X-Git-Url: https://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/02e90efb3a8b84025a752dcd9a893c6ce42a3073..460a0090925e0f3ee777a43a01783f8ac1f62fd9:/blog/index.html?ds=sidebyside diff --git a/blog/index.html b/blog/index.html index c191bdd53f..4dbe5fb0e8 100644 --- a/blog/index.html +++ b/blog/index.html @@ -20,829 +20,846 @@
-
Elektronisk stemmegiving er ikke til å stole på - heller ikke i Norge
-
2010-08-23 19:30
+
Konsekvenser av unøyaktige kommunesgrenser for FiksGataMi
+
2011-02-22 14:00
-

I Norge pågår en prosess for å -innføre elektronisk -stemmegiving ved kommune- og stortingsvalg. Dette skal -introduseres i 2011. Det er all grunn til å tro at valg i Norge ikke -vil være til å stole på hvis dette blir gjennomført. Da det hele var -oppe til høring i 2006 forfattet jeg -en -høringsuttalelse fra NUUG (og EFN som hengte seg på) som skisserte -hvilke punkter som må oppfylles for at en skal kunne stole på et valg, -og elektronisk stemmegiving mangler flere av disse. Elektronisk -stemmegiving er for alle praktiske formål å putte ens stemme i en sort -boks under andres kontroll, og satse på at de som har kontroll med -boksen er til å stole på - uten at en har mulighet til å verifisere -dette selv. Det er ikke slik en gjennomfører demokratiske valg.

- -

Da problemet er fundamentalt med hvordan elektronisk stemmegiving -må fungere for at også ikke-krypografer skal kunne delta, har det vært -mange rapporter om hvordan elektronisk stemmegiving har sviktet i land -etter land. En -liten -samling referanser finnes på NUUGs wiki. Den siste er fra India, -der valgkomisjonen har valgt -å -pusse politiet på en forsker som har dokumentert svakheter i -valgsystemet.

- -

Her i Norge har en valgt en annen tilnærming, der en forsøker seg -med teknobabbel for å få befolkningen til å tro at dette skal bli -sikkert. Husk, elektronisk stemmegiving underminerer de demokratiske -valgene i Norge, og bør ikke innføres.

- -

Den offentlige diskusjonen blir litt vanskelig av at media har -valgt å kalle dette "evalg", som kan sies å både gjelde elektronisk -opptelling av valget som Norge har gjort siden 60-tallet og som er en -svært god ide, og elektronisk opptelling som er en svært dårlig ide. -Diskusjonen gir ikke mening hvis en skal diskutere om en er for eller -mot "evalg", og jeg forsøker derfor å være klar på at jeg snakker om -elektronisk stemmegiving og unngå begrepet "evalg".

+

Arbeidet med å få på plass NUUGs +Fiksgatami-tjeneste går videre +uten stans. Den vil som tidligere nevnt bruke de beste +kommunegrensene vi har klart å få tak i, fra OpenStreetmap.org. Ofte +vil unøyaktighetene ikke har mye konsekvenser, da kommunegrenser ofte +går lagt fra der det bor mye folk, men av og til vil det påvirke +flere. Kom over et eksempel i dag, der grensestreken går midt i +tettbygd strøk og henvendelser via FiksGataMi nok vil bli feilsendt +pga. at det offentlige nekter å fortelle oss på maskinlesbart format +hvor kommunegrensa går.

+ +

Grensa mellom Tønsberg og Nøytterøy er +i +dag tegnet opp slik at den går midt igjennom Ollebukta marina og +lar Ørsnes ligge i en kommune mens Ørsnesalleen går over to kommuner. +Min erfaring med kommuneoppdeling får meg til å tro at dette neppe +stemmer.

Vi får bare håpe at noen med lokalkunnskap går inn og korrigerer +grensestreken i OpenStreetmap.org slik at den blir mer nøyaktig, eller +at det offentlige snur og publiserer i hvert fall +kommunegrenseinformasjonen på maskinlesbart format uten +bruksbegresninger, slik at FiksGataMi har større sjanse til å sende +informasjon til riktig kommune.

+ +

Det går mot at det settes hardt mot hardt og en rettsak om temaet, +og +i +går ble det kjent at NUUG +Foundation støtter Fri Geo +Norge-prosjektet med deler av kostnadene forbundet med en rettsak +for å få tilgang til kommunegrensene fra kartverket. Jeg gleder meg +fortsettelsen.

- Tags: norsk, nuug, sikkerhet. + Tags: fiksgatami, kart, norsk.
-
Robot, reis deg...
-
2010-08-21 22:10
+
Skolelinux-intervju: Rubén Romero y Cordero
+
2011-02-16 12:00
-

I dag fikk jeg endelig tittet litt på mine nyinnkjøpte roboter, og -har brukt noen timer til å google etter interessante referanser og -aktuell kildekode for bruk på Linux. Det mest lovende så langt er -ispykee, som har en -BSD-lisensiert linux-daemon som står som mellomledd mellom roboter på -lokalnettet og en sentral tjeneste der en iPhone kan koble seg opp for -å fjernstyre roboten. Linux-daemonen implementerer deler av -protokollen som roboten forstår. Etter å ha knotet litt med å oppnå -kontakt med roboten (den oppretter et eget ad-hoc wifi-nett, så jeg -måtte gå av mitt vanlige nett for å få kontakt), og kommet frem til at -den lytter på IP-port 9000 og 9001, gikk jeg i gang med å finne ut -hvordan jeg kunne snakke med roboten vha. disse portene. Robotbiten -av protokollen er publisert av produsenten med GPL-lisens, slik at det -er mulig å se hvordan protokollen fungerer. Det finnes en java-klient -for Android som så ganske snasen ut, men fant ingen kildekode for -denne. Derimot hadde iphone-løsningen kildekode, så jeg tok -utgangspunkt i den.

- -

Daemonen ville i utgangspunktet forsøke å kontakte den sentrale -tjenesten som iphone-programmet kobler seg til. Jeg skrev dette om -til i stedet å sette opp en nettverkstjeneste på min lokale maskin, -som jeg kan koble meg opp til med telnet og gi kommandoer til roboten -(act, forward, right, left, etc). Det involverte i praksis å bytte ut -socket()/connect() med socket()/bind()/listen()/accept() for å gjøre -klienten om til en tjener.

- -

Mens jeg har forsøkt å få roboten til å bevege seg har min samboer -skrudd sammen resten av roboten for å få montert kamera og plastpynten -(armer, plastfiber for lys). Nå er det hele montert, og roboten er -klar til bruk. Må få flyttet den over til mitt vanlige trådløsnett -før det blir praktisk, men de bitene av protokollen er ikke -implementert i ispykee-daemonen, så der må jeg enten få tak i en mac -eller en windows-maskin, eller implementere det selv.

- -

Vi var tre som kjøpte slike roboter, og vi har blitt enige om å -samle notater og referanser på NUUGs wiki. Ta en titt -der hvis du er nysgjerrig.

+

Styret i foreningen som organiserer skolelinux-utviklersamlinger, +FRISK, er fullt av +flinke folk. Denne gangen har jeg fått et ferskt styremedlem som +kommer fra Ubuntu-miljøet i tale.

+ +

Hvem er du, og hva driver du med til daglig?

+ +

Rubén Romero y Cordero, 81-modell, deltidspappa (50%) for en jente +på 6 år. Jobber i Oslo som Global Sales Executive hos Varnish Software +og til daglig har jeg kontakt med kunder fra hele verden. Min +forkjærlighet for fri programvare har gjort at jeg har nå flere års +erfaring med salg av slike løsninger (bl.a. fra Redpill Linpro og +Freecode) og mye innsikt og kunnskap om det globale IT-markedet. +Ellers er jeg involvert i flere prosjekter bl.a. er jeg Ubuntu +Community medlem, kontaktpersonen for Ubuntu Norge og driveren av +SpreadUbuntu marketing prosjektet og nå fersk styremedlem i FRISK. Jeg +har brukt GNU/Linux siden 1997.

+ +

Hvordan kom du i kontakt med Skolelinux-prosjektet?

+ +

Som Debian bruker siden slutten av 90-tallet var det uunngåelig å +ikke komme bort i Skolelinux. Dette var vel i slutten av 2001 når jeg +var student ved UiO. Flere år senere fikk jeg lastet og testet Venus +(Skolelinux 1.0) på release dagen.

+ +

Hva er fordelene med Skolelinux slik du ser det?

+ +

Fri programvare bygges sten for sten i det åpne, slik at koden og +prosessen den lages på kan gjennomskues av andre enn de som har laget +det. Det er et vitenskapelig og gjennomsiktig måte å lage programvare +på.

+ +

Skoler i vårt samfunn skal være steder hvor vitenskapelig kunnskap +deles til alle. I dag har vi ikke et vitenskapelig tilnærming til +hvordan programvaren som brukes på skolen lages. Skolelinux bringer +inn at slik tilnærming i skoleverkets klasserom, siden +operativsystemet er en åpent platform som gir skolene muligheten til å +dra nytte av programvare som er laget av tusenvis av mennesker verden +rundt og som gir elevene så vel som lærerne muligheten til å bruke, +dele, forandre og forbedre OSet sitt uten begrensninger. I den +forbindelsen representerer Skolelinux også konkrete resultater utfra +samhandling på tvers av grenser.

+ +

Når det gjelder de tekniske fordelene av Skolelinux er jeg sikker +på at andre enn meg har allerede beskrevet disse bedre enn det jeg +kan. Men jeg kan likevel tilføye noe: Skolelinux som sådan er en +community-drevet operativsystemplatform. Som i ethvert +community-prosjekt har alle Skolelinux brukere muligheten til å +påvirke retning av prosjektet og resultatet som gjenspeiles i +programvaren. Dette kommer sjeldent frem og jeg mener at det er noe +som burde fokuseres mer på.

+ +

Hva er ulempene med Skolelinux slik du ser det?

+ +

De største ulempene er:

+ + + +

Bedre og mer intuitive administrative verktøy kunne løst deler av +problemet, men det er unektelig at ved bruk av Skolelinux må +IT-personalet vite hva de gjør for å få ting gjort riktig, eller i det +hele tatt. Med andre platformer er kompetansen enklere tilgjengelig og +løsningene kan fungere på en tilfredstillende, om ikke riktig +måte.

+ +

Hvilken fri programvare bruker du til daglig?

+ +

Har brukt GNU/Linux utelukkende sommitt skrivebord OS siden 2000. I +dag bruker jeg Ubuntu og gjør det meste med friprogramvare verktøyene +som er tilgjengelige der. Med over 20.000 programmer å velge mellom er +dette mer enn nok for de fleste brukerne.

+ +

Hvilken strategi tror du er den rette å bruke for å få +skoler til å ta i bruk fri programvare?

+ +

Opplysning og pragmatikk. Vi prøver å løse problemer med bruk av +programvare. De fleste utfordringene skolene har på IKT-siden kan +løses ved hjelp av friprogramvareverktøy i dag. Det som trenges er +opplysning, kunnskap og kompetanse.

- Tags: norsk, nuug, robot. + Tags: debian edu, intervju, norsk.
-
2 Spykee-roboter i hus, nå skal det lekes
-
2010-08-18 13:30
+
Fiksgatami tar form - snart klar for test
+
2011-02-13 21:10
-

Jeg kjøpte nettopp to -Spykee-roboter, for test og -leking. Kjøpte to da det var så billige, og gir meg mulighet til å -eksperimentere uten å være veldig redd for å ødelegge alt ved å bytte -ut firmware og slikt. Oppdaget at lekebutikken på Bryn senter hadde -en liten stabel på lager som de ikke hadde klart å selge ut etter -fjorårets juleinnkjøp, og var villig til å selge for en femtedel av -vanlig pris. Jeg, Ronny og Jarle har skaffet oss restbeholdningen, og -det blir morsomt å se hva vi får ut av dette.

- -

Roboten har belter styrt av to motorer, kamera, høytaler, mikrofon -og wifi-tilkobling. Det hele styrt av en GPL-lisensiert databoks som -jeg mistenker kjører linux. Firmware-kildekoden ble visst publisert i -mai. Eneste utfordringen er at kontroller-programvaren kun finnes til -Windows, men det må en kunne jobbe seg rundt når vi har kildekoden til -firmwaren. :)

- - +

NUUGs Fiksgatami-tjeneste +tar sakte form, og den siste uka har vi betalt +mySociety i England for å +tilpasse kildekoden til deres tjeneste slik at den skal fungere for +Norge. I løpet av kommende uke regner jeg at vi skal i gang med +testing.

+ +

For å forberede testing, har jeg tatt en titt på hva slags +informasjon som samles inn av kommuner som har lignende tjeneste for +sin kommune allerede på plass. Jeg har tittet på tjenestene til +Tromsø, +Porsgrunn +og Kongsvinger. Jeg +tittet også på +Askers, +som er litt på siden at det jeg skriver om her

+ +

Om problemet samles alle tjenestene inn plassering, enten som +adresse eller som kartkoordinat. De samler også inn en +oppsummering/overskrift og en lengre beskrivelse, og noen av dem +tillater bilde og vedlegg lagt ved. Alle problemene tildeles en +kategori, og det er stort overlapp i kategoriseringen:

+ + + + + + + + + + + + + +
Tromsø Porsgrunn Kongsvinger
Vei Hull i veg Veg/Vegvedlikehold
Skilt/Trafikksikkerhet
Gatelys Gatelys virker ikke Gatelys
Vann og avløp Vann og avløp Vann/Avløp
Park Park Park/Grønt
Friluftsliv Friluft
Renovasjon Renovasjon Renovasjon/Avfall
Grafitti-Tagging Grafitti/Tagging
Forsøpling
Annet Annet Annet
+ +

Om de som rapporterer inn problemet, blir det samlet inn navn, +epostadresse, et eller to telefonnummer og for Asker postadresse. +Noen vil også vite hvordan tilbakemelding ønskes, dvs. epost, telefon +eller via post.

+ +

Fiksgatami skulle kunne håndtere innsending til disse kommunene +uten større problemer, tror jeg. Kategorier defineres per område, +slik at kommunene kan få meldinger inndelt i de kategoriene de +trenger. Fiksgatami samler i utgangspunktet kun inn navn og +epostadresse for innsender, og det tror jeg vi skal fortsette med.

- Tags: norsk, nuug, robot. + Tags: fiksgatami, kart, norsk.
-
Rob Weir: How to Crush Dissent
-
2010-08-15 22:20
+
Bedre kommunegrense for Oslo i OpenStreetmap.org
+
2011-02-07 10:35
-

I found the notes from Rob Weir on -how -to crush dissent matching my own thoughts on the matter quite -well. Highly recommended for those wondering which road our society -should go down. In my view we have been heading the wrong way for a -long time.

+

Tidlig i januar oppdaget vi i +OpenStreetmap.org-prosjektet +at Oslo kommune har tatt i bruk OpenStreetmap.org for å vise frem +hvor +piggdekkavgiften gjelder, dvs. kommunegrensa. Årsaken til at +denne siden bruker OpenStreetmap.org og ikke kommunens eget +kartgrunnlag, er ganske absurd. Kommunens kart vedlikeholdes og +styres av Plan og Bygningsetaten, mens det er Samferdselsetaten som +styrer med piggdekkavgift og som har laget siden om piggdekkavgiften. +I avtalen mellom Samferdselsetatet og Plan og Bygningsetaten om bruk +av kommunens kart står det at kartet kun kan brukes internt, og dermed +ikke publiseres på Internet. Oslo kommune forbyr altså Oslo kommune å +publisere informasjon om sin kommunegrense på Internet. Ironien er +upåklagelig, og årsaken er som alltid penger.

+ +

Vi i OpenStreetmap.org-prosjektet synes det er veldig gledelig at +Oslo kommune vil bruke kartet vårt, men det var et lite problem rundt +bruken av kommunegrensen. Den kommer fra kartverkets N5000-kart, som +i følge kartverket har nøyaktighet på 2 km. Et kart over hvor +piggdekkavgiften gjelder bør ha høyere nøyaktighet enn det for å unngå +konflikter, så det var dermed viktig for oss å forbedre nøyaktigheten +for Oslogrensa.

+ +

For litt over 2 uker siden ringte jeg derfor til Kartverket, for å +høre om de kunne bidra. Jeg lurte på om de enten hadde noen +datakilder med kommunegrensen i Oslo som vi ikke kjente til, eller om +de kunne forklare hvordan vi kunne gjenskape kommunegrensen på bakken +ved å følge en beskrivelse av grensen eller finne grensepunkter +etc.

+ +

For å ta det siste først, så var det beste forslaget der å bruke +kartet tilgjengelig fra +norgeskart.no til å slå opp +gårds- og bruksnummer for eiendommer som grenset til kommunegrensa, og +så be om innsyn i matrikkelen for hver av disse eiendommene og gå opp +grensen basert på informasjon fra matrikkelen. Det fantes antagelig +også noen grensesteiner som var merket på bakken, men de kjente ikke +til noen offentlig kilde med informasjon om hvor disse steinene sto. +Dette er en ganske arbeidskrevende oppgave, som får vente til en annen +gang.

+ +

For alternative datakilder vi ikke kjente til, så var det ingen som +hadde gode forslag når det gjaldt datakilder fra kartverket. Men en +nevnte at det kunne være enklere å få ut data fra veidatabasen til +vegvesenet, f.eks. de punktene der veier inn og ut av Oslo byttet +kommune. Dette ble jeg forklart var trivielt å hente ut (mindre enn 1 +minutts jobb), men vedkommende jeg snakket med kunne ikke avgjøre om +vi kunne få disse punktene uten bruksbegrensninger.

+ +

Og tilgang uten bruksbegrensninger er viktig for OpenStreetmap.org, +da det skal være tillatt å bruke OpenStreetmap.org-data til å lage +kommersielle tjenester og kopiere, endre og distribuere +OpenStreetmap.org-data uten begrensninger. Jeg gjorde det derfor +klart for de jeg snakket med hos Kartverket at jeg kun var interessert +i å motta data som kunne legges inn i OpenStreetmap.org uten +bindinger. Fikk f.eks. tilbud om å få "test-data" av kommunegrensen +for Oslo til internt bruk og måtte takke nei.

+ +

Ideen om veidatabasen var interessant, og jeg fulgte den opp +videre. Ble satt videre til noen som kanskje kunne avgjøre om jeg +fikk disse punktene uten bruksbegresninger, og etter en kort og +interessant samtale fikk jeg ja til å få kopi av punktene der +Oslogrensa krysser vei. De ble +sendt +til kart-listen i SOSI-format, og i løpet av noen dager brukt til +å justere kommunegrensa for Oslo slik at den nå har nøyaktighet på +noen meter der den krysser vei. Har fått tilbakemelding fra noen som +har tilgang til Oslo kommunes kart at nøyaktigheten var blitt mye +bedre. :)

+ +

Det burde ikke være nødvendig å gjøre en slik innsats for å få vite +hvor kommunegrensene går. En skulle jo tro dette var offentlig +informasjon uten bruksbegrensing, og Gustav Fosseid og Magne Mæhre har +et prosjekt gående for å be om innsyn i nettopp denne informasjonen. +De har bedt om elektronisk kopi av kartkoordinatene for +kommunegrensene i endel kommuner på østlandet i sitt Fri Geo Norge-prosjekt, og har +fått avslag i første instans og klagesvar fra fylkesmannen i sin klage +på avslaget. Er spent på fortsettelsen, og gir dem all min hjelp og +støtte i arbeidet med å få frigjort det som burde vært offentlig +informasjon.

- Tags: english, lenker, nuug, personvern, sikkerhet. + Tags: kart, norsk, opphavsrett.
-
No hardcoded config on Debian Edu clients
-
2010-08-09 20:15
+
Using NVD and CPE to track CVEs in locally maintained software
+
2011-01-28 15:40
-

As reported earlier, the last few days I have looked at how Debian -Edu clients are configured, and tried to get rid of all hardcoded -configuration settings on the clients. I believe the work to be -mostly done, and the clients seem to work just fine with dynamically -generated configuration.

- -

What is the point, you might ask? The point is to allow a Debian -Edu desktop to integrate into an existing network infrastructure -without any manual configuration.

- -

This is what happens when installing a Debian Edu client here at -the University of Oslo using PXE. With the PXE installation, I am -asked for language (Norwegian Bokmål), locality (Norway) and keyboard -layout (no-latin1), Debian Edu profile (Roaming Workstation), if I -accept to reformat the hard drive (yes), if I want to submit info to -popcon.debian.org (no) and root password (secret). After answering -these questions, the installer goes ahead and does its thing, and -after around 50 minutes it is done. I press enter to finish the -installation, and the machine reboots into KDE. When the machine is -ready and kdm asks for login information, I enter my university -username and password, am told by kdm that a local home directory has -been created and that I must log in again, and finally log in with the -same username and password to the KDE 4.4 desktop. At no point during -this process did it ask for university specific settings, and all the -required configuration was dynamically detected using information -fetched via DHCP and DNS. The roaming workstation is now ready for -use.

- -

How was this done, you might wonder? First of all, here is the -list of things that need to be configured on the client to get it -working properly out of the box:

- - - -

(Hm, did I forget anything? Let me knew if I did.)

- -

The points marked (*) are not required to be able to use the -machine, but needed to provide central storage and allowing system -administrators to track their machines. Since yesterday, everything -but the sitesummary collector URL is dynamically discovered at boot -and installation time in the svn version of Debian Edu.

- -

The IP and DNS setup is fetched during boot using DHCP as usual. -When a DHCP update arrives, the proxy setup is updated by looking for -http://wpat/wpad.dat and using the content of this WPAD file to -configure the http and ftp proxy in /etc/environment and -/etc/apt/apt.conf. I decided to update the proxy setup using a DHCP -hook to ensure that the client stops using the Debian Edu proxy when -it is moved outside the Debian Edu network, and instead uses any local -proxy present on the new network when it moves around.

- -

The DNS names of the LDAP, Kerberos and syslog server and related -configuration are generated using DNS information at boot. First the -installer looks for a host named ldap in the current DNS domain. If -not found, it looks for _ldap._tcp SRV records in DNS instead. If an -LDAP server is found, its root DSE entry is requested and the -attributes namingContexts and defaultNamingContext are used to -determine which LDAP base to use for NSS. If there are several -namingContexts attibutes and the defaultNamingContext is present, that -LDAP subtree is used as the base. If defaultNamingContext is missing, -the subtrees listed as namingContexts are searched in sequence for any -object with class posixAccount or posixGroup, and the first one with -such an object is used as the LDAP base. For Kerberos, a similar -search is done by first looking for a host named kerberos, and then -for the _kerberos._tcp SRV record. I've been unable to find a way to -look up the Kerberos realm, so for this the upper case string of the -current DNS domain is used.

- -

For the syslog server, the hosts syslog and loghost are searched -for, and the _syslog._udp SRV record is consulted if no such host is -found. This algorithm works for both Debian Edu and the University of -Oslo. A similar strategy would work for locating the sitesummary -server, but have not been implemented yet. I decided to fetch and -save these settings during installation, to make sure moving to a -different network does not change the set of users being allowed to -log in nor the passwords required to log in. Usernames and passwords -will be cached by sssd when the user logs in on the Debian Edu -network, and will not change as the laptop move around. For a -non-roaming machine, there is no caching, but given that it is -supposed to stay in place it should not matter much. Perhaps we -should switch those to use sssd too?

- -

The user's SMB mount point for the network home directory is -located when the user logs in for the first time. The LDAP server is -consulted to look for the user's LDAP object and the sambaHomePath -attribute is used if found. If it isn't found, the home directory -path fetched from NSS is used instead. Assuming the path is of the -form /site/server/directory/username, the second part is looked up in -DNS and used to generate a SMB URL of the form -smb://server.domain/username. This algorithm works for both Debian -edu and the University of Oslo. Perhaps there are better attributes -to use or a better algorithm that works for more sites, but this will -do for now. :)

- -

This work should make it easier to integrate the Debian Edu clients -into any LDAP/Kerberos infrastructure, and make the current setup even -more flexible than before. I suspect it will also work for thin -client servers, allowing one to easily set up LTSP and hook it into a -existing network infrastructure, but I have not had time to test this -yet.

- -

If you want to help out with implementing these things for Debian -Edu, please contact us on debian-edu@lists.debian.org.

- -

Update 2010-08-09: Simon Farnsworth gave me a heads-up on how to -detect Kerberos realm from DNS, by looking for _kerberos TXT entries -before falling back to the upper case DNS domain name. Will have to -implement it for Debian Edu. :)

+

The last few days I have looked at ways to track open security +issues here at my work with the University of Oslo. My idea is that +it should be possible to use the information about security issues +available on the Internet, and check our locally +maintained/distributed software against this information. It should +allow us to verify that no known security issues are forgotten. The +CVE database listing vulnerabilities seem like a great central point, +and by using the package lists from Debian mapped to CVEs provided by +the testing security team, I believed it should be possible to figure +out which security holes were present in our free software +collection.

+ +

After reading up on the topic, it became obvious that the first +building block is to be able to name software packages in a unique and +consistent way across data sources. I considered several ways to do +this, for example coming up with my own naming scheme like using URLs +to project home pages or URLs to the Freshmeat entries, or using some +existing naming scheme. And it seem like I am not the first one to +come across this problem, as MITRE already proposed and implemented a +solution. Enter the Common +Platform Enumeration dictionary, a vocabulary for referring to +software, hardware and other platform components. The CPE ids are +mapped to CVEs in the National +Vulnerability Database, allowing me to look up know security +issues for any CPE name. With this in place, all I need to do is to +locate the CPE id for the software packages we use at the university. +This is fairly trivial (I google for 'cve cpe $package' and check the +NVD entry if a CVE for the package exist).

+ +

To give you an example. The GNU gzip source package have the CPE +name cpe:/a:gnu:gzip. If the old version 1.3.3 was the package to +check out, one could look up +cpe:/a:gnu:gzip:1.3.3 +in NVD and get a list of 6 security holes with public CVE entries. +The most recent one is +CVE-2010-0001, +and at the bottom of the NVD page for this vulnerability the complete +list of affected versions is provided.

+ +

The NVD database of CVEs is also available as a XML dump, allowing +for offline processing of issues. Using this dump, I've written a +small script taking a list of CPEs as input and list all CVEs +affecting the packages represented by these CPEs. One give it CPEs +with version numbers as specified above and get a list of open +security issues out.

+ +

Of course for this approach to be useful, the quality of the NVD +information need to be high. For that to happen, I believe as many as +possible need to use and contribute to the NVD database. I notice +RHEL is providing +a +map from CVE to CPE, indicating that they are using the CPE +information. I'm not aware of Debian and Ubuntu doing the same.

+ +

To get an idea about the quality for free software, I spent some +time making it possible to compare the CVE database from Debian with +the CVE database in NVD. The result look fairly good, but there are +some inconsistencies in NVD (same software package having several +CPEs), and some inaccuracies (NVD not mentioning buggy packages that +Debian believe are affected by a CVE). Hope to find time to improve +the quality of NVD, but that require being able to get in touch with +someone maintaining it. So far my three emails with questions and +corrections have not seen any reply, but I hope contact can be +established soon.

+ +

An interesting application for CPEs is cross platform package +mapping. It would be useful to know which packages in for example +RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and +this would be trivial if all linux distributions provided CPE entries +for their packages.

- Tags: debian edu, english, nuug. + Tags: debian, english, sikkerhet.
-
Testing if a file system can be used for home directories...
-
2010-08-08 21:20
+
Skolelinux-intervju: Morten Amundsen
+
2011-01-23 12:00
-

A few years ago, I was involved in a project planning to use -Windows file servers as home directory servers for Debian -Edu/Skolelinux machines. This was thought to be no problem, as the -access would be through the SMB network file system protocol, and we -knew other sites used SMB with unix and samba as the file server to -mount home directories without any problems. But, after months of -struggling, we had to conclude that our goal was impossible.

- -

The reason is simply that while SMB can be used for home -directories when the file server is Samba running on Unix, this only -work because of Samba have some extensions and the fact that the -underlying file system is a unix file system. When using a Windows -file server, the underlying file system do not have POSIX semantics, -and several programs will fail if the users home directory where they -want to store their configuration lack POSIX semantics.

- -

As part of this work, I wrote a small C program I want to share -with you all, to replicate a few of the problematic applications (like -OpenOffice.org and GCompris) and see if the file system was working as -it should. If you find yourself in spooky file system land, it might -help you find your way out again. This is the fs-test.c source:

- -
-/*
- * Some tests to check the file system sematics.  Used to verify that
- * CIFS from a windows server do not work properly as a linux home
- * directory.
- * License: GPL v2 or later
- * 
- * needs libsqlite3-dev and build-essential installed
- * compile with: gcc -Wall -lsqlite3 -DTEST_SQLITE fs-test.c -o fs-test
-*/
-
-#define _FILE_OFFSET_BITS 64
-#define _LARGEFILE_SOURCE 1
-#define _LARGEFILE64_SOURCE 1
-
-#define _GNU_SOURCE /* for asprintf() */
-
-#include <errno.h>
-#include <fcntl.h>
-#include <stdio.h>
-#include <string.h>
-#include <stdlib.h>
-#include <sys/file.h>
-#include <sys/stat.h>
-#include <sys/types.h>
-#include <unistd.h>
-
-#ifdef TEST_SQLITE
-/*
- * Test sqlite open, as done by gcompris require the libsqlite3-dev
- * package and linking with -lsqlite3.  A more low level test is
- * below.
- * See also <URL: http://www.sqlite.org./faq.html#q5 >.
- */
-#include <sqlite3.h>
-#define CREATE_TABLE_USERS                                              \
-  "CREATE TABLE users (user_id INT UNIQUE, login TEXT, lastname TEXT, firstname TEXT, birthdate TEXT, class_id INT ); "
-int test_sqlite_open(void) {
-  char *zErrMsg;
-  char *name = "testsqlite.db";
-  sqlite3 *db=NULL;
-  unlink(name);
-  int rc = sqlite3_open(name, &db);
-  if( rc ){
-    printf("error: sqlite open of %s failed: %s\n", name, sqlite3_errmsg(db));
-    sqlite3_close(db);
-    return -1;
-  }
-
-  /* create tables */
-  rc = sqlite3_exec(db,CREATE_TABLE_USERS, NULL,  0, &zErrMsg);
-  if( rc != SQLITE_OK ){
-    printf("error: sqlite table create failed: %s\n", zErrMsg);
-    sqlite3_close(db);
-    return -1;
-  }
-  printf("info: sqlite worked\n");
-  sqlite3_close(db);
-  return 0;
-}
-#endif /* TEST_SQLITE */
-
-/*
- * Demonstrate locking issue found in gcompris using sqlite3.  This
- * work with ext3, but not with cifs server on Windows 2003.  This is
- * done in the sqlite3 library.
- * See also
- * <URL:http://www.cygwin.com/ml/cygwin/2001-08/msg00854.html> and the
- * POSIX specification
- * <URL:http://www.opengroup.org/onlinepubs/009695399/functions/fcntl.html>.
- */
-int test_gcompris_locking(void) {
-  struct flock fl;
-  char *name = "testsqlite.db";
-  unlink(name);
-  int fd = open(name, O_RDWR|O_CREAT|O_LARGEFILE, 0644);
-  printf("info: testing fcntl locking\n");
-
-  fl.l_whence = SEEK_SET;
-  fl.l_pid    = getpid();
-  printf("  Read-locking 1 byte from 1073741824");
-  fl.l_start  = 1073741824;
-  fl.l_len    = 1;
-  fl.l_type   = F_RDLCK;
-  if (0 != fcntl(fd, F_SETLK, &fl) ) printf(" - error!\n"); else printf("\n");
-
-  printf("  Read-locking 510 byte from 1073741826");
-  fl.l_start  = 1073741826;
-  fl.l_len    = 510;
-  fl.l_type   = F_RDLCK;
-  if (0 != fcntl(fd, F_SETLK, &fl) ) printf(" - error!\n"); else printf("\n");
-
-  printf("  Unlocking 1 byte from 1073741824");
-  fl.l_start  = 1073741824;
-  fl.l_len    = 1;
-  fl.l_type   = F_UNLCK;
-  if (0 != fcntl(fd, F_SETLK, &fl) ) printf(" - error!\n"); else printf("\n");
-
-  printf("  Write-locking 1 byte from 1073741824");
-  fl.l_start  = 1073741824;
-  fl.l_len    = 1;
-  fl.l_type   = F_WRLCK;
-  if (0 != fcntl(fd, F_SETLK, &fl) ) printf(" - error!\n"); else printf("\n");
-
-  printf("  Write-locking 510 byte from 1073741826");
-  fl.l_start  = 1073741826;
-  fl.l_len    = 510;
-  if (0 != fcntl(fd, F_SETLK, &fl) ) printf(" - error!\n"); else printf("\n");
-
-  printf("  Unlocking 2 byte from 1073741824");
-  fl.l_start  = 1073741824;
-  fl.l_len    = 2;
-  fl.l_type   = F_UNLCK;
-  if (0 != fcntl(fd, F_SETLK, &fl) ) printf(" - error!\n"); else printf("\n");
-
-  close(fd);
-  return 0;
-}
-
-/*
- * Test if permissions of freshly created directories allow entries
- * below them.  This was a problem with OpenOffice.org and gcompris.
- * Mounting with option 'sync' seem to solve this problem while
- * slowing down file operations.
- */
-int test_subdirectory_creation(void) {
-#define LEVELS 5
-  char *path = strdup("test");
-  char *dirs[LEVELS];
-  int level;
-  printf("info: testing subdirectory creation\n");
-  for (level = 0; level < LEVELS; level++) {
-    char *newpath = NULL;
-    if (-1 == mkdir(path, 0777)) {
-      printf("  error: Unable to create directory '%s': %s\n",
-	     path, strerror(errno));
-      break;
-    }
-    asprintf(&newpath, "%s/%s", path, "test");
-    free(path);
-    path = newpath;
-  }
-  return 0;
-}
-
-/*
- * Test if symlinks can be created.  This was a problem detected with
- * KDE.
- */
-int test_symlinks(void) {
-  printf("info: testing symlink creation\n");
-  unlink("symlink");
-  if (-1 == symlink("file", "symlink"))
-    printf("  error: Unable to create symlink\n");
-  return 0;
-}
-
-int main(int argc, char **argv) {
-  printf("Testing POSIX/Unix sematics on file system\n");
-  test_symlinks();
-  test_subdirectory_creation();
-#ifdef TEST_SQLITE
-  test_sqlite_open();
-#endif /* TEST_SQLITE */
-  test_gcompris_locking();
-  return 0;
-}
-
- -

When everything is working, it should print something like -this:

- -
-Testing POSIX/Unix sematics on file system
-info: testing symlink creation
-info: testing subdirectory creation
-info: sqlite worked
-info: testing fcntl locking
-  Read-locking 1 byte from 1073741824
-  Read-locking 510 byte from 1073741826
-  Unlocking 1 byte from 1073741824
-  Write-locking 1 byte from 1073741824
-  Write-locking 510 byte from 1073741826
-  Unlocking 2 byte from 1073741824
-
- -

I do not remember the exact details of the problems we saw, but one -of them was with locking, where if I remember correctly, POSIX allow a -read-only lock to be upgraded to a read-write lock without unlocking -the read-only lock (while Windows do not). Another was a bug in the -CIFS/SMB client implementation in the Linux kernel where directory -meta information would be wrong for a fraction of a second, making -OpenOffice.org fail to create its deep directory tree because it was -not allowed to create files in its freshly created directory.

- -

Anyway, here is a nice tool for your tool box, might you never need -it. :)

+

Denne gangen er det Tromsøkontoret til Friprog-senteret, og nyvalgt +styremedlem i foreningen +FRISK jeg har fått i tale i min intervjuserie med +Skolelinux-folk.

+ +

Hvem er du, og hva driver du med til daglig?

+ +

Jeg heter Morten Amundsen og jobber i +Friprog.no, men er for tiden leid +ut til Bredbåndsfylket +Troms der jeg jobber med ett prosjekt som heter +"Skolefjøla" +Vi ser på en åpen løsning som integrerer eksisterende lukkete +løsninger sammen med fri programvare. Målet er å gi elever og lærere +en plattform som de kan tilpasse utfra behov.

+ +

Hvordan kom du i kontakt med Skolelinux-prosjektet?

+ +

Skolelinux har jeg møtt ved flere anledninger opp gjennom åra, både gjennom +entusiastiske skolelinuxbrukere og skeptiske "forståsegpåere" :-)

+ +

Jeg husker en leverandør av et stort OS for noen år siden mente at +Skolelinux var kun for hackere og nerder og at ingen seriøse skoler +kunne ta dette i bruk. Heldigvis er kunnskapen større nå og +skikkelige "IT-folk" søker alltid å utvide sin kunnskap. + +

Hva er fordelene med Skolelinux slik du ser det?

+ +

Ja det er mange fordeler. Uavhengighet, stabilitet, åpenhet, standarder +osv. Tror det er viktig at man ikke begrenser mulighetene på den plattformen +elevene skal jobbe.

+ +

Hva er ulempene med Skolelinux slik du ser det?

+ +

Det største hinderet er det vi opplever på andre områder rundt +fri programvare, nemlig kunnskap. For mange er det trygt å velge det vi +alltid har valgt. Fordi leverandørene rundt oss sitter på den kunnskapen og +de vi støtter oss på har den samme. Hvis vi klarer å riste løs litt og +glemme gamle kriger mellom operativsystemer og leverandører, men sette ned +hva som er viktig og velge ut fra det, så hadde man kanskje kommet ut med +litt andre resultat. Jeg tror IT-folk er konservative og velger tradisjonelt +og det er synd.

+ +

Hvilken fri programvare bruker du til daglig?

+ +

Jeg bruker Ubuntu, Android, Jolicloud, Open Office, Zimbra, Picasa +og Firefox samt en bråte med tjenester som er webbasert. Det eneste +som er betalingslisens for er OSX. Ser at jeg jobber mer og mer i +skyen og setter pris på alt jeg slipper egen klient til. Derfor er +jeg veldig sjarmert av små kjappe operativsystemer som krever minimalt +av maskinvaren.

+ +

Hvilken strategi tror du er den rette å bruke for å få +skoler til å ta i bruk fri programvare?

+ +

Tror en blanding av krav og informasjon er veien å gå. Krav om +sikkerhet, oppetid og åpne standarder. Informasjon om muligheter og +alternativer. Her har leverandører, IT-avdelinger og pedagoger en vei +å gå sammen. Det er til slutt LÆRING det dreier seg om, og da må man +få mest mulig læring for pengene man har.

- Tags: debian edu, english, nuug. + Tags: debian edu, intervju, norsk.
-
Autodetecting Client setup for roaming workstations in Debian Edu
-
2010-08-07 14:45
+
Which module is loaded for a given PCI and USB device?
+
2011-01-23 00:20
-

A few days ago, I -tried -to install a Roaming workation profile from Debian Edu/Squeeze -while on the university network here at the University of Oslo, and -noticed how much had to change to get it operational using the -university infrastructure. It was fairly easy, but it occured to me -that Debian Edu would improve a lot if I could get the client to -connect without any changes at all, and thus let the client configure -itself during installation and first boot to use the infrastructure -around it. Now I am a huge step further along that road.

- -

With our current squeeze-test packages, I can select the roaming -workstation profile and get a working laptop connecting to the -university LDAP server for user and group and our active directory -servers for Kerberos authentication. All this without any -configuration at all during installation. My users home directory got -a bookmark in the KDE menu to mount it via SMB, with the correct URL. -In short, openldap and sssd is correctly configured. In addition to -this, the client look for http://wpad/wpad.dat to configure a web -proxy, and when it fail to find it no proxy settings are stored in -/etc/environment and /etc/apt/apt.conf. Iceweasel and KDE is -configured to look for the same wpad configuration and also do not use -a proxy when at the university network. If the machine is moved to a -network with such wpad setup, it would automatically use it when DHCP -gave it a IP address.

- -

The LDAP server is located using DNS, by first looking for the DNS -entry ldap.$domain. If this do not exist, it look for the -_ldap._tcp.$domain SRV records and use the first one as the LDAP -server. Next, it connects to the LDAP server and search all -namingContexts entries for posixAccount or posixGroup objects, and -pick the first one as the LDAP base. For Kerberos, a similar -algorithm is used to locate the LDAP server, and the realm is the -uppercase version of $domain.

- -

So, what is not working, you might ask. SMB mounting my home -directory do not work. No idea why, but suspected the incorrect -Kerberos settings in /etc/krb5.conf and /etc/samba/smb.conf might be -the cause. These are not properly configured during installation, and -had to be hand-edited to get the correct Kerberos realm and server, -but SMB mounting still do not work. :(

- -

With this automatic configuration in place, I expect a Debian Edu -roaming profile installation would be able to automatically detect and -connect to any site using LDAP and Kerberos for NSS directory and PAM -authentication. It should also work out of the box in a Active -Directory environment providing posixAccount and posixGroup objects -with UID and GID values.

- -

If you want to help out with implementing these things for Debian -Edu, please contact us on debian-edu@lists.debian.org.

+

In the +discover-data +package in Debian, there is a script to report useful information +about the running hardware for use when people report missing +information. One part of this script that I find very useful when +debugging hardware problems, is the part mapping loaded kernel module +to the PCI device it claims. It allow me to quickly see if the kernel +module I expect is driving the hardware I am struggling with. To see +the output, make sure discover-data is installed and run +/usr/share/bug/discover-data 3>&1. The relevant output on +one of my machines like this:

+ +
+loaded modules:
+10de:03eb i2c_nforce2
+10de:03f1 ohci_hcd
+10de:03f2 ehci_hcd
+10de:03f0 snd_hda_intel
+10de:03ec pata_amd
+10de:03f6 sata_nv
+1022:1103 k8temp
+109e:036e bttv
+109e:0878 snd_bt87x
+11ab:4364 sky2
+
+ +

The code in question look like this, slightly modified for +readability and to drop the output to file descriptor 3:

+ +
+if [ -d /sys/bus/pci/devices/ ] ; then
+    echo loaded pci modules:
+    (
+        cd /sys/bus/pci/devices/
+        for address in * ; do
+            if [ -d "$address/driver/module" ] ; then
+                module=`cd $address/driver/module ; pwd -P | xargs basename`
+                if grep -q "^$module " /proc/modules ; then
+                    address=$(echo $address |sed s/0000://)
+                    id=`lspci -n -s $address | tail -n 1 | awk '{print $3}'`
+                    echo "$id $module"
+                fi
+            fi
+        done
+    )
+    echo
+fi
+
+ +

Similar code could be used to extract USB device module +mappings:

+ +
+if [ -d /sys/bus/usb/devices/ ] ; then
+    echo loaded usb modules:
+    (
+        cd /sys/bus/usb/devices/
+        for address in * ; do
+            if [ -d "$address/driver/module" ] ; then
+                module=`cd $address/driver/module ; pwd -P | xargs basename`
+                if grep -q "^$module " /proc/modules ; then
+                    address=$(echo $address |sed s/0000://)
+                    id=$(lsusb -s $address | tail -n 1 | awk '{print $6}')
+                    if [ "$id" ] ; then
+                        echo "$id $module"
+                    fi
+                fi
+            fi
+        done
+    )
+    echo
+fi
+
+ +

This might perhaps be something to include in other tools as +well.

- Tags: debian edu, english, nuug. + Tags: debian, english.
-
Debian Edu roaming workstation - at the university of Oslo
-
2010-08-03 23:30
+
Skolelinux-intervju: Sturle Sunde
+
2011-01-19 12:00
-

The new roaming workstation profile in Debian Edu/Squeeze is fairly -similar to the laptop setup am I working on using Ubuntu for the -University of Oslo, and just for the heck of it, I tested today how -hard it would be to integrate that profile into the university -infrastructure. In this case, it is the university LDAP server, -Active Directory Kerberos server and SMB mounting from the Netapp file -servers.

- -

I was pleasantly surprised that the only three files needed to be -changed (/etc/sssd/sssd.conf, /etc/ldap.conf and -/etc/mklocaluser.d/20-debian-edu-config) and one file had to be added -(/usr/share/perl5/Debian/Edu_Local.pm), to get the client working. -Most of the changes were to get the client to use the university LDAP -for NSS and Kerberos server for PAM, but one was to change a hard -coded DNS domain name in the mklocaluser hook from .intern to -.uio.no.

- -

This testing was so encouraging, that I went ahead and adjusted the -Debian Edu scripts and setup in subversion to centralise the roaming -workstation setup a bit more and avoid the hardcoded DNS domain name, -so that when I test this tomorrow, I expect to get away with modifying -only /etc/sssd/sssd.conf and /etc/ldap.conf to get it to use the -university servers.

- -

My goal is to get the clients to have no hardcoded settings and -fetch all their initial setup during installation and first boot, to -allow them to be inserted also into environments where the default -setup in Debian Edu has been changed or as with the university, where -the environment is different but provides the protocols Debian Edu -uses.

+

Denne gang har jeg fått tak i en mangeårig unix-mann som etter +mange år ved Universitetet i Oslo, der jeg først traff ham, har +flyttet tilbake til vestlandet, og der bidratt til å revitalisere +Skolelinux-oppsettet i +Florø.

+ +

Hvem er du, og hva driver du med til daglig?

+ +

Sturle Sunde, ansvarleg for skulenettet i Flora kommune. Eg driv, +vidareutviklar og er andrelinje brukarstøtte for datanettet ved +skulane i Flora kommune. 10 skular og meir enn 700 maskiner med +Linux, medrekna tynnklientar. Tidlegare jobba eg i mange år med +unix-drift ved Universitetets senter for informasjonsteknologi ved +Universitetet i Oslo.

+ +

Hvordan kom du i kontakt med Skolelinux-prosjektet?

+ +

Det er vanskeleg å svare konkret på. Eg har drive med Unix og Linux i +alle år, og Skulelinux er eit godt kjent prosjekt i miljøet. Det var +først i 2008, då eg tok til i min noverande jobb, at eg fekk bruk for +Skulelinux for alvor.

+ +

Jobben min skulle vere drift av eit nytt skulenett i Flora kommune, +levert av eit firma eg ikkje vil reklamere for. Systemet skulle vere +ferdig levert i september året før. Dette viste seg å ta mykje lenger +tid, og i haustferien 2008 hadde dei endå ikkje klart å få opp ei +fungerande løysing. Situasjonen var prekær for den største skulen i +kommunen med meir enn 500 elevar på ungdomssteget. Skulen hadde brukt +Skulelinux før, og var tilfredse med det. No hadde dei vore utan +fungerande datasystem i nesten eit år. Difor fekk eg opp ein ny tenar +utanfor prosjektet og installerte Skulelinux på den. Etter litt +justering av konfigurasjonen med god hjelp av #skolelinux på IRC, var +den nye tenaren oppe og gjekk med både tynne og halv-tjukke klientar. +Autentisering gjekk mot det nye systemet, slik at elevar og lærarar +framleis har same brukarnamn og passord over alt. Dette berre +fungerte, og vi bestemte oss for å erstatte delar av løysinga vi +skulle få levert med Skulelinux.

+ +

Det høyrer med til historia at det nye systemet eg skulle drive frå +januar 2008 endå ikkje er ferdig levert. Dei jobbar med saka, seier +dei, og har von om å fullføre leveransen i løpet av 2011.

+ +

Hva er fordelene med Skolelinux slik du ser det?

+ +

Det er veldig mange. Eg skal ta nokre få.

+ +

Den viktigaste fordelen er at det igrunn berre er ei maskin å passe +på, og det er tenaren. Med andre løysingar har ein gjerne programvare +og anna som skal vedlikehaldast på kvar enkelt maskin. Med Skulelinux +kan alle feil rettast og alle program oppgraderast på alle maskiner +samstundes ved å gjere endringa som må til på tenaren. Eg kan sitje +på kontoret og passe på alle tenarane i kommunen derifrå.

+ + + +

Skulelinux er lagt opp til å vere veldig lett å installere rett ut +av boksen på ein heil skule av ein interessert lærar. Det er ofte ei +god løysing for skulen. Å ha nokon til stades som kjenner systemet og +kan forklare enkle ting eller løyse problem der og då, er uvurderleg +viktig for ein stressa lærar fem minutt før det ringer inn.

+ +

Hva er ulempene med Skolelinux slik du ser det?

+ +

All den ferdige konfigurasjonen gjer det tungvint å tilpasse +Skulelinux til eit system som skal fungere saman med mange andre +installasjonar i eit felles datanett for skulane i ein kommune. Det +heile er prekonfigurert for ein skule, og utviding til mange skular +med eigne tenarar er ikkje berre enkelt.

+ +

Hvilken fri programvare bruker du til daglig?

+ +

Eg brukar mest alle små hjelpeprogram som føl med operativsystemet, +samt scriptspråket perl. Elles er Firefox/Iceweasel, Gnome-terminal +og ssh i kontinuerleg bruk. Av Linux-distribusjonar brukar eg både +Debian, Ubuntu, SuSE og RedHat dagleg. Eg prøvar å finne det verktyet +som passar best til kvar del av jobben.

+ +

Hvilken strategi tror du er den rette å bruke for å få +skoler til å ta i bruk fri programvare?

+ +

Det er to målgrupper ein må sikte mot. Det eine er alle skulane som +manglar eller har eit lite tilfredsstillande opplegg i dag, og ikkje +har råd til å kjøpe noko nytt og blankpussa opplegg. Der er det om å +gjere å gjere det enkelt for skulane å finne Skulelinux, og gjere det +enkelt for dei å få hjelp til installasjon på skulen. Gjerne med +lokale kontaktpersonar. Her er det dugnadsinnsats som må til, for +desse skulane har ikkje råd til å betale for dette.

+ +

Den andre og kanskje viktigare målgruppa er dei meir eller mindre +profesjonelle kundane. Alle store offentlege innkjøp, inkludert +innkjøp av nytt datasystem for skular, må ut på offentleg anbod. +Offentlege anbod er mykje meir lukka enn dei gjev inntrykk av, og både +regelboka og boka med triks for å sminke tilbodet er tjukk. Det er +vanskeleg å komme inn utan eit solid salsapparat i ryggen. Kanskje +Skulelinux skulle prøve aktivt å få seg eit partnarskap med eit av dei +store som gjerne vil sterkare inn på den offentlege IT-marknaden? +Nokon som kjenner triksa og har krefter til å ta opp kampen mot både +dårlege anbod og Rudolf Blostrupmoen IT AS. Leveranse til skulane i +ein kommune er ein god måte å få ein fot inn døra som leverandør til +ein lukrativ kommunemarknad som kjøper alle tenester. Ta kontakt med +nokon som er passeleg store og ikkje er Microsoft-partnar, og fortell: +«Vi har eit ferdig produkt som du kan selje. Nei vi skal ikkje ha for +det. Du kan gjerne gjere kva du vil med det, berre vi får lov til å +hjelpe deg. Målgruppa er alle kommunar, og det er noko dei vil ha. +Det er eit godt produkt, brukt av mange og godt likt.»

- Tags: debian edu, english, nuug. + Tags: debian edu, intervju, norsk.
-
Circular package dependencies harms apt recovery
-
2010-07-27 23:50
+
Masteroppgave fra UiO om RFID-sikkerhet
+
2011-01-18 15:10
-

I discovered this while doing -automated -testing of upgrades from Debian Lenny to Squeeze. A few packages -in Debian still got circular dependencies, and it is often claimed -that apt and aptitude should be able to handle this just fine, but -some times these dependency loops causes apt to fail.

- -

An example is from todays -upgrade -of KDE using aptitude. In it, a bug in kdebase-workspace-data -causes perl-modules to fail to upgrade. The cause is simple. If a -package fail to unpack, then only part of packages with the circular -dependency might end up being unpacked when unpacking aborts, and the -ones already unpacked will fail to configure in the recovery phase -because its dependencies are unavailable.

- -

In this log, the problem manifest itself with this error:

- -
-dpkg: dependency problems prevent configuration of perl-modules:
- perl-modules depends on perl (>= 5.10.1-1); however:
-  Version of perl on system is 5.10.0-19lenny2.
-dpkg: error processing perl-modules (--configure):
- dependency problems - leaving unconfigured
-
- -

The perl/perl-modules circular dependency is already -reported as a bug, and will -hopefully be solved as soon as possible, but it is not the only one, -and each one of these loops in the dependency tree can cause similar -failures. Of course, they only occur when there are bugs in other -packages causing the unpacking to fail, but it is rather nasty when -the failure of one package causes the problem to become worse because -of dependency loops.

- -

Thanks to -the -tireless effort by Bill Allombert, the number of circular -dependencies -left in Debian -is dropping, and perhaps it will reach zero one day. :)

- -

Todays testing also exposed a bug in -update-notifier and -different behaviour between -apt-get and aptitude, the latter possibly caused by some circular -dependency. Reported both to BTS to try to get someone to look at -it.

+

Mens jeg forsetter famlingen rundt i RFID-verden, kom jeg over en +masteroppgave fra Institutt for Informatikk ved Universitetet i Oslo +med tittelen +"Investigation +of security features in Near-field communication (NFC)" og følgende +oppsummering:

+ +
+

With the increasing use of NFC and RFID technology it is important +to look at the security, both for the user and for the system owner to +see that the system is reliable. NFC is a standard inheriting some of +the RFID standards and it is important to see how the old standards +have handled security and how it is handled in NFC. There are certain +RFID systems that are already in use, which is especially close to +NFC. For example is +Mifare a system used +in many public transportation systems as ticket and in contactless +access cards. Another example is +electronic +passports which uses a standard which is included in +NFC. Examining the security in these and also investigate the use of +NFC tags to make secure use of them is the focus in this thesis.

+
+ +

Rapportens analyse av MiFare Classic, som tilfeldigvis er systemet +som brukes Universitetet i Oslos nye student- og ansattkort, er +spesielt interessant for meg som jobber her. Sikkerheten i MiFare +Classic ble reversutviklet og problemene i sikkerheten presentert for +CCC +i 2007. Det er i dag mulig å klone slike kort.

- Tags: debian, english, nuug. + Tags: norsk, personvern, rfid.
-
First Debian Edu test release (alpha0) based on Squeeze is released
-
2010-07-27 17:45
+
Skolelinux-intervju: Embrik Kaslegard
+
2011-01-16 12:00
-

I just posted this announcement culminating several months of work -with the next Debian Edu release. Not nearly done, but one major step -completed.

- -
-

This is the first test release based on Squeeze. The focus of this -release is to test the user application selection. To have a look, -install the standalone profile and let the developers know if the set -of installed packages i.e. applications should be modified. If some -user application is missing, or if there are some applications that no -longer make sense to be included in Debian Edu, please let us know. -Also, if a useful application is missing the translation for your -language of choice, please let us know too.

- -

In addition, feedback and help to polish the desktop (menus, -artwork, starters, etc.) is appreciated. We would like to ship a nice -and handy KDE4 desktop targeted for schools out of the box.

- -

The other profiles should be installable, but there is a lot more -work left to be done before they are ready, so do not expect to -much.

- -

Changes compared to the lenny based version

- -
    -
  • Everything from Debian Squeeze -
      -
    • Desktop environment KDE 4.4 => the new KDE desktop in - combination with some new artwork -
    • Web browser Iceweasel 3.5 -
    • OpenOffice.org 3.2 -
    • Educational toolbox GCompris 9.3 -
    • Music creator Rosegarden 10.04.2 -
    • Image editor Gimp 2.6.10 -
    • Virtual universe Celestia 1.6.0 -
    • Virtual stargazer Stellarium 0.10.4 -
    • 3D modeler Blender 2.49.2 (new application) -
    • Video editor Kdenlive 0.7.7 (new application) -
    • -
  • Now using Kerberos for password checking (migration not finished). - Enabled for: -
      -
    • PAM -
    • LDAP -
    • IMAP -
    • SMTP (sender verification) -
    -
    • -
  • New experimental roaming workstation profile for laptops.
    • -
  • Show welcome page to users when they first log in. The URL is - fetched from LDAP.
    • -
  • New LXDE desktop option, in addition to KDE (default) and Gnome.
    • -
  • General cleanup (not finished)
    • -
-

The following features are not working as they should

- -
    -
  • No web based administration tool for creating users and groups. The - scripts ldap-createuser-krb and ldap-add-user-to-group can be used - for testing.
    • -
  • DVD installs are missing debian-installer images for the PXE boot, - and do not set up the PXE menu on eth0 because of this. LTSP - clients should still boot from eth1 on thin client servers.
    • -
  • The restructured KDE menu is not implemented.
    • -
  • The LDAP server setup need to be reviewed for security.
    • -
  • The LDAP directory structure need to be reworked.
    • -
  • Different sets of packages are installed when using the DVD and the - netinst CD. More packages are installed using the netinst CD.
    • -
  • The jackd package fail to install. This is believed to be caused by - some ongoing transition, and hopefully should be solved soon. The - jackd1 package can be installed manually for those that need it.
    • -
  • Some packages lack translations. See - http://wiki.debian.org/DebianEdu/Status/Squeeze for updated status, - and help out with translations.
    • -
- -

To download this multiarch netinstall release you can use

- - -

To download this multiarch dvd release you can use

- - - -

There is no source DVD available yet. It will be prepared when we -get closer to the final release.

- -

The MD5SUM of these images are

- -
    -
  • 3dbf45d59f42a53518b6e3c9ec3b5eb6 debian-edu-6.0.0+edua0-CD.iso
    • -
  • 22f2cbfce281d1c6e478be452638675d debian-edu-6.0.0+edua0-DVD.iso
    • -
- -

The SHA1SUM of these images are

-
    -
  • c53d1b69b40cf37cd27aefaf33f6f6a3821bedf0 debian-edu-6.0.0+edua0-CD.iso
    • -
  • 2ec29d7db676d59d32197b05c277ffe16348376c debian-edu-6.0.0+edua0-DVD.iso
    • -
-

How to report bugs: -http://wiki.debian.org/DebianEdu/HowTo/ReportBugsInBugzilla

- -

Please direct replies to debian-edu@lists.debian.org

-
+

Neste ut i min intervjuserie med folk i +Skolelinuxprosjektet er +lærer, mangeårig bidragsyter på epostlistene og tidligere +Skolelinux-administrator på en skole i Hemsedal.

+ +

Hvem er du, og hva driver du med til daglig?

+ +

Embrik Kaslegard, 1964-modell, fire barn (7-20 år). Begynte som +lærer i 1989 - har hatt IKT-ansvar siden første året i jobb. Har +jobbet som lærer/IKT-ansvarlig uavbrutt siden 1989. Jobbet med +Skolelinux fra 2004 til 2010. Nå har jeg fått ny arbeidsplass og er +40% lærer og 60% IKT med Windows XP, Win2003 server og et regionalt +IKT-regime som legger premissene og begrensingene for hva vi kan gjøre +på skolen.

+ +

Hvordan kom du i kontakt med Skolelinux-prosjektet?

+ +

Jeg leste en artikkel om en dugnadsinstallasjon av Skolelinux på en +skole på Jæren et sted. Tanken om dugnad og frihet appellerte til +meg. Da vi skulle bygge ny skole var det en del vi måtte spare på, +fordi vi beveget oss mot en kostnadssprekk. Kabling og investering i +PC-er var en av tingene vi sparte på. Derfor kjøpe vi 72 pc-er for 390 +pr stk. En filtjener og en applikasjonsserver.

+ +

Hva er fordelene med Skolelinux slik du ser det?

+ +

Fordelen er at så mye er satt opp fra starten. I tillegg er det +tydelig at pakka er laga for skoleverket. Brukerne har egne +skrivebord, tilgang på mange gode verktøyprogrammer. Vi slipper å +tenke på virus. Brukerne har ikke mulighet til å ødelegge +klientoppsett, men har gode muligheter til å endre eget oppsett. Dette +tror jeg er inspirerende og kjekt for mange brukere. Mappestrukturen +er ferdig og det er "enkelt" å designe lokale mappestrukturer via +skeleton. Noen av oss i skoleverket mener skolen skal være en +"mot-kultur". Da er Skolelinux et av valgene man kan ta. Et annet er å +spise på indisk restaurant i stedet for Mc Donald's når vi er på bytur +osv.. Ordene deling, frihet, dugnad osv er positive ord i +skoleverket. Det er viktig at elevene blir bevisst dette.

+ +

Hva er ulempene med Skolelinux slik du ser det?

+ +

Kompabiliteten er selvsagt et problem, selv om det er mindre nå enn +før. For IKT-personer på skolene som skal drifte dette er det +problematisk med kommandoer i terminalen. I tillegg er det alt for +mange programmer i Skolelinux som ikke blir brukt. Jeg tror +Skolelinux er tjent med å tone ned begrepet pedagogisk programvare. +Slik jeg ser det finnes ikke denne kategorien programmer lengre slik +de gjorde før, som frittsående programmer som installeres på en +datamaskin eller på serveren. Det finnes en del spesialpedagogiske +programmer, som Textpilot, LingDys, LingRight, AskiRaski, Ny i Norge +osv. Men dette er programmer for enkelt-elever eller små grupper av +elever. Det som bør være fokus er at alle undervisningsressurser som +lages for nettet skal være nettleseruavhengig.

+ +

Hvilken fri programvare bruker du til daglig?

+ +

OpenOffice bruker jeg til vanlig kontorarbeide. VLC bruker jeg som +videoavspiller og av og til streaming av film. Gimp bruker jeg i +undervisningen til bildemanipulering. Firefox og Chrome er mine +favoritt-nettlesere. Firefox har lenge vært førstevalget mitt, nå +bruker jeg mest Chrome. Opplever den som raskere og smidigere enn +Firefox. Ubuntu bruker jeg som dualboot på jobb-maskinen min i +tillegg til at alle PCer hjemme har en eller annen Ubuntu-distribusjon +installert. Jeg bruker Clonezilla på Ubuntu 10.04 til kloning av +datamaskiner på jobb. Det er selvsagt en haug andre frie programmer +jeg bruker men jeg bruker dem ikke daglig. Jeg kan ramse opp: +recordmydesktop, cinelerra, acidrip, soundjuicer, audacity, NX +(no-machine), Kino, Rythmbox...

+ +

Hvilken strategi tror du er den rette å bruke for å få +skoler til å ta i bruk fri programvare?

+ +

Jeg tror oppsøkende virksomhet er den rette strategien. +Ressurspersoner gjør avtaler med rådmenn, skolesjefer, rektorer. Det +er slik konkurrentene gjør det. Fokuset i slike samtaler bør være +kost-nytte. Dersom personer med økonomisk ansvar ser at de kan få +like godt tilbud til mindre utgifter, tror jeg det er mulighet til å +få innpass. Dersom de også kan få konkrete tilbud på drift i slike +samtaler, vil de kanskje bli litt mer interesserte i hvor mye penger +som faktisk går til IKT i skolene. Det er også viktig at vi ikke +firer for mye på krav til datamaskiner. Det er flott at Skolelinux +går på "utrangert" utstyr, men dette bør bare presenteres som et +alternativ. Skolelinux-installasjoner med utrangert utstyr er ikke å +foretrekke dersom man kan unngå det. Det skaper ikke entusiasme hos +brukerne (elever og lærere) når de bruker gamle datamaskiner som går +tregt. Det er kjempefint med skoler som har kommet seg frem til +Skolelinux og fri programvare av seg selv, men de lever på nåde. +Slike valg må fundamenteres hos skoleeier.

+ +

Oppdatering 2011-01-16 22:40: Oppdatert svarene for de tre siste +spørsmålene litt mer tekst fra Embrik.

- Tags: debian edu, english, nuug. + Tags: debian edu, intervju, norsk.
@@ -859,6 +876,15 @@ http://wiki.debian.org/DebianEdu/HowTo/ReportBugsInBugzilla

Archive