Equinox en Faenza voor een nieuwe frisse look

by Nico Verbruggen on 27/08/2010

Equinox (een thema voor GTK) en Faenza (een iconenthema voor GTK) bestaan al een tijdje, maar vandaag kreeg Faenza een behoorlijke update en wordt het écht de moeite om over te schakelen naar deze nieuwe look. Faenza werd al een tijdje geleden aangeraden op OMG! Ubuntu, trouwens.

Faenza-iconenthema zie je bovenaan in het paneel, en het GTK-thema in actie is Equinox.
Zin in een nieuw thema?

{ 0 comments }

Het uiterlijk kan bedrieglijk zijn

by jan on 27/08/2010

We weten allemaal dat de grafische schil op onze Linux computer niets meer of minder is dan een mooi laagje om het ‘echte’ besturingssysteem heen (dat wisten jullie toch?).  Zo kun je zelf kiezen tussen een GNOME desktop, een KDE desktop, LXDE, Xfce of Enlightenment. Liefhebbers van de GNOME desktop kan ik echt de Bisigi [...]

{ 0 comments }

Rapport De softwaresector in Nederland kritisch bekeken

by jan on 27/08/2010

Het persbericht trapte vorige week enthousiast af. ICT~Office wilde, als belangenbehartiger, duidelijk maken dat de softwaresector echt koploper is van de Nederlandse kenniseconomie: De Nederlandse softwaresector draagt jaarlijks voor 17,3 miljard euro bij aan de Nederlandse economie en behoort daarmee tot de koplopers van innovatieve bedrijvigheid van onze kenniseconomie. Dit is één van de conclusies [...]

{ 0 comments }

Nieuwe lezing: ‘Remember the Spartans! Or, introducing open source against overwhelming odds’

by jan on 26/08/2010

Het is in ieder geval een lezing die in de pijplijn zit. Zoals ik gisteren al schreef ben ik dit najaar als spreker aanwezig op zowel het Open Source Symposium als T-DOSE. Beide organisaties willen graag een stukje tekst ontvangen met daarin een beeld van de lezing. Dat is het volgende geworden: Remember the Spartans! [...]

{ 0 comments }

Lezingen op het Open Source Symposium en T-DOSE 2010

by jan on 25/08/2010

Dit voorjaar heb ik besloten mijn koers en inzet rond open source in Nederland te wijzigen. Lopende werkzaamheden en activiteiten werden netjes afgerond, nieuwe verzoeken om lezingen en workshops heb ik afgehouden. Deze week rolden twee verzoeken in de e-mailbus waarop ik toch maar ben ingegaan; een lezing voor het Open Source Symposium en één [...]

{ 0 comments }

Duck Duck Go : uw mening telt

by Lennert on 23/08/2010

Duck Duck Go
Sinds een paar maanden gebruik k voor mijn zoekopdrachten de vrije zoekmachine Duck Duck Go (http://duckduckgo.com/).
Deze zoekmachine (en vooral het concept er achter) bevalt me zo goed dat ik op Barcamp Genk (25 september) over Duck Duck Go een presentatie zal geven.
Daarin wordt de werking van de zoekmachine besproken, maar ook het vrije concept erachter.

Als ik een presentatie geef gebruik ik graag ook de meningen van anderen. Niet enkel om mijn mening te staven, maar ook om andere meningen te leren kennen. Vandaar deze oproep : U kent deze zoekmachine? U hebt het weleens bekeken? U vindt er niets aan? Uw mening telt.
Laat uw mening achter als reactie hier, of via Twitter of Identica, en dan kan ik deze gebruiken in mijn presentatie.

Nu alvast bedankt (en misschien tot in Genk op 25 september?)

{ 0 comments }

DNSSEC voor miek.nl

by Miek Gieben on 23/08/2010

Aangezien gister avond (22 augustus) om 5 voor half 1 ‘s nachts
de eerste gesignde versie van .NL is
gepubliceerd
is het natuurlijk de hoogste tijd om
je eigen zone te signen. Je kunt vooralsnog geen secure delegatie
aanvragen, maar dat proces zit in de pijplijn bij
SIDN.

Ik ga er van uit dat je redelijk bekent bent met DNS. Deze howto neemt
een recent BIND9 als uitgangspunt, maar met
NSD kom je ook een heel
eind.

Er zijn een aantal stappen die je moet zetten voordat je DNSSEC aan hebt staan:

  1. Maak een sleutel paar, liefst een KSK (Key signing key) en een ZSK
    (zone signing key). Dus in totaal twee sleutel paren;
  2. Sign je zone met die sleutels;
  3. Configureer je nameserver zodat de gesignde zone wordt geserveerd;
  4. Configureer CRON zodat elke dag je zone wordt ge-resigned;
  5. Test het.

Deze sleutels zijn statisch. We gaan dus geen key rollovers
implementeren.

Maak de sleutels:

Sleutels maken gaat met dnssec-keygen, dit programma heeft nogal wat
opties. De belangrijkste zijn: -a ALG om het algoritme van je sleutel
te specificeren, -b BITS: hoe lang moet je sleutel zijn, -f KSK
specificeert een KSK en -n ZONE zegt dat er een DNS sleutel moet
worden gemaakt. Voor miek.nl, komen we tot:

dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE miek.nl
dnssec-keygen -a RSASHA256 -b 1024 -n ZONE miek.nl

(Je kunt dit versnellen door -r /dev/urandom als optie mee te geven,
maar dan krijg je kwalitatief slechtere sleutels). Dit levert vier
files op, in mijn geval:

Kmiek.nl.+008+12051.{key,private} en Kmiek.nl.+008+33694.{key,private}

Het public deel van mijn KSK ziet er zo uit:

; This is a key-signing key, keyid 33694, for miek.nl.
; Created: Wed Aug 18 14:46:09 2010
; Publish: Wed Aug 18 14:46:09 2010
; Activate: Wed Aug 18 14:46:09 2010
miek.nl. IN DNSKEY 257 3 8 AwEAAcWdjBl4W4wh/hPmNC.<ingekort>...V BdTRBtgHi0s=

Signeer je zone

Dit is de stap die je van PLAIN DNS naar DNSSEC tilt. Signeren gaat
met dnssec-signzone. In dit geval gebruik ik ook de -S optie, de
zogenaamd smart signing, hierbij kijkt dnssec-signzone naar de
commentaar regels (de regels die met ; beginnen in de key), om te
zien welke sleutels gebruikt moeten worden. Verder hebben we de sleutels
in een aparte directory staan (-K keys) en moeten de gegenereerde DS
records ook apart komen (-d ds) (zie “DS records”), -o miek.nl wordt
gebruik om aan te geven dat het hier om miek.nl gaat.

Het signeren van miek.nl gaat uiteindelijk met:

dnssec-signzone -K keys -d ds -o miek.nl -S miek.nl

Om dit te automatiseren gebruik ik een kleine Makefile:

.PHONY: miek.nl.signed
KEYDIR=/etc/bind/external/keys
DSDIR=/etc/bind/external/ds
miek.nl.signed:     miek.nl
    @dnssec-signzone -N unixtime -K $(KEYDIR) -d $(DSDIR) -o $< -S $<

NB: deze Makefile zorgt ervoor dat er altijd wordt ge-resigned.

Nameserver configuratie

Verander in mijn geval:

zone "miek.nl" {
type master;
file "/etc/bind/external/miek.nl";
};

naar

zone "miek.nl" {
type master;
file "/etc/bind/external/miek.nl.signed";
};

De bedoeling is duidelijk: serveer de gesignde variant van je zone.

CRON

Plaats een script /etc/cron.daily, die zorgt voor een dagelijkse
resign:

% cat /etc/cron.daily/dnssec

#!/bin/bash
# Resign unconditionally
( cd /etc/bind/external ; /usr/bin/make ) && /usr/sbin/rndc reload

Test

Run het script even met de hand: /etc/cron.daily/dnssec:

Fetching KSK 33694/RSASHA256 from key repository.
Fetching ZSK 12051/RSASHA256 from key repository.
Verifying the zone using the following algorithms: RSASHA256.
Zone signing complete:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
          ZSKs: 1 active, 0 stand-by, 0 revoked
miek.nl.signed
server reload successful

Ziet er goed uit, nu een tweede controle:

dig @a.miek.nl +dnssec +multiline DNSKEY miek.nl

;; ANSWER SECTION:
miek.nl.        14400 IN DNSKEY 257 3 8 (
            AwEAAcWdjBl4W4wh/hPxMDcBytmNCvEngIgB9Ut3C2+Q
            ...
            4N0t9ac/T0a0Sxba/BUX2UVPWaIVBdTRBtgHi0s=
            ) ; key id = 33694
miek.nl.        14400 IN DNSKEY 256 3 8 (
            AwEAAcNEU67LJI5GEgF9QLNqLO1SMq1EdoQ6E9f85ha0
            ...
            M335Ft9xjtXHPy7ztCbV9qZ4TVDTW/Iyg0PiwgoXVesz
            ) ; key id = 12051

Succes!

DS records

In de ds directory staat na het signen een dsset bestand:

% cat dsset-miek.nl.
miek.nl.        IN DS 33694 8 1 8BA582C292324D256599CE72EEE6DF2A9F317AFD
miek.nl.        IN DS 33694 8 2 2C235500B09FA87BBC0981674FC31AF87D2FA4DCFE666A64BA2646F2 9651DB83

Deze records zijn de hash waardes van mijn KSK. Er staan twee DSen in
deze file, omdat er twee verschillende hashes
SHA-1 (de 1 in “33694 8 1″) en
SHA-256 (de 2 in “33694 8 2″).

Deze DS records, of misschien maar eentje moeten bij .nl terecht komen, zodat
zij een secure delegatie voor miek.nl kunnen maken.

{ 0 comments }

← Previous Entries

Next Entries →