ntp running in chroot stopped working after Debian Stretch upgrade

Today I upgraded my root server from Jessie to Stretch, and suddenly ntp stopped working.

I found errors like follows in the log, which were obviously due to failures in name resolution:

2018-05-31T07:44:48.900756+00:00 myhost ntpd[22855]: giving up resolving host 1.debian.pool.ntp.org: Servname not supported for ai_socktype (-8)

The solution to make this work was to bind-mount some files and directories essential for name resolution into the chroot jail.

First create some directories and some dummy files:

# mkdir /var/lib/ntp/etc /var/lib/ntp/lib /var/lib/ntp/proc
# mkdir /var/lib/ntp/usr /var/lib/ntp/usr/lib
# touch /var/lib/ntp/etc/resolv.conf /var/lib/ntp/etc/services

Then update your /etc/fstab as follows:

#ntpd chroot mounts
/etc/resolv.conf  /var/lib/ntp/etc/resolv.conf none bind 0 0
/etc/services	  /var/lib/ntp/etc/services none bind 0 0
/lib		  /var/lib/ntp/lib none bind 0 0
/usr/lib	  /var/lib/ntp/usr/lib none bind 0 0
/proc		  /var/lib/ntp/proc none bind 0 0

Finally mount all these binds:

# mount -a

Thanks to the ArchLinux guys where I found this.

To check whether your ntp is working again, you can use the following command which shows a list of peers known to your ntp server:

# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
 0.debian.pool.n .POOL.          16 p    -   64    0    0.000    0.000   0.000
 1.debian.pool.n .POOL.          16 p    -   64    0    0.000    0.000   0.000
 2.debian.pool.n .POOL.          16 p    -   64    0    0.000    0.000   0.000
 3.debian.pool.n .POOL.          16 p    -   64    0    0.000    0.000   0.000
*ptbtime1.ptb.de .PTB.            1 u   46   64  377   11.483   -0.411   0.201
+ptbtime2.ptb.de .PTB.            1 u   52   64  377   11.502   -0.533   1.069
+ptbtime3.ptb.de .PTB.            1 u   47   64  377   11.451   -0.510   3.866
#batleth.sapient    2 u   44   64  377    0.188    1.097   0.176
# (    2 u   45   64  377   11.271    0.581   0.396
-mail.morbitzer.   2 u   47   64  377    2.760    0.556   0.278
#hotel.zq1.de   3 u   46   64  377    0.094    1.384   0.261
-ntp2.m-online.n     2 u   47   64  377    7.167   -0.333   0.190
#2a03:b0c0:3:d0:     3 u   49   64  377    6.288   -2.071   1.760
#touka.thehomeof    2 u   48   64  377    0.206    0.932   0.222
+maggo.info   2 u   42   64  377    0.278   -0.137   0.436
+weyoun4.cord.de   2 u   44   64  377    2.849   -0.255   0.409
+opnsense.sauff.    2 u   43   64  377    0.270   -0.617   0.167
-web1.sys.ccs-ba   2 u   35   64  377    0.173   -1.251   0.220
#uruz.org  3 u   49   64  377    0.216    1.694   0.309
#clients5.arcani     2 u   38   64  377    6.120   -1.500   0.130
+stratum2-1.NTP.    2 u   47   64  377   14.043    1.625   0.394

The following command confirms that your current time is actually correct (within certain limits, of course):

# ntpstat
synchronised to NTP server ( at stratum 2
   time correct to within 15 ms
   polling server every 64 s

If this was helpful, I would be happy to hear from you.

Exim malware scanner issue after upgrade from Jessie to Stretch

Today I finally upgraded by personal root server from Debian Jessie to Stretch, thereby upgrading Exim from 4.84 to 4.89.

After the upgrade, I observed the following errors in mainlog:

2018-05-31 08:02:03 +0000 1fOIX5-0001rg-AM malware acl condition: cmdline  : scanner returned error code: 36096
2018-05-31 08:02:03 +0000 1fOIX5-0001rg-AM H=([IPv6:2a00:6020:1efc:ee20:8857:7824:6a49:8368]) [2a00:6020:1efc:ee20:8857:7824:6a49:8368]:48523 I=[2a01:4f8:141:429::2]:465 Warning: ACL "warn" statement skipped: condition test deferred
2018-05-31 08:02:04 +0000 1fOIX5-0001rg-AM malware acl condition: cmdline  : scanner returned error code: 13
2018-05-31 08:02:04 +0000 1fOIX5-0001rg-AM H=([IPv6:2a00:6020:1efc:ee20:8857:7824:6a49:8368]) [2a00:6020:1efc:ee20:8857:7824:6a49:8368]:48523 I=[2a01:4f8:141:429::2]:465 Warning: ACL "warn" statement skipped: condition test deferred
2018-05-31 08:02:05 +0000 1fOIX5-0001rg-AM malware acl condition: cmdline  : scanner returned error code: 13
2018-05-31 08:02:05 +0000 1fOIX5-0001rg-AM H=([IPv6:2a00:6020:1efc:ee20:8857:7824:6a49:8368]) [2a00:6020:1efc:ee20:8857:7824:6a49:8368]:48523 I=[2a01:4f8:141:429::2]:465 Warning: ACL "warn" statement skipped: condition test deferred

Each of the three cmdline scanners caused an error, as shown above.

It seems there was a change in Exim from upstream, as reported by another user. Somehow it seems that if you define a cmdline scanner that uses a chain of commands, when there was an error return code encountered in the middle of the chain, the whole chain is considered failed.

To “fix” this issue (or rather work-around it), I changed the three ACL clauses as follows:

   warn  message                = This message contains malware ($malware_name)
         set acl_m0      = cmdline:\
-                               /usr/lib/AntiVir/guard/avscan -s --batch --scan-mode=all %s; /bin/echo -e \N"\navira_retval $?"\N:\
+                               /usr/local/bin/avscan_wrapper %s:\
                                \N^avira_retval 1$\N:\
                                \N^.*ALERT::[ \t]+([^;]*)[ \t]+;.*$\N
         malware                = *

I created a “wrapper” that effectively hides error return codes, and forces a return code of 0. The above wrapper looks like this:



/usr/lib/AntiVir/guard/avscan -s --batch --scan-mode=all "${ARG}"
/bin/echo -e "\navira_retval $?"

exit 0

To make sure I didn’t break the malware scanning by my changes, I downloaded the EICAR test virus and sent it to myself. Exim caught the “virus” and ditched it.

Im Gigabit-Zeitalter angekommen!

Am 01.04.2018 (kein Aprilscherz!) wurde mein Internet-Anschluss von der Deutsche Glasfaser von 200 MBit/s (symmetrisch) auf nunmehr 500 MBit/s (ebenfalls symmetrisch, d. h. die Geschwindigkeit wird sowohl auf dem Downlink wie auch auf dem Uplink erreicht) umgestellt.

Und da der Anschluss vollduplex ist, d. h. Uplink und Downlink gleichzeitig in Betrieb sind, da die Übertragung auf unterschiedlichen Frequenzen erfolgt (WDM), habe ich insgesamt 1 GBit/s zur Verfügung. 😉

Ich füge hier mal einen Auszug eines selbstprogrammierten Benchmarks bei, der die Geschwindigkeit eindrucksvoll illustriert:


Es handelt sich hier nicht um irgendwelche “Pseudo-Benchmarks” à la Fritzbox, wo nur die ausgehandelte Leitungs-Geschwindigkeit zwischen Modem und DSL-Access-Multiplexer angezeigt wird (was nichts über den tatsächlich erzielbaren Durchsatz aussagt, weil dieser auch von der Kapazität des Backbones und der Peerings abhängt!), sondern um tatsächlich alle fünf Minuten gemessene jeweils 20 sekündliche Übertragungen zwischen meinem Glasfaser-Anschluss und dem Hetzner-Root-Server, der diesen Blog beherbergt.

Continue reading Im Gigabit-Zeitalter angekommen!

Sony Xperia X Compact Modding

I decided to write this post since I couldn’t find any single page that lists all the “secrets” you need to know when modding your Sony Xperia X Compact (XC) codenamed “Kugo” in a concise manner and in a single place. And after half a year when I last tinkered with my XC, I had forgotten about all the details again, so I had to research them again anyway…

I give credit to the following XDA people (but not limited to them, I apologize to those who I might have forgotten):

General Approach

The general approach when modding your phone is the following:

  1. Flash custom recovery
  2. Backup current installation/data
  3. (Optionally: flash latest stock firmware)
  4. (Optionally: flash custom recovery that works with your new stock firmware)
  5. Root
  6. Flash other mods or use “root” apps

Custom Recovery

Fastboot Mode

First let’s explain what “fastboot mode” is: Fastboot is both a tool and a protocol for writing data directly to your phone’s flash memory. In practical use, it is used to flash images such as recoveries, bootloaders, and kernels to your Android device.

The “fastboot” tool (as well as “adb” which is also needed when tinkering with your Android smart phone) is part of the Android “platform tools,” which you can download directly from Google (roughly 4M only).

To bring your phone into fastboot mode, perform the following steps:

  1. Switch the phone off.
  2. Hold “Volume up” and connect your phone to the USB port of your PC. The notification LED should first light up in red, then blue, and provided you have correctly installed drivers, you will be able to use fastboot commands.
    Note that the screen will remain black. You can check whether you are in fastboot mode with the following command:

    $ fastboot devices
    BH901XXXXX    fastboot

    If you see output similar to the above, you have successfully put your phone in fastboot mode.

Continue reading Sony Xperia X Compact Modding

“Lifetime” (Map-Upgrade) kann ganz schön kurz sein… :-(

Vor gerade einmal viereinhalb Jahren — ok, in der heutigen “Wegwerfgesellschaft” beinahe eine Ewigkeit — hatten wir ein Becker Ready 50 mit “Lifetime Map Upgrade (LMU)” gekauft.

Wir hatten damals gezielt nach Navis mit “lebenslangen” kostenlosen Karten-Updates gesucht, weil sich innerhalb eines Jahres erhebliche Änderungen ergeben wie z. B. neue oder umbenannte Straßen, geänderte Straßenverläufe, Einführung von Kreisverkehren, u. v. m. Daher wollten wir die Gewähr auf regelmäßige Kartenupdates erhalten.

Unser voriges Navi beinhaltete nur ein kostenloses Update, und ein einzelnes Update sollte knapp 50 EUR kosten, was die Hälfte des damaligen Kaufpreises war. Daher lieber etwas mehr ausgeben, dafür aber “peace of mind”… Denkste! 🙁

Vor zwei Wochen nun erhielten wir folgende Mail von becker-falk@notification-naviextras.com:

Dear Becker/Falk user,

As you may or may not already know, insolvency proceedings were opened in April 2017 regarding the assets of United Navigation GmbH, the manufacturer of your Becker or Falk device. Meanwhile United Navigation has ceased its operations, and the company is currently winding up its affairs.
Since you are our valued customer, we would like to assure you that we at NNG Llc, the developer and provider of Content Manager will continue to support your device with the latest available maps, as per our agreement with United Navigation.

How will the above affect you?

  • If you have recently purchased a Becker or Falk device and you are within 30 days of its first use, you are eligible to activate a free map update and download the most recent map available for your device until the 29th of March 2018.
  • If you are an already existing user with an activated free map update, you now have the possibility to download the recently released map until the 29th of March 2018.

After this date no further free updates will be available for download in Content Manager.

We highly recommend that you update until the 29th of March 2018 using Content Manager if you are entitled for a free map update.

  • We will continue releasing updates up to four times a year, just as we have done until now, granting you the possibility to download the latest available navigation content. Map updates will be available for purchase in Content Manager at any time, until further notice.

We hope that by continuing to provide you with the opportunity to update and continue using your navigation device, we can help you avoid any inconvenience.

Best regards,
Content Manager® Support

Zusammengefasst auf Deutsch:

  • Der Hersteller des Geräts, “United Navigation GmbH”, ist pleite.
  • NNG Llc, der Hersteller des Karten-Update-Programms (und wahrscheinlich auch der Lieferant der Karten selbst), stellt weiterhin Karten-Updates zur Verfügung.
  • Diese sind allerdings nur bis zum 29. März weiterhin kostenfrei.
  • Danach sind sie kostenpflichtig.

Hallo?! Geht’s noch?! Für solche Sperenzchen habe ich wirklich keinerlei Verständnis.

Wenn ein Hersteller von Geräten mit kostenlosen “lebenslangen” Updates wirbt, dann muss er auch durch entsprechende vertragliche Vereinbarungen (unter Leistung von entsprechenen (Vorab-) Zahlungen, mit denen diese Leistungen “dauerhaft” abgegolten sind!) mit seinen Zulieferern dafür sorgen, dass er dieses Versprechen auch einhalten kann.

Becker hat dies augenscheinlich versäumt. Da Becker pleite ist, kann ich die Firma nicht mehr zur Verantwortung ziehen — das wäre ohnehin schwierig, weil ich mit denen kein Vertragsverhältnis habe. Ich muss mich also an den Lieferanten (ein Amazon-Marketplace-Händler) halten. Mal sehen, wie die sich zu der Sache stellen…

Ich werde weiter berichten.

“Diktiergerät” AGPTek RP23

Heute bespreche ich das “Diktiergerät” AGPTek RP23, welches ich zum Preis von knapp 33 EUR erworben habe, nachdem ich mit dem von mir ebenfalls getesteten und hier besprochenen Kayowine K-01 nicht zufrieden war.

Diese Rezension bezieht sich auf Firmware-Version A171107V3.0. Diese Firmware-Version war vorinstalliert, und es handelt sich nach eigener Überprüfung um die selbe (und per heutigem Stand neueste!) Version, die man hier als RP23(20171116).rar herunterladen kann.

Haptik und Design

Das Gerät besteht scheinbar aus schwarzem Alu und fühlt sich für seine Größe recht schwer an, wenn auch nicht ganz so schwer wie das Kayowine. Gewogen habe ich die Geräte allerdings nicht… 😉


Die “Anmutung” der Record/Pause-Tasten auf der Oberseite des Gehäuses ist relativ billig. Sie sitzen nicht stramm im Gehäuse, sondern wackeln leicht und “klackern” dabei.

Die Anordnung der Seitentasten ist weitgehend mittig relativ zur “Dicke” des Geräts gesehen, aber nicht ganz exakt. Die Tasten auf der linken Seite sitzen außerdem nicht auf der selben “Höhe” (wiederum relativ zur “Dicke” gesehen) wie die auf der rechten Seite, was für designbewusste Käufer durchaus eine “bittere Pille” sein kann.

Anders als in einer Rezension bei Amazon erklärt ist das Drücken der Tasten sehr wohl auf einer Aufnahme deutlich wahrnehmbar, z. B. wenn man die Pause-Funktion benutzt, um die Aufnahme temporär zu unterbrechen.

Das Design des UI zeigt sehr starke Ähnlichkeit zum oben erwähnten KAYOWINE-Gerät. Auch auf Grund des sehr ähnlichen Formfaktors des Geräts sowie der ähnlichen Taster/Schiebeschalter liegt der Verdacht nahe, dass die Geräte den selben Entwickler oder Ursprung haben.


Auf Grund der extrem ähnlichen Firmware gilt fast alles, was ich über das Kayowine gesagt habe, auch für das AGPTek RP23.

Vorteil der Anordnung der beiden wichtigen Tasten “Record” und “Play/Pause” auf der Oberseite des Gerätes ist, dass man beim Drücken nicht versehentlich die Seitentasten drückt, weil man “von unten” dagegen hält. Die Tasten sind auf Grund der prominenten Lage auch ohne Blickkontakt bequem zu “ertasten”.

Weiterhin fällt auf, dass die Previous/Next-Tasten keine Dauerfunktion haben, so dass man z. B. bei Einstellung der Uhrzeit die Tasten wiederholt drücken muss, statt dass man sie einfach gedrückt halten kann.

Auch bei diesem Gerät wird die Einstellung “Sleep timer: off” ignoriert — das Gerät geht nach zwei Minuten trotzdem in den Schlafzustand über. Ich habe bei diesem Gerät etwas mehr experimentiert und festgestellt, dass die “Sleep timer”-Einstellung scheinbar grundsätzlich ignoriert wird, selbst wenn man einfach eine benutzerdefinierte Zeit einstellt, nach der das Gerät “schlafen” soll. Selbst beim Maximum von “99 min.” geht das Gerät wiederum bereits nach ca. 2 min. in den Schlafzustand über.

Technische Eigenschaften

Anders als das Kayowine hat dieses Gerät auch eine Radiofunktion. Der UKW/FM-Bereich muss im Menü auf das europäische Frequenzband umgestellt werden, damit das Radio sinnvoll benutzbar ist.

Die Radiofunktion kann nur eingeschaltet werden, wenn ein Kopfhörer angeschlossen ist, da dessen Anschlussleitung als Antenne dient.

Die Qualität des Radioempfangs ist recht gut. Allerdings ist jeweils ein einzelnes “Knacksen” zu hören, wenn man sich innerhalb des Menüs bewegt. Ganz extrem wird das “Knacksen” bei scrollenden Menüpunkten, dann ist ein dauerhaftes “Knacksen” zu hören.

Radiosendungen können auch aufgenommen werden, wobei sich mir der Sinn nicht wirklich erschließt. Die Funktion ist wohl eher als “Gimmick” einzuordnen. 😉

Es gibt auch eine Auto-Tune-Funktion. Dabei  sucht das Radio automatisch alle empfangbaren Stationen und speichert diese in den internen Speicherplätzen ab.

Ein Vorteil dieses Geräts im Vergleich zum Kayowine ist, dass die Aufnahmen in Dateien gespeichert werden, die einen “vernünftigen” Namen haben, nämlich Datum im ISO-Format (d. h. YYYY-MM-DD) und Uhrzeit. Dadurch kann der Zeitstempel kaum “verloren” gehen, z. B. wenn die Datei versendet oder umkopiert wird.

Ansonsten gilt auch hier wieder das beim Kayowine Gesagte, weshalb ich mir die Wiederholung an dieser Stelle spare.


Auch dieses Gerät ist aus meiner Sicht nicht als “Audio-Notizblock” brauchbar. Ich werde wohl weitersuchen müssen… 🙁

“Digitales Diktiergerät” Kayowine K-01

Das Kayowine K-01 wird als “digitales Diktiergerät” verkauft. Ich habe mir das Gerät als “Audio-Notizblock” angeschafft in der Hoffnung, es auch für diesen Zweck benutzen zu können. Im Folgenden möchte ich über meine Erfahrungen berichten.


Das Gerät weist ein sehr edles “Finish” auf und ist für seine Größe recht schwer. Angeblich ist das Gehäuse aus Zink-Druckguss, es könnte aber auch massives fein-mattiertes Alu sein. Die Displayscheibe soll aus echtem Glas sein, was glaubwürdig scheint. Auf Grund dieser Glas-Displayscheibe ist das Gerät mutmaßlich sehr empfindlich gegen Beschädigungen bei einem Sturz.


Der Ein-/Ausschalter macht sehr wertigen Eindruck, auch die Drucktaster haben einen sehr definierten Druckpunkt. Ich finde es nachteilig, dass zwei Taster/Knöpfe auf der rechten Seite nicht beschriftet sind, aber die Bedeutung lernt man schnell.

Dem edlen Design etwas Abbruch tut die Tatsache, dass die Knöpfe und der Micro-SD-Slot sowie der Micro-USB-Anschluss nicht mittig zur Gehäusedicke angebracht sind, sondern aus der Mitte versetzt und nicht einmal auf einer Linie sind.


Beim Einschalten über den Schiebeschalter bei einhändiger Bedienung drückt man geradezu zwangsläufig Tasten auf der linken Seite des Geräts, weil der Schiebeschalter relativ schwergängig ist (was jedoch durchaus eine wertige Haptik erzeugt!).

Das Gerät schaltet sich nach etwa zwei Minuten aus, auch wenn man das in den Einstellungen unterbunden hat (“Sleep timer: off”) — es sei denn, man startet eine Aufnahme, dann schaltet sich das Gerät nicht selbständig aus. Es ist mir trotz langen Rumprobierens nicht gelungen, diese automatische Abschaltung zu unterbinden. Man muss das Gerät dann wieder einschalten, indem man es entweder über den Schiebeschalter aus- und wieder einschaltet oder den “Menü”-Knopf lange gedrückt hält, bis das Gerät neu gestartet hat.

Beim Versuch, die allererste Aufnahme zu starten, entsteht eine Verzögerung von ca. 5 s, bevor die Aufnahme dann tatsächlich gestartet wird. Weitere Aufnahmen werden dann nach einer Verzögerung von “nur” 1 s gestartet, wobei auch das ein wenig lästig ist.

“Blinde” Durchführung von spontanen, verzögerungsfreien Aufnahmen ist auf Grund der geschilderten Tatsachen quasi unmöglich: Man kann sich nicht sicher sein, dass das Gerät überhaupt noch aufnahmebereit ist, da es sich wie oben beschrieben im Schlafzustand befinden kann. Also erst aus- und wieder einschalten, dann ca. 2 s warten damit das Gerät “sicher” aufnahmebereit ist, dann Aufnahmeknopf drücken. Es ist keinerlei akustische Rückmeldung möglich, wenn die Aufnahme gestartet oder gestoppt wurde.

Aus den geschilderten Gründen ist das Gerät für mich nicht als Audiorekorder brauchbar. Wenn ich beispielsweise beim Autofahren spontan eine Idee festhalten will (die Benutzung eines Diktiergerätes ist tatsächlich am Steuer erlaubt!), dann geht das im Zweifel nicht ohne mehrfach auf das Gerät zu schauen und eine Verzögerung von einigen Sekunden für die Herstellung der Aufnahmebereitschaft in Kauf zu nehmen.

Technische Eigenschaften

Die Aufnahmequalität von Sprache eines Sprechers, der sich in der Nähe des Geräts befindet, ist sehr gut, selbst bei niedrigen Bitraten. Allerdings ist es definitiv nicht zur Aufzeichnung über größere Entfernungen geeignet: Die Testaufnahme einer Fernsehsendung, die am Ort der Aufnahme in normaler Lautstärke wahrnehmbar war, aus ca. 4 m Entfernung war trotz Wiedergabe bei Maximallautstärke kaum verständlich.

Schaltet man das Gerät während einer Aufnahme mit dem Schiebeschalter aus, so ist die resultierende Datei defekt und kann nicht abgespielt werden.

Ein Format-Wechsel zwischen PCM (Wave-Datei mit Dateinamenserweiterung .WAV) und MP3 ist möglich. Durch die Komprimierung ist das MP3-Format sehr sparsam in der Belegung von Speicherplatz.

Dateinamen beinhalten leider nicht den Zeitstempel der Aufnahme (Datum/Uhrzeit). Lediglich das Erstellungsdatum der Datei reflektiert den Aufnahmezeitpunkt. Dieses kann leicht verloren gehen z. B. durch ungeeignetes Umkopieren oder Versenden. Für mich stellt das durchaus einen nennenswerten Nachteil dar.

Der Rekorder wird problemlos als USB Mass Storage Device erkannt und kann daher ohne Installation von Fremdtreibern sofort unter Windows oder macOS benutzt werden.


Für 26 Euro hatte ich mir heutzutage offen gesagt mehr erwartet. Die Hardware macht einen guten Eindruck. Die Software jedoch wurde völlig unüberlegt “herunter programmiert” und ganz offensichtlich nicht einmal gründlich getestet, geschweige denn vor der Implementierung von einem UX-Experten vernünftig designt. Ich werde das Gerät daher zurück senden.

Get certificates for “internal” hosts from Let’s Encrypt

I have a pretty large internal IT “landscape” in my house, and as an IT pro I want everything to be clean and “safe.” So even internally I’m using official SSL (or I should say “TLS”, as SSL 2.0 or 3.0 is deprecated since many years…) certificates for my router, WiFi access points, NAS devices, intranet server, etc., using host names in my own domain. I host this domain DNS-wise myself on a root server I rent from Hetzner.

Before the StartSSL disaster I got my certs from them. Afterwards I switched to WOSign, but now that they had their scandal as well, what to do?!

Well, Let’s Encrypt, a free public CA, is something I’m using anyway for my root server since they started operating. But to verify ownership of a domain name you had to run a web server on that respective host — something I can’t easily do for my internal hosts, as they have private IP addresses only, and their host names are not even publicly visible (they don’t have  a public A record, only one visible in my internal LAN). Even for my router’s externally visible host name I can’t easily use an HTTP-based challenge, as for security reasons I don’t want to operate a web server there.

By chance I came across the dns challenge that is now available in Let’s Encrypt’s certbot. This challenge works by deploying a TXT record that certbot requests to be under this domain name. Once you did this, you tell Let’s Encrypt to check, and if they find the TXT record this proves that you have authority over the domain.

Using it is quite straight forward:

# certbot certonly --manual -d hostname.internal.bergs.biz --preferred-challenges "dns"
Please deploy a DNS TXT record under the name
_acme-challenge.hostname.internal.bergs.biz with the following value:


Once this is deployed,
Press Enter to Continue

A few seconds later I had successfully received my certificate.

So now I will write a script that will run periodically on my intranet server, and that will retrieve the then-current certificates for my internal hosts from my root server, and deploy them internally.

Hard drive slot does not matter in Synology

You can read all over the internet that it’s important to put your hard drives into their original slots, e. g. when you migrate to a new Synology device, or when you need to remove the drives to add memory.

This is simply not true.

As expected DSM, which is a flavor of “Linux,” will automatically discover your physical partitions based on the GUIDs each partition has, and then reassemble your volumes. I just tested this (i. e. intentionally put the drives into the device in the wrong order) with a JBOD volume, and I had no issues whatsoever. I cannot see why this should be different with SHR or RAID-5, for example.

If you have also tested this, please let me know how it went for you.

Securely erase Drives on Synology NAS

I had to erase an external hard drive, a WD My Book, because I had to return it due to defects. So I searched on the web how to do that on a Synology DS916+ NAS, but I could not easily find the solution. Therefore I did a more generic search how to do it under Linux, and came across the tool “shred” which I had used years ago for the last time.

I checked on my NAS, and the tool was readily available. So I ran the following command to securely erase the (external) hard drive:

 shred /dev/sdq1

Hope this helps people who need to accomplish the same.

Just another WordPress weblog