lördag 5 december 2015

Using Lets Encrypt without root access

Lets encrypt issues TLS certificates for free and are recognized by almost every browser. Great!

Generation of the certificates however requires root access. I am not fond of running third party code as root, especially when it wants to touch configuration. Eventually, when the client is not beta anymore and ends up in mainstream Debian that will be another story. For now, this is how I managed to get certificates without executing the letsencrypt client with root priviliges on any of my trusted systems. I use a throwaway virtual machine instead, which executes the letsencrypt client during setup and then can be turned off.

My setup is as follows - I will call my domain www.example.com to make it easier to read. I have a pretty standard setup, with an internal web server answering requests, forwarded from my router. Connecting to external TCP port 443 ends up in an internal host on my network, running apache. Lets call that host webserver.local. I will also use another maching, workstation.local which is my normal desktop machine. It is not important where the machines are, as long as they can reach each other.

To shield myself, I use a virtual machine on my workstation, which will execute the letsencrypt client commands.

  1. disable anything listening to 443 on webserver.local temporarily. for me, service apache stop does the trick.
  2. forward port 443 to the virtual machine. On webserver.local, execute  socat TCP4-LISTEN:443,fork,reuseaddr TCP:workstation.local:4444
  3.  on workstation.local, forward port 4444 to the virtual machine port 443. I use virtualbox, which has a GUI under the network panel.
  4. inside the virtual machine, check out the letsencrypt client.
    you can do that as a normal user if you want.
  5. inside the virtual machine, execute the lets encrypt command as root:
    cd /path/to/letsencrypt/checkedout/repo
    ./letsencrypt-auto certonly --standalone --standalone-supported-challenges tls-sni-01 -d www.example.com -d alternatename.example.com
  6. if that went well, you get a congratulation message from the letsencrypt tool. transfer the /etc/letsencrypt directory, with rights preserved, to /etc/letsencrypt on webserver.local. I used tar, which preserves the file privileges which is important for local security.
  7. on webserver.local, configure the server to use the certs in /etc/letsencrypt/
    I use apache, here is an example configuration if you want to see the local paths to use for letsencrypt.
  8. disable the temporary port forward by socat
  9. enable the web server on webserver.local again, for me using apache that is service apache start
  10. verify that it works by opening www.example.com in your browser and checking the certificate information.

torsdag 10 september 2015

fredag 14 augusti 2015

Ta bort förgrund från foto

Det här är riktigt coolt! Undrar hur länge det dröjer innan det finns på var och varannan mobiltelefon!

tisdag 28 juli 2015

Hellas är en fantastisk cykelskog!

Hade en underbar cykeltur i Hellas idag!

Jag tog hjälp av osmand i mobilen så jag kunde hitta mellan alla stigar. Tack alla hellascyklister och andra som lagt upp stigar! A-trail, Russian BBQ, Mossad och Våta vita, jag hoppas dessa namn hittar in i officiellt kartmaterial så småningom...

Osmand använder openstreetmap. Många stigar finns inlagda på opentrailmap med höjdinformation och mer.









fredag 3 april 2015

När lönar det sig att betala företagsutgifter privat?

Jag får ibland fakturor på småbelopp till företaget. Eftersom det tar tid och visst besvär, måste det för små belopp löna sig att betala privat och skippa merarbetet med bokföring av fakturan.
Jag bestämde mig för att räkna ut när det lönar sig.

Timkostnad 500 kr/h:

Utan moms: gränsen går vid totalbelopp 32 kr
Med 25%moms: gränsen går vid totalbelopp 48 kr

Timkostnad 900 kr/h:

Utan moms: gränsen går vid totalbelopp 57 kr
Med 25%moms: gränsen går vid totalbelopp 87 kr

Uträkningen

Antaganden:
  • fakturan är på x kr samt x*k kr moms
  • ev moms är fullt avdragsgill
  • merarbetet för mig att låta företaget betala (lägga in i bokföring, redovisningstjänst, sätta in i pärm etc) är t timmar
  • timkostnad för arbetet är tk kr/timme exkl moms
  • marginalskatten är m (typiskt 0.5)
  • arbetsgivaravgiften är ag (typiskt 0.31)

Om jag betalar fakturan privat har jag då en utgift på x*(1+k) kr.

Om jag betalar fakturan i företaget kostar det företaget x kr för själva beloppet samt t*tk kr i administration.
Det motsvarar en minskad lön netto på (x+t*tk)/(1+ag)*(1-m).

Beloppen är lika då x*(1+k)= (x+t*tk)/(1+ag)*(1-m) vilkethar lösning map x:
x_be=t*tk*(1-m)/(1+ag) / (1+k-(1-m)/(1+ag))


Jag uppskattar att det på marginalen tar mig fem minuter per faktura, och redovisningsbyrå och revisor sammantaget tre minuter.

söndag 27 juli 2014

Exception safety i c++

Jag har tillbringat tre timmar av min semester med att se på denna utmärkta föreläsning om exception safety. Kan rekommenderas för dig som gillar c++!

Föredraget hålls av Jon Kalb, på boostcon (numera c++ now) 2012. På författarens hemsida kan man ladda ner material som hör till.

 
Del 1 (90 minuter).

Del 2(90 minuter)

lördag 21 juni 2014

Shatag

I just got a tip about using shatag, a tool which annotates files with their checksum, using posix file attributes. This is a terrific tool!

On Debian testing, install it with:
apt-get install shatag
apt-get install attr

I use btrfs which supports xattr by default, but you may need to turn it on for other filesystems.

And then, as a regular user:
shatag -tv file
getfattr -d file

and you should be able to see the checksum of the file.

It is just great with people emailing me with suggestions and ideas for rdfind. Thanks Andrea Trentini for sending me the tip! The idea is to use shatag to retrieve the checksum, which makes less work to find duplicates later.
A typical workflow could be:
shatag -rt /path/to/check
rdfind /path/to/check

but off course rdfind would need some changes in order to read the checksum from disk. One option would be to let rdfind store the checksum directly, obliviating the need for shatag. Something along
rdfind -usexattr true /path/to/check
or so.