Windows (het besturingssysteem) is al lang niet meer de also ran als het gaat over webontwikkeling. In Windows 10 kan je Python zelfs installeren via de Microsoft Store. En pip wordt meegeleverd. Als je dat om één of andere reden niet wil, kan je nog altijd gewoon de versie van Python zelf downloaden en installeren. Ook daar zit pip bij, maar je kan het commando niet rechtstreeks uitvoeren, je moet dat doen via py -m pip. https://www.helptux.be/blog/2022-02-15-gimp-afbeeldingen-scannen/ Tue, 15 Feb 2022 00:00:00 +0000 https://www.helptux.be/blog/2022-02-15-gimp-afbeeldingen-scannen/ Ik ben niet alleen iemand die nogal permanent met computers bezig is, maar ik heb ook een diploma geschiedenis en archivistiek! Dit is totaal irrelevant, maar is wel een goede intro voor de post van vandaag; ik ben namelijk bezig met het inscannen van een foto-familie-archief. Voor het scannen zelf heb ik … een scanner! Maar met alleen scannen komen we er niet, want ik scan 3 of 4 foto’s per keer (anders duurt het te lang), wat wel werkt, maar dan moet de ene scan nog gesplitst geraken in verschillende delen. https://www.helptux.be/blog/2022-02-13-korte-handleiding-hugo/ Sun, 13 Feb 2022 00:00:00 +0000 https://www.helptux.be/blog/2022-02-13-korte-handleiding-hugo/ Ik draai niet alleen mijn eigen website, maar ik heb er ook een aantal (kleine) voor vrienden, familie en verenigingen waar ik lid van ben. Om alles eenvoudig te houden zijn dat statische websites gegenereerd door Hugo. Nu is dat voor mij wel simpel, maar voor de meeste niet-IT’ers onder ons niet. Ter ondersteuning heb ik een korte handleiding geschreven die uitlegt hoe je aanpassingen kan doen. Hij is natuurlijk wel vooral van toepassing op mijn hoogstpersoonlijke casus waarbij de broncode op gitlab. https://www.helptux.be/blog/2021-12-19-postfix-meerdere-domeinen/ Sun, 19 Dec 2021 00:00:00 +0000 https://www.helptux.be/blog/2021-12-19-postfix-meerdere-domeinen/ Ik heb een mailserver(Amenhotep). Normale mensen vragen zich ongetwijfeld af waarom iemand dat zelf zou doen wanneer je ook gewoon Gmail of Hotmail (of Outlook, ik ben van de oude stempel) kan gebruiken, en die mensen hebben gelijk. Alleen kruipt het bloed waar het niet gaan kan; en af en toe kan je er ook leuke dingen mee doen. Ik heb ook meerdere domeinen (voor projecten waar nooit iets van komt), en nu ontstond de nood om van één van die domeinen e-mails te kunnen versturen. https://www.helptux.be/blog/2021-11-27-hugo/ Sat, 27 Nov 2021 00:00:00 +0000 https://www.helptux.be/blog/2021-11-27-hugo/ Dan toch nog eens een post. Niet omdat er veel te vertellen is, maar simpelweg een dienstmededeling dat de website niet meer op Wordpress, maar op Hugo draait. Hoera! Hugo is een static site generator, wat een dure term is voor een programma dat een collectie markdown-bestanden, hier en daar een stuk html en een thema omzet naar HTML. Geen engine of interpreter meer nodig, simpelweg een collectie HTML, CSS en JS-bestanden. https://www.helptux.be/blog/2021-03-18-herinstallatie-van-windows-10/ Thu, 18 Mar 2021 00:00:00 +0000 https://www.helptux.be/blog/2021-03-18-herinstallatie-van-windows-10/ Minister Weyts had 10.000 laptops beloofd, en zoals bij alle beloftes van de Vlaamse overheid blijken daar toch meer haken en ogen aan te zijn dan gedacht en moeten gemeentes en scholen dus zelf de handen uit de mouwen steken. Om een lang verhaal kort te maken, sinds kort kampeert hier af en toe een stapeltje laptops dat dringend moet voorzien worden van Windows 10. Een eerste actie is uiteraard een grondige reiniging, want veel systemen hebben zoals dat heet al wat “patina”, en dat is niet zo plezant voor nieuwe gebruikers. https://www.helptux.be/blog/2020-02-15-proximus-tv-en-ubiquiti/ Sat, 15 Feb 2020 00:00:00 +0000 https://www.helptux.be/blog/2020-02-15-proximus-tv-en-ubiquiti/ Ja, ook wij zijn voor de bijl gegaan. Na enkele jaren geleefd te hebben als “cord-cutter” gaan we nu toch terug televisie binnenhalen, maar dan wel van Proximus. Er komt ook internet bij, en dus moeten we dat laten werken met onze setup, die, zoals het een echte systeembeheerder betaamt, een stuk complexer is dan waarschijnlijk nodig. Maar het kan, dus waarom zouden we het niet doen? Wat Proximus normaal doet De vrij eenvoudige standaardopstelling. https://www.helptux.be/blog/2019-06-08-wachtwoord-windows-resetten/ Sat, 08 Jun 2019 00:00:00 +0000 https://www.helptux.be/blog/2019-06-08-wachtwoord-windows-resetten/ Een systeembeheerder komt met een breed scala en technologieën, de ene al wat meer au courant dan de andere, in aanraking, zeker wanneer die ook nog eens oude hardware verzamelt. Zo ook nu: geïnspireerd door een andere Twitteraar en in een vlaag van nostalgie ga ik een PC uit de tijd van toen proberen terug aan de praat te krijgen, om zo te gamen alsof het weer helemaal 2005 is. En dat wil zeggen, Vista of XP. https://www.helptux.be/blog/2019-05-22-emby-synchroniseert-bibliotheek/ Wed, 22 May 2019 00:00:00 +0000 https://www.helptux.be/blog/2019-05-22-emby-synchroniseert-bibliotheek/ Ik gebruik Emby als media-server. In een niet zo ver verleden draaide Emby op de server waar ook de mediabestanden zich bevonden, maar om mijn thuisinfrastructuur een beetje op orde te zetten werd de mediaserver verplaatst naar een nieuw systeem, met een CPU die in staat (zou moeten zijn) is om snel en goed te converteren. De films en video’s bleven op de NAS, dus werd die laatste een beetje aangepast om niet alleen SAMBA, maar ook NFS beschikbaar te maken. https://www.helptux.be/blog/2019-03-16-download-extract/ Sat, 16 Mar 2019 00:00:00 +0000 https://www.helptux.be/blog/2019-03-16-download-extract/ Iedereen kent het: ontelbare .tar.gz-bestanden downloaden en uitpakken om één of andere applicatie te installeren. De klassieke manier is een combinatie van wget en tar xzf, maar het kan ook in één commando, zonder een “tijdelijk met permanent karakter”-bestand (want wie ruimt al die downloads ooit op? Ik niet in ieder geval). curl https://extdist.wmflabs.org/dist/extensions/PagedTiffHandler-REL1_32-f06ecc9.tar.gz | tar xz Voer dat uit in de locatie waar de uitgepakte bestanden moeten staan en voila, mission accomplished! https://www.helptux.be/blog/2018-03-20-verzenden-forward/ Tue, 20 Mar 2018 00:00:00 +0000 https://www.helptux.be/blog/2018-03-20-verzenden-forward/ Ik heb een e-mailadres dat geforward wordt naar mijn “normaal” e-mailadres. Nu was het onlangs nodig om een bericht vanaf dat adres te versturen. Helaas vond mijn mailserver dat geen goed idee, en weigerde hij pertinent. De oplossing was simpel. In de client moet je de forward instellen als Van (i.e. pieter@example.org), en op de server moet je het adres toevoegen aan smtpd_sender_login_maps in /etc/postfix/main.cf (in mijn geval in een apart bestand): https://www.helptux.be/blog/2018-01-06-mod_rewrite-letsencrypt/ Sat, 06 Jan 2018 00:00:00 +0000 https://www.helptux.be/blog/2018-01-06-mod_rewrite-letsencrypt/ Ik ben een fervent aanhanger van Let’s Encrypt, en van het versleutelen van verkeer in het algemeen. Al mijn publieke en private sites hebben dus een certificaat, dat bij voorkeur automatisch vernieuwd wordt. Maar al een tijdje is er een probleem met één van die sites (een Mattermostserver achter een Apache reverse proxy), waarbij het hernieuwen van het certificaat (via cron) om de één of andere reden faalt. Op zich was er met DNS en de configuratie van de webserver niets mis: die was identiek aan alle andere systemen. https://www.helptux.be/blog/2018-01-04-environment-variables-wsgi/ Thu, 04 Jan 2018 00:00:00 +0000 https://www.helptux.be/blog/2018-01-04-environment-variables-wsgi/ Soms heb je een environment variable nodig in een wsgi-applicatie, zoals bijvoorbeeld LD_LIBRARY_PATH omdat een bepaalde C-bibliotheek niet beschikbaar is. De normale manier om dat te doen is via mod_env en SetEnv in de VirtualHost-definitie, maar voor wsgi-applicaties werkt dat niet, omdat die gestart worden voor de eerste request. SetEnv wordt enkel uitgevoerd bij de eerste request naar een site. Je moet die variables meegeven aan het apache (httpd)-proces zelf, met dien verstande dat ze dan voor alle websites en webapplicaties beschikbaar zijn (wat misschien niet de bedoeling is). https://www.helptux.be/blog/2017-12-18-objectid-pymongo/ Mon, 18 Dec 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-12-18-objectid-pymongo/ Het is een beetje weggestopt in de documentatie, maar het staat er gelukkig wel in. Wanneer je een document uit een mongodatabase wil halen op basis van zijn _id, dan moet je dat id eerst omzetten naar een ObjectId, anders krijg je onbegrijpelijke “Document not found“-foutmeldingen. Alweer een uur gespaard! https://www.helptux.be/blog/2017-11-24-puppetmodules-rubymine/ Fri, 24 Nov 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-11-24-puppetmodules-rubymine/ In RubyMine, een uitstekende IDE uit de Jetbrainsstal, kan je Puppetmodules ontwikkelen (de taal is ondersteund), maar je moet enkele dingen in het achterhoofd houden. Zo eentje heb ik vandaag ontdekt. Opdat RubyMine automatisch de naam van variabelen, functies en klassen uit jouw module zou aanvullen, moet je ervoor zorgen dat ze op één of andere manier door heeft dat je een module aan het ontwikkelen bent. De oplossing is eenvoudig en elegant: voeg een metadata. https://www.helptux.be/blog/2017-11-21-mysql-op-ubuntu-16-04/ Tue, 21 Nov 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-11-21-mysql-op-ubuntu-16-04/ Groot was de (mijn) consternatie toen ik probeerde om op een blauwe maandag (het zal eerder een zaterdag geweest zijn, maar goed) een database aan te maken voor één of ander project. Normaal is dat niet zo moeilijk: inloggen als root, database aanmaken et voilà, Bob’s your uncle! Maar niet dus. Hoewel ik het mij niet kon herinneren, bleek de mysql server al geïnstalleerd te zijn en, nog vreemder, er was een rootwachtwoord ingesteld. https://www.helptux.be/blog/2017-11-08-wsgipassauthorization/ Wed, 08 Nov 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-11-08-wsgipassauthorization/ Een RESTful API die niet helemaal publiek mag zijn is meestal beveiligd met een variant van HTTP Basic Authentication. Daar is natuurlijk niets mis mee, want het is veruit de eenvoudigste manier voor een API-consument om zich te identificeren. Maar onlangs stootte ik toch op een caveat emptor: wanneer je een API in Python (bv. Flask) via mod_wsgi beschikbaar stelt, dan werkt het plots niet meer om met Basic Authentication aan te melden. https://www.helptux.be/blog/2017-10-12-git-terugdraaien-naar-een-specifieke-commit/ Thu, 12 Oct 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-10-12-git-terugdraaien-naar-een-specifieke-commit/ Iets wat heel eenvoudig is. Als je weet hoe. git reset --soft <commit_hash Dit zet alle wijzigingen in jouw lokale kopie terug naar de status van die specifieke commit. Alle latere commits worden hierdoor gewist. Afhankelijk van de instellingen van je remote (bv. Github) kan je dit ook pushen, wat ook daar alle latere commits doet verdwijnen (ze zijn ook niet meer terug te halen!). https://www.helptux.be/blog/2017-10-12-self-signed-ssl-certificaat/ Thu, 12 Oct 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-10-12-self-signed-ssl-certificaat/ Met een one-liner: openssl req -x509 -nodes -newkey rsa:2048 -sha256 -keyout /etc/ssl/private/router.dc.helptux.be.key.pem -out /etc/ssl/certs/router.dc.helptux.be.cert.pem -days 3650 https://www.helptux.be/blog/2017-10-04-ssh-socks-tunnel-en-firefox/ Wed, 04 Oct 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-10-04-ssh-socks-tunnel-en-firefox/ Ik heb een VPN. Maar dat is eigenlijk een management-VPN die bedoeld is om servers te beheren, en niet echt om internetverkeer te verwerken om spionerende netwerkbeheerders te slim af te zijn. Dus, een andere oplossing. Een simpele oplossing. Met SSH, en de jump host uit dit bericht is het zelfs heel simpel. SSH kan immers zonder al te veel moeite een SOCKS-tunnel opzetten, waarmee je al het verkeer dat naar de getunnelde poort gestuurd wordt kan doorsturen naar de remote host. https://www.helptux.be/blog/2017-10-03-ssh-jump-host/ Tue, 03 Oct 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-10-03-ssh-jump-host/ Als je meerdere servers hebt, dan is het aangeraden om een intern, management-only, netwerk te voorzien, om beheertaken (DNS, Puppet, Zabbix enz.) uit te voeren die je niet via het publieke netwerk wil sturen. Uiteraard heeft dit netwerk geen toegang tot het internet. Gezien mijn hosts niet allemaal in hetzelfde datacenter zitten, en ik geen geld heb voor een dedicated link, gebruik ik OpenVPN voor het achterliggende netwerk. Nu wil ik wel kunnen inloggen op alle hosts via dit netwerk, voornamelijk omdat ik dan de interne domeinnamen kan gebruiken. https://www.helptux.be/blog/2017-09-29-selinux-en-poorten/ Fri, 29 Sep 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-09-29-selinux-en-poorten/ Om een proces (bv. httpd) toegang te geven tot een bepaalde poort moet je in SELinux de context van de poort veranderen. Dat is niet zo moeilijk: semanage port -a -t http_port_t -p tcp 8443 Maar, soms is de poort al toegewezen aan een context en krijg je een toffe foutmelding: Port tcp/8443 already defined Maar, je kan gelukkig ook, in plaats van een combinatie toe te voegen (-a), ook de bestaande combinatie wijzigen (-m): https://www.helptux.be/blog/2017-09-03-hiera-eyaml-caveat-emptor/ Sun, 03 Sep 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-09-03-hiera-eyaml-caveat-emptor/ Ik gebruik Puppet voor mijn persoonlijk serverpark, en ben daar best tevreden over. Maar af en toe … Zoals nu dus. In het kader van een herstructurering wordt de Puppetmaster gemigreerd van een VPS naar een fysieke server. Wanneer ik zeg gemigreerd, bedoel ik eigenlijk opnieuw opgezet, met een aantal verbeteringen, zoals daar zijn r10k voor de synchronisatie van repositories en modules. Omdat alles in git zit (uiteraard) en ik een beetje paranoïde ben, versleutel ik mijn wachtwoorden en SSH-sleutels (opgeslagen in Hiera) met hiera-eyaml. https://www.helptux.be/blog/2017-08-17-kerberos-een-tragikomedie/ Thu, 17 Aug 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-08-17-kerberos-een-tragikomedie/ Prelude: Vandaag een update uitgevoerd van Fedora 25 naar Fedora 26, en alles ging goed. Alles? Neen, niet alles. Kerberos bleef weerstand bieden aan de overweldigers. Alles is geconfigureerd om via Kerberos en SSH passwordless te kunnen inloggen op het serverpark, maar SSH weigerde koppig dienst. Confrontatie: De eerste foutmelding leek te wijzen naar het ontbreken van /etc/krb5.keytab (Server not found in Kerberos database). En inderdaad, het vermaledijde bestand was niet aanwezig. https://www.helptux.be/blog/2017-08-05-puppet-invalid-byte-sequence-in-us-ascii/ Sat, 05 Aug 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-08-05-puppet-invalid-byte-sequence-in-us-ascii/ Puppet probeert een bestand te parsen, denkt dat het ASCII is, maar dat is het niet en faalt dus. Een à gebruiken doe je niet ongestraft. Dit is geen probleem met Puppet, maar met de locale die ingesteld staat op het systeem. Op zich eenvoudig op te lossen, ware het niet dat het “systeem” in kwestie een CentOS docker container is. Om een lang verhaal kort te maken, je moet in de Dockerfile de locale-environment variables toevoegen (het uitvoeren van localegen is op CentOS niet nodig). https://www.helptux.be/blog/2017-08-04-nt_status_no_such_group/ Fri, 04 Aug 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-08-04-nt_status_no_such_group/ De foutmelding NT_STATUS_NO_SUCH_GROUP uit Samba betekent dat één van de groepen die je gebruikt bij de share die je probeert te mounten niet bestaat. Dat kan er één zijn uit valid users, write list, maar ook force group. En uiteraard was ik die laatste vergeten. Dag voormiddag! https://www.helptux.be/blog/2017-07-02-rpms-van-python-libraries/ Sun, 02 Jul 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-07-02-rpms-van-python-libraries/ Het is niet zo moeilijk als het lijkt. Tenminste, wanneer je setup.py gebruikt, wat de nieuwe (Python 2.7+, dus niet meer zo nieuw) manier is om Pythonpackages te maken. setup.py bevat een call naar de setup-functie, wat een deel is van setuptools. Hoe je zo’n functie opbouwt kan je in de documentatie vinden, of in de fantastische Python packaging tutorial. Met setup.py kan je de package installeren, maar om te delen met vrienden (die toevallig een RPM-distro gebruiken), kan je ook een echte OS-package maken. https://www.helptux.be/blog/2017-06-08-selinux-policy-op-fedora-25/ Thu, 08 Jun 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-06-08-selinux-policy-op-fedora-25/ Bij het gebruik van SELinux is het al eens nodig om een bepaalde aanpassing te doen omdat iets niet werkt. Je kan SELinux simpelweg afleggen natuurlijk, maar dat is niet zo verstandig. Beter is het om een policy te maken voor de applicatie. Stel dat Samba bijvoorbeeld toegang moet hebben tot een bestandssysteem dat via FUSE gemount wordt. Normaal heeft smbd_t geen toegang tot fusefs_t, maar dat kan met een module snel verholpen worden. https://www.helptux.be/blog/2017-05-30-rootwachtwoord-vergeten/ Tue, 30 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-30-rootwachtwoord-vergeten/ Je kan dat oplossen! Of toch als je Grub2 gebruikt. En ik heb het eigenlijk enkel getest op Fedora 25 (met systemd uiteraard). Pas tijdens het booten je grub-menu aan (druk op ESC en dan e). Op de linux-lijn voeg je single en init=/bin/bash toe, zodat die er zo uit ziet: linux /vmlinuz-4.4.0-78-generic root=/dev/mapper/kubuntu--vg-root ro quiet single init=/bin/bash Hiermee zorg je ervoor dat je systeem opstart in single user mode en dat je init-systeem de shell is. https://www.helptux.be/blog/2017-05-23-back-ups-met-duplicity/ Tue, 23 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-23-back-ups-met-duplicity/ Back-ups maken is zoals naar de tandarts gaan. Iedereen weet dat het moet, maar er is altijd wel een reden om het niet te doen. Tot het te laat is natuurlijk … Na het opruimen van de server room was dit het volgende project. Uiteraard volgens de regels van de kunst: 2 verschillende locaties, waarvan één lokaal (voor snelle recovery) en één elders (tegen overstromingen, inbraken of andere rampen). Lokaal is op de NAS in de server room, met een simpel rdiff-backup-script. https://www.helptux.be/blog/2017-05-22-man-cave-for-nerds/ Mon, 22 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-22-man-cave-for-nerds/ Nerds hebben geen “man cave”, die hebben een datacenter. In hun huis. En uiteraard … In iets wat eigenlijk de traphal naar de zolder moet worden. En vandaag, vrije dag, helemaal opgeruimd! Kabels, DVD’s, USB-kabels (een mens vindt die overal) en genoeg RAM-geheugen voor een PC of tien. Rommel-om-computers-mee-samen-te-steken (langlopend project). Ik heb absoluut niet te veel computers. Alleen te weinig stopcontacten (maar één in gebruik). En ze werken ook niet allemaal … https://www.helptux.be/blog/2017-05-19-ubuntu-amd-radeon-rx-580/ Fri, 19 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-19-ubuntu-amd-radeon-rx-580/ Ik ben een gamer. Of beter, ik ben iemand met een game-pc. En op gezette tijden moet je die eens een upgrade geven, want anders ben je niet meer “mee” natuurlijk. Een paar maanden geleden zijn CPU, moederbord en RAM-geheugen vervangen, nu was het de beurt aan de grafische kaart: van een nVidia GeForce 640T naar een AMD Radeon RX 580. Volgens ’t Internet hoef je daarvoor eigenlijk niet veel te doen: oude kaart eruit, nieuwe kaart erin en klaar. https://www.helptux.be/blog/2017-05-14-altijd-relevant/ Sun, 14 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-14-altijd-relevant/ Maar dit weekend toch ietsje meer … https://www.helptux.be/blog/2017-05-12-dovecot-certificaten/ Fri, 12 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-12-dovecot-certificaten/ Zoals ik al vertelde, was het nodig om het SSL-certificaat van mijn e-mailserver (post.helptux.be) te vernieuwen. En natuurlijk moet je dan ook alle applicaties aanpassen. Postfix was mooi aangepast, maar toen weigerde Thunderbird plots mijn e-mails op te halen. En wat vond ik in het logbestand? May 12 18:01:52 post dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=<>, lip=<>, TLS: SSL_read() failed: error:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate revoked: SSL alert number 44, session=<> Oeps! https://www.helptux.be/blog/2017-05-11-dns-osx/ Thu, 11 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-11-dns-osx/ Blijkbaar gebruikt OS X zowel udp als tcp om met de DNS-server te verbinden. Maar Linux gebruikt enkel tcp. Zo is het niet moeilijk dat het voor mij wel werkt en voor anderen niet. Ook. In Puppet doet: firewall { '609 DNS ACCEPT': proto => ['tcp', 'udp'] niet wat je zou verwachten. Ask me how I know. https://www.helptux.be/blog/2017-05-11-het-dagelijkse-leven-van-de-fietser/ Thu, 11 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-11-het-dagelijkse-leven-van-de-fietser/ Zolang dit voor fietsers dagelijkse kost is (als er al fietspaden liggen …), dan zullen feel-good-acties zoals “Woensdag Fietsdag” niet veel helpen. Ik ben niet van plan mijn leven te riskeren voor een goed gevoel. Een fervent fietser. https://www.helptux.be/blog/2017-05-09-openvpn-interne-router/ Tue, 09 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-09-openvpn-interne-router/ Ik ben bezig met een OpenVPN-beheernetwerk. U zal dus regelmatig VPN-gerelateerd materiaal zien voorbijkomen. Om systemen in OpenVPN-VPN met elkaar te laten praten, moet je twee dingen doen: de firewall(s) aanpassen (op de VPN server en op beide hosts); maar ook de route 10.8.0.0/24 naar de clients doorsturen. Anders hebben ze enkel een route voor 10.8.0.1 (de VPN-server), maar niet voor bv. 10.8.0.10. Een extra route (technisch: het VPN-subnet 10.8.0.0/24 beschikbaar maken voor alle clients) doe je in /etc/openvpn/server. https://www.helptux.be/blog/2017-05-07-openvpn-op-een-server/ Sun, 07 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-07-openvpn-op-een-server/ Het internet staat vol met tutorials om een OpenVPN-server op te zetten, maar hoe je dan een andere server (zonder GUI dus) verbindt met die OpenVPN, dat is dan weer moeilijk te vinden. Het moet zo: Kopieer uw client.ovpn (met alle nodige certificaten) naar /etc/openvpn op de andere server. Hernoem client.ovpn naar iets met een duidelijke naam (bv. mijn.vpn.netwerk.conf), maar zorg ervoor dat de bestandsextensie .conf is (en niet .ovpn). service openvpn start Blijkbaar pikt OpenVPN automatisch alle configuratiebestanden in /etc/openvpn op (client en server), maar moeten ze de extensie . https://www.helptux.be/blog/2017-05-05-gandi-expiration-of-the-certificate-ssl-standard-post-helptux-be-in-29-days/ Fri, 05 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-05-gandi-expiration-of-the-certificate-ssl-standard-post-helptux-be-in-29-days/ Het is weer de tijd van het jaar … Bijna al mijn certificaten gebruiken Let’s Encrypt, maar voor de e-mailserver (sommige mensen draaien dat nog) gebruik ik een betaald certificaat. Ik zou het waarschijnlijk kunnen omzetten, maar voor e-mailservers ben ik nogal conservatief. Zonder e-mail zal ik niet ver lopen. Alleen spijtig dat ik er (nog) niet ben toe gekomen om Postfix achter Puppet te steken. Dat wordt dus manueel certificaten vervangen … https://www.helptux.be/blog/2017-05-04-een-nieuwe-blog/ Thu, 04 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-04-een-nieuwe-blog/ Jawel. Eindelijk! Het is waarschijnlijk al de derde of vierde, maar er is weer één. En deze keer zonder verwachtingen, dus misschien hou ik het nu langer vol. Natuurlijk, als een self-declared geek een blog opstart, kan dat niet zonder slag of stoot. Er is dus zorgvuldig nagedacht over de software (plain old WordPress) en een domeinnaam (geregistreerd in 2012!). Voor de installatie moest natuurlijk een (compleet onnodige) refactor gebeuren van de Puppetcode die de server rechthoudt en natuurlijk ook nog enkele features geactiveerd worden die ik niet ga gebruiken en die ~1 uur gekost hebben om te configureren. https://www.helptux.be/blog/2017-05-04-eentje-om-in-te-kaderen/ Thu, 04 May 2017 00:00:00 +0000 https://www.helptux.be/blog/2017-05-04-eentje-om-in-te-kaderen/ xkcd.com/627