xbmc and imonlcd - backlight does not turn off on shutdown

Some time ago, I bought an Antec Fusion Remote HTPC case which contains an imon lcd display from Soundgraph (http://www.soundgraph.com/oem-lcd-feature-en/)

After lots of testing and reading, following changes to LCDd.conf config did the trick for me:


Driver=imonlcd

Hello=""

GoodBye=""

#GoodBye="Thanks for using"

#GoodBye="   LCDproc!"

ServerScreen=no

#Backlight=open

## Soundgraph iMON LCD ##

[imonlcd]

# Specify which iMon protocol should be used [legal: 0=15c2:ffdc device,

# 1=15c2:0038 device; default: 0]

Protocol=1

# Set the exit behavior [legal: 0=leave shutdown message, 1=show the big clock,

# 2=blank device; default: 1]

OnExit=2

# Select the output device to use [default: /dev/lcd0]

Device=/dev/lcd0

# Select the displays contrast [default: 200; legal: 0-1000]

Contrast=200

# Specify the size of the display in pixels [default: 96x16]

#Size=96x16

# Set the backlight state [default: on; legal: on, off]

#Backlight=on

# Set the disc mode [legal: 0=spin the "slim" disc - two disc segments,

# 1=their complement spinning; default: 0]

#DiscMode=0

tip: when you're using openelec, changes to these files should be done under /storage/.config/. If the file doesn't exist, you should copy or create it from /etc.

Event 7023 - Only one usage of each socket address (protocol/network address/port) is normally permitted.

If you ever encounter this weird event id:

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7023
Date: 16/06/2010
Time: 19:47:47
User: N/A
Computer: MIB-SBS2003
Description:
The Internet Authentication Service service terminated with the following error:
Only one usage of each socket address (protocol/network address/port) is normally permitted.

or

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7023
Date: 16/06/2010
Time: 19:47:47
User: N/A
Computer: MIB-SBS2003
Description:
The IPSEC Services service terminated with the following error:
Only one usage of each socket address (protocol/network address/port) is normally permitted.

Especially this last one is very unpleasant! If the IPSEC service fails to start, the server will be running in Block mode and it will block all network connectivity to the server.

This all seems to be caused by a Windows Security Update: MS08-037

Excerpt found on: http://blogs.technet.com/b/sbs/archive/2008/07/17/some-services-may-fail-to-start-or-may-not-work-properly-after-installing-ms08-037-951746-and-951748.aspx

The update changes the way the DNS server allocates the UDP source port for DNS queries. On an SBS server by default we set the MaxUserPort value in the registry to 60000 or 65536 depending on the version of SBS. The MaxUserPort value causes the DNS server to pick UDP source ports in the range of 1024 to 60000, or 65536. The MaxUserPort is set on the SBS server by Exchange and ISA server. DNS by default will randomly pick 2500 ports when the service starts up, a port conflict will occur if the DNS server allocates a port that is required by another service and that service will fail once it requests that static UDP port. So far we have seen issues with AUTD, IPSEC, and IAS but there may be other services that will have a conflict.

The ReservedPorts registry key can be used to exclude ports from the pool the DNS server uses. The reservedports registry key is described in 812873 How to reserve a range of ephemeral ports on a computer that is running Windows Server 2003 or Windows 2000 Server

Here is the list of ports that we have seen conflicts with services on the machine.

• 1645-1646 - Used by IAS
• 1701-1701 - Used by L2TP
• 1812-1813 - Used by IAS
• 2883-2883 - Used by AUTD
• 4500-4500 - Used by IPSEC

For now we are suggesting customers be proactive and modify the following registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ReservedPorts

We suggest you add these port numbers to the current values set in the ReservedPorts registry key. Do not replace the values currently there with these values but simply add these additional values.

Dutch article: Eerst en vooral moeten we de gebruikers opvoeden!

article about my competence center in ICT Solutions, June 2009.

from: http://nl.solutions-magazine.com/Eerst-en-vooral-moeten-we-de-gebruikers-opvoeden!_a470.html

Endpoint Security doorkruist de zeven lagen van het OSI-model. Erudict nodigt ons uit om ook het achtste mee op te nemen…

We kennen de zeven lagen van het OSI-model. En de achtste? Die is mythisch, want ze heeft te maken met de menselijke factor. Maar toch is ze niet minder fundamenteel. Ze positioneert beveiliging immers in de irrationale dimensie, een dimensie die is gebaseerd op onze gedragingen. Dit verzekert Tom Michiels, Team leader Secure Networking Competence Centre van Erudict. “En daar moeten we wel vaststellen dat er nog een grote breuk is in de beveiliging. Zorgen voor bewustwording moet dus de basis zijn van ieder project om een conformiteits- en bestuursoplossing te definiëren.”

In het OSI-model waarin Erudict beveiligingsoplossingen voorstelt, positioneert Tom Michiels de endpointbeveiliging op de verschillende lagen, van de eerste tot de laatste. “Zo kunnen we een oplossing voorstellen die beantwoordt aan bijna alle uitdagingen op het vlak van veiligheid die wij vandaag onderscheiden.”

Met recht en reden. Het informatiesysteem is letterlijk ‘ontploft’, zegt Erudict. Het beeld van de superbeveiligde citadel bestaat niet meer. Dit is te wijten aan de nieuwe manieren van werken, meer bepaald het reizend werken. Een manager moet zich bijvoorbeeld verbinden met een afgelegen site waar een collega of een gedeeld dossier zich bevindt. En de financiële dienst moet gegevens uitwisselen met een filiaal…. Zoveel gangbare situaties waar de contouren van de beveiligingszone onderworpen zijn aan gedragingen die de beveiliging van het geheel in gevaar kunnen brengen.

De cruciale beveiligingsfactoren blijven voortdurend evolueren en de oplossing mag niet worden gereduceerd tot een antivirus of een antispyware. Volgens Tom Michiels is een algemene aanpak nodig. “Terwijl een firewall een netwerk vroeger beschermde tegen de buitenwereld, moet het nu ook beschermen van binnen naar buiten. Informaticapiraten zijn immers voortdurend aan het proberen om hun bereik breder te maken, meer bepaald door robotnetwerken te installeren. Ze gebruiken de imperfecties van de huidige besturingssystemen om ze te repliceren in de vorm van malware, spyware en andere. Daarna genereren ze buitengaand verkeer, bijvoorbeeld om spam te versturen of gegevens te stelen. Dat gebeurt allemaal van op afstand. Endpoint Security moet dus kunnen optreden op het niveau van het netwerk.”

Dit is niet alles. Er bestaat een manier om te vermijden dat binnendringers de doorgangen van netwerken binnengeraken, via een technologie die sommige vormen van verkeer herkent op het netwerk en zo het kaf van het koren scheidt. Deze manier passen we ook deels toe bij de oplossingen van Endpoint Security. Dit is wat we de ‘Host-based Intrusion Prevention Systems’ noemen (HIPS).

Om de huidige dreigingen te stoppen, is het nodig om veiligheidsregels op te stellen die zijn gebaseerd op het gedrag van de gebruiker en op bestaande voorbeelden. Met deze aanpak van ‘leren door voorbeeld’ is het niet langer nodig om regels te definiëren voor rollen, toepassingen of specifieke middelen. Beheerders kunnen deze functie voortaan gebruiken om regels toe te wijzen aan gebruikers en groepen die zijn vastgelegd binnen het LDAP-adresboek en Microsoft Active Directory voor de soorten systemen (laptops, PDA, USB), voor de beveiligingsmechanismen (firewall, IDS, IPS) en ook voor de soorten specifieke toepassingen.

Voor Tom Michiels hebben we tot op vandaag nog een andere uitdaging onderschat: de risico’s op gegevenslekken en aanvallen vanwege het reizend gebruik. “We zijn overspoeld met boodschappen van bedrijven die hun gegevens buiten zijn verloren, door het verlies van notebooks, laptops, PDA’s en andere smartphones. Ik ben er van overtuigd: het veiliger omgaan met gegevens wordt dé uitdaging van de komende jaren, want de inspanningen die tot nu toe worden gedaan volstaan niet…”

Daarom is Endpoint Security voor Erudict nauw verbonden met Data Leakage Prevention. Kortom, het verlies van data vermijden. Dit kan gebeuren op uiteenlopende manieren: door confidentiële informatie te versturen per e-mail of via internet, het stelen van elektronische adresboekjes of de niet-toegestane kopie van gevoelige data op draagbare opslagmedia. “Dit concept dekt beveiligingsoplossingen voor internet en e-mail, het coderen van harde schijven en de controle van draagbare opslagmedia, de beveiligingssuites van de entry points en nog heel wat meer."

Erudict heeft ervoor gekozen om te werken met Sophos die Utimaco heeft overgenomen en met McAfee die dezelfde weg is ingeslagen door de overname van Safeboot. “Ze bieden allebei een kader dat op een gecentraliseerde, te beveiligen manier te beheren is, ongeacht het endpoint, op de volledige lijn van de veiligheidsrisico’s die gebruikers vandaag kunnen tegenkomen.”

Maar de technologie is niet alles. We mogen laag 8 van het OSI-model niet vergeten, brengt Tom Michiels in herinnering. In veel opzichten is een project van Endpoint Security verwant met een B2C-project voor zover het de dagelijkse werkomgeving van de gebruikers beïnvloedt. “Het is dus primordiaal dat de gebruikers akkoord gaan!”

Details are important...

I was struggling with this issue for 2 laptops in a row now... when I install the closed source nvidia drivers I get a GDM login window with extremely large fonts. I finally wanted to get of rid of this and after some googling, I found this: http://ubuntuforums.org/showthread.php?t=294429

Just add the following line to the monitor section of your /etc/X11/xorg.conf file:

Option "DPI" "96 x 96"

The DPI size of 96 pixels was enough for my resolution of 1900x1200.

Finally no-pin mode support in ActivIdentity's 4TRESS AAA server

When doing strong authentication using OTP tokens, you always work following the principle: something you have + something you know = what will give access.

In SSL VPN setups, one of the most popular setups is two-stage authentication with the user's LDAP/Active Directory user account and a passcode generated from an OTP.

I got the question more than once: our users find it too difficult to remember their password and an extra pin-code. That together with the generation of the passcode (=tokencode + pin-code) makes it rather complex for a non-IT-oriented user to log in. The second question was then: but to respect strong authentication: can't we use the password as "something you know" and the tokencode as "something you have" ?

This is indeed possible and it depends on the kind of tokens you're using, well in fact, the AAA software which is managing these tokens. For example, ActivIdentity supports this since version 6.5 of its 4TRESS AAA radius server. Here you'll find a screenshot of the Mini Token PIN Policy setting:

vmware: access the serial console of your vm'ed appliance

VMware is a great tool to demo/test appliances, but what about the serial console ? You can have VMware redirect the datastream of an emulated serial port to a named pipe on the host OS. This named pipe can be redirected to a socket. This way you convert the serial data stream to an tcp/ip stream. This makes you able to use a regular telnet program to interface with the serial console of your vm'ed appliance.

In linux you can use socat(http://www.dest-unreach.org/socat/ - in debian you can do an apt-get install socat ;) to redirect this named pipe to a socket. In Windows there exists a tool: Named Pipe TCP Proxy Utility (http://shvechkov.tripod.com/nptp.html). Basically what you do is (the example below is done in linux (debian) but for windows the procedure is somehow the same):

1. You create a serial port in your vmware configuration with the following settings:
   
   - Use named pipe
   - This is the server
   - The other end is an application.
   
   You specify the location of your named pipe, for example: /tmp/vm-serial0
   
   
   
   
   
   
2. Fire up your appliance.
3. You'll see the /tmp/vm-serial0 named pipe created in the host OS.
   
4. Use socat to set up the socket listener :
   
   socat -d -d -d /tmp/serial0 tcp-listen:9998
   
   A listening socket will be created at localhost on port 9998. The -d parameters gives verbose logging.
   
   
   
   
   
   
   
5. Open a new terminal and do a telnet to localhost on port 9998:
   
   telnet localhost 9998
6. You're connected to the serial console of your vm'ed appliance.