S.M.A.R.T.

De fleste af os har nok oplevet, at en harddisk stod af. Det er på alle måder irriterende. Tabet af data er oftest det værste, men selv med en god backup skal man til at bruge timer, ofte flere hele aftener, på at genskabe computeren.

Hvis man så bare havde fået et kort varsel! Det kan man faktisk godt få, for siden ATA-3 standarden kom frem i 1996[1], har alle harddiske været udstyret med S.M.A.R.T.-systemet. Og det er smart! Systemet overvåger en lang række mere eller mindre kritiske parametre i disken. Det foregår helt uafhængigt af computeren, inde i selve harddisken.

Her knækker filmen imidlertid, for der er ikke nogen harddisk-fabrikanter der leverer et interface til S.M.A.R.T., ligesom det heller ikke findes i Windows™, på trods af at basiskommandoerne er veldokumenterede og frit tilgængelige (der findes ikke en egentlig S.M.A.R.T.-standard).

Heldigvis er andre mere service-mindede. Derfor har de lavet smartmontools, som også fås til Windows. Det er to programmer – et der konstant kører i baggrunden og holder øje med disken og et man selv kan køre, hvis man ønsker information her og nu.

Her er et output fra min Windows XP:

C:\Program Files\smartmontools\bin>smartctl.exe -a /dev/scsi00
smartctl version 5.36 [i686-mingw32-xp-sp2] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/

Device: QUANTUM ATLAS_V_18_WLS Version: 0230
Serial number: 141014450327
Device type: disk
Local Time is: Wed May 31 22:09:55 2006 RST
Device supports SMART and is Enabled
Temperature Warning Enabled
SMART Health Status: OK

Current Drive Temperature: 39 C
Drive Trip Temperature: 90 C
Elements in grown defect list: 0

Error counter log:
           Errors Corrected by           Total   Correction     Gigabytes    Total
               ECC          rereads/    errors   algorithm      processed    uncorrected
           fast | delayed   rewrites  corrected  invocations   [10^9 bytes]  errors
read:        274        0         0         0          0          2.823           0
write:         0        0         0         0          0          2.308           0

Non-medium error count: 8

Last n error events log page

SMART Self-test log
Num  Test              Status                 segment  LifeTime  LBA_first_err [SK ASC ASQ]
     Description                              number   (hours)
# 1  Background long   Completed                   -    9277                 - [-   -    -]
# 2  Background short  Completed                   -    9276                 - [-   -    -]

Long (extended) Self Test duration: 2048 seconds [34.1 minutes]

Det ses blandt andet, at min disk er 39°C varm, den har lavet 274 fejl og været tændt i 9277 timer (det er godt 386 døgn). I dens foreløbige levetid har den læst 2,8 terrabytes og skrevet 2,3 terrabytes! Det svarer til, at alle 18 gigabytes på disken er skrevet og læst mellem 125 og 156 gange! Alt i alt må disken siges at være i god stand og have ydet en pletfri indsats!
Hvorfor sørger Microsoft og Quantum (opkøbt af Maxtor, der nu er opkøbt af Seagate) ikke for, at vi helt rutinemæssigt får helbredsinformationer fra disken, når den får det dårligt? Det er ikke så svært og det kunne spare os forbrugere for megen ærgelse!

[1] SCSI-diske fik angiveligt S.M.A.R.T. med SCSI-3 standarden i 1992.

For megen båndbredde?

MRTG - klik for større billedeFor megen båndbredde kan man vel ikke få? Alligevel synes det at være tilfældet, her til aften.

Normalt når jeg downloader noget, så kommer jeg maksimalt op på ca. 115KB/s, svarende til ca. 90% af båndbredden på min 1024/512kbit/s ADSL-forbindelse. Tidligere på aftenen opdaterede jeg min FreeBSD og bemærkede at jeg pludselig havde været oppe på 97% udnyttelse…. Hmmm.

Så sætte jeg min server til at downloade nogen cd-rom ISO-filer, dvs. filer på ca. 650KB MB pr. styk. Og det går stærkt, meget stærkt! Som vedstående billede viser, så er jeg oppe på næsten 180% udnyttelse af båndbredden!! Det svarer selvfølgelig ret præcist til 90% af 2048kbit/s, så det….

Hvad mon der lige går galt hos Cybercity? Eller er jeg gået glip af information om en gratis opgradering?

MS-DoS?

MRTG - klik for større billedeMin webserver er ret sløv i øjeblikket :???:. Jeg lagde mærke til det, da jeg tjekkede post via min webmail og tog derfor et kig på min serverstatistik. Som vedstående billede viser, så har der været usædvanlig meget trafik, det sidste døgns tid. Hmm…..

Et tcpdump -i eth1 not port 22 viste en masse http trafik fra IP-adressen 65.55.246.95, som kan slås op til msnbot.msn.com. Kunne MSN virkelig tænkes at være synderen? En traceroute 65.55.246.95 viste sig at ende hos po15.blu-6nf-srch-1b.ntwk.msn.net (65.55.226.14), så den var altså god nok.

Min webserver er simpelthen udsat for et DoS-angreb fra MS – et MS-DoS :mad:.

Heldigvis har vi andre metoder! Så fra dags dato er MSNbot udelukket fra min webserver og senere vil jeg sætte en regel på min firewall, der helt stopper trafikken. Så kan de lære det.

Linksys WRT54G og Firewall Builder

Linksys WRT54G © Linksys - klik for større billedeI januar skrev jeg et kort indlæg om min Linksys WRT54G router. Det blev kort, fordi jeg kunne henvise til Kurts weblog og hans gennemgang af routerens mange muligheder. Nu har jeg imidlertid selv rodet lidt med routeren og de muligheder man får, hvis man lægger en tredieparts firmware på den og som Kurt har jeg valgt den firmware, der hedder dd-wrt.

Projektet indeholder en web- og mailserver til min storesøster og en sikrere, WPA-baseret, WLAN-løsning til hendes hjemmenetværk. Imidlertid mangler WRT54G-routeren nogen ønskelige faciliteter fra fabrikken, såsom SNMP, ssh og ikke mindst en stateful firewall-funktion med gode konfigurationsmuligheder. Installation af dd-wrt løser alle problemerne og det er fantastisk let at gøre – man følger bare vejledningen.

Nu står man med en router, der i alle praktiske henseender er en mini-linux. Dermed kan man installere en kompliceret firewall-politik, baseret på Linux’ firewall-software, iptables. Opsætning af iptables er ret langhåret og fejl er ikke en acceptabel mulighed, når routeren står 300 kilometer væk.

fwbuilder GUI screenshot - klik for større billedeHer kommer næste produkt ind i billedet – fwbuilder. Firewall Builder er et GUI til konstruktion af firewall-regler til en samlet firewall-politik. Firewall Builder understøtter en lang række forskellige operativ systemer og firewall-produkter, blandt andet også Linux og iptables – endog med en template for netop WRT54G! GUI’en minder meget om Check Points SmartDashboard, som jeg allerede bekendt med fra mit arbejde, og den er faktisk rimelig intuitivt bygget op. I korte træk vælger man en source, en destination, en service (f. eks. web eller e-mail) og en handling – tillad, afvis eller drop. Firewall Builder kan ligefrem logge på Linksys-routeren og installere den definerede politik – så kan det ikke blive lettere.

En god sikkerhedspolitik tillader kun kendt trafik, både ind- og udgående. Ofte tillader små hjemmefirewalls al udgående trafik og det er noget skidt! Det betyder nemlig, at får man en trojansk hest indenfor firewall’en, så kan den kommunikere frit med sin skaber og sprede sig videre til andre computere.

En god løsning er at have en proxy-server og så kun tillade den at kommunikere med internettet. Kombineret med en lokal mailserver betyder det, at der ikke normalt vil være behov for, at computere på lokalnettet kan gå direkte på internettet. Undtagelsen er selvfølgelig VPN-forbindelser i forbindelse med hjemmearbejdspladser, men disse er normalt veldefinerede og dermed lette at tillade eksplicit.

Installationen af dd-wrt muliggør endvidere overvågning af routeren/firewallen, i en grad der ikke fandtes i den originale stand. Med snmp kan se interessante data på routeren, som f. eks. båndbreddeforbruget på internetforbindelsen og dermed vurdere, om man har brug for en større forbindelse.

Man kan også få logfilerne gemt på en ekstern server og dermed få mulighed for at auditere logfilerne. En meget almindelig fejl, begået af firewall-ansvarlige, er tillid til ens firewall – det dur ikke. Tillid er godt, men kontrol er bedre, som Vladimir Ilich Lenin så rigtigt sagde og det gælder i særdeleshed for firewall-logfiler.

Jeg er ikke helt færdig med projektet, men min foreløbige vurdering er, at kombinationen af Linksys WRT54G med dd-wrt-firmware og Firewall Builder, gør det muligt at producere en sikkerhedsløsning af professionel kvalitet, til en pris af omkring DKK 500,-.

Lys i vinduerne

Husk at sætte levende lys i vinduerne i aften.

Gør det til minde om de hundredvis af modstandsfolk, der gav deres liv i kampen mod nazismen.

Gør det for at minde dig selv og andre om, at nazismens idealer desværre stadig blomstrer i dagens Danmark.

Gør det for at holde en smuk tradition i live.

Dagens citat

Dagens dummeste kommentar må bestemt stamme fra Rigspolitichef Torsten Hesselbjerg, der i dagens udgave af metroXpress citeres for at sige (min fremhævning):

Det er er jo ikke mig, der har kørt bilen, så det er ikke mig, der i givet fald får en hastighedsbøde. Jeg har fået nogen ridser i lakken og har måttet stå til øretæver hele dagen, og det har så rigeligt været straf nok.

Det har så rigeligt været straf nok? Jamen, det skal jeg da huske på, hvis jeg en dag står i retten – der skal nok være nogen, der har været på nakken af mig inden da og så skal jeg da ikke også straffes efter loven… :roll: