Sie sind auf Seite 1von 132

NEU!

Cloud Computing:
OpenStack & CloudStack
MFT: Sichere Alternative
zum FTP-Dateitransfer
JETZT MIT

ADMIN IT-Praxis & Strategie


Arch Linux 2013.04.01

03/2013 Mai – Juni

Web Security
Server und Homepage schützen
Web Application Firewall mit Nginx
Schutz gegen SQL-Injections
Drive-by-Attacken erklärt

SSD-Benchmarks
Richtig testen und messen
mit dem TKperf-Tool
Arch Linux
Schlankes Linux
fast from Scratch

ZFS
Der große Workshop zum
Solaris-Dateisystem für FreeBSD
03

Icewarp Retro Computing


4 196360 509805

Die Exchange- OpenVMS auf einer


Alternative im Test VAX im Emulator
D EUR 9,80
nnn%X[d`e$dX^Xq`e%[\ A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75
JXZb^Xjj\ < ; @ KF I @ 8 C

JXZb^Xjj\
;`\Nliq\ce[\jj\e#nXjdXe_\lk\`d@K$AXi^feM\e[fiCfZb$@ee\eek#
i\`Z_\e `e [Xj I\Z_\ek\Z_e`b$BXdYi`ld qli•Zb1 :fdglk\i jk\Zbk\e
efZ_`e[\eB`e[\ijZ_l_\e#[X[fd`e`\ik\@9DY\i\`kj[\eCfZ_bXik\e$
dXibk#[\ilej[`\/'$Q\`Z_\e$Q\`c\le[[\e8lj[ilZbJkXg\cm\iXiY\`$
kle^m\i\iYk_Xk#[\edXe[XdXcjnikc`Z_e\_d\edljjk\%NXjj`Z_
XejZ_c`\\e[ Y\` [\e DX`e]iXd\j n`\[\i_fc\e jfcck\# q\`Z_e\k\ j`Z_
[XdXcjjZ_feXY1DXe^\cjbfdgXk`Yc\i8ck\ieXk`m\enXi[\i8en\e[\i
[\i>\]Xe^\e\[\j8eY`\k\ij#nXim\i[Xddk#[\jj\eGif[lbk\qlbXl$
]\ele[jfmfij`Z_j\cY\i`dd\i__\i\N\Z_j\c_•i[\eql\ii`Z_k\e%

<j]fc^k\[XjG:$Q\`kXck\i1\`e\viX[\i;\q\ekiXc`j`\ile^%Dfefgfc`jk\e
^XY\jXlZ_`e[`\j\iQ\`k#Xcc\emfiXeD`Zifjf]k#[fZ_\ekjkXe[\`e\Xlj^\gi€^k\;`m\ij`k€k^\iX[\`d
?Xi[nXi\j\bkfi#le[\jY`c[\k\ej`Z_Y\]i\`k\<ebcXm\e#\knXd`kFg\eJfliZ\`dI\Z_\eq\ekild%

?\lk\_Xklej[`\>\jZ_`Z_k\`dJZ_iXlY\e^Xe^[\i;`Xc\bk`bXl]\`e\__\i\<Y\e\^\]•_ik#`e[\i
Q\ekiXc`j`\ile^n`\[\i^if^\jZ_i`\Y\en`i[%;\eenXj8dXqfele[>ff^c\#;ifgYfof[\i[`\K\$
c\bfdXeY`\k\e#j`e[ql\`eXe[\i`ebfdgXk`Yc\Dfefgfc`jk\e$F]]\ik\e#[`\d`k[\dj\cY\em\i^`]k\k\e
B[\icfZb\en`\[`\@9D$KXY\cc`\idXjZ_`e\]•i@9D$CfZ_bXik\e%;`\>i\[\i8eY`\k\i`jk[XY\`Xcc\j
Xe[\i\Xcj\`e\>\n€_i]•i9\jk€e[`^b\`k%@d>\^\ek\`c#[\i\`e\f[\iXe[\i\_XkjZ_feb\`e\Jbilg\c
d\_i#[`\\`e\?Xe[#Xlj[\idXeYiXmXcc\jbXl]k\#d`jjcXle`^qli•Zbqlq`\_\e1>ff^c\jk\cckj\`e\e
I\X[\i\`e#le[n\ij`Z_d`k[\dM\ijgi\Z_\e`e[\jj\eLe`m\ijldcfZb\ec`\#[fikbee\\iXcc\j
m\ibe•g]\ele[bfejfc`[`\i\e#[\ijfcca\kqkj\_\e#nf\iYc\`Yk%

<`e\?f]]ele^Yc\`YkkifkqXcc\d1;\iFg\e$JfliZ\$>\[Xeb\#\`edXc`e[\iN\ck#_XkXlZ_Y\`d:cfl[
:fdglk`e^jZ_fed\_iXcjeli[\e=l`e[\iK•i%?`ek\iFg\eJkXZbm\ijXdd\ckj`Z_\`e\^cfYXc\
:fddle`kpd`k.'''D`k^c`\[\ieXlj(''C€e[\iele[/,'Fi^Xe`jXk`fe\e#Xlj^\jkXkk\kd`k('D`c$
c`fe\e;fccXi%:cfl[JkXZbY`\k\k\`e\qn\`k\Fg\e$JfliZ\$8ck\ieXk`m\#Fg\eE\YlcXjk\cck\`e\[i`kk\
]i\`\Nfcb\Y\i\`kle[<lZXcpgklj\`e\m`\ik\%I\[?Xk#[\in\ckn\`k^ik\Fg\e$JfliZ\$8eY`\k\i#
\ekn`Zb\ck\`e^Xeq\jGfik]fc`fmfe:cfl[$Cjle^\e#[`\Xl]]i\`\eJkXe[Xi[jXl]YXl\ele[j\cYjk
bfdd\iq`\cc\8e^\Yfk\`ek\^i`\i\e%Fne:cfl[bXee;ifgYfo\ij\kq\ele[jfn\`k\i%;Xj`jk[`\GXiXc$
c\cjkiX\qliJXZb^Xjj\%

@ c\j\iYi`\]\7X[d`e$dX^Xq`e%[\ nnn%]XZ\Yffb%Zfd&X[d`edX^Xq`e nnn%kn`kk\i%Zfd&X[dX^q

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * *


J < IM @ : < @e_Xck

ADMIN '*&)'(*
IT-Praxis & Strategie

N\Yj\im\ile[?fd\gX^\XYj`Z_\ied`k
M\ijZ_c•jj\cle^le[=`i\nXccj%D\_i[Xql
`d8;D@E$JZ_n\iglebkXYJ\`k\)-

+)
J`Z_\i\9Xeb
>i\\eJHCjZ_•kqk
;Xk\eYXeb\emfi
JHC$@ea\Zk`fe$8e^i`]]\e%

Cf^`e E\kqn\ib JZ_n\iglebk1N\YJ\Zli`kp

 / Mfi^\c\j\e  (/ <


 `jq\`k )- J
 `Z_\ij\im`\ik
9•Z_\iqliGfjk^i\JHC$8[d`e`jkiXk`fe ;\i@Z\nXig$ JJC$M\iY`e[le^\elek\i8gXZ_\)
le[qliI\[$?Xk$Q\ik`]`q`\ile^% DX`cj\im\i]•i \`ei`Z_k\e%
N`e[fnj1\`e\
 0 F
 J;:$9\i`Z_k 8ck\ieXk`m\ *) 9iXe[jZ_lkq
Efk`q\emfe[\iFg\eJfliZ\;XkX:\e$ qlD`Zifjf]k E^`eoXcj=ifek\e[$>Xk\nXple[N\Y
k\i:fe]\i\eZ\% <oZ_Xe^\6 8ggc`ZXk`fe=`i\nXcc%

 (' 9
 iXeZ_\e$E\nj )) G
 fjkqljk\cc\i
E\l\jmfe=`id\ele[Gifa\bk\e% =•iGfjk]`o$8[d`e`jkiXkfi\e1JgXd[liZ_
>i\p$le[N_`k\c`jk`e^d`kGfjk^i\p
 (- N
 XZ__le[ Y\b€dg]\e%
9\elkq\i$8ZZflekjmfeC;8Gql=i\\@G8
d`^i`\i\e%

+) J
 `Z_\i\9Xeb
J\im`Z\ JHC$@ea\Zk`fejd`k>i\\eJHCn`ibjXd
 *  [`kfi`Xc
< YcfZb\e%
 + @e_Xck
 - ?\]k$:; +/ J
 Z_lkqXlji•jkle^
(*' @dgi\jjldle[MfijZ_Xl JZ_lkqmfi;i`m\$Yp$8e^i`]]\e%

+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


@e_Xck J < IM @ : <

--
Q\`kdXjZ_`e\
;XjFg\eMDJ$9\$
ki`\Yjjpjk\dXl]\`$
e\i\dlc`\ik\eM8O`ejkXcc`\i\e%

/+ 0-
Ql[\eNliq\ce >lk^\j`Z_\ik6
8lj]•_ic`Z_\iNfib$ N\cZ_\8e]fi[\ile^\e
j_fgqlijZ_cXeb\e q\ekiXc`j`\ik\jGXjjnfik$
8iZ_$C`elo$;`jki`Ylk`fe% DXeX^\d\ek\i]•cc\edljj%

Befn$_fn K\jk J\Zli`kp

,- KiXejgfik^\j`Z_\ik  .) J


 kfggl_i 0) C
 •Zb\e_X]k\J`Z_\i_\`k
;Xk\ed`k[\i=KG$8ck\ieXk`m\D=K KBg\i]ÆdX^\jZ_e\`[\ik\G\i]fi$ 8e^i`]]\Xl]JJC
j`Z_\im\ij\e[\e% dXeZ\$K\jkj]•iJJ;jle[=\jkgcXkk\e% dXZ_\e`d@ek\i$
e\k[`\Ile[\%
-' N
 fcb\eble[\ ./ Q
 \ekiXc$G\ijg\bk`m\ N`\^if`jk[`\
I\[?Xkj:cfl[$le[M`iklXc`j`\ile^j$ Jpjk\d:\ek\i)'()JG(1E\kqn\ib\le[ >\]X_ile[nXj
gfik]fc`f`d|Y\iYc`Zb% :cfl[Y\jj\im\inXck\e% `jkefZ_j`Z_\i6

-- Q
 \`kdXjZ_`e\ /+ Q
 l[\eNliq\ce 0- >
 lk^\j`Z_\ik6
I\`j\`ej^fc[\e\:fdglk`e^$Q\`kXck\i1 8iZ_C`elo1@ejkXccXk`fejnfibj_fg]•i 8e]fi[\ile^\eXe\`eq\ekiXc`j`\ik\j
Fg\eMDJXl][\iM8O% [`\YXccXjkjkf]]Xid\C`elo$;`jki`Ylk`fe% GXjjnfik$DXeX^\d\ek%

M`iklXc`j`\ile^ 9Xj`Zj =i\\O

(') :
 cfl[$HlXik\kk ((' v
 e[\ile^\edX^\jZ_e\`[\ik ((. =
 i\\O
:cfl[JkXZb`jkele8gXZ_\$Gifa\bk% DpJHC$JZ_\dX€e[\ile^\e`dcXl]\e[\e 8ik`b\cle[Nfibj_fgjXlj[\i=i\\O%
NXjdXZ_k[`\Bfeblii\eq6 9\ki`\Y%
((/ 8
 jkifefd`jZ_
('- 9
 €i\ejkXib6 ((+ @ dJlZ_\i Q=Jlek\i=i\\9J;Æ;Xk\ej`Z_\i_\`kXl]
Fg\eJkXZb$ =•iM`d$Bee\ile[jfcZ_\#[`\\jn\i$ e\l\eN\^\e%
Nfibj_fg#K\`c+1 [\enfcc\e1JlZ_\ele[<ij\kq\e`e=`c\j%
NXj`jke\l`d
>i`qqcp$I\c\Xj\
[\j:cfl[$
:fdglk`e^$
=iXd\nfibj6

auf Seite 6
Mehr Infos

UʘÃÌ>>̈œ˜Ã‡
ÊvØÀÊÀV…ʈ˜ÕÝÊÓä£Î°ä{°ä£
UÊ6iÀȜ˜ÊvØÀÊÎÓÊ՘`ÊÈ{Ê ˆÌ
UÊÕÃv؅ÀˆV…iÀʘÃÌ>>̈œ˜ÃܜÀŽÃ…œ«Ê>ÕvÊ-iˆÌiÊn{

NNN
N% 8 ; D @ E $ D 8>
8>8
>8Q@E%;< 8;D@E 8L J >8 9 < '
'*
' * $)' ( * ,
J < IM @ : < ?\]k$:;

?\]k$:;
Auf dem beiliegenden Datenträger finden Sie die neueste
Version der Arch-Linux-Distribution R(T, mit der Sie ein
Versi
Linux-System von Grund auf selbst installieren können.
Linu

◗ Ins
Installations-CD für Arch Linux 2013.04.01
◗ Version für 32 und 64 Bit
Ver
◗ Lin
Linux-Kernel 3.8.4
◗ Eig
Eigenes Paketmanagement-System mit Community-
Repository
Rep

Meh
Mehr Informationen zur Installation von Arch Linux sind
im A
Artikel ab Seite 84 zu finden.
Lege
Legen Sie einfach die CD in das Laufwerk ein und starten
Sie den Rechner. Möglicherweise müssen Sie noch im
BIOS die richtige Boot-Reihenfolge einstellen, damit das
Laufwerk vor der Festplatte an die Reihe kommt.
Lauf ■

@e]f
R(T 8iZ_c`elo1R_kkg1&&nnn%XiZ_c`elo%fi^T
?
CD KAPUTT en kostenlos eine
n Ihn
Wir schicke t:
E-Mail genüg
Ersatz-CD zu, .de
agazin
info@admin-m

- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


ZAHLEN SIE NUR
WAS SIE AUCH NUTZEN!

0, 03 € *

PRO STUNDE
ab

VOLLE KOSTENKONTROLLE
■ NEU: Keine Einrichtungsgebühr!
■ NEU: Kein Basispreis!
HÖCHSTE FLEXIBILITÄT
■ NEU: Keine Mindestvertragslaufzeit! ■ vCore-Anzahl, Arbeits- und Festplatten-
speicher unabhängig voneinander
■ Für kurze Zeit: bis zu 30,– € buchbar – für nur 0,01 € pro Stunde
Startguthaben!* und Einheit!
■ Stundengenaue, leistungsbezogene ■ NEU: Bis zu 8 vCore und 32 GB RAM
Abrechnung!
■ Per Mausklick bis zu 99 virtuelle
■ Unlimited Traffic, ohne Drosselung. Maschinen zubuchen – ohne Migration!
■ Parallels® Plesk Panel 11 inklusive,
ohne Limitierung der Domainzahl.
AUSFALLSICHER
■ Redundante Speicher- und Recheneinheiten
VOLLER ROOT-ZUGRIFF schützen Ihren Cloud-Server automatisch
■ Komfort und Funktionsumfang eines vor Ausfällen.
Root-Servers, mit dedizierten Ressourcen.

0 26 02 / 96 91
0800 / 100 668 1und1.info

* 1&1 Cloud Server ohne monatliche Basiskosten. Performance Features für 0,01 €/Stunde und Einheit buchbar. Mindestabnahme je 1 Einheit vCore, Arbeitsspeicher, Festplattenspeicher
(=0,03 €/Stunde). Persönliche Preiskalkulation unter hosting.1und1.de/cloud-server-config. Startguthaben wird ausschließlich mit der ersten Monatsrechnung verrechnet. Preise inkl. MwSt.
CF > @ E 9•Z_\i

In einer kurzen Einführung beschreibt


@K$IXk^\Y\i`dI\[Xbk`fej$:_\Zb
der Autor den Inhalt der Prüfung und

Mfi^\c\j\e
geht auch auf die beiden Klone der Red-
Hat-Distribution, CentOS und Oracle Li-
nux, ein. Grundlage ist die aktuelle Ver-
sion 6.4, deren Neuerungen im E-Book
auch noch kurz aufgeführt sind. Auch ein
paar Hinweise dazu, wie und wo die 450
;`\j\eDfeXk`e[\iC\j\jklY\1[`\e\l\8l]cX^\\`e\j?Xe[YlZ_jqli Euro teure, praktische Prüfung abzulegen
Gfjk^i\JHC$8[d`e`jkiXk`fele[\`e<$9ffbqliGi•]le^XcjI\[?Xk:\ik`$ ist, fehlen nicht.
]`\[Jpjk\d8[d`e`jkiXkfi%A\ej$:_i`jkfg_9i\e[\c#Fc`m\i=ifdd\c Im Weiteren geht das E-Book nachein-
ander die auf der Exam-Seite R_kkg1&&
nnn%i\[_Xk%Zfd&kiX`e`e^&Zflij\j&
Dank des eingeschränkten Vertrauens stallation über Konfiguration, Wartung, \o)''T aufgeführten Lernziele durch:
in den von Oracle betreuten Mitbewer- Backup, Monitoring, Rechteverwaltung, Kommandozeilen-Basics, Dateisysteme
ber MySQL hat PostgreSQL nach wie Tuning und Hochverfügbarkeit alle we- (inklusive LVM, ACLs, LUKS), User-
vor Zulauf. Dazu kommt ein recht ho- sentlichen Bereiche der Datenbankadmi- Management und Security einschließlich
hes Entwicklungstempo, dem die beiden nistration anschaulich erklärt. Damit ist SELinux. Dabei gibt es jeweils erst eine
PostgreSQL-Spezialisten Peter Eisentraut der Titel für den Einsteiger wie für den kurze Erklärung zum Thema und dann
und Bernd Helmle jetzt mit einer dritten erfahrenen DBA eine wertvolle Wissens- die entsprechenden Befehle auf der Kom-
Auflage ihres Klassikers „PostgreSQL Ad- quelle. mandozeile.
ministration“ Rechnung tragen. Grundsätzlich ist das Buch für die Prü-
Die Vorgängerauflage reichte bis zur Ver- I\[$?Xk$Q\ik`]`q`\ile^ fungsvorbereitung brauchbar, insbeson-
sion 9.0, aktuell ist 9.2.x. In den beiden dere, wenn man mit der Systemadmi-
Minor-Releases seither ist allerhand pas- Zu den beliebten LPIC-Zertifizierungen nistration von Linux-Rechnern schon
siert, was auch das Buch reflektiert. Als gibt es eine ganze Reihe von Büchern. vertraut ist. Selbst wenn man keine
große Neuerung kam mit der Version 9.1 Anders sieht es mit den Zertifizierungen Prüfung ablegen will, eignet sich das
synchrone Replikation dazu. Ebenfalls aus, die Red Hat für das eigene Enter- Buch als Nachschlagewerk, das kleine
neu sind Unlogged Tables, die sich sehr prise Linux anbietet, das in der Praxis Howto-Anleitungen der Art „Wie lege
schnell füllen lassen, allerdings bei einem von Unternehmen durchaus eine große ich LVM-Volumes an?“ enthält. Manch-
Crash verloren gehen. Außerdem wurden Rolle spielt. Die Standard-Zertifizierung mal wären dabei allerdings eine etwas
Foreign Tables ergänzt, mit deren Hilfe ist hierbei der Red Hat Certified Engineer, ausführlichere Erklärung der Konzepte
man beispielsweise externe CSV-Files der den Grad eines Red Hat Certified wünschenswert.
wie Tabellen in die Datenbank einbin- System Administrator voraussetzt. Zu Erschienen ist das Buch im Selbstverlag,
den kann. Letzterem ist jetzt ein deutschsprachiges was an manchen Stellen sichtbar wird,
Die Version 9.2 brachte dann Index- E-Book erschienen, das den Interessier- wenn etwa noch redaktionelle Kommen-
only-Scans, Replikationen mit mehreren ten auf die Prüfung vorbereiten will. tare des Autors zu finden sind oder es
Slaves (Cascading Replication), neue Das „Kompendium zur EX200-Prüfung kleine Inkonsistenzen bei Schreibweisen
Datentypen für Wertebereiche wie etwa auf Deutsch“ von Markus Frei ist bei gibt. Das ist bei einem Preis von 9,99
Zeiträume, JSON als Datentyp und eine Amazon im Kindle-Format erhältlich. Euro aber zu verschmerzen. Dafür hat
bessere Performance. Als E-Book passt es sich der Bildschirm- man dann per E-Mail direkten Kontakt
Auf die meisten dieser Neuerungen geht größe und den Schrifteinstellungen an, zum Autor, der auf Anfragen prompt re-
die Neuauflage ein, die ansonsten dem der Umfang entspricht jedoch etwa 80 agiert und eine korrigierte Version seines
bewährten Aufbau folgt und von der In- Buchseiten. E-Books zur Verfügung stellt. ■

Gfjk^i\JHC I?:J8
G\k\i<`j\ekiXlk#9\ie[?\cdc\1 DXiblj=i\`1
Gfjk^i\JHC8[d`e`jkiXk`fe I\[?Xk:\ik`]`\[Jpjk\d
*%8l]cX^\ 8[d`e`jkiXkfiI?:J8 
FËI\`ccp$M\icX^)'(* B`e[c\<[`k`fe[\lkjZ_
@J9E10./$*$/-/00$*-($, 8J@E19''9FFDG+L
*0*J\`k\e2+,<lif <knX/'J\`k\e20#00<lif

/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


FJ;: CF > @ E

Efk`q\emfe[\iFg\eJfliZ\;XkX:\ek\i:fe]\i\eZ\

GiXbk`b\i`d;`Xcf^
;`\a€_ic`Z_\Fg\eJfliZ\;XkX:\ek\i:fe]\i\eZ\]•_ik\XlZ_`e[`\j\dAX_in`\[\i8[d`ejXljXcc\iN\ckql
\`e\d`ek\i\jjXek\eMfikiX^jgif^iXddeXZ_E•ieY\i^%A\ej$:_i`jkfg_9i\e[\c
bieten: Der DRBD-Schöpfer Philipp Reis-
ner stellte die Neuerungen der kommen-
den Version DRBD 9.0 vor, deren we-
sentlicher Fortschritt die Erweiterung von
zwei oder drei auf bis zu 32 Knoten ist.
Das eröffnet völlig neue Use Cases, wie
beispielsweise voll redundante Speicher-
netze als Schicht unter einer Ebene mit
plattenlosen Applikationsservern.
Außerdem stellte Martin Loschwitz das
verteilte Dateisystem Ceph anschaulich
vor, während sich Dr. Udo Seidel den
Konkurrenten GlusterFS vornahm. Beide
kann man durchaus als DRBD-Alterna-
tive verstehen. Die Zukunft bleibt hier
8YY`c[le^(19c`Zb`e\`e\eKX^le^jiXldn€_i\e[[\iFg\eJfliZ\;XkX:\ek\i:fe]\i\eZ\`eE•ieY\i^#ql[\i also spannend.
•Y\i(('8[d`ejXlj^Xeq<lifgXle[8d\i`bXXe^\i\`jknXi\e%

EXZ_[\ebc`Z_\j
„International“ ist ein beliebtes Konfe- der ein interessantes Konzept erläu-
renz-Attribut, selbst wenn es nicht immer terte, sämtliche Aufgaben des System- In gewisser Weise am entgegengesetzten
zutrifft. Die Open Source Data Center managements inklusive Konfiguration, Ende – nämlich nicht bei der Rechenzen-
Conference schmückt sich nicht damit, Deployment und Tests auf der Basis von trumspraxis, sondern beim Nachdenken
obwohl es gerade hier die Entwicklung Softwarepaketen zu erledigen. Eckdaten darüber – setzte ein weiterer, hoch inte-
reflektieren würde, denn der Anteil von für die Konfiguration können in seiner ressanter Vortrag an, gehalten vom stu-
Referenten und Besucher aus aller Welt Umgebung aus einem Namensschema für dierten Philosophen und Open-Source-
(8YY`c[le^() und damit auch die Menge Hosts abgeleitet werden und die Abhän- Verfechter Nicholas Mailer. Unter dem
englischsprachiger Vorträge nehmen ste- gigkeiten der Pakete sorgen dafür, dass Titel Deconstructing the Cloud beschäf-
tig zu. Der Veranstaltung mit ihrem über- umfangreiche Installations- und Konfigu- tigte er sich mit den Mehrdeutigkeiten
wiegend hochkarätigen Programm kam rationsketten abgearbeitet werden. wolkiger Begriffswelten, die einerseits
das auch in diesem Jahr auf jeden Fall Wer sich für Storage interessierte, dem Bequemlichkeit und Performanz ver-
zugute. hatte die OSDC ebenfalls allerhand zu sprechen, andererseits zu innovations-
hemmender Machtkonzentration führen,
8lj[\iGiXo`j Privatisierungstendenzen im Internet
verschleiern, den einzelnen Anwender
So berichtete wieder einmal Kristian einem Monopol ausliefern oder Daten-
Köhntopp aus seiner spannenden Praxis schutzprobleme heraufbeschwören. Ge-
im Rechenzentrum eines großen Hotel- rade in einer Veranstaltung, die leicht
zimmervermittlers mit über 2000 MySQL- in technischen Details ertrinken könnte,
Instanzen, für die ein Upgrade auf das war dieser Vortrag ein Highlight.
aktuelle Release 5.6 ansteht. In dieser Wie in bisher jedem Jahr war die Kon-
Größenordnung ist das natürlich nur mit ferenz vom Veranstalter, der Netways
Automatisierung zu bewältigen, und so GmbH, hervorragend organisiert, Cate-
entstanden eigens dafür modifizierte ring und Unterbringung perfekt. Man
Loadbalancer und Puppet-Skripte. kann sich nur wünschen, dass das auch
In die Kerbe Automatisierung schlugen im kommenden Jahr so gut gelingt, wenn
übrigens etliche Referenten, darunter 8YY`c[le^)1JZ_cfdfJZ_Xg`ifY\`j\`e\i die OSDC statt in Nürnberg erstmals in
etwa Schlomo Schapiro (8YY`c[le^ )), Gi€j\ekXk`feXl][\iFJ;:)'(*% Berlin ausgerichtet werden wird. ■

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * 0


CF > @ E E\nj
++++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte

E\l\Jf]knXi\le[Gif[lbk\

9
 iXeZ_\e$E\nj
E\l\8;D@E$8gg]•ij`GX[ C`elo=fle[Xk`fen`ccJ;EjkXe[Xi[`j`\i\e
Ab sofort ist in Apples Store eine kostenlose App verfügbar, die Im OpenDaylight-Projekt der Linux Foundation versammeln
das ADMIN-Magazin aufs iPad bringt. Eine kostenlose Ausgabe sich zahlreiche namhafte Hard- und Softwarehersteller, um
des Hefts liegt der App bei. gemeinsam Standards für Software Defined Networking (SDN)
Das ADMIN-Magazin ist ab sofort nicht nur im digitalen Abo zu entwickeln. Als Platin- und Gold-Member haben sich bereits
verfügbar, sondern auch als App fürs iPad und iPhone. Unter führende Unternehmen wie Big Switch Networks, Brocade,
der Adresse R_kkgj1&&`kle\j%Xggc\% Cisco, Citrix, Ericsson, IBM, Juniper Networks, Microsoft, NEC,
Zfd&Xgg&`[-')'/,')-T lässt sich Red Hat und VMware bei dem Projekt registriert. Ihr gemein-
die kostenlose App aus Apples sames Ziel ist es, eine offene Plattform und darauf aufbauende
Store auf dem Gerät installie- kommerzielle Technologien und Produkte zu entwickeln, die
ren (alternativ im Store nach Software-gestützte Netze ermöglichen. Solche Netze können
„ADMIN-Magazin“ suchen). gerade bei Service-Providern und Cloud-Anbietern die Kosten
In der App lassen sich Einzel- senken und die Effizienz erhöhen, indem sie beispielsweise
hefte kaufen, aber auch kom- Änderungen oder Erweiterungen in einem virtualisierten Netz
plette Abos abschließen. Die ohne Arbeiten an der Verkabelung zulassen.
komplette ADMIN-Ausgabe Das Thema erlebt aus diesem Grund gegenwärtig einen Hype:
01/2013 „Enterprise-Linux“ Einer Prognose von GigaOM Research zufolge soll der globale
kann in der App kostenlos SDN-Markt von 320 Millionen Dollar bis zum Jahr 2018 auf 2,45
heruntergeladen werden. Der- Milliarden Dollar wachsen. Allerdings ist die Lage momentan
zeit ist die Anzeige für Tablets ;Xj8;D@E$DX^Xq`e`jkeleXlZ_Xl] noch unübersichtlich und viele Anbieter setzen auf inkompati-
optimiert, Verbesserungen für [\d`GX[m\i]•^YXi%8cj<`eq\c_\]k ble Standards. Was die OpenDaylight-Initiative hier tatsächlich
Smartphones sind in Arbeit. f[\i`d8Yf% auszurichten vermag, bleibt abzuwarten.

FiXZc\C`elo-%+Yi`e^k;KiXZ\le[O=J Fg\eJkXZbÙ>i`qqcpÈm\i]]\ekc`Z_k
Die Firma Oracle hat Version 6.4 der eigenen Linux-Distribution Wie die OpenStack Foundation mitteilt, ist das neueste Open-
freigegeben. Im Wesentlichen handelt es sich dabei – wie bei Stack-Release mit dem Projektnamen „Grizzly“ verfügbar. Es
CentOS – um einen Klon von Red Hat Enterprise Linux 6.4. Zu- handelt sich um das siebte Release des Cloud-Computing-
sätzlich zum Red-Hat-Kernel bietet Oracle aber den „Unbreaka- Frameworks mit insgesamt 230 neuen Features, die unter an-
ble Enterprise Kernel Release 2“ an, einen laut Oracle besonders derem für bessere Skalierbarkeit der damit aufgebauten Clouds
zuverlässigen Linux-Kernel, der auf der Version 3.0.36 basiert. sorgen sollen. Neu ist etwa eine Abstraktion namens „Cell“, die
Neu im aktuellen Release ist außerdem der offizielle Support mehrere Knoten einer Cloud zu einer Einheit zusammenfasst,
des XFS-Dateisystems, der Kunden mit der Premium-Support- die sich somit einfacher verwalten lassen. Auch die „NoDB“-
Option zur Verfügung steht. Ebenso gibt es für registrierte Architektur, die die Verwaltung von einer zentralen Datenbank
Kunden im Unbreakable Linux Network (ULN) einen Download entkoppelt, soll zur besseren Skalierbarkeit beitragen.
des DTrace-Frameworks, das Oracle von Solaris auf Linux por- Die Netzwerkkomponente von OpenStack wurde so erweitert,
tiert hat. Damit lassen sich diverse Subsysteme in Kernel und dass sich nun eine Vielzahl von Software-Defined-Networking-
Userspace zur Laufzeit tracen, etwa zur Performance-Messung, Technologien verwenden lassen, zum Beispiel das freie Open-
ohne dass nennenswerter Overhead entsteht. vswitch, Cisco UCS/Nexus, Linux Bridge, Nicira und OpenFlow.
Als Technology Preview gibt es einige Features, die nur mit Durch die Verteilung von L3/L4-Switching und DHCP-Diensten
dem Unbreakable Kernel zur Verfügung stehen, etwa krypto- auf mehrere Knoten sollen die Netzwerkdienste zuverlässiger
grafische Signaturen für Kernel-Module, Linux-Container (LXC), funktionieren und besser skalieren. Eine API für Load-Balan-
Transcendent Memory (Tmem) und DRBD-Replikation. Andere cing-as-a-Service soll künftig weitere Verbesserungen in dieser
als Technology Preview enthaltene Features stammen wiede- Richtung erleichtern.
rum von der Red-Hat-Distribution und funktionieren nur mit Mehr als 45 Firmen, die der OpenStack Foundation angehören,
dem ausgelieferten Red-Hat-Kernel. Dies sind etwa KVM-Live- haben zum aktuellen OpenStack-Release beigetragen, darunter
Snapshots und Parallel NFS. Red Hat, Rackspace, IBM, HP, Intel, Canonical und VMware.

(' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


en immer auf http://www.admin-magazin.de

O\en`i[C`elo$=fle[Xk`fe$Gifa\bk
MobyDick7
Wie die Linux Foundation mitteilt, übernimmt sie künftig von VoIP made in Germany
Citrix die Entwicklung des Xen-Hypervisors als sogenanntes
Collaborative Project. Auf der Linux-Plattform gehörte Xen einst
zu den Pionieren im Bereich Virtualisierung, verlor aber im Lauf
der Jahre gegenüber der Neuentwicklung KVM an Boden. Als
Community-Projekt soll Xen nun wieder mehr Bedeutung erlan-
gen. Entsprechende Unterstützung aus der Computerindustrie
soll die Xen-Entwicklung dadurch bekommen, dass eine ganze
Reihe von Firmen als Gründungsmitglieder dem Xen-Projekt
beitreten. Das sind etwa Amazon Web Services, AMD, Bro- DEG Zentrale 2

mium, Calxeda, CA Technologies, Cisco, Citrix, Google, Intel, HomeOffice Benjamin Ritter

DEG Vertrieb 1

Oracle, Samsung und Verizon. DEG Zentrale 1

Für Anwender interessante Verbesserungen, die in letzter Zeit DEG Entwicklung 1

ins Xen-Projekt eingeflossen sind, sind unter anderem Nested


Virtualization (VMs in VMs), Unterstützung für ARM-Prozes-
soren, ein neuer Virtualisierungsmodus PVH, der die Vorteile
von Hardware- und Paravirtualisierung vereint, sowie Mirage
OS, das ein Cloud-Betriebssystem schaffen will, das ohne Gast-
Betriebssystem auskommt.

Linuxbasierende Telefonanlage für


?G$J\im\id`kJdXikg_fe\$:GLj
HP hat das weltweit erste kommerziell erhältliche Moonshot-
jede Unternehmensgröße
System vorgestellt. Es arbeitet mit Prozessoren, die sonst in
Smartphones und Tablets zum Einsatz kommen, und spart so Mit der MobyDick Telefonanlage haben Sie alle Fäden selbst in
Strom und Platz. Nach Angaben von HP braucht das System der Hand. Außerdem verbinden Sie die Features modernster
bis zu 89 Prozent weniger Energie, benötigt 80 Prozent weniger Telefonie mit den Vorteilen von Voice over IP.
Platz und kostet 77 Prozent weniger als herkömmliche Server.
Diese neue Server-Kategorie wurde in jahrelanger Arbeit in
den HP Labs entwickelt, um die IT-Herausforderungen durch Die neuen MobyDick7 Features:
Social Media, Cloud Computing, Mobility und Big Data zu Freie Wahl des Arbeitsplatzes
bewältigen. Integrieren Sie jedes beliebige Endgerät (BYOD)
Das HP-Moonshot-System besteht aus dem HP-Moonshot-1500- FollowMe Konzept - Ihre Endgeräte folgen Ihnen
Chassis und ProLiant-Moonshot-Servern, die für bestimmte Intuitives User Interface
Anwendungen optimiert sind. Die Server sind erhältlich mit
Offene Telefonieplattform
Chips verschiedener Hersteller, die jeweils auf eine spezifische
Mobility Client für iOS und Android
Arbeitslast zugeschnitten sind. HP-Moonshot-Server nehmen
Plattformunabhängiger CTI Client Koste
bis zu 1800 Server pro Rack auf und beanspruchen damit nur nlose
Call Center Funktionen Comm
ein Achtel des Raums, den herkömmliche Server benötigen. unity
Virtuelle Konferenzräume Versio
Das löst das Problem des Platzmangels in Rechenzentren. Die n
einzelnen Chassis teilen sich traditionelle Komponenten wie Print-to-Fax Gateway
Daten- und Speichernetzwerk, das Fernwartungssystem iLo, Virtuelle oder Serverlösung
Energieversorgung und Lüftung. Das verringert die Komplexität
und reduziert den Platz- und Energiebedarf.
Der erste HP-ProLiant-Moonshot-Server enthält den Prozessor
Intel Atom S1200 und unterstützt Arbeitslasten für Web-Hos-
ting. Das HP-Moonshot-1500-Chassis ist 4,3 Höheneinheiten Mehr Informationen finden Sie unter:
hoch und ausgestattet mit 45 Intel-basierten Servern, einem http://www.pascom.net/MD7
Netzwerk-Switch sowie unterstützenden Komponenten. Das
http://community.pascom.net
HP-Moonshot-System ist ab sofort in den USA und Kanada
verfügbar. In Europa, Asien und Lateinamerika wird es ab
Mai erhältlich sein. Der Preis für das Chassis, 45 HP-ProLiant- pascom
Moonshot-Server und einen integrierten Switch liegt bei 50 600 Netzwerktechnik GmbH & Co. KG
Euro. Berger Straße 42
94469 Deggendorf
Tel.: +49 991 27006 - 0
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8L J >8 9 < '* $)' ( * ((
CF > @ E E\nj

++++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte

J\Zli`kp$I\gfikmfe@9D
Auch in diesem Jahr hat IBM wieder seinen weltweiten Das Spam-Aufkommen blieb im vergangenen Jahr überwie-
X-Force-Sicherheitsreport veröffentlicht. Den Beobachtern der gend konstant. Unter den Spam-Verbreitern führt Indien mit
IBM-Forscher zufolge führen die Liste der Bedrohungen nach 20 Prozent, gefolgt von den USA mit 8 Prozent. 2012 zählten
wie vor Angriffe auf Webapplikationen an. Darunter mit 53 die Forscher insgesamt 8 168 öffentlich bekannt gewordene
Prozent an erster Stelle Cross-Site-Skripting-Attacken, gefolgt Schwachstellen, das sind 14 Prozent mehr als 2011.
von SQL-Injections. Die meisten Angreifer benutzen dafür vor- Wenig überraschend stehen gerade Mobilgeräte stark im Fokus
gefertigte Toolkits, die in großem Umfang verfügbar sind. Der der Sicherheitsexperten. Dennoch wagt IBM die Prognose, dass
überwiegende Teil der von IBM beobachteten Angriffe richtete Mobilgeräte bis 2014 sicherer sein werden als Desktop-Compu-
sich auf Ziele in den USA (46 Prozent) gefolgt von England ter – trotz des Trends zu BYOD, dem sich die so gut wie alle der
(8 Prozent), Australien und Indien (je 3 Prozent). 2000 von IBM befragten Kunden anschließen wollen.

Q=J]•iC`elo\`ejXkqY\i\`k :cfl[JkXZbn`i[8gXZ_\$Gifa\bk
Wie der Projektleiter Brian Behlendorf in seiner Ankündigung Seit Ende März ist CloudStack ein vollwertiges Apache-Projekt.
erklärt, ist ZFS für Linux mit der gerade erschienenen Version Ähnlich wie mit OpenStack lassen sich auch mit CloudStack
0.6.1 reif für den produktiven Einsatz. Neben einer Reihe von eigene Clouds als Infrastructure as a Service (IaaS) realisieren.
Bugfixes gibt es im neuen Release von ZFS-on-Linux auch einige Im praktischen Einsatz wurden mit CloudStack bereits Cloud-
neue Features, etwa die Kompatibilität zum Linux-Kernel 3.9. Installationen mit mehr als 30 000 Nodes aufgebaut. Ursprüng-
Der ZFS-Port arbeitet aber auch mit Kernels der Versionsreihe lich war CloudStack von der Firma Cloud.com programmiert
2.6 zusammen. Im Gegensatz zum ZFS auf Solaris verwendet worden, die 2011 von Citrix gekauft wurde. Im August 2011 hatte
ZFS-on-Linux bisher keine 128 Bit breiten Zeigeradressen, son- Citrix den CloudStack-Code zuerst unter der GPL-Lizenz veröf-
dern beschränkt sich auf 64 Bit. In Zukunft soll sich dies aber fentlicht und später unter der Apache-Lizenz neu lizenziert.
ändern. Chip Childers, der Vizepräsident von Apache CloudStack kom-
Aufgrund der inkompatiblen Lizenzen, unter denen der Linux- mentiert die Aufnahme des Frameworks unter die Apache-
Kernel und der ZFS-Code stehen, gilt eine Aufnahme von ZFS Top-Level-Projektes so: „Als CloudStack ein Inkubator-Projekt
in den Kernel-Quellcodebaum als unmöglich. ZFS als separates wurde, war es schon als Cloud-Management-Plattform mit aus-
Paket oder als Quellcode zu verteilen, ist dagegen ein gangbarer gereiftem Code etabliert. Seitdem hat sich unsere Arbeit darauf
Weg. Eine Zeit lang hatte die Firma KQ Infotech ebenfalls an konzentriert, eine starke Community rund um den Code zu
einem ZFS-Port auf Linux gearbeitet. Mittlerweile ist das Projekt entwickeln und die Steuerungsmechanismen zu etablieren, die
aber eingestellt und die Arbeit in ZFS-on-Linux eingeflossen. von einem Top-Level-Projekt bei Apache erwartet werden.“

<ijk\E8J$Jpjk\d\Xl]9ki]j$9Xj`j
Netgear präsentiert eine komplett neu gestaltete Produktfamilie hochwertige, größere Lüfter sorgen für einen fast lautlosen
mit den Modellen ReadyNAS 100, 300 und 500. Sie bauen auf Betrieb. Neben Gigabit-LAN verfügt jedes Modell auch über
neue Hardware und erstmals auf das zukunftsweisende Linux- einen oder mehrere eSata-Anschlüsse, zwei USB-3.0- sowie
Filesystem Btrfs. einen USB-2.0-Port. Ab der ReadyNAS-300-Serie ist zusätzlich
Die neue NAS-Serie von Netgear hat mit ReadyNAS OS 6 ein ein HDMI-Port für den direkten Anschluss an beispielsweise
völlig neues Betriebssystem erhalten. Es bietet eine neue Ober- Smart-TVs vorhanden.
fläche sowie eine Fülle an integrierten und im Genie-Marktplatz Die 300-Serie richtet sich an kleine Büros, Remote Offices
erhältlichen Applikationen. Die komplette Serie nutzt erstmals sowie virtualisierte Umgebungen mit einer Nutzerzahl von
in diesem Segment Btrfs als Filesystem und bietet als Backup- bis zu 25 Clients. Sie wird als 2-Bay-, 4-Bay- und 6-Bay-
funktion unlimitierte Snapshots, wie man sie bisher nur aus Variante bestückt und unbestückt auf den Markt kommen.
dem Enterprise-Segment kennt. In den Geräten der 300er-Serie arbeitet ein Intel Atom Dual
Die Snapshots lassen sich monats-, wochen-, tage- oder stun- Core Prozessor mit 2,1 GHz. Das größte und leistungsstärkste
denweise ausführen und sind rein inkrementell, nehmen also Modell von Netgears neuer NAS-Serie ist das ReadyNAS 516.
wesentlich weniger Platz ein als eine reine Kopie der Daten. Es wird bestückt sowie unbestückt als 6-Bay-Version auf den
Dazu rundet eine ins System integrierte, Cloud-basierte Repli- Markt kommen. Herzstück ist hierbei ein Intel i3 Dual Core
kation die Backup-Funktionalität ab. Prozessor mit 3,3 GHz und 4 GByte RAM. Die ReadyNAS 516
Hardwareseitig sind die Lösungen mit neuen, effizienten Pro- ist auf maximal 250 Anwender ausgerichtet und somit optimal
zessoren und mehr RAM als bisher ausgestattet. Ein Festplat- für kleine bis mittlere Unternehmen geeignet. Die Preise der
ten-Einbausystem ohne Schrauben erleichtert den Austausch kleinen Modelle beginnen bei 220 Euro, die größten Modelle
von 3,5-Zoll- oder auch 2,5-Zoll-SATA- oder SSD-Festplatten; sind für rund 2100 Euro zu haben.

() 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


E\nj CF > @ E
en immer auf http://www.admin-magazin.de ++++ neueste Nachrichten immer auf http://www.

E\l\JgXiZ$J\im\imfeFiXZc\ G:$8YjXkqj`ebkn\`k\i
Oracle hat eine neue Serie von Servern mit Sparc-CPU vorge- Der weltweite Absatz an Personalcomputern ist im ersten Quar-
stellt. Die neuen Mid-Range- und High-End-Modelle T5 und tal 2013 auf den tiefsten Wert seit Sommer 2009 gesunken. Im
M5 laufen unter Solaris und verwenden die neue Sparc-CPU ersten Quartal 2013 wurden weniger als 80 Millionen Einheiten
T5, die Oracle als den „schnellsten Mikroprozessor der Welt“ abgesetzt (79,2 Millionen), das sind 11,2 Prozent weniger als
bezeichnet, der 17 Weltrekorde halte. Das Modell Sparc T5-8 im gleichen Quartal des Vorjahres. Nach den Zahlen des Markt-
wird von Oracle als der schnellste Rechner für die hauseigene forschers Gartner resultiert die Absatzflaute besonders aus den
Datenbank und das schnellste Einzelsystem für Oracle Middle- sinkenden Verkäufen an Heimanwender. Im Sektor professio-
ware gepriesen. nell genutzter PC war dagegen sogar ein leichter Zuwachs zu
Die Geschwindigkeit des Spitzenmodell M5-32 soll die seines verzeichnen.
Vorgängers um das Zehnfache übertreffen. T5- und M5-32- In der Rangfolge der Hersteller führt HP (14,8 Prozent Marktan-
Modelle enthalten außerdem die Overhead-arme Virtualisie- teil) vor Lenovo (14,7) und Dell (11,0). Diese Zahlen enthalten
rungslösung Oracle VM Server for Sparc und ohne zusätzliche Netbooks, aber keine Tablets. Weil gerade private Anwender al-
Supportkosten das Oracle Enterprise Manager Ops Center 12c. te PCs hauptsächlich durch andere Geräte ersetzen, erlebte der
Im Einstiegsbereich komplettieren Systeme mit der Sparc-T4- US-Markt im sechsten Quartal in Folge sinkende Absatzzahlen
CPU die Modellpalette. in diesem Sektor.
Dasselbe Phänomen betrifft auch Zentraleuropa, ja selbst Ost-
europa und Afrika. Hoffnungen setzten die Hersteller auf ul-
traleichte Notebooks mit Touchscreen, die beispielsweise mit
K\Xdm`\n\i/]•iC`elo]\ik`^ Windows 8 ausgestattet sind. Nach den Erkenntnissen von
Wie die Firma Teamviewer mitteilt, ist die neueste Version Gartner sind die Verbraucher aber nach wie vor nicht willens,
8.0.17147 des gleichnamigen Remote-Desktop- und Sharing- zum jetzigen Zeitpunkt mehr Geld für Touchscreen-Geräte zu
Tools für Linux verfügbar. Neu ist unter anderem die Übergabe bezahlen.
eines Remote-Desktops von einem Anwender zum anderen. So
können beispielsweise mehrere Mitarbeiter Support-Sitzungen
per Remote-Desktop voneinander übernehmen. Sitzungen las-
sen sich in Bild und Ton zur Dokumentation aufzeichnen. Die
Tonaufzeichnung funktioniert derzeit allerdings nur mit der JNeEU tzUt
Ka VM -uSfe
Windows-Version. n r
V tualisie rv
e er-
n
uunirnd rung
Neu in Teamviewer ist außerdem die Basic-Authentifizierung teTre rm
Lin uxin
s2ic he4.1 :
2.0 rn3!
für Proxies, über die die Verbindung laufen kann. Webcams
werden für einen Videochat parallel zu den Desktop-Sessions
unterstützt. Statt bisher vier verschiedener RPM-Pakete gibt Linux Schulungen 2013 – Nicht verpassen!
es jetzt nur noch eins für alle RPM-Distributionen (Red Hat, • Linux-Crashkurs für Administratoren: 13.05., 01.07., 14.10.
CentOS, Fedora, Suse). TeamViewer ist jetzt auch auf Multiarch-
• Erweiterungen programmieren für Check_MK: 03.06, 07.10.
Systemen (Debian 7, 64 Bit) lauffähig.
• Fortgeschrittenes Monitoring mit Nagios und Check_MK: 10.06., 09.09.

• Linux als Server im Inter- und Intranet: 24.06.


LYlekl$Jlggfik]•i;\cc$J\im\i
• Systemmonitoring mit Nagios & Check_MK: 08.07.
Die Firmen Canonical und Dell haben eine Vereinbarung zum
Support von Ubuntu Linux auf Dell-Serversystemen geschlos- • Softwarepaketierung unter Linux mit RPM: 17.07.
sen. Als Ergebnis werden die Dell-Poweredge-Server 11G und • Storage-LVM, MD, Multipathing, iSCSI: 26.08.
12G auf die Liste der für Ubuntu Server 12.04 LTS zertifizierten
Hardware aufgenommen, während Dell umgekehrt Ubuntu auf • Linux-Administration für Fortgeschrittene: 02.09.
die Liste unterstützter Betriebssysteme setzt. • Neueste Entwicklungen in Check_MK, 23.09.
Im Vorfeld der Vereinbarung haben Entwickler die Ubuntu-
Unterstützung spezifischer Poweredge-Komponenten verbes- Gerne machen wir auch Inhouse-Schulungen direkt bei Ihnen vor Ort.
sert, etwa für PCIe-SSD-Speicher, 4K-Block-Festplatten, Booten Fragen Sie uns nach einem Angebot zu Ihrem Wunschthema.
per EFI, Web Services Management, Vergabe der Namen für
Netzwerk-Interfaces und PERC (Poweredge RAID Controller).
Das Management der Poweredge-Server kann optional über
das Betriebssystem und Dell Openmanage erfolgen, für das
es Ubuntu-Pakete gibt. Empfohlen wird aber das Out-of-Band-
Management über die Server-Hardware per IPMI, DRAC und
den Lifecycle-Controller.
Tel.: 089-1890435-0

info@mathias-kettner.de
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' (* (*
www.mathias-kettner.de
dedizierter
1Gbit/s
Port
CF > @ E 8[d`e$Jkfip

IPA R)T hat es sich zum Ziel gesetzt, eine


einfach zu konfigurierende, aber dennoch
sichere Identity-Management-Lösung für
Linux- und Unix-Umgebungen zu entwi-
ckeln. Doch wie gelingt der Umstieg von
einem bereits vorhandenen LDAP-Server
auf die Identity-Management-Lösung
FreeIPA?
Bei der Migration sind einige Punkte be-
sonders zu beachten:
■ Wie migriert man bestehende Benut-
D`^iXk`femfeC;8Gql=i\\@G8 zer- und Gruppenobjekte?
■ Wie werden die Benutzerpasswörter
ŸMfc_XBXmXc\ebXmX#()*I=

NXZ__le[
migriert?
■ Welche Clients sollen auf das neue
Identity-Management-System zugrei-
fen?
Für die Migration der Benutzer und Grup-
;`\Ldjk\ccle^\`e\iq\ekiXc\e9\elkq\i$8lk_\ek`]`q`\ile^mfe\`e\d pen stellt FreeIPA ein eigenes Kommando
zur Verfügung:
i\`e\eC;8G$J\im\iXl][`\@[\ek`kp$DXeX^Xd\ek$Cjle^=i\\@G8`jk\`e$
]XZ_\i#XcjjfdXeZ_\i8[d`e[\ebk%9\XZ_k\kdXe\`e`^\n\e`^\Glebk\# ipa migrate-ds ldap://ldap.tuxgeek.de:389

jfbcXggk[\iLdjk`\^`eb•iq\jk\iQ\`kd`kn\e`^8l]nXe[%K_fijk\eJZ_\i] Dieser Aufruf migriert sämtliche Benutzer


und Gruppen aus den beiden Containern
In vielen Umgebungen existiert ein onskanal. Dieser könnte beispielsweise »ou=People« und »ou=Group« in das
LDAP-Server zur Verwaltung der Benut- auf Applikationsebene mittels SSL/TLS lokale FreeIPA-System. Sind die Benut-
zer- und Gruppenkonten. Oft kommt realisiert werden. zer und Gruppen in anderen Containern
dieser Server dann auch zum Einsatz, Neben der Simple-Bind-Methode un- untergebracht, so lassen sich diese über
wenn es um die Authentifizierung der terstützt LDAPv3 auch eine Authenti- die beiden Optionen »--user-container«
Benutzer geht. Dies setzt jedoch voraus, fizierung auf Basis von SASL (Simple und »--group-container« mit übergeben.
dass die Benutzerobjekte im LDAP über Authentication and Security Layer, RFC Sollen nur Objekte mit einer bestimm-
ein Passwort-Attribut verfügen. Dieses 4422). Darunter fallen eine ganze Reihe ten Objektklasse auf das neue System
Attribut erfordert natürlich besonderen von Methoden zur Verifizierung eines übertragen werden, so existieren hierfür
Schutz. So sollte es nur vom Benutzer Benutzers, zum Beispiel mit Hilfe eines die Optionen »--user-objectclass« und
selbst und von einem LDAP-Administ ra- Kerberos-Tickets oder eines X.509-Client- »--group-objectclass«. Dies ist besonders
tor veränderbar sein. Über entsprechende Zertifikates. Das Setup und die Konfigu- dann sinnvoll, wenn in den Containern
Access-Control-Listen lässt sich sowas re- ration einer solchen Umgebung gestaltet Gruppen oder Benutzer existieren, die
lativ einfach sicherstellen. sich jedoch nicht immer leicht. Dies liegt man nicht auf dem neuen System haben
unter anderem auch daran, dass es ein möchte und diese anhand einer bestimm-
GifYc\db`e[GXjjnfik korrektes Mapping zwischen dem Benut- ten Objektklasse identifizieren kann. Hier
zerobjekt im LDAP, repräsentiert durch ein etwas komplexeres Beispiel:
Trotzdem ist eine Benutzer-Authentifizie- einen Distinguished Name (dn) und dem
ipa migrate-ds --user-container=emea-5
rung auf Basis des Passwort-Attributes passenden Kerberos-Principal oder X.509- users --group-container=emea-groups --user-5
nicht ganz unkritisch. Sie findet im ein- Client-Zertifikat geben muss. objectclass=employee --group-objectclass=5
fachsten Fall mittels eines sogenannten Alternativ dazu besteht die Möglichkeit, groupOfNames,groupOfUniqueNames ldap://ldap.5

Simple Bind statt. Hierbei wandert das die Authentifizierung direkt über einen tuxgeek.de:389

Passwort des Benutzers im Klartext zum Kerberos-Server durchzuführen und den Wer einzelne Benutzer oder Gruppen
LDAP-Server, der dann den Benutzer LDAP-Server lediglich für die Account- ausschließen möchte, kann dies auch
mit dem übermittelten Passwort zu au- Informationen des Benutzers abzufragen. auf Basis der Benutzer- und Gruppenna-
thentifizieren versucht. Klappt dies, so Allerdings ist auch ein solches Setup men tun. Hierfür existieren die Optionen
ist der Benutzer auf dem Client-System recht komplex und unhandlich; jeder, »--exclude-users« und »--exclude-groups«.
angemeldet, ansonsten gibt es eine Feh- der bereits einmal die Schmerzen beim Eine weitere interessante Option lautet
lermeldung. Eine sichere Konfiguration Einsatz der Kerberos-Client-Tools gespürt »--user-ignore-objectclass« beziehungs-
erfordert also in jedem Fall auch eine hat, weiß, wovon ich rede. weise »--user-ignore-attribute«, womit
Übertragung des Benutzerpasswortes Das bereits in der Admin-Story 03/2012 einzelne Attribute respektive Objektklas-
über einen gesicherten Kommunikati- R(T erwähnte Open-Source-Projekt Free- sen von der Migration ausgeschlossen

(- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8[d`e$Jkfip CF > @ E

werden. Dies ist besonders dann sinnvoll, thentifizierung Kerberos verwendet. Cache enthält dabei nicht nur Benutzer-,
wenn diese Informationen auf dem Free- Diese schlägt natürlich fehl, da das sondern auch Sudo- und Automounter-
IPA-System nicht mehr benötigt werden. migrierte Benutzerkonto zu diesem Informationen.
Für Gruppen existieren entsprechende Zeitpunkt noch über keinen Kerberos- Mit Hilfe des SSSD ist es ebenfalls mög-
Parameter. Eine Übersicht der Optionen Hash verfügt. Der SSSD-Client führt lich, Host-based-Access-Control-Regeln
liefert »ipa help migrate-ds«. dann selbstständig eine LDAP-Simple- und andere sicherheitsrelevante Einstel-
Als etwas komplexer stellt sich die Migra- Bind-Anmeldung am FreeIPA-System lungen auf einem Client umzusetzen.
tion der Benutzerpasswörter auf das Free- mit dem vom Benutzer zuvor einge- Dazu zählt beispielsweise die Auswer-
IPA-System dar. Auf dem LDAP-Server gebenen Passwort durch. Dies erfolgt tung von SELinux-User-Mappings oder
existieren diese üblicherweise als Hash über einen sicheren TLS-Kanal. Die SSH-Host- und User-Keys. Der Client
im »userPassword«-Attribut, manchmal Konfiguration hierfür erfolgt bei der stellt hierfür im Frontend eine PAM-
liegen die Passwörter auch im Klartext- Konfiguration des SSSD-Clients. Das Schnittstelle (»pam_sss«) und eine NSS-
format vor. FreeIPA verwendet jedoch FreeIPA-System fängt das übermittelte Schnittstelle (»nss_sss«) zur Verfügung
Kerberos zur Authentifizierung der Be- Passwort ab, stellt fest, dass der Be- (siehe 8YY`c[le^(). Im Backend kann er
nutzer. Um einen korrespondierenden nutzer zwar über ein Kerberos-Princi- mit unterschiedlichen Providern kommu-
Kerberos-Hash zu den migrierten Benut- pal, nicht jedoch über einen Kerberos- nizieren, in diesem Fall mit dem FreeIPA-
zerkonten zu erzeugen, gibt es wieder Passwort-Hash verfügt, und erzeugt System. Die Konfiguration des Clients
mehrere Möglichkeiten: diesen. Die Verbindung wird getrennt erfolgt mit »ipa-client-install«.
■ Die Benutzer werden gezwungen, ihre und SSSD führt selbstständig und für Sollen auch ältere Linux-Systeme, für
Passwörter nach der Migration zu än- den Benutzer komplett transparent die der SSSD nicht verfügbar ist, oder
dern. Hierbei wird dann auf Basis des eine Kerberos-basierte Anmeldung andere Unix-Maschinen an das Identity-
geänderten Passwortes ein passender durch (8YY`c[le^(). Management-System angeschlossen
Kerberos-Hash angelegt. Die zuletzt aufgeführte Variante ist die werden, besteht die Möglichkeit, die An-
■ Die Benutzer werden aufgefordert, eleganteste Lösung für die Migration der bindung über die reguläre LDAP- und
eine Migrationswebseite auf dem Free- Benutzerpasswörter auf das Identity-Ma- Kerberos-Schnittstelle zu realisieren. Da-
IPA-System aufzurufen und dort ihr nagement-System. Einzige Voraussetzung bei kommen die klassischen PAM- und
Passwort einzugeben. Im Anschluss dafür ist, dass auf dem Client-System der NSS-Bibliotheken »pam_krb5« und »nss_
wird hieraus dann ebenfalls ein Kerbe- System Security Services Daemon (SSSD) ldap« ins Spiel. In diesem Fall stehen
ros-Hash generiert und im Directory- zum Einsatz kommt. die erweiterten Features des SSSD, wie
Server gespeichert. das Caching der Account-Informationen,
■ Clients, auf denen der System Security :c`\ek$Jf]knXi\ nicht zur Verfügung.
Services Daemon (SSSD) als Client- Ich hoffe, der Artikel hat gezeigt, dass die
Komponente läuft, können auf den Der SSSD R(T stellt die bevorzugte Migration von einer rein LDAP-basierten
FreeIPA-Migrationmodus zurückgrei- Möglichkeit dar, Linux-Systeme an das Benutzer-Authentifizierung hin zu einem
fen, um einen Passwort-Hash für ihren Identity-Management-System anzubin- modernen und leicht zu verwaltenden
Kerberos-Principal zu erzeugen. Der den. Dies gilt nicht nur wegen der sehr Identity-Management-System kein He-
Migrationmode ist auf dem FreeIPA- einfachen Migration der Passwörter. Der xenwerk ist. Wer nähere Information zu
Server wie folgt aktivierbar: SSSD bietet daneben eine Vielzahl von dem besprochenen System sucht, der fin-
Vorteilen. So hält er beispielseise die vom det diese unter R(T. (ofr) ■
ipa config-mod --enable-migration=TRUE
FreeIPA-System erhaltenen Informationen
Auf dem Client-System meldet sich in einem lokalen Cache vor. Eine Anmel-
der Benutzer dann regulär über das dung am System ist damit also auch dann @e]fj
FreeIPA-System an, das für die Au- möglich, wenn der Client offline ist. Der R(T K_fijk\eJZ_\i]#;\iJpjk\dJ\Zli`kp
J\im`Z\j;X\dfe#8;D@E'*&)'()#R_kkg1&&
G8DVJJJ nnn%X[d`e$dX^Xq`e%[\&;
 Xj$?\]k&)'()&'*&
EJJVJJJ
KCJ$BXeXc ;\i$Jpjk\d$J\Zli`kp$J\im`Z\j$;X\dfeT
@G8$9XZb\e[
d`kC;8Gle[
R)T =i\\@G81R_kkg1&&nnn%]i\\`gX%fi^&gX^\&
B\iY\ifj DX`eVGX^\T
8en\e[le^il]k JJJ;$:c`\ek
G8DVJJJle[ d`k@G8$9XZb\e[
EJJVJJJXl] `gXd`^iXk\$[j ;\i8lkfi
K_fijk\eJZ_\i]XiY\`k\kXcjGi`eZ`gXc:fejlckXek
]•i I\[ ?Xk% <i `jk f]k Xcj
C\^XZp
C;8G$J\im\i MfikiX^\e[\i Xl] Bfe]\i\e$
q\e Xeqlki\]]\e% N\ee `_d
e\Y\e[\i8iY\`kle[=Xd`c`\
8YY`c[le^(1<`e\8en\e[le^m\in\e[\kqli8lk_\ek`]`q`\ile^[\eJJJ;#[\id`k[\e9XZb\e[j•Y\i\`e\ efZ_Q\`kYc\`Yk#e`ddk\iXe
j`Z_\i\M\iY`e[le^bfddle`q`\ik% DXiXk_fec€l]\ek\`c%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * (.


E < KQ N < I B @Z\nXig

Datei immer komplett im Postfach des


entsprechenden Anwenders und vergrö-
ßert die ohnehin fragilen Datenbanken.
Auch öffentliche Ordner lassen sich mit
Icewarp nutzen. Der Zugriff kann dabei
über Outlook, einen anderen Client oder
den eingebauten Webclient erfolgen.
Ein echter Vorteil von Icewarp liegt in der
Datenspeicherung. Während Exchange
immer noch das veraltete Jet-System zur
Datenspeicherung nutzt, verwendet der
Icewarp-Server echte Datenbanksysteme
zur Speicherung. Anbinden lassen sich
über diesen Weg Microsoft SQL Server,
MySQL oder Oracle. Der Server kann
mit Clients auch über das lizenzierte
Exchange-Activesync-Protokoll kommu-
Ÿ8c`eXJ_`cq_pXm`Z_plk\#()*I=

J`Z_\i\<$DX`cjd`k@Z\nXigDX`cj\im\i('
nizieren. Das heißt, Anwender müssen

<`jq\`k
sich generell nicht umstellen und können
weiterhin mit Outlook und ihrem aktuel-
len Smartphone arbeiten. Auch andere
Clients lassen sich problemlos anbinden.
Dazu unterstützt Icewarp Mailserver eine
Vielzahl an Protokollen und Diensten.
N\iD`Zifjf]k$J\im\i\`ej\kqk#m\in\e[\k]•i<$DX`cd\`jk\ej<oZ_Xe^\%
;fZ_[Xjdljje`Z_kj\`e#[\ee\j^`YkXlZ_8ck\ieXk`m\en`\[\e@Z\$ 8Zk`m\;`i\Zkfipf[\iC;8G
nXig$DX`cj\im\i%K_fdXjAffj
Die Benutzerdaten verwaltet der Icewarp-
Der Icewarp-Server R(T des gleichnami- lassen sich alle bekannten E-Mail-Clients Server in Active Directory, er unterstützt
gen Unternehmens bietet neben einer anbinden. Die E-Mail-Dienste lassen sich aber auch OpenLDAP. Generell erfolgt die
E-Mail-Funktion auch Instant-Messaging, auch mit TLS und SSL verschlüsseln. Verwaltung der Benutzer in Icewarp, der
Groupware-Funktionen, VoIP-Server so- Der Server legt ein Archiv für ein- und Server kann Daten aber aus dem Active
wie eine Webschnittstelle für Adminis- ausgehende E-Mails an, auf das Anwen- Directory einlesen, wenn der Administra-
tratoren und Anwender. Ebenfalls an der selbst zugreifen dürfen. Der Server tor Benutzer anlegt. Flexibler ist hierbei
Bord ist ein Spam- und Virenschutz. An schützt natürlich archivierte E-Mails vor Icewarp, aber einfacher ist die Verwal-
die Anwendung lassen sich Outlook so- unbeabsichtigter Löschung. Die Konfigu- tung mit Exchange: Dort haben Adminis-
wie verschiedene Smartphone-Systeme ration erfolgt in der Verwaltungsoberflä- tratoren nur eine Oberfläche zur Verwal-
anbinden. Der Hersteller wirbt mit über che (8YY`c[le^(), der Zugriff durch die tung der Benutzer und E-Mail-Postfächer,
50 000 installierten Servern, die mehr Clients. Icewarp Mailserver kann auch sowie als einzigen Verzeichnisdienst
als 50 Millionen Anwender mit E-Mail intelligenter mit E-Mail-Anhängen umge- das Active Directory. Benutzerkonten
versorgen. Der Server bietet die meisten hen als viele andere E-Mail-Systeme. aus dem Active Directory sind auf dem
Funktionen, die auch Exchange-Server Mailserver sofort verfügbar und können
kennen. So steht der Icewarp Mailserver 8kkXZ_d\ekjcfbXc E-Mails senden und empfangen sowie am
in direkter Konkurrenz zu Exchange oder
^\jg\`Z_\ik Instant Messaging teilnehmen.
Lotus Notes. Wie Exchange beherrscht Icewarp auch
Icewarp Server ist modular aufgebaut. Verschicken Anwender intern eine E-Mail die Verwendung von Regeln. Diese lassen
Administratoren können einzelne Funk- mit einem Anhang, speichert der Server sich serverseitig festlegen und auch an
tionen getrennt aktivieren und konfigu- die Datei lokal und versendet nur einen Benutzer, E-Mail-Domänen oder ganze
rieren, und auch das Lizenzmodell ist Link. Das heißt, wenn Anwender eine Gruppen binden. Natürlich können
modular. Unternehmen können also nicht E-Mail an mehrere Anwender versenden, Anwender auch selbst Regeln für ihre
benötigte Funktionen ausklammern und ist nur eine Kopie der entsprechenden Da- E-Mails anlegen. Administratoren kön-
Lizenzgebühren sparen. tei notwendig. Ein Zugriff auf die Dateien nen Benutzerregeln überprüfen und bei
Der Icewarp Mailserver bietet vor allem ist auch über Netzwerkfreigaben oder Bedarf auch deaktivieren. Auch Richt-
die Unterstützung für SMTP und POP/ per FTP möglich. Mit dieser Methode linien lassen sich hinterlegen, die al-
IMAP. Das heißt, der Server kann über sparen Unternehmen Speicherplatz, vor lerdings nicht so umfangreich sind wie
herkömmliche Wege E-Mails versenden allem bei vielen und großen Dateianhän- die Activesync- oder Geräterichtlinien
und bereitstellen. Mit diesen Protokollen gen. Bei Exchange zum Beispiel liegt die in Exchange (8YY`c[le^ )). Es lassen

(/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


@Z\nXig E < KQ N < I B

8YY`c[le^)1@Z\nXiglek\ijk•kqkXlZ_I`Z_kc`e`\e#€_ec`Z_n`\<oZ_Xe^\#XY\i
e`Z_kjfld]Xe^i\`Z_%

8YY`c[le^(1;\i@Z\nXig$J\im\ic€jjkj`Z_XlZ_•Y\i\`e\N\YjZ_e`kkjk\cc\
m\inXck\e%

sich zum Beispiel keine so umfassenden lokal installierte Clients oder die Web- Eine weitere Funktion des Icewarp Mail-
Einstellungen vornehmen und Hardware schnittstelle verwenden. Den Chat-Ver- Servers ist die Anbindung an SMS. An-
oder Funktionen auf Smartphones sper- lauf speichert der Server, sodass dieser wender können über ihren E-Mail-Client
ren. Allerdings können Administratoren auf allen Clients verfügbar ist. Der IM- auf SMS von Mobiltelefonen antworten
vorgeben, wie sicher die Kennwörter der Server kann auch auf andere Systeme und diese über diesen Weg auch emp-
Anwender sein sollen. Auch die erwei- im Internet zugreifen. Hier unterstützt fangen. Um diese Funktion zu nutzen,
terte Konfiguration für das Versenden Icewarp zum Beispiel ICQ, Google Talk, müssen Unternehmen zusätzlich noch
von E-Mails oder das Relaying sind in Yahoo oder den Facebook-Chat. Welche ein GSM-Modem einsetzen.
Exchange umfangreicher und vor allem Netzwerke sich anbinden lassen, können VoIP-Anrufe können Anwender auch pro-
stabiler. Administratoren in der Verwaltung des blemlos in der Webschnittstelle tätigen.
Da Icewarp viele Funktionen und Stan- Servers festlegen. Die IM-Funktion baut Dazu nutzt der Client Java. Das heißt,
dards unterstützt, sind auch viele Sys- auf XMPP (Jabber) auf. Unternehmen, Anwender müssen Java auf dem Client
temdienste im Einsatz, die sich getrennt die Exchange statt Icewarp verwenden, installiert haben und eine Kommunika-
überwachen und auch deaktivieren las- brauchen im Gegensatz dazu zusätzlich tion mit dem Server erlauben. Für Voice
sen. Die Anzeige erfolgt in der Verwal- den Lync-Server. over IP lassen sich auch kostenlose SIP-
tungskonsole oder der Webschnittstelle.
Administratoren können einzelne Dienste
deaktivieren, Einstellungen ändern und
auch die Protokollierung anpassen. Auf
diesem Weg lässt sich auch die Sicher-
heit erhöhen, indem man nicht genutzte
Systemdienste deaktiviert. Im Test blieb
bei regem Betrieb gelegentlich der SMTP-
Dienst hängen und funktionierte erst
nach einem Neustart wieder. Manche Ad-
ministratoren starten deshalb den Dienst
in regelmäßigen Abständen neu.

@ejkXekD\jjX^`e^#JDJle[
Mf@G
Über die Mail-Funktionen hinaus bietet
Icewarp auch Instant Messaging und
Voice over IP (VoIP). Für die Chat-Funk-
tion können die Anwender entweder 8YY`c[le^*1@Z\nXig\icXlYk[`\M\inXckle^[\iJpjk\d[`\ejk\`e[\iBfejfc\%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * (0


E < KQ N < I B @Z\nXig

Clients und kommerzielle Anwen- sisch, Deutsch, Japanisch und


dungen wie Bria von Counterpath Chinesisch. Die Webschnittstelle
R)T verwenden. unterstützt durchgehend die rechte
Maustaste und lässt sich weitge-
D`^i`\i\emfe<oZ_Xe^\ hend intuitiv bedienen.
le[:f% Da in vielen Unternehmen Outlook
zum Einsatz kommt, bietet der Her-
Neben der einfachen Migration steller auch ein Tool an, mit dem
von POP-fähigen E-Mail-Servern sich der Server an Outlook anbin-
liefert der Hersteller auch Werk- den lässt. Outlook Sync arbeitet
zeuge aus, mit denen Administra- mit aktuellen Outlook-Versionen
toren von Exchange oder Kerio zu zusammen und erlaubt auch eine
Icewarp Mailserver migrieren kön- Installation auf Remotedesktop-
nen. Die Verwaltung von Icewarp Servern (Terminalserver). Mit dem
Mailserver erfolgt entweder über Plugin verwalten Anwender neben
eine Windows-Verwaltungskonsole ihren E-Mails auch ihre Termine,
oder mit einer webbasierten Ver- 8YY`c[le^+1;`\XlkfdXk`jZ_\Bfe]`^liXk`femfeDX`cZc`\ekj`jk`e Kontakte, Aufgaben, Notizen und
waltungsoberfläche, ähnlich zur [\iM\inXckle^jbfejfc\jk\l\iYXi% Journale direkt in Outlook. Die Da-
Outlook Web App in Exchange Ser- ten sind aber auf dem Server ge-
ver 2010. Zur Verwaltung stehen auch arbeiten. Da der Server auch CalDAV, speichert und auch für andere Clients zu-
Befehlszeilentools zur Verfügung. Leider WebDAV und GroupDAV unterstützt, gänglich, zum Beispiel wenn Anwender
beherrscht der Icewarp Mailserver keine stehen hier Unternehmen alle Wege of- mobil mit der Webschnittstelle arbeiten
Powershell-Kommandos. fen. Icewarp hat Exchange Activesync wollen. Die Synchronisierung zwischen
Wie Exchange beherrscht Icewarp auch bei Microsoft lizenziert. Das heißt, alle Outlook und dem Server erfolgt automa-
Auto Discovery zur Konfiguration der aktuellen Smartphone-Typen bis hin tisch im Hintergrund. Auch Einstellungen
Mailclients. Anwender müssen nur ihre zu Windows Phone 8 lassen sich mit für das eigene Postfach, Abwesenheits-
E-Mail-Adresse und das Kennwort im dem Microsoft-Protokoll schnell und nachrichten, Regeln und das Sortieren
Client angeben. Die Anbindung an den einfach anbinden. Hier gibt es keine von E-Mails nehmen Anwender in Out-
Server durch die entsprechende Anwen- Unterschiede zur Anbindung an einen look über Outlook Sync vor.
dung erfolgt automatisch. Das heißt, die Exchange-Server. Neben der Exchange-
Anwender müssen nicht die IP-Adresse Activesync-Technologie beherrscht der BXc\e[\i#BfekXbk\#
oder den Server-Namen eingeben, um Server auch die Open-Source-Alternative
8l]^XY\ele[AflieXc\
sich mit dem Server zu verbinden. Die SyncML. Wie bei Exchange lassen sich
Auto-Discovery-Funktion lässt sich auch die mobilen Geräte über den Server auch Neben den Kommunikationsmöglichkei-
auf Smartphones ausdehnen. Die Kon- aussperren und remote löschen. ten E-Mail, IM, SMS und VoIP lassen
figuration dieser Funktion findet in der Bestandteil des Servers ist ein eigener sich mit dem Server auch Termine ver-
Verwaltungskonsole statt. Desktop-Client, der ähnlich wie Thun- walten, Ereignisse planen und Ressour-
Neben Outlook können Anwender auch derbird funktioniert (8YY`c[le^,). Alle cen reservieren, ebenfalls ähnlich wie
mit anderen Clients wie iCal, Thunder- Schnittstellen sind in über 20 Sprachen in Exchange. Auch Aufgaben und Noti-
bird, Sunbird oder Novell Evolution übersetzt, darunter Englisch, Franzö- zen können Anwender mit dem Icewarp
Mailserver nutzen. Zusätzlich zu Outlook
versteht sich der Server auch mit anderen
Clients, die zum Beispiel FreeBusy oder
iMIP beherrschen. Anwender können
Daten ihres Postfachs für andere Benut-
zer freigeben und Rechte verteilen. Dazu
kommt eine globale Adressliste, wie sie
auch in Exchange im Einsatz ist.

JgXd$le[M`i\ejZ_lkq
Zum Lieferumfang des Icewarp-Servers
gehört auch ein Antispam-Modul, sowie
ein Virenschutz auf Basis von Kaspersky.
Zwar bietet auch Exchange einen inte-
grierten Spamschutz, dieser findet in
8YY`c[le^,1;\i@Z\nXig$J\im\iY`\k\k\`e\\`^\e\N\YjZ_e`kkjk\cc\#€_ec`Z_n`\FlkcffbN\Y8gg% Unternehmen aber wenig Anklang und

)' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


@Z\nXig E < KQ N < I B

E-Mail-Server aus dem Inter- den Zugriff auf E-Mails und Co. Auch
net häufig vergeblich versu- die zahlreichen Protokolle und Funk-
chen, eine Verbindung aufzu- tionen sowie der modulare Aufbau sind
bauen. Das Gleiche gilt für Be- nützlich. Der integrierte IM-Server sowie
nutzeranfragen. Icewarp kann die weiteren Funktionen wie Spam- und
dann die IP-Adressen solcher Virenschutz sind teilweise besser als in
mutmaßlichen Angreifer sper- Exchange, aber nicht kostenlos zu haben.
ren. Die Einstellungen dazu Für eine Migration liefert Icewarp eigene
sind bereits gesetzt, aber Ad- Tools mit.
ministratoren können jeder- Für kleinere Umgebungen ist der Server
zeit Anpassungen vornehmen. durchaus eine Alternative. Im Enterprise-
Nach der Einrichtung ist der Umfeld kann die Anbindung von Zusatz-
Schutz noch nicht aktiviert. tools an Outlook oder die Verwendung
Das heißt, Administratoren mehrerer Server etwas Probleme berei-
müssen zunächst Hand anle- ten, zum Beispiel wenn der SMTP-Dienst
8YY`c[le^-1@Z\nXig$J\im\iY`\k\k\`e\eM`i\ejZ_lkqmfe gen, um den Server optimal überlastet ist. Wegen der vergleichsweise
BXjg\ijbpXe% zu schützen. geringen Verbreitung ist Hilfe bei Pro-
blemen im Internet nur schwer zu finden
ist selten alleine im Einsatz. Im Gegen- @Z\nXigk\jk\ele[bXl]\e und Administratoren sind bei Problemen
satz zu Exchange ist bei Icewarp auch auf den Support angewiesen. Wenn die-
ein Virenschutz auf Basis der Kaspersky- Der Hersteller bietet auf Anfrage Test- ser erst nach 48 Stunden reagiert, besteht
Engine dabei (8YY`c[le^ -). Microsoft versionen und -Installationen an. Wer die Gefahr, dass Anwender zwei Tage
bietet erst mit Exchange Server 2013 ei- keinen kompletten Server installieren nicht mit dem Mail-System arbeiten kön-
nen integrierten Virenschutz an. will, kann Icewarp auch in der Cloud nen. Das heißt, vor dem Einsatz sollten
Allerdings ist der Virenschutz nicht kos- testen. Beim gehosteten Modell müssen Unternehmen zunächst genau testen und
tenlos, sondern muss lizenziert werden. sich Administratoren nicht um den Server nur genau die Funktionen nutzen, die
Unternehmen, die bereits eigene Antivi- kümmern, können aber über die Web- auch notwendig sind.
ren-Gateways einsetzen, können so zum schnittstelle den Server verwalten. Der In jedem Fall ist es eine Überlegung wert,
Beispiel den Server kaufen, aber auf den Preis des Icewarp-Servers liegt beim Ein- bei der Anschaffung eines neuen E-Mail-
Virenschutz verzichten. So kostet zum satz von 100 Benutzern mit aktiviertem Servers den Icewarp Mailserver in die Al-
Beispiel eine Lizenz für 100 Benutzer Viren- und Spamschutz bei etwa 3000 ternativen mit einzubeziehen. Allerdings
ohne Virenschutz etwa 2400 Euro, mit Euro. Unternehmen, die nur 15 Benut- ist es aus Sicht des Autors kaum emp-
Spam- und Virenschutz aber 3100 Euro. zer anbinden und auf den integrierten fehlenswert, eine bestehende Exchange-
Die Verwaltung dieser Funktionen erfolgt Spam- und Virenschutz verzichten, müs- oder Lotus-Infrastruktur zu migrieren,
direkt in der Verwaltungskonsole, es sind sen etwa 500 Euro ausgeben. wenn die Umgebung funktioniert. Einige
keine eigenen Werkzeuge notwendig. Unternehmen, die sich für die Cloud- Unternehmen nutzen Icewarp Mailserver
Das Antispam-Modul arbeitet mit ver- Variante entscheiden, müssen bei der Li- nicht als Haupt-E-Mail-Server, sondern
schiedenen Technologien, zum Beispiel zenzierung von 100 Anwendern mit Kos- als Gateway zwischen Exchange und
der Open-Source-Software Spamassassin. ten von insgesamt 400 Euro pro Monat dem Internet. So profitieren sie von den
Klassifiziert der Server eine E-Mail als rechnen. Der Support bietet eine garan- Sicherheitsfunktionen und nutzen weiter-
Spam, legt er sie in den Spam-Ordner des tierte Reaktionszeit von 48 Stunden. Auf hin ihr bestehendes E-Mail-System. (ofr)
Benutzerpostfachs ab. Dieses ist über alle Wunsch lassen sich gegen Aufpreis auch ■
Clients zugreifbar. Seine Definitionsda- schnellere Reaktionszeiten vereinbaren.
teien aktualisiert der Server automatisch Der Hersteller stellt auch ein eigenes Fo-
im Hintergrund. rum zur Verfügung. Wer Informationen @e]fj
Integriert ist auch eine Intrusion-Pre- zum Icewarp-Server sucht, wird im Inter- R(T @Z\nXig1
vention-Lösung. Sie erkennt, wenn net aber nicht allzu oft fündig. R_kkg1&&nnn%`Z\nXig%ZfdT
R)T 9i`X1
=Xq`k R_kkg1&&nnn%Zflek\igXk_%Zfd&Yi`X%_kdcT
8YY`c[le^.1
@Z\nXig$J\im\i Der Icewarp Mailserver ist auf jeden Fall ;\i8lkfi
Y`\k\k\`e\e ein ernst zu nehmender Konkurrent für K_fdXjAffj`jk]i\`Y\il]c`Z_\i@K$:fejlckXekle[
`ek\^i`\ik\e Exchange und andere E-Mail-Systeme. j\`k•Y\i)'AX_i\e`e[\i@Kk€k`^%E\Y\ej\`e\e
JgXdjZ_lkq# Was gefällt, ist die Datenspeicherung in Gifa\bk\e jZ_i\`Yk \i giXo`jeX_\ =XZ_Y•Z_\i
[\i[\dJZ_lkq echte Datenbank-Server, der platzspa- le[ =XZ_Xik`b\c ile[ ld N`e[fnj le[ Xe[\i\
mfe<oZ_Xe^\ rende Umgang mit Dateianhängen und D`Zifjf]k$K_\d\e% Fec`e\ ki`]]k dXe `_e lek\i
•Y\ic\^\e`jk% die Unterstützung gängiger Formate für R_kkg1&&k_fdXjaffj%jgXZ\j%c`m\%ZfdT%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * )(


E < KQ N < I B Gfjk^i\p
Ÿ8e[i\p9Xp[X#()*I=

JgXd[liZ_>i\p$le[N_`k\c`jk`e^d`kGfjk^i\pY\b€dg]\e

Gfjkqljk\cc\i möglich abzusetzen, auch um den Preis,


>\^\eJgXdÆ\`e\[\i_Xike€Zb`^jk\eGcX^\e[\j@ek\ie\kjÆ\ekn`Zb\ce
bei Problemen keinen zweiten Versuch
?\ijk\cc\i`dd\ie\l\>\^\ed`kk\c%;`\j\i9\`kiX^q\`^k#n`\j`Z_Gfjk$ unternehmen zu können. Das kann ein
^i\p`eGfjk]`o`ek\^i`\i\ec€jjk#nfiXlj\`e\n`ible^jmfcc\Cjle^]•i kundiger Admin zu seinem Vorteil im
>i\p$le[N_`k\c`jk`e^\ekjk\_k%:_i`j9`ee`\ Anti-Spam-Kampf ausnutzen.

Spammer fluten Mailserver in jeder Die angesprochene Wunderwaffe ist das Bcl^\NX_c
Sekunde mit Unmengen unerwünschter Greylisting. Aber wie funktioniert es? Der
Post. Ham, der erwünschte Anteil, macht empfangende SMTP-Server beantwortet Es gibt eine ganze Reihe von Greylisting-
dagegen nach konservativen Schätzun- einfach alle Mails von erstmals auftau- Implementierungen und normalerweise
gen nur noch fünf bis zehn Prozent des chenden Absendern mit einem temporä- sind sie einfach anzuwenden. Jon Atkins
Mailaufkommens im Internet aus. Für die ren SMTP-Fehlercode. Die Fehlermeldung stellt zum Beispiel eine clevere Qmail-
Spammer rechnet sich ihr Geschäft, das könnte so etwas bedeuten wie: „Tut mit Version bereit R(T. Dieser Beitrag konzent-
sie noch immer mit den Empfängern ma- wirklich leid, aber im Moment ist kein riert sich aber auf Postgrey R)T, dass sich
chen, die auf Links in den Mails klicken Plattenplatz mehr frei, versuche es doch nahtlos in Ubuntus Default-Mailserver
und damit gefälschte Arzneimittel und ein bisschen später noch einmal.“ Oder: Postfix integriert und voll kompatibel mit
Ähnliches kaufen. „Ich habe gerade ein internes Konfigurati- Debian ist.
onsproblem und kann die E-Mail deshalb Wie funktioniert es im Einzelnen? So-
J`cm\i9lcc\k nicht sofort zustellen. Versuch es doch in bald ein entfernter Delivery Agent eine
einem Augenblick wieder.“ neue Verbindung zum Mailserver auf-
Wenn man sich schon jahrelang mit dem Beim Greylisting geht man nun davon baut, schlägt die Greylisting-Software
Problem beschäftigt hat, ist es womöglich aus, dass es Spammer darauf anlegen, so in einer Datenbank (das kann auch ein
schwer zu glauben, aber man kann sofort viele E-Mails wie möglich so schnell wie Verzeichnis mit Symlinks sein) nach, ob
95 Prozent allen Spams loswerden (8Y$ möglich zu versenden. Meistens benut- und wann sich dieser Agent schon einmal
Y`c[le^(). Die Aussage stößt oft auf Un- zen sie kompromittierte Mailserver, deren mit dem Mailserver verbunden hat. Au-
glauben. Doch der Autor dieses Beitrags Sicherheitslücken schon bald geschlossen ßerdem überprüft sie, ob der Admin diese
geht noch weiter: Mit einer Wunderwaffe werden könnten. Außerdem könnte die Adresse oder die zugehörige Domain in
und einer Handvoll zusätzlicher Zeilen in benutzte IP-Adresse auf einer Sperrliste einer Whitelist führt.
der Mailserver-Konfiguration lässt sich landen. Deshalb sind Spammer gezwun- Bestand in letzter Zeit keine Verbindung
der Anteil auf 97 oder mehr steigern. gen, so viele Mails in so kurzer Zeit wie zu dem fraglichen Agent, landet dessen

)) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Gfjk^i\p E < KQ N < I B

IP-Adresse zusammen mit einem Zeit- anzuhängen (C`jk`e^(). Die Settings kön- Das zweite File, das häufiger gebraucht
stempel in der Datenbank. Erfolgt kein nen sich natürlich etwas unterscheiden, wird, ist »/etc/postgrey/whitelist_cli-
zweiter Verbindungsversuch in einem wichtig ist die letzte Zeile. Sie besagt, ents«. Es regelt das Whitelisting für alle
bestimmten Intervall (zum Beispiel fünf dass Postfix mit einer Software, die auf eingehenden Mails. Man kann damit in-
Minuten), gilt der Absender als Spammer Port 60 000 hört, eine Überprüfung star- dividuelle Adressen und Domains oder
und wird ausgesperrt. Die Idee dabei ist: ten soll, bevor es die SMTP-Transaktion IP-Adressen oder durch reguläre Aus-
Legitime Mailversender kommen wieder, abschließt. Die Portnummer ist im Be- drücke beschriebene Sender filtern. Man
anders als Spammer, die verzweifelt ver- darfsfall änderbar, aber weil es sich um kann damit sogar Präfixe von Absender-
suchen, riesige Mengen Mail um jeden »localhost« handelt, muss man auf keine adressen auf die Whitelist setzen wie
Preis abzusetzen. Firewall Rücksicht nehmen. »chrisbinnie@« – wenn der Absender
KXY\cc\( zeigt QMails Retry-Time-Inter- Danach wird Postfix neu gestartet. In mehrere Mail-Adressen mit demselben
valle in Bezug auf einen seriösen Ab- diesem Fall wäre auch ein einfacher Re- Präfix, aber unterschiedlichen Domain-
sender. Man sieht, dass es wichtig ist, in load genug, aber der Restart stellt sicher, Endungen hat. Das File könnte im Ergeb-
Abhängigkeit vom benutzten Mailserver das Postfix seine gesamte »main.cf« neu nis so aussehen:
die Zeitintervalle anzupassen, in denen einliest.
Domain names:
ein erneuter Verbindungsversuch erwar- debian.org
# /etc/init.d/postfix restart
tet wird. Sonst könnten sich lange Warte- gmail,org
zeiten bei der Zustellung ergeben. Postgrey kann nun während des E-Mail- Regular Expressions 5

Dialogs mit anderen Servern zu Postfix (all outbound GMail Boxes):


/^.*-out-.*\.google\.com$/
@ejkXccXk`fe sprechen.
CIDR IP Adresses:
112.113.0.0/24
Bei Ubuntu und Debian ist die Erweite- Gfjk^i\pXl]j\kq\e 112.113.0.10
rung von Postfix um Postgrey kein großes
Ding. Die leichtgewichtige Software in- Für ein voll funktionsfähiges Setup Das letzte Konfigurationsfile ist »/etc/de-
stalliert man mit: braucht man nur drei Konfigurationsfiles fault/postgrey«. Es enthält einige einstell-
zu beachten. Das erste, seltener benutzte, bare Parameter. Das »POSTGREY_OPTS«-
# apt-get install postgrey
ist »/etc/postgrey/whitelist_recipients«. Kommando
Die Integration von Postgrey in Postfix Es erlaubt einigen Empfängern, den ge-
POSTREY_OPTS = 5
besteht dann nur noch darin, die Zeile samten Mechanismus zu umgehen. Das "--inet=60000 5
»smtp_recipient_restrictions« in der Da- ist etwa für einige öffentliche Adressen --delax=199 5
tei »/etc/postfix/main.cf« zu finden und interessant, die immer Post empfangen --auto-Whitelist_clients=5 5

am Ende ein Kommando an die Liste sollen wie »postermaster« oder »abuse«. --greylist-text" 

C`jk`e^(1@ek\^iXk`femfeGfjk^i\p`eGfjk]`o
01 smtpd_recipient_restrictions =
02 reject_non_fqdn_sender,
03 reject_non_fqdn_recipient,
04 reject_rbl_client bl.spamcop.net,
05 reject_rbl_client dnsbl.sorbs.net,
06 check_policy_service inet:127.0.0.1:60000
8YY`c[le^(1Jfj`ebk[XjJgXdXl]bfdd\e#eXZ_[\d>i\pc`jk`e^Xbk`m`\iknli[\%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * )*


E < KQ N < I B Gfjk^i\p

KXY\cc\(1HDX`c;\c`m\ipI\kip<m\ekj
<`ec`\]\ile^j$ J\ble[\e ;$??1DD1JJ <`ec`\]\ile^j$ J\ble[\e ;$??1DD1JJ <`ec`\]\ile^j$ J\ble[\e ;$??1DD1JJ
m\ijlZ_ m\ijlZ_ m\ijlZ_
( ' '$''1''1'' (* ,.-'' '$(-1''1'' ), )*'+'' )$(-1''1''
) +'' '$''1'-1+' (+ -.-'' '$(/1+-1+' )- ),'''' )$)(1)-1+'
* (-'' '$''1)-1+' (, ./+'' '$)(1+-1+' ). ).'+'' *$'*1'-1+'
+ *-'' '$'(1''1'' (- 0'''' ($'(1''1'' )/ )0(-'' *$'01''1''
)0 *(*-'' *$(,1'-1+'
, -+'' '$'(1+-1+' (. (')+'' ($'+1)-1+'
*' **-+'' *$)(1)-1+'
- ('''' '$')1+-1+' (/ ((,-'' ($'/1'-1+'
*( *-'''' +$'+1''1''
. (++'' '$'+1''1'' (0 ()0-'' ($()1''1''
*) */++'' +$('1+-1+'
/ (0-'' '$',1)-1+' )' (+++'' ($(-1'-1+' ** +'0-'' +$(.1+-1+'
0 ),-'' '$'.1'-1+' )( (-'''' ($)'1)-1+' *+ +*,-'' ,$'(1''1''
(' *)+'' '$'01''1'' )) (.-+'' )$'(1''1'' *, +-)+'' ,$'/1)-1+'
(( +'''' '$((1'-1+' )* (0*-'' )$',1+-1+' *- +0'''' ,$(-1'-1+'
() +/+'' '$(*1)-1+' )+ )((-'' )$('1+-1+' *. ,(/+'' -$''1''1''

stellt unter anderem den benutzten Port Ein letzter Parameter, den man einstellen funktionieren in den meisten Fällen zu-
ein. Bei dem darauffolgenden Parameter sollte, ist: verlässig und in Echtzeit. Die beiden »re-
sollte man einige Einstellungen auspro- ject_rbl_client«-Einträge in der »main.cf«
POSTGREY_TEXT="Sorry, your mail server 5
bieren, um passende Werte zu finden. has been greylistetd for five 5
von Postfix erlauben es, im SMTP-Dialog
Der Delay-Schwellwert bezeichnet die minutes. Please come back later." die danach angegebenen Server in Echt-
Zeit, die ein wiederkehrender Mailserver zeit abzufragen.
verstreichen lassen muss, um sich erneut Das ist die Message, die dem entfernten
verbinden zu dürfen. In diesem Fall wird Delivery Agent übermittelt wird, wäh- D\_i?Xd#n\e`^\iJgXd
jeder entfernte Delivery Agent, der sich rend die Annahme der Mail verzögert
vor Ablauf von 199 Sekunden erneut zu wird. Nachdem die Konfiguration ange- Mit den in diesem Beitrag vorgestellten
konnektieren versucht, angewiesen, es passt ist, muss der Daemon neu gestartet Mitteln sollte sich das Spamaufkommen
später wieder zu versuchen. Wenn er werden, damit die Änderungen wirksam auf jeden Fall deutlich reduzieren las-
es in der Vergangenheit bereits zu oft werden. sen. E-Mail ist immer noch ein wichtiges
versucht hat, wird er ganz ausgesperrt. Kommunikationsmittel und es ist eine
# /etc/init.d/postgrey restart
Der Default sind fünf Minuten, aber man große Erleichterung, es ohne Einschrän-
kann die Wartezeit für Ersteinlieferer pro- Um zu überprüfen, ob Postgrey läuft, kungen benutzen zu können. Der attrak-
blemlos auf 199 Sekunden kürzen. kann man »lsof« verwenden, das anzeigt, tivste Aspekt des Greylistings ist dabei
Der Eintrag »--auto-whitelist-clients« ist ob jemand an Port 60 000 lauscht (C`$ jedoch seine zu vernachlässigende False-
etwas komplizierter, man kann ihn aber jk`e^)). Bei Bedarf installiert man »lsof« Positive-Rate.
auch gänzlich weglassen. Wird er wirk- mit »apt-get install lsof«. Das wars. Zeigt Hin und wieder mag sich ein Mailserver,
sam, landet ein entfernter Agent, der »lsof« einen Eintrag für den TCP-Port der abgewiesen und gebeten wird, es
eine Reihe von Mails erfolgreich einge- 60 000, ist alles in Ordnung. später wieder zu versuchen, für ein paar
liefert hat, nach einer bestimmten War- Stunden statt Minuten zurückziehen.
tezeit automatisch auf einer Whitelist. I9Cj Aber davon abgesehen, ist Greylisting
Das kann ungünstigenfalls den gesamten ein zuverlässiges und ressourcenscho-
Spamschutz untergraben; man muss den Wenn man den Anteil geblockten Spams nendes Verfahren, Spam einzudämmen.
Parameter also mit Bedacht verwenden. von 95 noch auf 98 Prozent erhöhen will, Wer es einmal eingesetzt hat, der kann
Die Art des Spam und auch der Anteil empfiehlt sich ein Blick auf die Real- sich schon nach kurzer Zeit nicht mehr
interner Mails entscheiden darüber, ob Time Blackhole Lists (RBLs) in Postfix. vorstellen, wie er ohne es auskommen
man diesen Parameter einsetzen kann RBLs sind von Dritten gepflegte Listen, konnte. (jcb) ■
oder besser nicht. die Einzelpersonen oder Unternehmen
der Allgemeinheit zur Verfügung stellen,
C`jk`e^)1C`jkFg\e=`c\j und die Absender unerwünschter Mail @e]fj
01 # lsof -i :60000 enthalten. Der Mailserver konsultiert R(T HDX`c>i\pc`jk`e^1R_kkg1&&nnn%afeXkb`ej%
02 #
diese Listen am Beginn seines Dialogs, Zfd&gX^\&jf]knXi\&^i\pc`jkT
03 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE
um die Last niedrig zu halten, und kappt R)T Gfjk^i\p1R_kkg1&&gfjk^i\`%jZ_n\`b\ik%Z_T
NAME
die Verbindung, wenn er anhand der R*T Gfjk]`o1R_kkg1&&nnn%gfjk]`o%fi^T
04 postgrey 1081 postgrey 5u IPv4 4663 0t0 TCP
Liste feststellt, dass die Gegenseite als R+THDX`cI\kipJZ_\[lc\1R_kkg1&&nnn%
Riley:60000 (LISTEN)
Spamversender gemeldet wurde. RBLs c`]\n`k_hdX`c%fi^&cnh%_kdcT

)+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Leistungsexplosion im Server
Schnelle SSDs von Intel

Kennen Sie TKperf?


TKperf ist ein eigenentwickeltes Tool zum Testen

Wir setzen auf Leistung


der Geschwindigkeit von Festplatten und SSDs.
Lesen Sie mehr unter: www.thomas-krenn.com/tk_perf

Intel SSDs S3700


Überaus leistungsstarke SSDs aus der neuen Intel-Serie DC S3700 liegen
ab sofort bei der Thomas-Krenn.AG bereit für den Einbau in Ihre Server.
Die neuen 2,5“ SSDs glänzen durch absolute Top-Leistung und unerreichte Sicherheit.

DE: +49 (0) 8551 9150 - 0


Weitere Informationen erhalten Sie unter CH: +41 (0) 848207970
www.thomas-krenn.com/s_3700
AT: +43 (0)732 - 2363 - 0

Verkauf erfolgt ausschließlich an Gewerbetreibende, Firmen, Freiberufler (Ärzte, Rechtsanwälte etc.), staatliche Institutionen und Behörden. Druckfehler, Irrtümer und Änderungen in Preis und Ausstattung
vorbehalten. Unsere Versandkosten richten sich nach Gewicht und Versandart - mehr unter: www.thomas-krenn.com/versandkosten.Thomas-Krenn.AG, Speltenbach-Steinäcker 1, D-94078 Freyung
N < 9 $J <: L I @ K P 8gXZ_\$JJC

ŸD`cfj
_BfaX

JJC$M\iY`e[le^\elek\i8gXZ_\)\`ei`Z_k\e
[`e
fm`Z_#(

J`Z_\i
)*I=

j\im`\ik
LdcXl\ie[\e;Xk\e[`\Y\e^\_i`^[\eKX^qlm\id`\j\e#
Y\ek`^\e8gXZ_\$8[d`e`jkiXkfi\ec\[`^c`Z_[i\`qlj€kqc`Z_\
;`i\bk`m\ele[\`e\?Xe[mfccBfddXe[fq\`c\eY\]\_c\%;Xj
i\`Z_kY\i\`kjXlj#ld[`\Bfddle`bXk`fed`k[\e9ifnj\ie
g\iJJCqlm\ijZ_c•jj\ce%K`dJZ_•idXee

Noch immer wandern täglich erschre- OpenSSL-Paket zurück R*T. Die darin Apache-Binärpakets finden es im »bin«-
ckend viele sensible Daten im Klartext enthaltenen Bibliotheken implementie- Verzeichnis ihrer Apache-Installation.
durch das Internet. Fängt ein Angreifer ren das SSL-Protokoll und führen somit Zertifikate basieren auf asymmetrischen
etwa die Anmeldeinformationen für ein die eigentliche Verschlüsselung durch. Kryptografieverfahren (Public Key Krypto-
Blog ab, kann er nicht nur den entspre- OpenSSL liegt den meisten Linux-Distri- grafie), bei dem jede Partei zwei Schlüs-
chenden Benutzer ausspionieren, son- butionen von Haus aus bei. Windows- sel besitzt. Um ein Zertifikat zu erstel-
dern auch in das Blog und somit oft in Nutzer sollten direkt zum Apache-Binär- len, muss man zunächst für den Server
den Webserver einbrechen. Als Admi- paket mit integriertem OpenSSL greifen. einen sogenannten privaten Schlüssel
nistrator sollte man daher tunlichst alle Die entsprechende Datei trägt die Be- generieren:
sensiblen Bereiche einer Website absi- zeichnung »-openssl« und findet sich auf
openssl genrsa -aes256 -out 5
chern. Das Mittel der Wahl heißt dabei der Download-Seite der Apache Foun- privaterschluessel.pem 2048
Transport Layer Security, kurz TLS. Mit dation R+T unter »Other files« im Ver-
diesem Verfahren errichten Browser und zeichnis »binaries« und dann »win32«. In Der Schlüssel ist in diesem Fall 2048 Bit
Webserver selbstständig eine verschlüs- CentOS 6.4 ist das Modul »mod_ssl« kein lang. Zur Sicherheit chiffriert ihn der
selte Verbindung, über die sie dann ihre Bestandteil des Apache2-Pakets, man Befehl noch mit dem AES256-Verfahren,
Kommunikation abwickeln. Die Vorgän- muss es daher explizit über das Paket weshalb man sich eine Passphrase (also
gerversionen von TLS waren unter dem »mod_ssl« nachladen. ein längeres Passwort) ausdenken und
Namen Secure Sockets Layer, kurz SSL, eingeben muss. Mit dem privaten Schlüs-
bekannt, weshalb man noch heute häufig >\j`Z_kjbfekifcc\ sel in der Hand und der Passphrase im
allgemein von SSL-Verbindungen spricht. Kopf lässt sich anschließend ein Zertifikat
Wie der Aufbau einer solchen verschlüs- Damit der Browser erfährt, mit wem erzeugen:
selten Verbindung abläuft, verrät der BX$ er eine verschlüsselte Verbindung ein-
openssl req -new -x509 -days 365 -key 5
jk\eÙ8Y_ij`Z_\iÈ. geht, schickt der Webserver ihm ein privaterschluessel.pem -out zertifikat.pem
Im Apache-Webserver kümmert sich das Zertifikat. Ein solches erstellen Admi-
Modul »mod_ssl« um die Verschlüsselung nistratoren schnell mit dem Komman- Unter Windows muss man dabei expli-
per SSL und TLS. Es liegt seit Version 2 dozeilenprogramm »openssl« aus dem zit auf die OpenSSL-Konfigurationsdatei
dem Webserver bei und greift auf das OpenSSL-Paket. Windows-Nutzer des verweisen:

)- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8gXZ_\$JJC N < 9 $J <: L I @ K P

openssl req -config ..\conf\openssl.cnf 5


-new -x509 -days 365 -key privaterschluessel.5
pem -out zertifikat.pem

In jedem Fall erstellt der Befehl ein neues


Zertifikat (»-new«), dessen Aufbau dem
X.509-Standard folgt (»-x509«), 365 Tage
lang gültig ist und in der Datei »zertifi-
kat.pem« landet. Nach dem Aufruf des
Befehls bekommt man zahlreiche Fra-
gen gestellt. Auch wenn man die Vorga-
ben nur mit der Eingabetaste abnickt,
muss man bei der Frage zum »Com-
mon Name« unbedingt den Domainna-
men angeben, unter dem später die per
HTTPS gesicherten Seiten erreichbar sind.
Andernfalls verweigern die Browser der
Benutzer später den Verbindungsaufbau.
Liegt das Angebot etwa unter »https://
login.example.com«, lautet die Antwort
auf den Common Name »login.example. 8YY`c[le^(1;\i:fddfeEXd\`jke`Z_k[\i\`^\e\EXd\#jfe[\ie[\i;fdX`eeXd\%
com« (8YY`c[le^(). Das Zertifikat, den
privaten Schlüssel und dessen Passphrase schließlich könnte jeder ein solches Zer- bekannteste dürfte Verisign Security sein
sollte man sichern beziehungsweise sich tifikat ausstellen. Die Benutzer müssen es (mittlerweile ein Unternehmen von Sym-
gut merken, sie kommen später noch ein- daher beim ersten Zugriff auf den Server antec, R,T). Die Browser bringen bereits
mal zum Einsatz. explizit als korrekt und vertrauenswürdig Unterschriften dieser Zertifikatsverwalter
einstufen. Bei einem öffentlich betriebe- mit und winken alle von ihnen unter-
KiXljZ_Xln\d nen Webserver empfiehlt es sich deshalb, schriebenen beziehungsweise ausgestell-
das Zertifikat von einer entsprechenden ten Zertifikate durch. Wenn die Zertifizie-
Ein selbst erstelltes Zertifikat hat den Zertifizierungsstelle, der Certificate Au- rungsstelle eine Zertifikatsanfrage haben
Nachteil, dass es die Browser der Be- thority, beglaubigen zu lassen. Es gibt möchte, erstellt man diese mit folgendem
nutzer zunächst als unsicher einstufen – verschiedene kommerzielle Anbieter, der Befehl: 

8Y_ij`Z_\i
KCJY\q`\_le^jn\`j\JJCj`e[bipgkf^iX]`jZ_\ k€kjgi•]le^% <`e jfcZ_\j 8c^fi`k_d\e$>\jgXee
E\kqn\ibgifkfbfcc\ ^\eXl ^\efdd\e jf^Xi ?KKG ?KKG Y\q\`Z_e\kdXeXcj:`g_\iJl`k\%
JXddcle^\e Xlj d\_i\i\e Gifkfbfcc\e % ;`\ @ej\`e\i8eknfikJ\im\i$?\ccf k\`ck[\iJ\im\i
JJC&KCJ JJC&KCJ
mfe \`e\d 9ifnj\i ^\c`\]\ik\e ;Xk\e m\i$ [\d:c`\ekd`k#]•in\cZ_\8c^fi`k_d\e\ij`Z_
jZ_c•jj\ckKCJle[jZ_`Zbkj`\[Xeem`XK:Gqld K:G K:G \ekjZ_`\[\e_Xkle[c\^k^c\`Z_efZ_\`eQ\ik`]`$
N\Yj\im\ij`\_\8YY`c[le^) %JJCbXeejfd`k bXk`dO%,'0$=fidXkY\`R)T%N`\Y\`\`e\i8lj$
@G @G
e`Z_keli?KKG$M\ib\_i#jfe[\iegi`eq`g`\ccXlZ_ n\`jbfekifcc\bXee[\i:c`\ek[Xd`k]\jkjk\cc\e#
[`\ ;Xk\e mfe Xe[\i\e 8en\e[le^jgifkfbfc$ <k_\ie\k <k_\ie\k fY[\iN\Yj\im\ikXkj€Z_c`Z_[\ia\e`^\`jk#d`k
c\e n`\ \knX =KG Z_`]]i`\i\e% E\Y\e [\i M\i$ [\d\ibfddle`q`\i\edZ_k\%
jZ_c•jj\cle^ mfe ;Xk\e \id^c`Z_k KCJ XlZ_ 8YY`c[le^)1JJCY`c[\k\`^\ekc`Z_\`e\\`^\e\ 8YjZ_c`\\e[ _Xe[\ce :c`\ek le[ J\im\i \`e\e
8lk_\ek`]`q`\ile^ le[ @ek\^i`k€kjbfekifcc\% <`e Qn`jZ_\ejZ_`Z_k`dGifkfbfccjkXg\c#`e[\iGiXo`j ^\d\`ejXd\eJ`kqle^jjZ_c•jj\cXlj%D`k[`\j\d
9ifnj\i bXee jfd`k j`Z_\i j\`e# [Xjj \i •Y\i q€_ckdXe\ja\[fZ_`e[\iI\^\cqliKiXejgfik$ jf^\eXeek\e J\jj`fe B\p m\ijZ_c•jj\ce Y\`[\
\`e\ JJC$M\iY`e[le^ d`k [\d i`Z_k`^\e J\im\i Y\q`\_le^jn\`j\K:G$JZ_`Z_k% GXik\`\e[Xee`_i\n\`k\i\Bfddle`bXk`fe%;\i
jgi`Z_k# [`\ m\ijZ_`Zbk\e @e]fidXk`fe\e e`\$ J\jj`feB\p^`ckXljjZ_c`\c`Z_]•i[`\Xbkl\cc\
dXe[ d`kc\j\e bXee le[ [`\j\ ;Xk\e lem\i$ D`k[\dGi€]`o¾_kkgj1&&½`e[\iLICq\`^k[\i J`kqle^# nXj \`e BXg\ie [liZ_ 8e^i\`]\i \i$
€e[\ik Y\`d >\^\e•Y\i Xebfdd\e% ;`\ [XY\` 9\elkq\i\`e\j9ifnj\ijXe#[Xjj\i\`e\m\i$ jZ_n\i\ejfcc%
a\n\`cj qld <`ejXkq bfdd\e[\e 8c^fi`k_d\e jZ_c•jj\ck\M\iY`e[le^elkq\edZ_k\%;\eele ;`\\ijk\M\ij`fe[\jJ\Zli\JfZb\kjCXp\i^\_k
[•i]\e [`\ Y\`[\e GXik\`\e `e >i\eq\e j\cYjk ]fc^\e[\e8l]YXl\`e\iJJC$M\iY`e[le^Y\q\`Z_$ •Yi`^\ej Xl] [`\ =`idX E\kjZXg\ qli•Zb# [`\
n€_c\e% ;`\ M\ijZ_c•jj\cle^ [\i ;Xk\e •Y\i$ e\k dXe Xcj JJC$?Xe[j_Xb\% ;XY\` jZ_`Zbk [\i (00,[XjM\i]X_i\e\ijkdXcj`e`_i\d9ifnj\i
e`ddk`ea\[\d=Xcc\`ejpdd\ki`jZ_\jM\i]X_$ :c`\ekqle€Z_jk\`e\8e]iX^\Xe[\eJ\im\i[Xj EXm`^Xkfi \`ej\kqk\% EXZ_ [\i [i`kk\e M\ij`fe
i\e#Y\`[\d\`e^\d\`ejXd\iJZ_c•jj\cjfnf_c jf^\eXeek\:c`\ek$?\ccf %;`\j\8e]iX^\\ek_€ck •Y\ieX_d [`\ @ek\ie\k <e^`e\\i`e^ KXjb =fiZ\
qldM\i$XcjXlZ_<ekjZ_c•jj\ce[`\ek%;\e^\$ lek\i Xe[\i\d [`\ ^\n•ejZ_k\ JJC$M\ij`fe @<K= [`\N\`k\i\ekn`Zbcle^%J`\\i_fY[XjM\i$
_\`d\e 8ljkXljZ_ [`\j\j JZ_c•jj\cj jk\cck \`e jfn`\ [`\ Y\mfiql^k\e 8c^fi`k_d\e ]•i [\e ]X_i\eql\`e\dJkXe[Xi[le[kXl]k\\j[XY\`
JZ_c•jj\cXljkXljZ_m\i]X_i\e j`Z_\i n`\ \knX JZ_c•jj\cXljkXljZ_# [`\ \`^\ekc`Z_\ M\ijZ_c•j$ XlZ_ ^c\`Z_ efZ_ `e KiXejgfik CXp\i J\Zli`kp
;`]]`\$?\ccdXeR(T % j\cle^# [`\ 8lk_\ek`]`q`\ile^ le[ [`\ @ek\^i`$ KCJ ld%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ).


N < 9 $J <: L I @ K P 8gXZ_\$JJC

openssl req -new -key privaterschluessel.5 gurationsdateien irgendwo die folgende Anfragen via HTTPS trudeln normaler-
pem -out anfrage.csr Zeile auftaucht: weise an Port 443 ein. Damit Apache dort
lauscht, muss man seine Konfiguration
LoadModule ssl_module modules/mod_ssl.so
Die Anfrage in der Datei »anfrage.csr« um folgenden Abschnitt ergänzen:
muss man dann der Certificate Authority Meist findet man sie in der zentralen
<IfModule mod_ssl.c>
übermitteln. In einem Unternehmens- »httpd.conf«, CentOS lagert die Zeile in Listen 443
netzwerk könnte man alternativ die ei- die Datei »/etc/httpd/conf.d/ssl.conf« </IfModule>
genen Zertifikate vorab in die Browser aus. Wer die Standardkonfigurationsda-
aufnehmen oder gar eine eigene Certifi- teien verwendet, muss vor der oben ge- In welche Konfigurationsdatei dieser Ab-
cation Authority betreiben R-T. nannten Zeile lediglich das Hash-Zeichen schnitt gehört, hängt von der Apache-
In jedem Fall sollte jetzt eine Datei mit entfernen. Alternativ bieten einige Linux- Installation ab. Unter Debian-basierten
dem Zertifikat und eine mit dem priva- Distributionen, darunter Debian, Ubuntu Systemen steckt er bereits in der Datei
ten Schlüssel vorliegen. Das Duo sam- und Open Suse, das Skript »a2enmod« an, »/etc/apache2/ports.conf«, unter Open
melt man am besten in einem eigenen das dynamisch ladbare Apache-Module Suse 12.3 hingegen in der Datei »/etc/
Unterverzeichnis bei den übrigen Kon- aktiviert. Der Benutzer Root aktiviert da- apache2/listen.conf« und bei CentOS in
figurationsdateien. Letztgenannte liegen mit »mod_ssl« via: »/etc/httpd/conf.d/ssl.conf«. Gegebe-
auf Linux-Systemen meist unter »/etc/ nenfalls muss man alle vorangestellten
a2enmod ssl
apache2« oder »/etc/httpd«, unter Win- Hash-Zeichen »#« entfernen und so den
dows normalerweise im Ordner »conf« Unter Open Suse ist zusätzlich noch Abschnitt auskommentieren. Wer die
des Apache-Verzeichnisses. Dort erstellt der Befehl »a2enflag SSL« notwendig. Standardkonfigurationsdatei verwendet,
man dann ein Unterverzeichnis »ssl« Sofern das Skript »a2enmod« vorhan- wie sie etwa auch dem Windows-Binär-
und kopiert das Zertifikat nebst privatem den ist, sollte man es möglichst auch paket von Apache beiliegt, muss in der
Schlüssel hinein: nutzen. Die Distributionen setzen dann »httpd.conf« lediglich in der Zeile
meist mehrere, teilweise sogar automati-
mkdir -p /etc/apache2/ssl #Include conf/extra/httpd-ssl.conf
cp *.pem /etc/apache2/ssl
siert erzeugte Konfigurationsdateien ein.
Debian etwa schaltet einzelne Module das Hash-Zeichen entfernen. Damit liest
Im Normalfall erfordern diese Befehle über symbolische Links ein und aus. Apache die Datei »httpd-ssl.conf« im Un-
Root-Rechte.
KXY\cc\(1D^c`Z_\8c^fi`k_d\e]•i¾JJC:`g_\iJl`k\½
9Xlk\`c B•iq\c 9\[\lkle^
8c^fi`k_d\e]•i[\eJZ_c•jj\cXljkXljZ_
Um die verschlüsselten SSL-Verbindun- bIJ8 IJ8
gen kümmert sich das Apache-Modul b;?i ;`]]`\$?\ccdXed`kIJ8$JZ_c•jj\c
»mod_ssl«. Unter vielen, aber leider nicht b;?[ ;`]]`\$?\ccdXed`k;J8$JZ_c•jj\c
allen Linux-Distributionen ist es von b<;? <g_\d\iXc$;`]]`\$?\ccdXek\dgfi€i\iJZ_c•jj\cf_e\Q\ik`]`bXk
Haus aus aktiviert. Der Apache-Server bJIG JZ_c•jj\cXljkXljZ_g\iJ\Zli\I\dfk\GXjjnfi[JIG
lädt »mod_ssl«, wenn in seinen Konfi- 8lk_\ek`]`q`\ile^jXc^fi`k_d\e
XELCC B\`e\8lk_\ek`]`q`\ile^
C`jk`e^(1M`ikl\cc\i?fjkd`kKCJ
XIJ8 IJ8
01 <VirtualHost *:443>
X;JJ ;JJ
02 ServerName login.example.com
03 DocumentRoot "/var/www"
X;? ;`]]`\$?\ccdXe
04 M\ijZ_c•jj\cle^jXc^fi`k_dlj
05 SSLEngine on \ELCC B\`e\M\ijZ_c•jj\cle^
06 SSLCertificateFile /etc/apache2/ssl/zertifikat. ELCC N`\\ELCC
pem 8<J 8<J
07 SSLCertificateKeyFile /etc/apache2/ssl/ ;<J ;<J
privaterschluessel.pem
*;<J Ki`gc\$;<J
08
I:+ I:+
09 <Directory "/var/www">
I:) I:)
10 Options Indexes FollowSymLinks
11 </Directory>
@;<8 @;<8
12 8c^fi`k_d\eqli@ek\^i`k€kjgi•]le^D8:$;`^\jk$8c^fi`k_dlj
13 CustomLog /var/log/apache2/ssl_request_log ssl_ D;, D;,
combined J?8( J?8(
14 ErrorLog /var/log/apache2/ssl_error_log J?8 N`\J?8(
15 TransferLog /var/log/apache2/ssl_access_log
J?8),- J?8),-
16 </VirtualHost>
J?8*/+ J?8*/+

)/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8gXZ_\$JJC N < 9 $J <: L I @ K P

terverzeichnis »extra«, die den die Seiten der Domain regelt


benötigten Abschnitt enthält. wie üblich ein »Directory«-
Abschnitt.
E\l\i>Xjk^\Y\i C`jk`e^ ( speichert man am
besten in einer eigenen Kon-
Damit Apache die HTTPS- figurationsdatei. In welches
Anfragen beantwortet, muss Verzeichnis sie gehört, hängt
ein neuer virtueller Host her. wieder von der Apache-In-
C`jk`e^ ( zeigt dafür ein ein- stallation ab. Debian-Admins
faches Beispiel: Nach dem legen sie unter »/etc/apa-
Festlegen von Servernamen che2/sites-available« ab und
und Document Root schal- benennen sie so wie »Server-
tet »SSLEngine On« die Ver- Name«. Anschließend muss
schlüsselung ein. Das Docu- man die Datei noch explizit
ment-Root-Verzeichnis sollte mit »a2ensite login.example.
man wohlüberlegt wählen: com« aktivieren, wobei »login.
Ist es beispielsweise identisch 8YY`c[le^*1J\cYjk\ijk\cck\Q\ik`]`bXk\n\`j\e[`\9ifnj\id`k\`e\i example.com« für den Namen
mit dem global festgelegten \ekjgi\Z_\e[\eD\c[le^qle€Z_jkqli•Zb% der neuen Konfigurationsda-
Document-Root-Verzeichnis, tei steht. Im Fall von Open
können Besucher die dortigen Seiten so- KeyFile« verrät die Datei mit dem priva- Suse spendiert man der Datei aus C`$
wohl über eine gesicherte als auch eine ten Schlüssel. Sofern man ein Zertifikat jk`e^( die Endung ».conf« und platziert
ungesicherte Verbindung abrufen. Das verwendet, in das der private Schlüssel sie dann im Verzeichnis »/etc/apache2/
ist normalerweise auch der Fall, wenn eingebettet ist, kann man »SSLCertificate- vhosts.d«. CentOS und dem Windows-
man beim SSL-Host die »DocumentRoot«- KeyFile« weglassen. Aus Sicherheits- Binärpaket von Apache liegt bereits eine
Direktive weglässt. Man sollte daher gründen sollte man jedoch den privaten Beispielkonfiguration für einen virtuellen
möglichst verschiedene Document Roots Schlüssel immer wie hier gezeigt in eine Host bei, die sich einfach gemäß C`jk`e^
verwenden oder den Zugriff auf die ent- eigene Datei auslagern. ( anpassen lässt. In CentOS findet man
sprechenden Teile der Website ander- Zugriffsversuche via SSL protokolliert sie in der Datei »/etc/httpd/conf.d/ssl.
weitig reglementieren, etwa über das die Log-Datei »/var/log/apache2/ssl_re- conf«, unter Windows liegt sie in der
Rewrite-Module. quest_log«. Fehlermeldungen wandern in Datei »httpd-ssl.conf« im Ordner »conf\
»SSLCertificateFile« deutet auf den Spei- die Datei »ssl_error_log«, alle Anfragen extra« der Apache-Installation.
cherort des Zertifikats, »SSLCertificate- sammelt »ssl_access_log«. Den Zugriff auf

KXY\cc\)18c`Xj$EXd\e]•i¾JJC:`g_\iJl`k\½
GXjjg_iXj\qldJkXik
B•iq\c 9\[\lkle^ Abschließend muss man Apache einmal
JJCm* 8cc\mfeJJC*%'lek\ijk•kqk\8c^fi`k_d\e neu starten, unter Debian etwa mit »/etc/
KCJm( 8cc\mfeKCJ(%'lek\ijk•kqk\8c^fi`k_d\e init.d/apache2 restart«. Apache fordert
<OG 8cc\\ogfik]€_`^\e8c^fi`k_d\e dabei die Passphrase für den privaten
<OGFIK+' <ogfik]€_`^\8c^fi`k_d\ed`k+'9`k Schlüssel ein. Verhindern kann man das
<OGFIK,- <ogfik]€_`^\8c^fi`k_d\ed`k,-9`k
CFN JZ_nXZ_\#XY\ie`Z_k\ogfik]€_`^\8c^fi`k_d\eJ`e^c\$;<J
J\im\iEXd\@[\ek`]`ZXk`fe
D<;@LD 8cc\8c^fi`k_d\ed`k()/9`k ;X[\i;fdX`eeXd\]\jk\i9\jkXe[k\`c[\jQ\i$
?@>? 8cc\8c^fi`k_d\e#[`\Ki`gc\$;<Jelkq\e k`]`bXkj`jk#bXeedXe\`^\ekc`Z_gif@G$8[i\jj\
`dd\ieli\`eQ\ik`]`bXkelkq\e%D`kXe[\i\e
IJ8 8cc\8c^fi`k_d\e#[`\\`e\eIJ8$JZ_c•jj\cXljkXljZ_m\in\e[\e
Nfik\ed•jjk\dXea\[\iJlY$ ;fdX`e\`e\
;? 8cc\8c^fi`k_d\e#[`\\`e\e;`]]`\$?\ccdXe$JZ_c•jj\cXljkXljZ_m\in\e[\e
\`^\e\@G$8[i\jj\jg\e[`\i\e%8Y_`c]\jZ_X]]k
<;? 8cc\8c^fi`k_d\e#[`\\`e\eJZ_c•jj\cXljkXljZ_d`k<g_\d\iXc$;`]]`\$ \`eM\i]X_i\eeXd\ejJ\im\iEXd\@e[`ZXk`fe#
?\ccdXem\in\e[\e
bliqJE@%;XY\`j\e[\k[\i9ifnj\iefZ_mfi
<:;? JZ_c•jj\cXljkXljZ_d`kk\cj<cc`gk`Z:lim\;`]]`\$?\ccdXe [\d9\^`ee[\i\`^\ekc`Z_\eM\ijZ_c•jj\cle^
8;? 8cc\8c^fi`k_d\e#[`\\`e\e8efepdflj$;`]]`\$?\ccdXe$JZ_c•jj\cXljkXljZ_ Y\`d :c`\ek$?\ccf# j`\_\ BXjk\e Ù8Y_ij`$
m\in\e[\e Z_\iÈ [`\LIC#Xl][`\\iql^i\`]\edZ_k\%
8<:;? 8cc\8c^fi`k_d\e#[`\\`e\eJZ_c•jj\cXljkXljZ_d`k<cc`gk`Z:lim\;`]]`\$ 8cc\ Xbkl\cc\e ^if\e 9ifnj\i lek\ijk•kq\e
?\ccdXem\in\e[\e JE@#8gXZ_\b\eek[XjM\i]X_i\ej\`k[\iM\i$
JIG 8cc\8c^fi`k_d\e#[`\\`e\eJZ_c•jj\cXljkXljZ_d`kJ\Zli\I\dfk\GXjj$ j`fe)%)%()ÆmfiXlj^\j\kqk\jbfddkFg\eJJC
nfi[JIG m\in\e[\e
XYM\ij`fe'%0%/`qld<`ejXkq%Ki`]]k[XjXl][`\
;JJ 8cc\8c^fi`k_d\e#[`\\`e\;JJ$8lk_\ek`]`q`\ile^m\in\e[\e \`^\e\ 8gXZ_\$@ejkXccXk`fe ql# bXee dXe `e
<:;J8 8cc\8c^fi`k_d\e#[`\\`e\<:;J8$8lk_\ek`]`q`\ile^m\in\e[\e a\[\d¾3M`iklXc?fjk5½$:fekX`e\i\`e\`^\e\j
XELCC 8cc\8c^fi`k_d\e#[`\b\`e\8lk_\ek`]`q`\ile^m\in\e[\e Q\ik`]`bXkXe^\Y\e%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * )0


N < 9 $J <: L I @ K P 8gXZ_\$JJC

nur, indem man die Verschlüsselung Integritätsprüfung. Ein Beispiel für eine einen Algorithmus explizit an die ent-
wieder entfernt. Damit ist der private solche Auswahl wäre: sprechende Position der Liste setzen und
Schlüssel aber ungeschützt, was wiede- so die Reihenfolge beeinflussen. Im obi-
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:5
rum ein Sicherheitsrisiko darstellt. Kom- +MEDIUM:+LOW:+SSLv2:+EXP
gen Beispiel würde der Webserver etwa
men mehrere per SSL gesicherte virtuelle die Algorithmen aus der »HIGH«-Gruppe
Hosts zum Einsatz, versucht Apache die Diese Liste sieht auf den ersten Blick denen der »MEDIUM«-Gruppe bevorzu-
eingetippte Passphrase auch auf alle üb- ziemlich wüst aus, erklärt sich aber gen. Abschließend kann man auch noch
rigen privaten Schlüssel anzuwenden. Im schnell: Jeder Algorithmus erhält ein mehrere vorgegebene Cipher-Suiten aus-
Idealfall muss man so nur einmal eine Kürzel, »RC4« steht beispielsweise für wählen, indem man zwischen den Kür-
Passphrase eintippen. den RC4-Algorithmus. Alle weiteren Kür- zeln ein »+« einfügt. Im obigen Beispiel
Sobald der User jetzt die verschlüsselte zel stellt KXY\cc\( vor. Damit man sich wären mit »RC4+RSA« alle Cipher-Suiten
Seite ansteuert – in den bisherigen Bei- nicht die Finger wund tippt, gibt es net- möglich, die »RC4« und »RSA« enthalten.
spielen »https://login.example.com« terweise noch Abkürzungen beziehungs- Das Beispiel ist übrigens gleichzeitig der
– warnt der Browser bei einem selbst weise Alias-Namen. So steht »SSLv2« für Standardwert unter Apache 2.2. Apache
erstellten Zertifikat vor mangelnder Si- alle vom SSL-2-Standard unterstützten 2.4 übernimmt hingegen die Standardein-
cherheit (8YY`c[le^*). Hier bleibt dem Algorithmen, »ALL« für alle möglichen. stellungen von OpenSSL.
Anwender nur, das Zertifikat per Hand Die übrigen Abkürzungen listet KXY\cc\ Welche Algorithmenkombinationen mit
als vertrauenswürdig einzustufen. An- ) auf. »Exportfähig« bezieht sich dabei einer Einstellung möglich sind, verrät der
schließend läuft die Kommunikation ver- auf die Ausfuhrbeschränkungen der USA, Befehl »openssl ciphers -v«. Ihm hängt
schlüsselt ab. nach denen besonders starke Verschlüs- man einfach den zu untersuchenden
selungsverfahren nicht exportiert werden Bandwurm an:
HlXc[\iNX_c dürfen. »EXP« enthält somit nur Verfah-
openssl ciphers -v 'ALL:!ADH:RC4+RSA:5
ren mit geringer Schlüssellänge. +HIGH:+MEDIUM:+LOW:+SSLv2:+EXP'
Neben den drei SSL-Direktiven aus C`$ Schließlich darf man bestimmte Algorith-
jk`e^ ( kennt Apache noch ein paar men noch bevorzugen oder ausschlie- Das Ergebnis ist eine Tabelle wie die aus
weitere. Besonders interessant ist »SSL- ßen. Das zeigen die Sonderzeichen »+«, 8YY`c[le^ ,. Die erste Spalte listet die
CipherSuite«. Sie gibt an, welche Ver- »-« und »!« an, die den Kürzeln voran- Namen der Cipher-Suiten auf, die zweite
schlüsselungsalgorithmen der Webserver gestellt werden. »!« verbietet einen Al- nennt den SSL-Standard. Es folgen in
für den SSL-Handshake akzeptiert. Der gorithmus, »!ADH« schließt im obigen den weiteren Spalten die Algorithmen
Direktive folgt dabei eine durch Doppel- Beispiel folglich alle Algorithmen aus, für den Schlüsselaustausch, die Authen-
punkte getrennte Liste mit den möglichen die Anonymous Diffie-Hellmann verwen- tifizierung, die Verschlüsselung und die
Algorithmen. Angeben muss man dabei den. Das Minuszeichen »-« entfernt eben- Integritätsprüfung.
jeweils mindestens einen Algorithmus falls einen Algorithmus, der sich aber Die großen Browser bevorzugen norma-
für den Schlüsselaustausch, die Authen- später in der Kette wieder hinzufügen lerweise sichere Algorithmen, derzeit vor
tifizierung, die Verschlüsselung und die lässt. Mit dem Pluszeichen kann man allem AES, die jedoch mehr Rechenzeit
kosten. Administratoren, die stattdessen
auf schnellere, einfachere Verfahren set-
zen, leben gefährlich: So geriet zuletzt
RC4 in die Schlagzeilen. Mehr zu Pro-
blemen mit TLS verrät ein Artikel in der
Security-Rubrik dieses Hefts.
Man sollte daher nicht mit einer eigenen
»SSLCipherSuite«-Regel die vom Client
vorgeschlagenen, sicheren Verfahren
überstimmen. Beschleunigen kann man
die Codierung, indem man OpenSSL eine
eventuell vorhandene Kryptohardware
nutzen lässt. Das setzt allerdings voraus,
dass OpenSSL mit »Engine«-Unterstüt-
zung übersetzt wurde. Ab OpenSSL 0.9.7
ist dies standardmäßig der Fall. Welche
Hardwarebeschleuniger dann zur Verfü-
gung stehen, verrät:

openssl engine

Von diesen wählt man einen aus und


8YY`c[le^,1;`\d^c`Z_\e8c^fi`k_d\ebfdY`eXk`fe\eq\`^k¾fg\ejjc½Xe% setzt den Namen in die Klammern hin-

*' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


kinderleicht
+ ausgereift
cket als Quelle für Zufallszahlen miss-
brauchen:

SSLRandomSeed startup egd:/pfad/zum/socket

Eine Referenz aller von »mod_ssl« be-


reitgestellten Direktiven steht für Apache
8YY`c[le^-18l][`\j\d:fi\`.lek\iFg\e 2.2 unter R.T bereit, während man für
Jlj\()%*^`Yk\jeli\`e:ipgkf$;\m`Z\]•i Apache 2.4 unter R/T nachschlägt.
_Xi[nXi\Y\jZ_c\le`^k\M\ijZ_c•jj\cle^%

=Xq`k
ter die Direktive »SSLCryptoDevice«, wie
etwa: Hat man erst einmal ein Zertifikat er-
zeugt, ist die Einrichtung von »mod_ssl«
SSLCryptoDevice rsax
schnell erledigt. SSL beziehungsweise IPTAM® PBX VoiP Telefon-
Zusätzlich lässt sich auch ein Cache für TLS verschlüsseln allerdings nur den
anlage mit bester ISDN-Integration
Session-Daten einrichten: Datenverkehr und bieten daher nur ei-
nen Sichtschutz für potenzielle Mitleser.
SSLSessionCache dbm:/tmp/cachedatei
Folglich reicht es nicht aus, nur einfach
In diesem Fall würde Apache die DBM- das SSL-Modul zu aktivieren. Die Web- Kinderleichte Administration
Datei »/tmp/cachedatei« verwenden. Anwendung muss zusätzlich die emp- ■ per CD auf einem Server
fangenen Daten vertraulich behandeln Ihrer Wahl
N•i]\cjg`\c und beispielsweise verschlüsselt in einer
■ oder als Fertiggerät
Datenbank ablegen. TLS ist somit nur
Die von TLS verwendeten Algorithmen ein kleiner Baustein in einer kompletten (Appliance)
greifen auf einen Zufallsgenerator zu- Sicherheitsstrategie. (ofr) ■ ■ Vorbildliche Dokumentation:
rück. Standardmäßig bildet »mod_ssl« www.iptam.com/wiki/
die Zufallszahl aus der aktuellen Uhr-
zeit, der Prozess-ID und einem zufällig @e]fj
gewählten, ein KByte großen Stück des R(T N`b`g\[`X$<`ekiX^qld;`]]`\$?\ccdXe$
Ausgereifte Funktionalität
internen Scoreboard-Speichers. Letztge- 8c^fi`k_dlj1 ■ Bequeme Bedienung
nannten nutzt Apache bei der Interpro- R_kkg1&&[\%n`b`g\[`X%fi^&n`b`&;`]]`\$?\ccdX über Web-Oberfläche
zesskommunikation. Das Ergebnis ist je- e$JZ_c:*9:jj\cXljkXljZ_T
■ Einspielen von Patches,
doch keine echte Zufallszahl. Aus diesem R)T N  `b`g\[`X$<`ekiX^qldO%,'0$JkXe[Xi[1
Lizenzerweiterung, ISDN-
Grund lässt sich mit »SSLRandomSeed« R_kkg1&&[\%n`b`g\[`X%fi^&n`b`&O,'0T
eine andere Quelle auswählen und so R*T F  g\eJJC1R_kkg1&&nnn%fg\ejjc%fi^T
Konfiguration mit 3 Klicks
die Sicherheit erhöhen. Im einfachsten R+T8gXZ_\;fnecfX[1R_kkg1&&_kkg[%XgXZ_\% ■ Und natürlich alle gängigen
Fall kann man die Zufallswerte aus einer fi^&[fnecfX[%Z^`T Funktionen: Voicemail, Instant
Datei holen, unter Linux etwa »/dev/ R,T M\i`j`^e1R_kkg1&&nnn%m\i`j`^e%[\T Messaging Server, Fax-Server,
random«: R-T D  \c[\jk\cc\ÆQ\ik`]`bXk\d`kFg\e:8 Konferenzräume, Warteschlangen,
SSLRandomSeed connect file:/dev/random
m\inXck\e#8;D@E'(&)'('1R_kkg1&&nnn% Sprachmenüs, Klingelgruppen,
X[d`e$dX^Xq`e%[\&;Xj$?\]k&)'('&'(& Durchsagefunktion, Konfiguration
»connect« zeigt hierbei an, dass Apache Q\ik`]`bXk\$d`k$Fg\e$:8$m\inXck\e& der Telefone über die Anlage ....
die Zufallszahl beim Aufbau einer Verbin-
dung abruft. Bei der Alternative »startup«
wäre dies nur beim Start des Webservers
R.T ;
)/cXe^lX^\)0&^\i$;<T
 fbld\ekXk`femfeDf[$JJC]•i8gXZ_\
)%)1R_kkg1&&_kkg[%XgXZ_\%fi^&[fZj&)%)&
selber
der Fall. »SSLRandomSeed« muss zudem
im globalen Server-Kontext stehen (also
df[&df[Vjjc%_kdcT
R/T;fbld\ekXk`femfeDf[$JJC]•i8gXZ_\
testen!
außerhalb des »<VirtualServer>«-Con- )%+1R_kkg1&&_kkg[%XgXZ_\%fi^&[fZj&)%+&
tainers). Neben einer Datei als Quelle df[&df[Vjjc%_kdcT Die IPTAM PBX 5
kann man auch ein Programm die Daten kostenlos
anliefern lassen. Dieses muss die Zufalls- ;\i8lkfi downloaden:
werte auf die Standardausgabe schrei- K`d JZ_•idXee `jk j\cYjkjk€e[`^\i ;`gcfd$ www.iptam.com
ben: @e]fidXk`b\ile[[\iq\`k_Xlgkj€Z_c`Z_Xcj]i\`\i Demosystem
8lkfi lek\in\^j% Ql j\`e\e 9•Z_\ie ^\j\cc\e online testen:
en:
SSLRandomSeed startup exec:/bin/meinprg
j`Z_qX_ci\`Z_\8ik`b\c#[`\`eQ\`kjZ_i`]k\ele[ www.iptam.com/demo
Auf Unix-Systemen kann man schließlich Xl] @ek\ie\kj\`k\e `e d\_i\i\e C€e[\ie m\i]$
noch die Daten aus einem Netzwerkso- ]\ekc`Z_knli[\e%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8L J >8 9 < '* $)' ( *


www.iptam.com *(
N < 9 $J <: L I @ K P E^`eole[EXoj`
ŸI\]XkDXdlkfm#()*I=

Es gibt Ansätze wie OpenResty R+T oder


E^`eoXcj=ifek\e[$>Xk\nXp
Tengine R,T, die Nginx direkt an Da-

9iXe[jZ_lkq
tenbanken und Caches wie Redis oder
Memcache anbinden und um Lua-Sup-
port erweitern. Downloads der stabilen
und Entwicklerversionen finden sich auf
Re^`eo%fi^T; aktuell sind 1.2.8 (stable)
|Y\i[`\C\`jkle^\e[\jE^`eo$N\Yj\im\ijnli[\jZ_fem`\c^\i\[\k% und 1.3.16 (development).
Die Dokumentation im Wiki R-T ist um-
N\e`^\iY\bXeekj`e[j\`e\=€_`^b\`k\eY\`dCfX[YXcXeZ`e^#Xcj[peX$ fassend, alle Optionen des Cores und
d`jZ_\i:XZ_\le[XcjN\Y8ggc`ZXk`fe=`i\nXcc%DXibljDXeqb\ vieler Drittmodule sind dort inklusive
Beispielkonfigurationen, Best-Practice-
Größere Webapplikationen bestehen Frontend erfüllen kann: Loadbalancing Guides und Howtos zu finden. Die Mai-
meistens aus mehreren Komponenten, und Hot Standby für Application Server, lingliste steht Neueinsteigern und Hard-
zum Beispiel Frontend, Application Ser- Reverse Proxy, Static Server, Web/Proxy core-Anwendern gleichermaßen mit Hilfe
ver und Daten-Backends. Dabei über- Cache, SSL Offload und SNI, Header Clea- zur Selbsthilfe zur Verfügung. Selbst Igor
nehmen Frontends einen Großteil der nup, Web Application Firewall. Nginx ist Sysoev, der Hauptentwickler von Nginx,
Verarbeitung von Anfragen und können vor jeder Application-Server-Infrastruktur antwortet hier ab und zu auf technisch
mit richtigem Setup und Tuning dafür einsetzbar, die via HTTP(S) angespro- anspruchsvolle Fragen.
sorgen, dass die Zugriffszeiten verkürzt, chen wird, bestehende Setups lassen sich
die dahinterliegenden Application Server einfach erweitern (8YY`c[le^)). CfX[YXcXeZ`e^
entlastet und vor unberechtigten Zugrif-
fen geschützt werden. E\ld`kJG;P Loadbalancer sorgen für die Verteilung
Nginx hat sich in kurzer Zeit einen festen von Anfragen auf dahinterliegende Server
Stammplatz in diesem Ensemble erar- Neben dem Neueinlesen der Konfigura- oder Dienste. Nginx bringt dazu mehrere
beitet und kann als Reverse Proxy, Sta- tion via »HUP«-Signal kann man auch das Module mit, die die Last nach verschie-
tic Server und Loadbalancer auftreten. Nginx-Binary im laufenden Betrieb ohne denen Kriterien verteilen. Die Loadba-
Die freie Software überzeugt dabei mit Verbindungsabbrüche austauschen R)T. lancer-Funktionen aus dem Upstream-
Performance, Stabilität und geringen An- Das neue SPDY-Protokoll ist in Nginx ab Modul lassen sich gut an die eigenen
forderungen an Ressourcen. Ungefähr 30 Version 1.3.15 implementiert und wird Gegebenheiten anpassen. So können die
Prozent der Top-10 000-Webseiten profi- wahrscheinlich in die stabile Version 1.4 Anzahl der Fehlversuche und die Time-
tieren schon davon R(T (8YY`c[le^(). integriert werden, die im Mai zu erwarten outs für jeden Server im Loadbalancer-
Die folgende Liste gibt einen kleinen Ein- ist. Für ältere Versionen des 1.3-Zweigs Verbund einzeln eingestellt werden. Auch
blick in die Funktionen, die Nginx als gibt es einen Patch R*T. eine Gewichtung der einzelnen Server ist

*) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


E^`eole[EXoj` N < 9 $J <: L I @ K P

8YY`c[le^(1M\iYi\`kle^mfeE^`eo`d=\YilXi)'(*% 8YY`c[le^)19\`jg`\c$J\klgd`kE^`eoXcj=ifek\e[%

möglich. Im Fehlerfall lassen sich ein- sich in Nginx mit einem externen Modul erreichen. Der Single Point of Failure
zelne Server aus dem Verbund als inak- realisieren R.T; die oben erwähnten Kon- bleibt beim Loadbalancer, solange dieser
tiv (down) kennzeichnen. Fehlerseiten figurationsoptionen können weiterhin nicht ausfallsicher gemacht wird.
können abgefangen und umgeleitet wer- genutzt werden. Der Administrator kann Ein Standard-Anwendungsfall für ein
den. Auch eine Konfiguration von Hot- die Gewichtung der einzelnen Server mit Frontend ist die Reverse-Proxy-Funktiona-
Standby-Servern, die aktiv werden, wenn dem »weight«-Parameter anpassen und so lität, also das Weiterleiten vom Frontend
andere Server ausfallen, ist möglich. C`$ zum Beispiel Servern mit besserer Perfor- an dahinterliegende Backend-Systeme.
jk`e^( zeigt ein Beispiel für eine solche mance mehr Anfragen zuweisen. Dieser Das Proxy-Modul umfasst insgesamt
Konfiguration. Parameter darf zusätzlich zu allen oben mehr als 40 Konfigurationsoptionen, die
erwähnten Optionen benutzt werden. unter R/T zu finden sind. Webserver-
CXjkm\ik\`cle^ Standards wie Rewrite-Regeln oder Htac-
?fkJkXe[Yp cess beherrscht Nginx natürlich auch.
Die Lastverteilung des Loadbalancers Wegen seiner guten Performance wird
kann nach Round Robin, Least Connec- Neben der Lastverteilung lassen sich mit Nginx häufig auch als Static Server einge-
tion oder IP Hash erfolgen. Sticky Sessi- Nginx auch Hot-Standby-Szenarien auf- setzt, der öffentlich zugängliche, statische
ons, die eine Sitzung eines Anwenders bauen. Dabei läuft eine Fallback-Instanz Ressourcen wie CSS, Javascript, Bilder,
immer auf den gleichen Knoten umleiten, mit gleicher Codebasis parallel mit, die Downloads oder Filme bereitstellt und
sind dabei möglich. Beim Round-Robin- beim Ausfall eines Hauptservers sofort die Application Server damit entlastet.
Verfahren wird die Last fortlaufend und einspringt. Durch dieses Setup lassen Je nach Einsatzgebiet gibt es dazu viel-
abwechselnd auf die dahinterliegenden sich Updates für Webanwendungen ohne fältige Tuning-Optionen, die das Auslie-
Server verteilt. Bei der Least-Connection- Downtime einspielen und insgesamt eine fern statischer Inhalte optimieren. Neben
Methode leitet Nginx die Anfragen an höhere Verfügbarkeit für kleine Systeme OS-/Dateisystem-Optionen wie Sendfile
den Server mit den wenigsten aktiven
Verbindungen weiter. Lastverteilung nach C`jk`e^(1CfX[YXcXeZ\i$Bfe]`^liXk`fe
dem IP-Hash-Verfahren ist nur in einigen 01 upstream backend { 13
02 server backend1.example.com weight=5; 14 server {
Fällen sinnvoll und sollte bei öffentlich
03 server backend2.example.com max_fails=5 15 ...
erreichbaren Diensten nicht angewandt
fail_timeout=10s; 16 proxy_intercept_errors on;
werden.
04 server backend3.example.com; 17 ...
Session-Stickyness ist meist dort gefor- 05 server backend4.example.com down; 18 location / {
dert, wo interaktive Webapplikationen 06 server backend5.example.com backup; 19 ...
und Loadbalancing zusammenkommen. 07 } 20 error_page 502 @fallback;
Hierbei wird User X, der sich auf Server Y 08 21 proxy_next_upstream http_500 http_502
eingeloggt hat, vom Loadbalancer immer 09 upstream fallback { http_503 http_504 timeout error invalid_header;

an diesen Server weitergeleitet, bleibt 10 server fallback1.example.com:8081; 22 proxy_pass http://backend;


11 } 23 ...
also auf diesem Server für die Zeit der
12 24 }
Session „kleben“. Sticky Sessions lassen

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * **


N < 9 $J <: L I @ K P E^`eole[EXoj`

können auch Expires-Zeiten global oder 1 GByte mit einer Verfallszeit von fünf austreiben, sich unbedingt mit Version
dateibasiert gesetzt und der ausgehende Minuten komplett in den RAM-Speicher und womöglich geladenen Modulen zu
Traffic komprimiert werden. Für Nginx gelegt. melden.
gibt es zwei Module, die den Einsatz als Durch diese Maßnahme werden 99 Pro-
Streaming-Server für Videos (mp4/m4v/ zent der Anfragen direkt aus dem Cache EXoj`
m4a/flv) ermöglichen, auch das schnelle beantwortet, während das dahinter lie-
Vorspulen (Seek) ist dabei möglich. gende Webserver-Konstrukt aus Apache, Seit 2011 gibt es das Naxsi-Modul R('T,
PHP und MySQL bei einer Load von 0,01 das Nginx zu einer Web Application
:XZ_`e^ ausruhen konnte. Performance-Tests auf Firewall (WAF) macht. Das Projekt be-
dem Cache ergaben 100 000 Requests/ findet sich noch in der Entwicklung, wird
Ein weiteres Schmankerl von Nginx ist Sekunde bei 1000 parallelen Requests, aber bereits produktiv eingesetzt und bie-
die Möglichkeit, Antworten der Backends ohne dass sich die Grundlast des Ser- tet jetzt schon vielversprechende Funk-
in einem Cache zwischenzuspeichern vers nennenswert verändert hätte. Damit tionen, um Webserver vor Skriptkiddies,
und bei der nächsten Anfrage diese Res- kann selbst ein kleiner Denial-of-Service- Scannern und sonstigen automatisierten
source aus dem Cache auszuliefern. Der Angriff schon Mal unbemerkt ins Leere Tools, die rund um die Uhr auf der Suche
Cache kann auf URL-Parametern beru- laufen. nach dankbaren Opfern sind, zu schüt-
hen, die auf Wunsch die Query-Parame- zen. Mit Nginx als Grundlage lässt sich
ter einschließen. Somit lassen sich auch >\q`\ck\I\`e`^le^ Naxsi als hochperformante Standalone-
dynamische Abfragen der Art »/index. WAF betreiben. Für Debian steht Nginx
do?arg1=hello&arg2=world« zwischen- Eine weitere Funktion, die sich mit dem inklusive Naxsi in den Backports als In-
speichern. Den Cache kann man sehr gut Zusatzmodul Cache Purge R0T realisieren stallationspaket bereit, doch auch das
dazu verwenden, stärker frequentierte lässt, ist die Möglichkeit, den gesamten Selbstkompilieren auf dem Nginx-Weg
Portale oder Content-Management-Sys- Cache oder nur Teile davon zu leeren. ist problemlos.
teme zu beschleunigen. Wenn die Inhalte Damit kann man App-seitig den Caching- Naxsi bringt ein eigenes Core Ruleset mit
sich nicht im Sekundentakt ändern, führt Server steuern und bei Änderungen die und ist mit anwenderspezifischen Regel-
der Cache in Peak-Zeiten zu einer spür- Cache-Inhalte mit dem nächsten Request sätzen erweiterbar. Die Konfiguration fin-
baren Entlastung der dahinterliegenden neu aufbauen lassen. So lassen sich ideal det innerhalb des Nginx-Kontexts statt.
Server. APIs cachen, deren Antworten durch Durch Scores für einzelne Regeln und an-
Der Autor hat Nginx zur Optimierung GET-Parameter beeinflusst und nicht passbare Grenzwerte für Block-Aktionen
des Hauptportals eines großen deutschen ständig neu generiert werden müssen. lässt sich die WAF an unterschiedliche
Vergnügungsparks eingesetzt, das wäh- C`jk`e^) zeigt ein Beispiel einer Proxy- Umgebungen und Webapplikationen an-
rend der Saison im Schnitt pro Tag 30 000 Konfiguration. passen.
Anwender besuchen. In Peak-Zeiten ru- Nginx bietet natürlich auch SSL-Ver- Naxsi kann verschiedene Werte wie
fen die Website aber einige Stunden lang schlüsselung und kann via SNI (Server URLs, Request-Parameter, Cookies, Hea-
mehrere tausend Besucher je Minute auf Name Indication) mit mehreren Zerti- der oder den POST-Body einzeln oder in
und treiben den Server dadurch regelmä- fikaten pro Server umgehen. Weiterhin Kombination überprüfen und lässt sich
ßig an die Grenze der Leistungsfähigkeit. lassen sich HTTP-Header manipulieren auf Location-Ebene in der Nginx-Konfi-
Nginx wurde als Caching-Server vorge- oder unterdrücken und damit zu rede- guration an- oder abschalten. Die auto-
schaltet und der Cache mit insgesamt freudigen Application-Servern die Unsitte matische Whitelist-Erstellung hilft dabei,
die Firewall vor beliebigen Applikationen
C`jk`e^)1Gifop$:XZ_\$Bfe]`^liXk`fe einzusetzen und dabei False-Positives zu
01 server { 15 proxy_ignore_headers Set-Cookie; 100 Prozent auszuschließen. Weitere
02 16 proxy_ignore_headers Cache-Control;
Tools wie NX-Utils und Doxi erleichtern
03 proxy_cache_path /srv/cache/nginx levels=1:2 17
Administration, Reporterstellung und
keys_zone=cache:50m inactive=10m max_size=500m; 18 }
Ruleset-Updates.
04 19
05 20 location /nocache/ {
06 location / { 21 EO$Lk`cj
07 proxy_pass http://backend; 22 proxy_cache off;
08 proxy_cache cache; 23 Naxsi ist als Modul in Nginx implemen-
09 proxy_cache_key cache$request_ 24 } tiert und als solches auch standalone ar-
uri$is_args$args; 25 beitsfähig, bringt aber die NX-Utils mit,
10 26 location ~ /purge(/.*) { die für die Whitelist-Generierung und
11 proxy_cache_valid 200 302 60m; 27 allow 127.0.0.1; Reports sehr sinnvoll sind. Zum einen
12 proxy_cache_valid 404 1m; 28 deny all;
gibt es den Intercept-Modus, der es Naxsi
13 proxy_cache_use_stale error timeout 29 proxy_cache_purge cache cache$1$is_
erlaubt, die von der WAF geblockten Re-
invalid_header updating; args$args;
quests für spätere Reports und Whitelists
14 30 }
in einer Datenbank zu speichern, und den

*+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Deployment
ohne Rennerei

      
Stellen Sie heterogene Infrastrukturen bereit und
     ! "##$#
%&#  ' 

 ()*

 + ,&- %&#- ##

Alle Ressourcen und Tools für Ihr erfolgreiches Deployment



  
stehen Ihnen online zur Verfügung (inklusive .ISO-Image):
www.technet.de/toolbox

. /012 3## #&##  4 #


8;D@E$D8>8Q@E
@DA8?I<J$89F
GiXbk`jZ_Xen\e[YXi\jN`jj\ele[Xlj]•_ic`Z_\
?`ek\i^ile[Y\i`Z_k\]•iXcc\@K$8[d`e`jkiXkfi\e
mfeC`elo#Le`ole[N`e[fnj%
JETZT ZUGRSEPIF EN
UND ÜBER 15% AREN!

@?I<MFIK<@C<
• -8lj^XY\e`dAX_i=i\`?Xlj
• `ebclj`m\-8;D@E$Jg\Z`Xcj
lek\iXe[\i\dql@Gm-le[JJ; 
XcjG;=$;fnecfX[`dN\ikmfe
•Y\i*,<lif

J@:?<IEJ@<J@:?@?I
>I8K@JDLCK@KFFC
A\kqkXYfee`\i\e1
nnn%X[d`e$dX^Xq`e%[\&XYf
Gi`ekXYf+0#0'<lif#[`^`kXc\j8Yfeli++#0'<lif
›K\c\]fe'.(*(&).'.).+›=Xo'.(*(&).'../-'(›<$DX`c1XYf7X[d`e$dX^Xq`e%[\›
E^`eole[EXoj` N < 9 $J <: L I @ K P

Report-Modus, der die gespei- VAR:Cookie«, »$HEADERS_


cherten Events grafisch dar- VAR:Content-Type«, »$HEA-
stellt. Die NX-Utils befinden DERS_VAR:Connection«,
sich gerade im Umbau und »$HEADERS_VAR:Accept-En-
werden in einer späteren Ver- coding«.
sion bessere Reportaufberei- Der Score gibt an, mit wel-
tung und Filter bereitstellen, chem Wert das jeweilige Event
um die WAF-Events genauer bedacht wird. So lassen sich
analysieren zu können. Signaturen erstellen, die für
sich alleine noch nicht dazu
Df[`1C`m\mj% führen, dass die Firewall die
Verbindung blockert, sondern
C\Xie`e^ erst in der Summe mit ande-
Naxsi kann in zwei Modi be- ren Events. Scores und Check
trieben werden: Live und Lear- Rules lassen sich frei konfigu-
ning (8YY`c[le^*). Wie jede rieren und erweitern.
WAF oder IDS, die im Zweifel C`jk`e^ * zeigt ein Beispiel
Anfragen blocken, muss Naxsi für ein Naxsi-Regelset. Regel
für die jeweilige Applikation 1 in Zeile 1 prüft, ob die ge-
angepasst werden. Man weiß 8YY`c[le^*1Eli`dC`m\$Df[ljYcfZb`\ikEXoj`m\i[€Z_k`^\8e]iX^\e%;\i gebene URL aufgerufen wird.
aus Sysadmin-Sicht nie, mit C\iedf[lj_`c]kY\`[\iQljXdd\ejk\ccle^mfeI\^\ce% Suchpattern ist ein String. Der
welchen Schandtaten der UWA-Score wird um 8 erhöht,
Entwickler zu rechnen ist: So sind zwei einem Kurztext (»msg«), der Match Zone wenn die Regel zutrifft. Die Regel 2 testet,
KByte große Cookies, in denen Daten (»mz«), dem Score (»s«) und der Unique ob die gegebene Regular Expression im
wild codiert gespeichert werden, keine ID (»id«). BODY eines POST-Requests auftritt. Regel
Seltenheit und bringen selbst erfahrene Als Suchpattern sind Strings und Regular 3 prüft, ob der Authorization-Header die
WAF-Admins schnell an den Rand des Expressions erlaubt, wobei Strings aus gegebene Zeichenkette (Base64-encodier-
Wahnsinns. Für diese Fälle gibt es den Performance-Gründen im Allgemeinen tes Passwort »admin«) enthält, wenn die
Lernmodus, der es erlaubt, hinter einer zu bevorzugen sind. Match Zones kenn- URL »/manager« aufgerufen. Regel 4 tes-
Htaccess-geschützten Test-Domain die zeichnen die Bereiche eines Requests, in tet dann, ob der gegebene String (RFI) in
Applikation komplett durchzutesten und denen Naxsi nach den definierten Pattern den Request-Parametern, BODY oder im
aus den Abfragen und Events passende sucht. Match Zones sind kombinierbar Cookie vorkommt, egal es ein ob GET-
Whitelists zu generieren, die man dann und können über folgende Werte defi- oder POST-Request ist. Schließlich prüft
im Live-Betrieb in eine scharfgeschaltete niert werden: Regel 5, ob der gegebene String in URL,
WAF einspeist. ■ »URL«: Prüft auf das Suchpattern in BODY, ARGS oder im Cookie vorkommt.
Im Lernmodus werden Anfragen zwar der URL (Server-Pfad).
registriert, aber nicht geblockt. Da jede ■ »ARGS«: Sucht das Pattern in Request- :fi\Ilc\j\k
Anfrage legitim ist, können aus den False Argumenten.
Positives Whitelists generiert werden, die ■ »FILE_EXT«: Testet den Dateianhang Naxsi bringt ein eigenes Core Ruleset mit,
im Live-Betrieb dafür sorgen, dass dort auf das Suchmuster. das generische Signaturen gegen SQL In-
die False Positives nicht auftreten. ■ »BODY«: Prüft im Body eines POST- jections (SQLi), Remote File Inclusions
Wenn man Naxsi als Web Application Requests auf das Suchpattern; kann (RFI), Directory Traversal, Cross Site
Firewall vor Webapplikationen einsetzt, über »$BODY_VAR:VarName« weiter Scripting (XSS) und einige Evading-Tricks
die einen hohen Grad an Agilität aufwei- eingegrenzt werden. enthält und zuverlässig vor der Ausnut-
sen und sich laufend in Funktion und Um- ■ »HEADERS«: Sucht das Suchpattern zung eventueller Schwachstellen schützt.
fang ändern, muss man den Lernmodus im Header eines Requests und kann Die Standardinstallation hat im Test bei-
und die daraus entstehenden Whitelists weiter eingegrenzt werden: »$HEA- spielsweise alle Mod-Security-Bypasses
in den Deployment-Prozess integrieren. DERS_VAR:User-Agent«, »$HEADERS_ von Trustwaves Mod-Security-Challenge

C`jk`e^*1EXoj`$I\^\ce
I\^\ce 01 MainRule "str:/manager/html/upload" "msg:DN SCAN Tomcat" "mz:URL" "s:$UWA:8" id:42000217 ;

Die Naxsi-Regeln sind einfach im Auf- 02 MainRule "rx:type( *)=( *)[\"|']symbol[\"|']" "msg:DN APP_SERVER Possible RAILS - Exploit using
type=symbol" "mz:BODY" "s:$ATTACK:8" id:42000233 ;
bau, flexibel im Handling und um eini-
03 MainRule "str:basic ywrtaw46ywrtaw4=" "msg:APP_SERVER Tomcat admin-admin credentials" "mz:$URL/
ges einfacher strukturiert als etwa die
manager|$HEADERS_VAR:Authorization" "s:$ATTACK:8" id:42000216 ;
Apache-Mod-Security- oder Snort-Rules.
04 MainRule "str:http://" "msg:http:// scheme" "mz:ARGS|BODY|$HEADERS_VAR:Cookie" "s:$RFI:8" id:1100;
Die Regeln bestehen aus einem Designa- 05 MainRule "str:/*" "msg:mysql comment (/*)" "mz:BODY|URL|ARGS|$HEADERS_VAR:Cookie" "s:$SQL:8" id:1003;
tor, einem Suchpattern (»str« oder »rx«),

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * *.


N < 9 $J <: L I @ K P E^`eole[EXoj`

erkannt und geblockt R((T. Das Core Rule- Whitelist-Regeln sind ähnlich wie die De- Rules R()T für Naxsi entwickelt, die den
set, bestehend aus circa 50 Regeln, sollte tection-Regeln aufgebaut. Der Designator Ansatz verfolgen, bekannte Angriffe zu
immer geladen werden, auch wenn aus »BasicRule« ist vorgeschrieben, danach blocken. Die Doxi-Regeln erkennen eine
diesem Bereich die meisten False Positi- folgt die Rule-ID, für die die Ausnahme Vielzahl an Scans nach aktuellen oder
ves zu erwarten sind. gelten soll, gefolgt von der Match Zone: älteren Lücken wie der Wordpress-Tim-
Bei Webseiten mit hohem Interaktionspo- Thump-RFI R(*T und bieten einen guten
BasicRule wl:1000 "mz:$URL:/dontpanic/index.5
tenzial wird Naxsi anfänglich jede Menge php|$ARGS_VAR:topic";
Schutz gegen Skriptkiddies und automa-
False Positives erzeugen. Für diesen Fall BasicRule wl:1005 "mz:$URL:/lib/exe/fetch.php5 tisierte Angriffstools.
gibt es die Möglichkeit des Whitelistings. |$ARGS_VAR:media"; Dazu wurden 200 Webserver-spezifische
Die Whitelists gelten jeweils Location- Regeln aus den Emerging-Threats-Rule-
basiert, das heißt, man kann für unter- Naxsi lässt sich auf Location-Level jeweils sets in das Naxsi-Format konvertiert, die
schiedliche Bereiche oder Webapps auf zu- oder abschalten, selbst der Parallelbe- via Sourcecode Repository frei verfügbar
einem Server jeweils eigene Konfigu- trieb von Lernmodus und Livemodus für sind. Angelehnt an Emerging Threats gibt
rationen pflegen. Die Whitelists lassen verschiedene Locations ist möglich. Die es folgende Regelsätze: »web_server.ru-
sich einfach in einer Datei speichern und Konfiguration von Naxsi geschieht in drei les«, »scanner.rules«, »app_server.rules«,
dann via Include laden. Schritten: Zuerst definiert der Adminis- »web_apps.rules« und »malware.rules«.
trator auf HTML-/Server-Level die zu la- Ähnlich wie bei Emerging Threats wer-
C`jk`e^+1¾c\Xie`e^$df[\%ilc\j½ denden Regelsätze. Im Location-Kontext den Signaturen eingepflegt, wenn neue
01 #LearningMode; #Enables learning mode wird die Firewall dann ein- und ausge- Sicherheitslücken in populären Apps
02 SecRulesEnabled;
schaltet oder in den Lernmodus versetzt. oder Servern auftreten, und dann über
03 #SecRulesDisabled;
Schließlich geben die Check Rules an, ab Naxsi-Mailingliste und das Doxi-Blog be-
04 DeniedUrl "/RequestDenied";
welchem aufsummierten Score-Wert die kannt gegeben.
Firewall den Request blocken soll. Die
C`jk`e^,1:_\ZbIlc\j
01 CheckRule "$SQL >= 8" BLOCK;
einzelnen Konfigurationsanweisungen ;fo`Kffcj
lassen sich in Dateien auslagern, sodass
02 CheckRule "$RFI >= 8" BLOCK;
man am Ende zu einer modularen Konfi- Um Naxsi-Installation auf dem neuesten
03 CheckRule "$TRAVERSAL >= 4" BLOCK;
guration gelangt (C`jk`e^+Y`j-). Stand halten zu können, sind die Doxi
04 CheckRule "$EVADE >= 4" BLOCK;
05 CheckRule "$XSS >= 8" BLOCK;
Tools R(+T entstanden. Damit lassen sich
06 ;fo`Ilc\j Rulesets automatisiert von einem Admin-
07 # UnWantedAccess -> see app-server.rules Rechner aus aktualisieren. Mit einem ein-
08 CheckRule "$UWA >= 8" BLOCK; Man muss nicht tatenlos zusehen, wenn fachen, fünfzeiligen Fabric-Rezept kann
09 die eigene Server-Infrastruktur Tag und der Administrator so mehrere WAFs si-
10 # Identified Attacks
Nacht durch Bots nach Lücken abgesucht multan mit neuen Regelsätzen versehen.
11 CheckRule "$ATTACK >= 8" BLOCK;
wird. Aus diesem Grund wurden die Doxi Die Doxi Tools sind produktiv nutzbar
und sollen in späteren Versionen ähnliche
C`jk`e^-1EXoj`$Bfe]`^liXk`fem`X@eZcl[\j Funktionen bereitstellen wie Oinkmaster
01 server { 10 zum Update von Snort-Sensoren.
02 ... 11 location /live/ { Da Naxsi die erkannten Events ins Nginx-
03 include /etc/nginx/doxi-rules/rules. 12 ... Errorlog schreibt, ist es mit einem kleinen
conf;
13 include /etc/nginx/doxi-rules/
04 ...
Filter möglich, die Application Firewall
active-mode.rules
05 location /dev/ { mit Fail2Ban zu verbinden und Mehr-
14 include /etc/nginx/doxi-rules/
06 ... fachversuche mit einem Ban auf IP-Ebene
local_whitelist.rules
07 include /etc/nginx/doxi-rules/ zu honorieren (C`jk`e^.).
learning-mode.rules 15 ...

08 ... 16 }

09 } 17 }
C`d`kjle[8ljYc`Zb
Naxsi befindet sich noch in der Entwick-
C`jk`e^.1=X`c)YXe$Bfe]`^liXk`fe lung, ist aber schon stabil genug für den
01 # jail.conf 11 Produktiveinsatz. Momentan wird Naxsi
02 [naxsi] 12 # filter.d/naxsi.conf um Plugin-APIs erweitert, die die Mög-
03 13 lichkeit bieten sollen, individuelle De-
04 enabled = true
14 [INCLUDES]
05 port = http,https
tektoren und Module anzuflanschen, so
15 before = common.conf
06 filter = naxsi zum Beispiel CSRF-Schutz (Cross Site Re-
16
07 logpath = /var/log/nginx/error.log quest Forgery), ladbare Black-/Whitelists
17 [Definition]
08 maxretry = 6 oder DDoS-Protection à la Roboo. Einige
09 banaction = iptables-multiport-log 18 failregex = NAXSI_FMT: ip=Host
Features fehlen bisher, etwa das Filtern
10 action = %(action_mwl)s 19 ignoreregex = learning=1
ausgehender Antworten, zeitbasierte

*/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


E^`eole[EXoj` N < 9 $J <: L I @ K P

Aufgaben möglich sind, falls doch mal


etwas schiefgehen sollte. Bei wildgewor-
denen Apachen kann das unter Linux
schnell schwierig werden.
Mit Naxsi im Gepäck bricht die Perfor-
mance von Nginx erwartungsgemäß
etwas ein, im Test auf einem Vierkern-
Server mit 2 GByte RAM um circa 30 Pro-
zent. Das Ergebnis eines entsprechenden
Benchmarks ist in 8YY`c[le^- zu sehen.
8YY`c[le^+1EXoj`$I\gfik\`e\jJ\ejfij% Weitere Infos und Benchmarks sind im
Zusammenhang mit den CeBIT-/OWASP-
Thresholds, um Brute-Force-Angriffe zu hen sind Scans nach alten Sicherheitslü- Vorträgen unter R(.T zu finden.
unterbinden, und Methodenfilterung cken (42 000 122, 42 000 089), diverse
nach GET/POST/CONNECT. Exploitscanner (42 000 227, 42 000 145, =Xq`k
42 000 181) und Versuche, via Brute-Force
C`m\$9\`jg`\c\ Sicherheitslücken zu finden, auch wenn Nginx ist ein idealer Kandidat für den
die entsprechende Software nicht instal- Einsatz als Frontend vor Application-Ser-
8YY`c[le^ + zeigt den Report einer liert ist. Im Schnitt laufen an normalen vern, egal ob auf der Basis von Apache
Naxsi-Firewall, die seit dem 15. März Tagen pro IP/Domain zwischen 50 und und PHP, Tomcat, JBoss, Rails, Django,
automatisiert von mehreren Netzen aus 150 geblockte Anfragen auf, wenn die Flask, Node.js oder »${lieblings_app-
angegriffen wurde. Ab dem 21. März wur- Angreifer-IP nach mehreren Versuchen server}«. Mit Nginx im Einsatz lassen
den auf den Firewalls die zugehörigen geblockt wurde, sonst liegt der Wert bei sich bestehende Webanwendungen im
Netze geblockt, ab dem 28. März wurden durchschnittlich 300 bis 500 Angriffen je Optimalfall um einige Größenordnungen
die gleichen Angriffe von anderen IPs Tag und IP/Domain.
aus weitergeführt, die dann 4 Tage später 8eq\`^\

wieder auf der Firewall geblockt wurden. G\i]fidXeZ\


Ab dem 8 April wurden die Provider der
zum Angriff gehörenden IP-Ranges in- Es gibt eine Reihe von
formiert, seitdem ist die Angriffstatistik Benchmarks, die Nginx
wieder auf das normale Grundrauschen mit anderen prominen-
gesunken. Der Angriff hat wertvolle Da- ten Webservern verglei-
ten geliefert und war harmlos, da per chen, siehe R(,T, R(-T.
SQL-Injections versucht wurde, mehrere Dabei behauptet sich
Dokuwiki-Instanzen zu kompromittieren. Nginx jeweils als einer
Dokuwiki arbeitet aber dateibasiert ohne der schnellsten Open-
Datenbanken, also: No SQL, No Injection. Source-Webserver.
8YY`c[le^, schlüsselt die verdächtigen Ein Server mit Nginx
Muster nach den Angriffsarten auf. bleibt normalerweise
C`jk`e^ / zeigt den kumulierten Report selbst bei hoher Last
(Doxi Result) für sechs Firewalls über noch ansprechbar, so-
einen Zeitraum von vier Wochen. Zu se- dass Login und Admin-

8YY`c[le^,18l]jZ_c•jj\cle^[\i8e^i`]]\eXZ_8ik\e%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * *0


N < 9 $J <: L I @ K P E^`eole[EXoj`

E^`eoGcX`emjE^`eo"EXoj` R('TEXoj`1R_kkg1&&Zf[\%^ff^c\%Zfd&g&eXoj`&T
*'''' R((T <i^\Ye`jj\[\iDf[$J\Zli`kpJHC@ea\Z$
k`fe:_Xcc\e^\1R_kkgj1&&Zf[\%^ff^c\%Zfd&
),'''
g&eXoj`&n`b`&EXoj`VMjVFY]ljZXk\[8kkXZb$
GXkk\iejT
)''''
R()T;fo`Ilc\j1R_kkgj1&&Y`kYlZb\k%fi^&
cXqpV[f^kfne&[fo`$ilc\j&jiZ&T
IGJ

(,'''
igj
R(*TNfi[Gi\jjK`dK_ldYI=@Mlce\iXY`c`kp
igj
lj\[Xj9fke\kI\Zil`kd\ekM\Zkfi1
(''''
R_kkg1&&\ifdXe^%qXkXq%Zfd&)'((&'0&)'&n
,'''
fi[gi\jj$k`dk_ldY$i]`$mlce\iXY`c`kp$lj\[$
Xj$Yfke\k$i\Zil`kd\ek$m\Zkfi&T
'
R(+T;fo`Kffcj1R_kkgj1&&Y`kYlZb\k%fi^&cXqpV
('' )'' *'' +'' ,'' -'' .'' /'' 0'' (''' [f^kfne&[fo`T
GXiXcc\c\Ql^i`]]\
R(,TE^`eomj%:_\ifb\\mj%8gXZ_\mj%C`^_k$
8YY`c[le^-1;\i<`ejXkq[\iN\Y8ggc`ZXk`fe=`i\nXccEXoj`Yi\djk[\eN\Yj\im\ild\knX*'Gifq\ek% kg[1R_kkg1&&nnn%n_`jg\i[Xc\%e\k&(($e^`eo
$mj$Z_\ifb\\$mj$XgXZ_\$mj$c`^_kkg[%_kdcT
beschleunigen. Dabei gilt: Je mehr Besu- R)T :fekifcc`e^E^`eo1 R(-T8gXZ_\#E^`eo#MXie`j_Xe[>$N8E1
cher eine Webseite hat, desto eher lohnt R_kkg1&&e^`eo%fi^&\e&[fZj&Zfekifc%_kdcT R_kkg1&&eYfem`e%nfi[gi\jj%Zfd&)'((&'*&
sich der Einsatz. Zusätzlich stattet Naxsi R*T J G;P]•iE^`eo1R_kkg1&&e^`eo%fi^& (+&XgXZ_\$mj$e^`eo$mj$mXie`j_$mj$^nXe&T
den Webserver mit Funktionen einer Web gXkZ_\j&jg[p&I<8;D<%kokT R(.T D8I<$jpjk\d$Gi€j\ekXk`fe\ele[$Mfi$
Application Firewall aus, ohne zuviel R+T Fg\eI\jkp1 ki€^\1
Performance einzubüßen. Mit Whitelists R_kkg1&&fg\ei\jkp%fi^&T R_kkgj1&&Y`kYlZb\k%fi^&dXi\jpjk\d&
und einer Lernfunktion der Firewall sind R,T K`dJZ_•idXee#Dfkfikle`e^#;\iN\Yj\i$ mfiki$^\$gi$j\ekXk`fe\e&jiZ&T
damit alle Voraussetzungen erfüllt, den m\iK\e^`e\#8;D@E')&)'(*
Server im Internet gegen automatisierte R-T E^`eo$N`b`1R_kkg1&&n`b`%e^`eo%fi^&DX`eT ;\i8lkfi
Exploitversuche zu schützen. (ofr) ■ R.T E^`eo$Jk`Zbp$Df[lc1R_kkg1&&Zf[\%^ff^c\% DXibljDXeqb\XiY\`k\kXcjJpjk\dXiZ_`k\bkle[
Zfd&g&e^`eo$jk`Zbp$df[lc\&T Jpjk\d\e^`e\\iY\`D8I<jpjk\d`eB`\c#\`e\d
R/T ?KKG$Gifop$Df[lc1R_kkg1&&n`b`%e^`eo%fi^& Xl]<$:fdd\iZ\le[D`kk\cjkXe[Xlj^\i`Z_k\k\e
@e]fj ?kkgGifopDf[lc\T ?fjk`e^$Lek\ie\_d\e% @e j\`e\i =i\`q\`k \ekn`$
R(T N\Yj\im\i$JkXk`jk`b\e1 R0T :XZ_\Gli^\1 Zb\ck \i N8=&@;J$J`^eXkli\e ]•i Fg\e$JfliZ\$
R_kkg1&&n*k\Z_j%Zfd&k\Z_efcf^`\j&Zifjj& R_kkgj1&&^`k_lY%Zfd&=I`:BC<&e^oVZX$ Gifa\bk\ f[\i elkqk [Xj KX^\jc`Z_k ]•i NXjj\i$
n\YVj\im\i&iXeb`e^T Z_\Vgli^\&T jgfikXl][\iFjkj\\%

C`jk`e^/1;fo`I\jlckmfej\Z_jN8=j]•i*'KX^\
01 ID | Count 23 42000169 | 86 | DN SCAN Scanner Nmap
02 ------------------------------------ 24 42000243 | 80 | DN SCAN PHPMyAdmin - Scanner
03 42000122 | 2506 | DN SCAN WP Timthumb - Access
25 1006 | 75 | mysql keyword (&&)
04 42000004 | 1209 | DN APP_SERVER CGI_file access
26 1302 | 72 | html open tag
05 42000089 | 1202 | DN WEB_APPS XMLRPC - Access detected (misc
27 42000216 | 74 | DN APP_SERVER Tomcat admin-admin login
Wordpress/Magento-Vulns)
credentials
06 42000002 | 1182 | DN APP_SERVER PHP-file-access
07 42000227 | 977 | DN SCAN Scanner ZmEu exploit scanner 28 1102 | 68 | ftp:// scheme

08 42000059 | 740 | DN WEB_APPS Possible unwanted Upload / Access To 29 42000073 | 63 | DN SCAN Python-urllib UA, possible Scanner
mm-forms-community upload dir 30 1205 | 55 | backslash
09 42000003 | 337 | DN APP_SERVER ASP_file access
31 1312 | 52 | ~ character
10 1007 | 296 | mysql comment (--)
32 42000065 | 50 | DN WEB_APPS Magento XMLRPC-Exploit Attempt
11 42000082 | 292 | DN WEB_SERVER Tomcat - Manager - Access
33 42000222 | 47 | DN SCAN Open-Proxy ScannerBot (webcollage-UA)
12 42000077 | 242 | DN WEB_SERVER LIBWWW_perl-UA detected
34 42000031 | 20 | DN SCAN Muieblackcat scanner
13 42000071 | 187 | DN WEB_APPS PHPMYADMIN setup.php - Access
14 1011 | 152 | parenthesis, probable sql/xss 35 42000043 | 8 | DN SCAN WhatWeb Web Application Fingerprint

15 42000210 | 127 | DN APP_SERVER Tomcat Auth Brute Force attempt Scanner Default User-Agent Detected
(admin) 36 42000126 | 8 | DN WEB_APPS WordPress Uploadify-Access
16 42000020 | 121 | DN APP_SERVER ASPX_file access
37 42000151 | 8 | DN SCAN Scanner whatweb
17 42000145 | 113 | DN SCAN Scanner morfeus
38 42000229 | 7 | DN APP_SERVER ColdFusion - Vuln-URL-Access
18 42000181 | 112 | DN SCAN Scanner webster pro
administrator
19 42000244 | 112 | DN SCAN PHPMyAdmin - Scanner (2)
39 42000230 | 7 | DN APP_SERVER ColdFusion - Vuln-URL-Access
20 42000253 | 110 | DN WEB_SERVER possible INC - File - Access
21 1003 | 99 | mysql comment (/*) adminapi

22 1004 | 96 | mysql comment (*/) 40 42000248 | 7 | DN SCAN SQL-Injection Scanner CZxt2

+' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


100 TB Server? Das war gestern!
1 GBit Full Flatrate - ohne Drosselung, keine Beschränkung!

Flexible Konfiguration des Servers


Volles Remote KVM Management
Tier III Datacenter in Deutschland

HP Enterprise Server L 2.0


Server HP ProLiant DL360e Gen8 IPv6 Subnetz (/64) Inkl.

CPU Intel XEON E5-2420 Betriebssysteme Debian 6.0, openSUSE 12.1,


Ubuntu 12.04,FreeBSD 9 und
Leistung 1 x 6 x 1,9 GHz Inkl. HT Neu! Windows 2012

CPU Ausbau bis 2 x 6 x 2,4 GHz Inkl. HT (19,99€ Aufpreis im Monat)


Inklusiv Leistungen 250 GB Backup-Speicher,
RAM 32 GB DDR3 ECC
Monitoring, Reset-
RAM Ausbau bis 192 GB DDR3 ECC und Rescue-System

Festplatten (7.200 rpm) 2 x 1 TB Enterprise-Edition Vertragslaufzeit 1 Monat

Festplatten Ausbau bis 4 x 3 TB Enterprise-Edition

VLANs möglich
Monatsgrundgebühr 149,99 €
Anbindung Neu! 1 GBit Full Flatrate

IPv4 Subnetz (/30) Inkl.


Einrichtungsgebühr 0,00 €

Kostenlos vorinstallierte Virtualisierungs-Lösung mit vSphere 5.1

Jetzt informieren & bestellen Tel.: 0211 / 545 957 - 330 www.webtropia.com

Windows Server 2012 powered by


PLATINUM PARTNER
N < 9 $J <: L I @ K P >i\\eJHC

Im Firewall-Modus werden nur erlaubte


Anfragen an die Datenbank durchge-
reicht, unautorisierte Queries quittiert
GreenSQL mit einer leeren Ergebnis-
menge. Die kostenpflichtigen Varianten
Activity Monitoring und Data Masking
überwachen auch, wer welche Anfragen
an die Datenbank stellt oder maskieren
bestimmte Daten, beispielsweise von
Mitarbeitern oder Kunden. In der Regel
sollten potenzielle Angreifer nicht bemer-
ken, dass sie es mit einem Proxy anstelle
des DBMS zu tun haben.

JHC@ea\Zk`fejd`k>i\\eJHCn`ibjXdYcfZb\e @eY\ki`\YeX_d\
ŸDXbjpdP\d\cpXefm#()*I=

Im Idealfall verfügen Sie über drei Rech-

J`Z_\i\9Xeb ner: einen Webserver, einen dedizierten


Server für GreenSQL und ein Daten-
bankserver. Es ist aber auch problemlos
möglich, alle Anwendungen auf einem
Rechner parallel laufen zu lassen.
JHC@ea\Zk`fejj`e[[`\_€l]`^jk\JZ_nXZ_jk\cc\mfe8en\e[le^\e#[`\ Um GreenSQL zu installieren, laden Sie
die Anwendung herunter, machen sie
•Y\ijN\Y[\i{]]\ekc`Z_b\`kql^€e^c`Z_j`e[%>i\\eJHC`jk\`en`ibjXd\j (unter Linux) mit »chmod 755 greensql.
D`kk\c[X^\^\e#[XjXcj=`i\nXccqn`jZ_\e;Xk\eYXeble[8en\e[le^m\i$ bin« ausführbar und stoßen die Instal-
[€Z_k`^\Hl\i`\jXlj]`ck\ik%=Xcbf9\ek_`e lation mit »./greensql.bin« an. Der In-
staller legt nun Gruppe und Nutzer
Datenbanken zählen für die meisten nen Schutz gegen feindliche Übernah- »greensql« an, verfrachtet alle Dateien
Firmen zu den unternehmenskritischen men eines Servers, aber SQL Injections nach »/opt«, erstellt ein Startskript und
Anwendungen. In ihnen sind oft Infor- können sie wirksam unterbinden. startet GreenSQL.
mationen über Kunden und Mitarbeiter GreenSQL R(T wird seit 2009 von der Anschließend ist die administrative Ober-
gespeichert, also nichts, was unkontrol- GreenSQL LTD mit Sitz in Israel entwi- fläche im Webbrowser über »https://Ser-
liert in die Wildnis entfleuchen sollte. ckelt. Bis zur Version 1.3 stand GreenSQL ver:5000/« erreichbar und verlangt nach
Letzteres passiert leider immer wieder; unter einer Open-Source-Lizenz R)T. einem Produktschlüssel. Ihn fordern
selbst großen Firmen, die über viel Fach- 2012 erschien die Version 2 unter einer Sie nach der für den Download nötigen
personal und eine ausgeklügelte IT-Infra- proprietären Lizenz mit einer kostenlosen Registrierung an. Wer GreenSQL nicht
struktur verfügen. Kleine Unternehmen Express-Variante, die bereits einen guten von der Herstellerseite hat, kann diesen
mit wenigen Mitarbeitern sind oft noch Basisschutz bietet. Die Firewall-Lösung Schritt jederzeit nachholen. Danach wer-
anfälliger, denn neben dem kostspieli- ist in C++ implementiert. Am Beispiel den Anwender aufgefordert, das Admin-
gen Rechnerpool fehlen auch die nötigen eines Linux-Servers mit dem freien Bi- Passwort zu ändern, bevor Sie im Dash-
Fachkenntnisse. bliothekssystem Koha soll die Variante board landen (8YY`c[le^().
GreenSQL Security genauer betrachtet Als Erstes stellen Sie eine Verbindung
Lek\iY\j\kqk werden. Die Security-Variante bietet ge- zum Datenbank-System her, bevor Sie
genüber Express zusätzlich eine Alarm- GreenSQL als Proxy aktiviren. Das ge-
Gerade in kleinen und mittelständischen und Berichtsfunktion sowie Caching. Sie schieht unter dem Menüpunkt »Databa-
Unternehmen sind oft Server anzutref- lässt sich zwei Wochen lang kostenlos ses«. Bevor die Parameter gespeichert
fen, auf denen Webanwendungen und testen. werden, können Sie mit einem Klick auf
Datenbankmanagementsysteme parallel GreenSQL wird zwischen Anwendung den Button »Check Connection« prüfen,
laufen. Fehler in der Webanwendung und Datenbankmanagementsystem ge- ob die Datenbank erreichbar ist.
können dazu führen, dass Server kom- schaltet und fungiert als Reverse Proxy Im nächsten Schritt richten Sie einen
promittiert werden oder unberechtigte beziehungsweise Datenbank-Firewall. Proxy ein, über den die zukünftige Kom-
Personen mittels SQL Injections die Da- Die Sicherheitslösung läuft unter Linux munikation mit der Datenbank läuft. Er
tenbank anzapfen; vor allem, wenn das und MS-Windows und kann die Daten- sitzt zwischen Anwendung und DBMS
Personal fehlt, um Sicherheitslücken zu bankmanagementsysteme PostgreSQL, und prüft jede Anfrage, bevor er sie an
erkennen und zeitnah zu stopfen. SQL- MariaDB, MySQL und Microsoft SQL die Datenbank weiterreicht oder verwirft.
Proxies wie GreenSQL bieten zwar kei- Server schützen. Der Proxy muss dabei auf einem anderen

+) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


>i\\eJHC N < 9 $J <: L I @ K P

Port als die Datenbank lauschen. Sind be- ger, sich einen Überblick zu verschaffen. mit der zu schützenden Anwendung ar-
reits viele Webanwendungen installiert, Eine Suche nach Schlüsselwörtern wäre beiten, füllt sich die zur Policy gehörige
wenn Sie GreenSQL in Betrieb nehmen, zwar möglich, aber in der Praxis verteilen Query Group mit einem Grundstock er-
bietet es sich an, den Port der Datenbank sich Queries oftmals über viele Dateien, laubter oder verbotener Anfragen, der
für den Proxy zu übernehmen und statt- werden dynamisch zusammengesetzt sich später noch anpassen lässt (8YY`c$
dessen dem DBMS einen anderen Port oder die Entwickler greifen auf Techno- [le^)).
zuzuweisen. logien wie Active Record oder PHP Data
Die Datenbank, in der später die zu den Objects zurück. ?•k\i[\i;Xk\eYXeb
Firewall-Regeln gehörigen Queries und
andere Daten abgelegt werden, müssen JZ_lcYXeb[i•Zb\e Um GreenSQL scharf zu schalten, sind
Sie normalerweise nicht von Hand anle- Policies der Typen »Database Firewall«
gen, da GreenSQL sie auch automatisch Um schnell an eine möglichst umfassende oder »Risk Based IDS/IPS« nötig. Die Po-
erstellt. Wer von Anfang an lieber ei- Liste erlaubter oder unerlaubter Queries licies werden wie in anderen Firewall-
gene Namen vergeben möchte, darf das zu kommen, lässt sich GreenSQL in einer Systemen von oben abgearbeitet. Sobald
natürlich tun. abgesicherten Umgebung im Lernmodus eine Vorgabe greift, wird sie akzeptiert
Sind die Datenbank verbunden und der betreiben. Unter »Database Security | Po- und der Vergleichsprozess abgebrochen.
Proxy erstellt, erfordern vielleicht noch licy« legen Sie eine neue Policy vom Typ Das bedeutet, wer nur einige Anfragen
die Datenbankanwendungen kleine An- »Learning Mode« an und verknüpfen sie verbieten aber ansonsten alles erlauben
passungen, etwa, wenn der Proxy einen auf Wunsch gleich mit einer Datenbank. möchte, sollte die Verbotsregel an den
anderen Port als ehemals die Datenbank Die erlernten DB-Anfragen werden wäh- Anfang setzen. Wer dagegen lieber alles
verwendet. Hier reicht es aus, in den rend des Lernprozesses in einer Query- verbietet und nur wenig erlaubt, verfährt
Konfigurationsdateien der einzelnen An- Group gespeichert, die Sie gleich aus dem genau andersherum.
wendungen Port und Server des DBMS Formular heraus erstellen können. Eine Die Firewall gestattet oder sperrt den
zu ändern. Query-Group darf Queries aller Proxies Zugriff auf die Datenbank anhand von
Vorsicht ist mit dem beliebten Localhost und Datenbanken enthalten oder sich auf Query- oder Table-basierenden Regeln.
auf Linux-Systemen geboten, wenn Proxy ausgewählte Instanzen beschränken. Sie Die Queries wurden beispielsweise zu-
und Anwendung parallel auf einem Ser- kann jederzeit geändert werden. sammengetragen, während GreenSQL im
ver laufen. Hier werden oftmals Unix- »Source IP«, »Database User« und »Ap- Lernmodus lief, aber sie können auch
Sockets eingesetzt, die GreenSQL nicht plication« helfen, die Flut der Anfragen manuell eingegeben oder aus dem Log
berücksichtigt. Dann fliegen die Queries einzudämmen. Mit dem Punkt »Sche- übernommen werden.
unter dem GreenSQL-Radar und wer- dule« schränken Admins die Zeit ein, in Auch Firewall- und IDS-/IPS-Policies
den nicht geprüft. Ersetzt man »local- der eine Regel gültig ist. Denkbar wäre lassen sich durch zusätzliche Einschrän-
host« durch 127.0.0.1, sollte alles wie beispielsweise, dass nur während der Ge- kungen verfeinern. Bedient ein Server
gewünscht funktionieren. schäftszeiten überhaupt der Datenbank- mehrere Rechner, können IPs oder ganze
Während die erlaubten Queries bei selbst zugriff erlaubt ist. IP-Bereiche ausgeschlossen werden. Das
entwickelten Datenbankanwendungen Nun geben Sie noch einen Zeitraum an, Gleiche gilt für Nutzer, Anwendungen
prinzipiell bekannt sind, ist es bei erwor- innerhalb dessen GreenSQL die erlaubten und Zeiten, in denen eine Regel gelten
benen Anwendungen deutlich schwieri- Queries lernen soll. Wenn Nutzer jetzt soll. Entsprechende Einträge werden un-

8YY`c[le^)1@e\`e\i`e`k`Xc\eC\ieg_Xj\n`i[>i\\eJHCd`kle \icXlYk\e
8YY`c[le^(1;Xj;Xj_YfXi[mfe>i\\eJHCY`\k\k\`e\eld]Xjj\e[\e|Y\iYc`Zb% Hl\i`\jY\bXeek^\dXZ_k%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * +*


N < 9 $J <: L I @ K P >i\\eJHC

8YY`c[le^+1@dI`j`bfgif]`c[•i]\e8[d`ej]\`eXY^\jkl]k]\jkc\^\e#n\cZ_\;9$
Fg\iXk`fe\e\icXlYkj`e[le[n\cZ_\e`Z_k%
8YY`c[le^*19\`le\icXlYk\8e]iX^\ec`\]\ik>i\\eJHC\`e\c\\i\<i^\Ye`jd\e^\#
bXggk[`\M\iY`e[le^qli;Xk\eYXebf[\igi€j\ek`\ik\`e\=\_c\id\c[le^% Datenbankoperati- Dank umfangreicher Logging-Funktionen
onen, die Server, können Sie bei Problemen schnell fest-
ter »Database Security | Objects« vorge- Sicherheit oder Datenbanken betreffen. stellen, wo der Schuh drückt. Im Falle des
nommen. Dazu zählen unter anderem, aktive Pro- Bibliothekssystems Koha hatte GreenSQL
Während es bei erlaubten Queries nicht zesse oder Logs abzufragen, Passwörter mit der Anweisung »set autocommit=1«
viel zu beachten gibt, darf der Adminis- und Privilegien zu ändern, Datenbanken Schwierigkeiten, die dazu führten, dass
trator bei zu sperrenden Anfragen selbst und Tabellen auszugeben oder Informa- Koha den Dienst mit einer Fehlermeldung
entscheiden, wie GreenSQL sich verhal- tionen zu Datenbankschemata abzurufen quittierte. Die Lösung bestand darin, das
ten soll. Wahlweise wird eine leere Ergeb- (8YY`c[le^+). Log auszuwerten und GreenSQL die ent-
nismenge zurückgeliefert, die Verbindung sprechende Query beizubringen. Für das
zur Datenbank geschlossen oder ein SQL- Cf^^`e^le[9\i`Z_k\ manuelle Lernen gibt es zwei Wege. Ent-
Fehler ausgegeben. Eine leere Ergebnis- weder Sie fügen die Query unter »Data-
menge dürfte den gemeinen Nutzer am GreenSQL ist in der Lage, den Adminis- base Sequrity | Query Groups | Learned
wenigsten verwirren (8YY`c[le^*). trator bei verschiedenen Ereignissen zu Patterns« über den Punkt »Create New«
benachrichtigen. Dazu zählen beispiels- hinzu oder klicken auf den betreffenden
>i\\eJHCXcj@;J weise Änderungen an den Systemeinstel- Eintrag im Log und ordnen das Pattern
lungen, Einbruchsversuche oder Verstöße einer Query Group zu.
Als IDS oder IPS wird GreenSQL zusam- gegen Firewall-Regeln. Um die Funk- GreenSQL loggt nicht nur Traffic und Ein-
men mit einem Risiko-Profil betrieben. tionalität zu aktivieren, sind unter dem bruchsversuche. Die Software gibt auch
Hier entscheiden nicht die Queries da- Punkt Alerts Kontaktlisten und SMTP- Informationen zu Effizienzstatistiken,
rüber, ob eine Anfrage erlaubt ist, son- Server einzurichten. Die Benachrichti- Systemereignissen oder den populärs-
dern die ausgeführte Aktion. Je nach gung selbst ist ebenso leicht konfigurier- ten Queries aus. Neben eigenen Logfiles
Konfiguration blockiert das IDS die Da- bar wie der Rest der Firewall-Lösung. sendet es auf Wunsch auch ausgewählte
tenbankverbindung und informiert einen Neben einem aussagekräftigen Namen Meldungen an den Syslog-Daemon, um
Administrator über den mutmaßlichen sind der Typ des Alarms und ein Inter- sie zum Beispiel mit einem Monitoring-
Einbruchsversuch. vall anzugeben. »System« informiert bei- System auszuwerten.
IDS und IPS haben gemeinsam, dass sie spielsweise über neu hinzugekommene Eine ausgefeilte Berichtsfunktion er-
SQL Injections erkennen können. Dazu oder geänderte Policies, »Traffic« über möglicht es, Informationen aus den
greifen sie auf eine von GreenSQL zu- geblockte Queries und »Intrusion« über Logs komfortabel aufzubereiten. Reports
sammengetragene Datenbank bekannter alle Queries, die einen Einbruchsversuch können beispielsweise dazu dienen, Ent-
Angriffsmuster zurück. Ferner gelten alle vermuten lassen. wicklungen zu dokumentieren oder Ent-
suspekten Anfragen als SQL Injection. Da hier schnell sehr viele Mails zusam- scheidungen zu unterstützen. GreenSQL
Sollte eine Anfrage fälschlich erkannt menkommen können, erlaubt GreenSQL hat bereits viele Berichtsarten eingebaut,
werden, kann der Administrator sie der den Versand gesammelter Meldungen. sodass Admins sofort ausgeben kön-
Query-Gruppe Injections Patterns oder Hier kommt das Intervall ins Spiel: Statt nen, welche Queries lange verarbeitet,
einer anderen Gruppe zuordnen, die mehrerer kurz aufeinanderfolgender am häufigsten angefragt oder geblockt
GreenSQL als erlaubte Anfragen akzep- Mails werden mit dieser Einstellung nur wurden und von welchen IP-Adressen
tiert. eine alle paar Minuten, Stunden oder ein- die meisten Einbruchsversuche erfolgten.
Die fein abgestuften Risiko-Profile legen mal pro Tag versandt. Wer ein Häkchen Die Berichte lassen sich als PDF oder im
Sie ebenfalls unter »Database Security« bei »Verbose« setzt, erhält von GreenSQL Excel-Format exportieren.
an. Sie sind nicht auf einzelne Queries neben der Alarmmeldung auch den SQL- Ist GreenSQL einmal eingerichtet, sollten
beschränkt, sondern beziehen sich auf Query, der sie veranlasste. Sie die Konfiguration sichern. Ein Backup

++ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


>i\\eJHC N < 9 $J <: L I @ K P

ist mit den entsprechenden Punkten un- anwendungen und führen die Liste der ben von vornherein dafür gesorgt, dass
ter »System | Backup & Restore« schnell OWASP Top Ten 2013 an R*T. sich nur Nutzer aus dem zugehörigen
erstellt. Das Backup-Passwort wird nur GreenSQL liegt in verschiedenen Vari- Netzwerk (Netmask 255.255.0.0) mit
einmal abgefragt. Hier ist es sinnvoll, anten vor. Bereits die Express-Variante dem GreenSQL-Server verbinden dürfen.
sofort nach dem Backup ein Restore bietet einen guten Basisschutz und dürfte Es ist möglich, GreenSQL ohne weitere
durchzuführen. So prüfen Sie, ob sich ausreichen, um ein Firmenblog oder mä- Firewall-Regeln nur auf einer IP-Adresse
kein Tippfehler eingeschlichen hat. Im ßig frequentierten Webshop zu schützen. anzusiedeln oder auf Localhost zu be-
Ernstfall bleiben Ihnen so böse Überra- Die kostenpflichtigen Varianten bieten schränken. Zertifikate helfen die Echtheit
schungen erspart. zusätzliche Funktionen wie Alarmierun- des Servers zu überprüfen.
gen und Berichte, behalten im Blick wer GreenSQL schützt zwar nicht vor allen
=Xq`k sich mit einer Datenbank verbindet und Unwägbarkeiten des World Wide Web,
verschleiern bestimmte Informationen. aber Angriffen auf Datenbankebene kann
Mit GreenSQL erhalten Administratoren Die Sicherheitslösung ist leicht zu in- die Sicherheitslösung einen Riegel vor-
ein Werkzeug, das vor allem bei unter- stallieren und innerhalb kurzer Zeit in schieben und so andere Sicherheitsvor-
nehmenskritischen Webanwendungen Betrieb zu nehmen. Eine umfangreiche kehrungen sinnvoll ergänzen. (ofr) ■
sinnvoll ist, die (noch) nicht intensiv auf Dokumentation hilft, wenn ein Punkt
Schwachstellen abgeklopft wurden. Dazu nicht klar ersichtlich ist.
gehören neben frei im Web erhältlichen Die Möglichkeit, Queries automatisch @e]fj
Anwendungen auch Eigenentwicklun- zu lernen, erspart Administratoren viel R(T >i\\eJHC1R_kkg1&&nnn%^i\\ejhc%ZfdT
gen, die zunächst nur als Prototypen in Arbeit und schützt davor, wichtige An- R)T Fg\eJfliZ\>i\\eJHC1R_kkg1&&nnn%
Betrieb genommen und dann doch pro- fragen zu vergessen und später hinzu- ^i\\ejhc%e\k&[fnecfX[$[fk$e\kT
duktiv weiterbetrieben wurden. SQL- und zufügen. Dadurch werden Ärger und R*T FN8JGKfgK\e)'(*1
Code-Injektionen zählen zu den höchst Gequengel seitens der Nutzer schon R_kkgj1&&nnn%fnXjg%fi^&`e[\o%g_g&
kritischen Sicherheitslücken bei Web- frühzeitig minimiert. Die Entwickler ha- KfgV('V)'(*$KXYc\Vf]V:fek\ekjT

8eq\`^\

Die heute führenden Spezialisten stammen oft aus der "Freie Software-Szene" und schulen seit
Jahren im Linuxhotel. Das erklärt die Breite und Qualität unseres Schulungsangebotes:
AJAX * Amavis * Android * Angriffstechniken * Apache * Asterisk * BaseX * BayesianAnalysis * Bind * C/C++ * Cassandra *
CiviCRM * Cloud * Cluster * ClusterFS * CouchDB * CSS3 * CUPS * Debian * DHCP * DNS * DNSSEC * Echtzeit Linux *
Embedded Linux * eXist-db * Faces * FAI * Firewall * Forensik * FreeBSD * FreeRADIUS * GeoExt * Git * Grails * GRASS *
Groovy * hadoop * Hochverfügbarkeit * HTML5 * Hudson * iSCSI * IPv6 * ITSM * Java * JavaScript * Jenkins * Kernel * KVM
* LDAP * LibreOffice * Linux * LPI * m23 * MacOSX * MapFish * Mapserver * Maven * Mikrocontroller * MVS/380 * MySQL *
Nagios * Node.js * OpenBSD * OpenLayers * OpenOffice * openQRM * OpenVPN * OPSI * OSGi * OTRS * Perl * PHP *
Postfix * PostgreSQL * Puppet * Python * QuantumGIS * R * Rails * RedHat * Routing * Request-Tracker RT * Ruby * Samba
* SAN * Scala * Scribus * Shell * Sicherheit * SNMP * Spacewalk * Spamfilter * SQL * Struts * Subversion * SuSE * TCP/IP *
Tomcat * Treiber * TYPO3 * Ubuntu * UML * Unix * Univention * Virenfilter * Virtualisierung * VoIP * WebGIS * Webservices *
Windows Autoinstall * Windowsintegration * x2go * xen * XML * Xpath * Xquery * z/OS * Zabbix * Zend

Fast 100% der Teilnehmer empfehlen uns weiter. Siehe www.linuxhotel.de

Ja, wir geben es zu und haben überhaupt kein schlechtes Gewissen dabei: Unsere Schulungen machen auch Spaß ;-)

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * +,


N < 9 $J <: L I @ K P ;i`m\$Yp$8kkXZb\e

d
=%Zf
)*I
`e#(
Z_b
Xif
\pA
\i^
ŸJ

JZ_lkqmfi;i`m\$Yp$8e^i`]]\e

JZ_lkqXlji•jkle^
BcXjj`jZ_\JZ_lkqd\Z_Xe`jd\en`\=`i\nXccjle[M`i\ejZXee\ijg`\c\eXlZ_`eQlble]k\`e\n`Z_k`^\Ifcc\#j`\
Y`\k\eXY\ib\`e\eJZ_lkqmfi;i`m\$Yp$;fnecfX[j%;fZ_[`\j\g\i]`[\K\Z_e`bn€Z_jka€_ic`Z_`d[i\`jk\cc`^\e
Gifq\ekY\i\`Z_%K_fdXjQ\cc\i
Wie einfach ist die Welt für Angreifer dar, bestehend aus Webbrowser und Bedrohung im Internet überhaupt aus.
doch heute: Wo früher mühsam Firewalls zahlreichen Plugins wie beispielsweise Ausführliche Details dazu finden sich im
und andere Schutzeinrichtungen über- dem Flashplayer, Java und Adobe Rea- Report „ENISA Threat Landscape“, er-
wunden werden mussten, genügt es der. Browser oder Plugins enthalten hältlich unter R*T.
heute, die Benutzer hinter der Firewall praktisch immer Sicherheitslücken, die
auf einen mit Malware präparierten mit speziellen auf dem Webserver in- ?\`ccfjlej`Z_\i
Webserver zu locken. Das gelingt ganz stallierten Angriffstools dann ausnutzbar
leicht, indem man entsprechende Links sind. Ziel ist es, den Client mit Malware Geradezu legendär sind inzwischen die
per E-Mail, SMS oder Instant Messenger zu infizieren, um ihn als Brückenkopf Sicherheitslücken in der Java-Laufzeitum-
verschickt. Die Kontaktdaten der poten- für den Zugang zu anderen Ressourcen gebung und damit auch im Java-Plugin
ziellen Opfer lassen sich meist problem- im Netzwerk zu missbrauchen oder um für den Webbrowser: Seit fast einem Jahr
los über soziale Netzwerke, etwa Xing, ihn einem Bot-Netz hinzuzufügen. Die kommt Java praktisch nicht mehr aus den
ausfindig machen. Und auch QR-Codes Ausnutzung der Sicherheitslücke erfolgt Schlagzeilen. Kaum liefert der Hersteller
eignen sich bestens zum Verteilen von dabei in der Regel völlig transparent und Oracle ein Sicherheitsupdate für Java,
Malware-Links, schließlich sieht der Be- vom Benutzer unbemerkt – sozusagen wird auch schon die nächste Sicherheits-
nutzer dem Code nicht an, wohin dieser im Vorbeigehen. Daher auch der Name: lücke bekannt – und sofort ausgenutzt.
sein Smartphone führt. Drive-by-Download. Nach Einschätzung Das bestätigt auch eine Studie von Web-
Die größte Schwachstelle – gleich nach der ENISA (European Network and In- sense aus dem März 2013. Sie kommt zu
dem Benutzer – stellt heute aber das auf formation Security Agency) und des IT- dem Ergebnis, dass rund 94 Prozent aller
jedem Arbeitsplatz und mobilen Gerät Branchenverbandes BITKOM, geht von installierten Java-Plugins nicht auf dem
installierte Web-2.0-Instrumentarium Drive-by-Downloads derzeit die größte neuesten Stand sind R(T. Das Bundesamt

+/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


;i`m\$Yp$8kkXZb\e N < 9 $J <: L I @ K P

für Sicherheit in der Informationstechnik Als Ausgangsbasis benötigt der Angreifer auf einer seriösen Website Schadcode
(BSI) empfiehlt daher schon länger, Java zunächst einen Webserver. Diesen mietet einzufangen, ist also sehr hoch. Darü-
im Browser zu deaktivieren oder besser er entweder selbst bei einem der zahlrei- ber hinaus sind Webapplikationen, die
gleich vollständig zu deinstallieren R)T. chen Hosting-Anbieter oder in der Cloud Sicherheitslücken enthalten, auch bes-
an oder er schleust seinen Code über tens dokumentiert. Daher lassen sich ver-
;i`m\$Yp$JgXd gehackte FTP-Zugangsdaten oder über wundbare Webserver auch leicht aufspü-
Sicherheitslücken in einer Webapplika- ren. Bevorzugte Angriffsziele sind dabei
Analog zum Drive-by-Download kursiert tion eines bestehenden und möglichst immer wieder veraltete PHP-Versionen
zwischenzeitlich auch Drive-by-Spam, attraktiven Webangebots ein. Letzte- oder Content-Management-Systeme wie
der den Computer auch ohne Umweg res erfordert auf Seiten des Angreifers Wordpress, Typo3 und Joomla. Sehr in-
über den Webbrowser mit Schadcode zwar einen höheren Skill-Level, denn tensiv mit der Sicherheit von Webappli-
infizieren kann. Drive-by-Spam-E-Mails zunächst müssen die Schwachstellen in kationen beschäftigt sich das Open Web
kommen in der Regel im HTML-Format der Webapplikation ja identifiziert und Application Security Project OWASP
daher, der Schadcode wird dann mit Hilfe ausgenutzt werden. Aber der Aufwand R-T, das alljährlich eine Top-10-Liste mit
von Javascript bereits während der Vor- lohnt sich, denn je nach Attraktivitiät den häufigsten Sicherheitslücken und
schauanzeige im E-Mail-Programm auf und Bekanntheitsgrad des Webangebots, Schwachstellen in Webapplikationen
dem Client nachgeladen. lassen sich auf diese Weise natürlich we- veröffentlicht.
Anders als bei klassischer E-Mail-Mal- sentlich schneller viele Opfer finden – zu-
ware und Phishing-E-Mails, muss der mal infizierte Websites zwischenzeitlich B\`eDXe^\cXeKffcj
Benutzer hier also weder ein Attachment auch durch SEO-Poisoning (Suchmaschi-
öffnen oder ausführen. Er muss auch nenoptimierung für die optimale Plat- An frei verfügbaren Tools zur Vorberei-
nicht aktiv auf einen Link klicken. Statt- zierung von Malware-Sites) schnell weit tung eines Webserver-Angriffs herrscht
dessen wird die Malware schon durch oben in den Suchergebnissen von Google wahrlich kein Mangel. So offerieren Ha-
bloßes Öffnen der Nachricht im E-Mail- & Co auftauchen. cking-Werkzeugkästen wie zum Beispiel
Programm aktiviert. die Live-CDs Backtrack oder Kali-Linux
Wo immer möglich sollte daher die Vor- C•Zb\e`eN\YXggc`bXk`fe\e R.T, R/T in der Sektion Webapplikationen
schauanzeige von HTML-Nachrichten im zahlreiche Programme, die in der Lage
E-Mail-Client deaktivert werden. Dass Die wenigsten Benutzer befürchten, sich sind, Typ und Schwachstellen verschie-
diese Angriffsmethode derzeit sehr po- auf einer bekannten Website mit Schad- dener Content-Management-Systeme zu
pulär ist, belegt nicht zuletzt eine Sta- code zu infizieren. Dabei sieht die Re- erkennen. Mit Tools wie dem dort eben-
tistik des Managed-E-Mail-Security-An- alität ganz anders aus: So berichtet der falls verfügbaren »sqlninja« wird dann
bieters Eleven vom Oktober 2012. Nach Websense Threat Report 2012 R,T bei- der eigentliche Angriff auf das CMS oder
Erkenntnissen von Eleven verlinkt heute spielsweise, dass 82 Prozent der bösarti- dessen Datenbank ausgeführt.
bereits jede zehnte Spam-E-Mail auf gen Webseiten inzwischen auf kompro- Seit vielen Jahren sind auf diversen Unter-
Malware R+T. mittierten Hosts laufen – das Risiko, sich grundmärkten im Internet außerdem auch
kommerzielle Exploit-Kits erhältlich. Sie
:fdglk\i[\jFg]\ij _kkg1&&nnn%j\i`f\j\$n\Yj`k\%[\ werden per Software-Maintenance stets
auf dem aktuellen Stand gehalten und ga-

8YcXl]\`e\j;i`m\$Yp$;fnecfX[j
3_kdc5
¿% =•i [`\ MfiY\i\`kle^ \`e\j ;i`m\$Yp$;fne$
3`]iXd\jiZ\m`c$j\im\i%Zfd&b`cc$d\%g_g5
3&Yf[p5 cfX[$8e^i`]]j n`i[ qle€Z_jk \`e N\Yj\im\i
bfdgifd`kk`\ik le[ [\i JkXikj\`k\ `e \`e\d
`=iXd\qlj€kqc`Z_\i:f[\Æd\`jk`eAXmXjZi`gk
Æ lek\i^\jZ_fY\e% ;\i :f[\ `d `=iXd\ m\i$
_kkg1&&nnn%\m`c$j\im\i%Zfd n\`jkXl]\`e\eXe[\i\eN\Yj\im\i#[\ilek\i
[\i Bfekifcc\ [\j 8e^i\`]\ij jk\_k% 8l] [`\$

t
:c`\ek$JZXe j\d Y\]`e[\k j`Z_ [`\ 8e^i`]]jjf]knXi\# [`\
<ogcf`k [`\M\ij`fe[\jN\YYifnj\ijle[[`\mfi_Xe$
N\Y$J\im\i [\e\eGcl^`ej[\iN\Yj\`k\eY\jlZ_\i\id`k$
[\j8e^i\`]\ij k\ck le[ `_e\e [\e gXjj\e[\e <ogcf`k$:f[\
lek\ijZ_`\Yk% JfYXc[ [\i <ogcf`k \i]fc^i\`Z_
Xlj^\]•_iknli[\#n`i[[\i\`^\ekc`Z_\JZ_X[$
Zf[\#qld9\`jg`\c\`eKifaXe\i#eXZ_^\cX[\e
le[leY\d\ibkmfd9\elkq\iXl][\dJpjk\d
Xlj^\]•_ikÆjZ_fe`jk\jgXjj`\ik%
DXcnXi\ ;`\8YY`c[le^(\ic€lk\ik[\ekpg`jZ_\e8YcXl]
8YY`c[le^(1Jfm\ic€l]k\`e;i`m\$Yp$8e^i`]]%
\`e\i;i`m\$Yp$@e]\bk`fe%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * +0


N < 9 $J <: L I @ K P ;i`m\$Yp$8kkXZb\e

8YY`c[le^)19\`jg`\c_X]k\8lj^XY\[\jJX]\$9ifnj`e^$;`\ejk\j%;`\j\J\`k\n`i[XcjDXcnXi\$JZ_c\l[\i^\i•^k%

rantieren teilweise sogar die permanente kung allerdings erst in Kombination aller satz von URL-Filtern und Virenscannern
Verfügbarkeit sogenannter Zero-Day-Ex- Maßnahmen erzielen: auf dem Internet-Gateway. In Umgebun-
ploits, also Sicherheitslücken, für die der Idealerweise beginnt die Absicherung gen, in denen nach dem Bundesdaten-
jeweilige Softwarehersteller aktuell noch gegen Exploit-Kits und Drive-by-Down- schutzgesetz „besondere Arten personen-
keinen Patch bereitstellt. Dabei wurden loads schon bei den eigenen Webservern. bezogener Daten“ verarbeitet werden,
die vor Jahren noch dominanten Kits Denn sind diese erst einmal als Malware- ist auch eine besondere Sorgfalt bei der
MPACK. Neosploit, Zeus und Eleonore Schleuder aufgefallen, ist es zum einen Bereitstellung von Internet-Zugängen
zwischenzeitlich von Exploit-Kits der schwer, das verlorengegangene Vertrauen erforderlich. Zu den besonders schutz-
zweiten Generation abgelöst. Bekannte wiederzugewinnen. Zum anderen stellt würdigen personenbezogenen Daten
Vertreter sind das Phoenix-Exploit-Kit sich in einem solchen Fall natürlich zählen unter anderem Gesundheitsdaten,
und vor allem das Black-Hole-Exploit-Kit auch die Frage nach der Haftung des Informationen über die rassische oder
(BHEK2). Interessenten können Instan- Betreibers. Denn im Schadensfall muss ethnische Herkunft, politische, religiöse,
zen dieser Angriffstools in den einschlä- der Betreiber nachweisen, dass er beim gewerkschaftliche und sexuelle Orien-
gigen Untergrund-Foren auf täglicher Betrieb des Webservers die „verkehrsüb- tierung. In diesen Umgebungen können
Basis (50 US Dollar pro Tag inklusive liche Sorgfaltspflicht“ beachtet hat (§ 280 grafische Firewalls gute Dienste leisten.
50 000 Hits), per Monat (500 US Dollar BGB, Schadensersatz wegen Pflichtverlet- Sie entkoppeln den Browser vollständig
mit 70 000 Hits) oder pro Jahr (1500 US zung), die er in der Regel an seinen Ad- vom Arbeitsplatz und werden daher auch
Dollar mit unlimitierter Anzahl Domains) ministrator delegiert. Erste Admin-Pflicht ReCoBs-Systeme (Remote Controlled
mieten. Einen guten Überblick über den muss also die regelmäßige Überprüfung Browser Systems) genannt. Auch andere
Stand der Entwicklung bei Exploit-Kits der eigenen Webservices auf Exploit-Kits sicherheitskritische Umgebungen, wie sie
liefert das Poster Common-Exploit-Kits und Malware-Befall sein. bei der Verarbeitung von Gesundheits-
2012 unter R0T und vor allem die Exploit Doch natürlich müssen auch die eigenen daten, Verschlusssachen (VS-NfD) oder
Table 2013 des Bloggers Mila, erhältlich Client-Systeme vor Drive-by-Downloads NATO-Restricted-Daten gegeben sind,
als Google-Apps-Tabelle unter R('T. Diese geschützt werden, indem die eingesetz- profitieren von einer solchen Lösung.
listet die Funktionalitäten der verschie- ten Browser und Plugins immer auf dem Doch dazu später mehr.
denen Malware-Kits unter Bezugnahme neuesten Stand gehalten werden. Das
auf die entsprechende CVE-ID auf. CVE wird umso schwieriger, wenn sich jeder M\iYi\`kle^jn\^\]•i
steht für Common Vulnerabilities and Ex- Benutzer seine individuellen Browser,
DXcnXi\\`ejZ_i€eb\e
posures und bezeichnet einen Industrie- Plugins und Zusatzsoftware zusammen-
standard zur eindeutigen Benennung von stellen darf. Es ist daher hilfreich, auch Da Sicherheit bekanntlich am Anfang
Sicherheitslücken in Computersystemen die Benutzer im Rahmen einer Aware- eines jeden Prozesses stehen sollte, ist
und -software, die in Listenform von der ness-Kampagne über die Gefahren aus die wichtigste Maßnahme, bereits bei
MITRE Corporation R((T gepflegt wird. dem Web zu informieren und von der der Entwicklung von Webapplikationen
Notwendigkeit der Einhaltung von Unter- entsprechende Sorgfalt walten zu lassen.
Le[nXj_`c]k6 nehmens-Policies zu überzeugen. Denn Das Bundesamt für Sicherheit in der In-
die beste Sicherheitstechnik nützt nichts, formationstechnik (BSI) hat zu diesem
Nachdem bis hierher ausführlich die wenn sie von den Benutzern nur als Be- Thema in Zusammenarbeit mit dem Si-
von Exploit-Kits ausgehenden Gefahren hinderung wahrgenommen wird und sie cherheitsdienstleister Securenet bereits
zur Sprache kamen, ist es nun an der dann aktiv versuchen, Sicherheitsmaß- im Jahr 2006 einen Maßnahmenkatalog
Zeit, über geeignete Gegenmaßnahmen nahmen zu umgehen. und Best Practices für die Sicherheit
zum Schutz vor Drive-by-Downloads zu Einen dritten Ansatzpunkt schließlich von Webanwendungen erstellt R()T, der
sprechen. Grundsätzlich kommen drei bieten Sicherheitsmaßnahmen am Über- entsprechende Hinweise für Entwickler
Ansätze in Betracht, die ihre volle Wir- gang zum Internet, etwa durch den Ein- liefert. Für bereits verfügbare Webappli-

,' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


;i`m\$Yp$8kkXZb\e N < 9 $J <: L I @ K P

kationen bietet der Markt entsprechende Dabei ersetzt man mysite.com einfach lässt sich bei den meisten Distributionen
Tools zur automatischen Sourcecode- durch den eigenen Domainnamen oder einfach über die Paketverwaltung ein-
Analyse auf Sicherheitslücken, exem- verwendet zum Testen eine bekannte spielen. So genügt zur Installation unter
plarisch seien hier Fortify R(*T und IBMs Malware-Domain, etwa von der Malware- Debian/Ubuntu beispielsweise ein
Rational AppScan R(+T genannt. Domain-Liste R(.T.
sudo apt-get install 5
Mit der Initiative S hat auch der Bran- libapache2-modsecurity modsecurity-crs

<ok\ie\:_\Zbj chenverband der Internetwirtschaft eco


eine Online-Plattform im Angebot, mit Auch einige Hersteller von UTM-Firewalls
Doch natürlich dürften die meisten Un- der Unternehmen die Sicherheit ihrer (etwa Sophos UTM) oder Load-Balancern
ternehmen und Organisationen ihre Con- Website regelmäßig und automatisch (wie Riverbed oder F5) bieten Produkte
tent-Management-Systeme, Shops und überprüfen lassen können. Die Regis- mit integrierten WAFs an.
andere Webapplikationen nicht selbst trierung unter R(/T ist kostenlos und
entwickeln, sondern auf kommerzielle setzt zur Verifizierung der Anforderung ;\i:c`\ek$8ejXkq
oder Open-Source-Systeme zurückgreifen. lediglich den Zugriff auf eine bestimmte
In diesem Fall können Penetrationstests E-Mail Adresse voraus (info@domain, Nachdem der eigene Webservice jetzt
mit entsprechenden Tools Informationen webmaster@domain, abuse@domain gegen die Einschleusung von Exploit-
zum Sicherheitsstatus des Webservers oder initiative-s@domain). Auch die Uni- und Malware-Kits gesichert ist, kommt
und der dort betriebenen Webapplika- versität von Kalifornien hat mit Wepawet jetzt eine Aufgabe ganz anderen Kalibers
tionen zu Tage fördern. Mit Skipfish R(,T ein Analysetool für Domains (Javascript, an die Reihe: Der Schutz der Clients im
hat Google einen Sicherheitsscanner für Flash und PDF-Dateien) entwickelt. Netzwerk. Um das Ausmaß der potenziell
Webapplikationen unter der Apache Li- vorhandenen Sicherheitsprobleme zu er-
cense 2.0 freigegeben. Darüber hinaus N\Y8ggc`ZXk`fe=`i\nXccj fassen, ist zunächst eine Inventarisierung
stellt Google mit der Safe-Browsing-API der eingesetzten Browser, Plugins und
R(-T eine Programmierschnittstelle für Haben Sourcecode-Analyse und Penetra- eventuell anderer Internet-Software er-
Browserhersteller bereit, mit der URLs tionstest keine Hinweise auf Schwachstel- forderlich. Client-Management-Systeme
gegen Googles permanent aktualisierte len ergeben, bedeutet das natürlich nicht wie ACMP (Aagon), OPSI (UIB), Altiris
Liste verdächtiger Phishing- und Mal- zwangsläufig, dass der eigene Webserver (Symantec) oder Empirum (Matrix42)
ware-Seiten gecheckt werden können. auch dauerhaft frei von Sicherheitslücken verfügen über entsprechende Inventari-
Es lohnt sich also regelmäßig nachzu- ist. Für die aktive Absicherung von Web- sierungsmodule, mit deren Hilfe die ein-
sehen, ob die eigene Website geblockt servern und Webapplikationen empfiehlt gesetzte Software und deren Versions-
wird. Derzeit nutzen Chrome, Safari und sich daher die Installation einer Web Ap- stände exakt erfasst und ausgewertet
Firefox die Safe-Browsing-API, die man plication Firewall, kurz WAF. WAFs un- werden können. Auf Basis dieser Infor-
über folgende URL auch im Browser auf- tersuchen die Kommunikation zwischen mationen lässt sich dann eine Policy für
rufen kann: R_kkg1&&nnn%^ff^c\%Zfd& Webserver und Browser auf Anwen- das Patch-Management der betroffenen
jX]\Yifnj`e^&[`X^efjk`Z6j`k\4dpj`k\% dungsebene (http, https) und bieten auf Applikationen ausrollen und ohne Mit-
ZfdT. diese Weise Schutz vor typischen Angrif- wirkung der Benutzer durchsetzen.
fen wie Cross Site
Scripting (XSS), Fec`e\$9ifnj\i$:_\Zb
SQL Injection und
bekannten Sicher- Neben diesem – eher für Unternehmen
heitslücken von mit vielen Systemen interessanten – An-
Webapplikationen. satz, gibt es mit den Browser-Checks
WAFs werden ent- aber auch Hilfsmittel für Heimanwen-
weder als Reverse der oder Administratoren, die nur einen
Proxy vor dem oder einige wenige Rechner zu verwalten
eigentlichen Web- haben. So bietet beispielsweise das Anti-
server oder als Botnet-Beratungszentrum, ebenfalls eine
Plugin direkt auf Inititative des Internet-Branchenverban-
dem Webserver des eco, eine Überprüfung der eingesetz-
betrieben. Die be- ten Browserversion und der installierten
kannteste WAF aus Plugins an. Findet der Browser-Check
dem Open-Source- veraltete Plugins, können diese einfach
Lager ist ModSe- per Klick auf die entsprechende Schalt-
curity R(0T, die es fläche aktualisiert werden. Leider funk-
als Plugin für Apa- tioniert das nur für populäre Plugins wie
8YY`c[le^*1<`e9ifnj\i$:_\ZbÆ_`\i`e[\iM\ij`femfeHlXcpjÆgi•]klek\i che, IIS und Nginx Java, Flash & Co wirklich zuverlässig.
Xe[\i\dXl]m\iXck\k\Gcl^`ej% gibt. ModSecurity Wer speziellere Plugins wie zum Beispiel

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ,(


N < 9 $J <: L I @ K P ;i`m\$Yp$8kkXZb\e

den Citrix Receiver einsetzt, muss sich


nach wie vor manuell um das Update
kümmern.
Gleiches gilt auch für den eher einfach
gestrickten Check-your-Plugin-Service
von Mozilla R)'T. Besser macht das der
Browser-Check von Qualys R)(T, der op-
tional für eine intensivere Untersuchung
die Installation eines eigenen Plugin an-
bietet.
Ist dieses Plugin installiert, werden nicht
nur die meisten Plugins zuverlässig er-
kannt, sondern es stehen – zumindest für
Windows – auch erweiterte Scan-Metho-
den zur Verfügung. Mit ihnen lassen sich
dann nicht nur der aktuelle, sondern alle 8YY`c[le^+1;\ie\l\J`Z_\i_\`kjj\im`Z\9C8;<jfccDXcnXi\$@e]\bk`fe\en`ible^jmfccm\i_`e[\ie%
installierten Browser, sowie die Sicher-
heitseinstellungen des Betriebssystems Mit BLADE (Block all Drive-by-Download Profis geeignet. Der kommende HTML5-
und der Status der Microsoft-Patches Exploits) entsteht gerade ein Projekt, das Standard wird ganz sicher zu mehr Si-
überprüfen. Qualys bietet mit der Busi- mit Unterstützung der National Science cherheit beitragen, denn viele Plugins
ness Edition zusätzlich eine – ebenfalls Foundation, des U.S. Army Research Of- wie Flash zur Anzeige von Videos sind
kostenfreie – Version des Browser-Checks fice und des Office of Naval Research dann schlicht nicht mehr erforderlich,
für Administratoren an. Nach Registrie- gegründet wurde. BLADE besteht aus was die Zahl der Produkte mit Software-
rung unter R))T kann man im Bereich einer Serie von Windows-Kernel-Erwei- Sicherheitslücken reduziert.
Settings des Dashboards eine MSI-Ver- terungen, die versteckte Binärinstallati- Ein weiterer Ansatz zum Schutz der
sion des Browser-Check-Plugins herun- onen während eines Drive-by-Angriffs Clients besteht darin, nicht den lokal
terladen, mit dem sich Windows-PCs von erfolgreich verhindern sollen. installierten Browser und andere Inter-
zentraler Stelle mit dem Plugin versorgen BLADE wird von den Initiatoren gerade net-Software zu verwenden. Stattdessen
lassen. Alternativ gibt es dort auch eine ausführlich mit den am häufigsten ein- wird der Browser aus einer gekapselten
Download-URL für das Plugin und eine gesetzten Browsern und täglich neu Umgebung, zum Beispiel einer virtuellen
Quick-Scan-URL, mit der die Benutzer auftauchenden Malware-Links getestet, Maschine gestartet. Alternativ verwendet
das Plugin unter der Unternehmens-ID dabei kamen in den vergangenen sechs man ein Live-Medium, zum Beispiel eine
entweder selbst installieren oder einen Monaten offenbar auch einige Zero-Day- Linux-Live-DVD oder einen USB-Stick,
Scan ohne Plugin ausführen können. Die Angriffe zum Einsatz. Nach Angabe der und nutzt den dort installierten Browser.
Ergebnisse des Scans werden dann nicht Tester hat BLADE bisher 100 Prozent der Gegen den Einsatz eines Live-Mediums
dem Benutzer sondern direkt im Dash- Angriffe abgewehrt, zumindest lassen spricht natürlich der durch den Reboot
board des Administrators angezeigt. die Ergebnisse des Evaluation Lab darauf erforderliche Aufwand und die Tatsa-
schließen, die regelmäßig unter R),T ver- che, dass auch die Browser auf Live-CDs
8lkfdXk`j`\ik\Lg[Xk\j öffentlicht werden. Verfügbar ist BLADE schnell veralten. Mit Browser in the Box
indes heute noch nicht, in der nächsten bietet beispielsweise die Sirrix AG R)-T
Einen anderen Ansatz verfolgt der Antivi- Phase soll es aber eine freie Version zum eine Lösung an, bei der der Browser aus
rus-Hersteller F-Secure mit seinem neuen Download geben. einer lokalen VirtualBox-VM gestartet
Software-Updater. Kunden, die ihre Un- wird. Die VM basiert auf einem gehär-
ternehmensrechner bereits mit der F- ?KDC,#EfJZi`gk:f tetem Debian 6 Linux mit SELinux und
Secure-Cloudlösung Protection Service aktuellem Firefox-Browser. Die Einplatz-
for Businesses (PSB) verwalten R)*T, Browsererweiterungen wie NoScript oder version steht kostenfrei zum Download
können den Software-Updater nun zu- FlashBlock können natürlich ebenfalls zur Verfügung, die Enterprise-Variante
sammen mit dem Antivirus-Client auf die helfen, einen Drive-by-Angriff zu ver- wird dagegen nur in Kombination mit
verwalteten Rechner ausbringen und auf hindern. Allerdings nützen diese Plugins einem Web-Gateway und einem Manage-
diese Weise von zentraler Stelle aus da- natürlich nichts, wenn man sie in einem mentsystem ausgeliefert.
für sorgen, dass keine veralteten Browser veralteten Browser installiert. Außerdem
und Plugins eingesetzt werden. Die Liste ist ihr Einsatz nicht direkt gegen den 8l]i•jk\eXd>Xk\nXp
der unterstützen Software R)+T kann sich Schadcode gerichtet, sondern deaktiviert
durchaus sehen lassen, denn neben den Funktionen wie Javascript oder Flash ein- Der Kampf gegen per Drive-by-Download
üblichen Verdächtigen wie Java & Co fin- fach pauschal. Da viele Websites ohne verbreitete Malware erinnert stark an das
den sich hier auch Kandidaten wie der Javascript praktisch unbenutzbar sind, bekannte Hase-und-Igel-Spiel, bei dem
Foxit Reader und der VLC-Mediaplayer. sind diese Tools daher wohl eher für IT- der Igel (Angreifer) dem Hasen (Admin)

,) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


immer eine Nasenlänge voraus ist. Des- DMZ wird gestattet. Für den Terminal-
halb ist es sinnvoll, sich nicht alleine serverzugriff kommen – abhängig von
auf Mechanismen zu verlassen, die am der auf dem Terminalserver verwendeten
Client ansetzen. Denn auch am Internet- Plattform – verschiedene Protokolle, wie
Übergang lassen sich durchaus noch ei- VNC, RDP, PCoverIP, SPICE, NX und ICA
nige Mechanismen zur Verteidigung in aber auch X11-Tunneling in Frage.
Stellung bringen. Der Benutzer startet dann den Browser
Als erste und gleichzeitig wichtigste Maß- und gegebenenfalls andere Internet-
nahme sollte auf dem Internet-Gateway Software auf dem Terminalserver, für die
ein Webfilter aktiviert oder – wenn der der Internet-Zugriff in der Firewall frei-
eingesetzte Firewall-Typ das nicht hergibt geschaltet ist. Idealerweise läuft als wei-
– ein zusätzlicher Web-Proxy mit entspre- tere Schutzmaßnahme auf der Firewall
chendem URL-Filter installiert werden. zusätzlich ein Web-Proxy mit aktiviertem
Sofern Squid zum Einsatz kommt, steht URL-Filter und Virenscanner. Die Benut-
mit Squidguard ein guter URL-Redirector zer auf dem Terminalserver sollten nach
zur Verfügung, für den es auch kostenlos dem Prinzip der geringsten Berechtigung
nutzbare Blacklists gibt R).T. Allerdings angelegt werden. Wird nun der Brow-
werden die kostenfreien Blacklists häufig ser oder eines der Plugins per Drive-by-
nur als Hobby-Projekt gepflegt; aktuelle Download angegriffen, bleibt der Scha-
Malware-Domains sind auf diesen Listen den auf die Session im Terminalserver
daher eher nicht zu finden. Kommerzielle begrenzt – der Angreifer müsste also
Anbieter haben in diesem Bereich klar erst den Terminalserver und die Firewall
die Nase vorn. überwinden, um Zugang zum eigentli-
chen Client im LAN zu erhalten.
>iX]`jZ_\=`i\nXccj Eine Empfehlung zum Aufbau einer gra-
fischen Firewall findet sich zum Beispiel
Unter dem Begriff „grafische Firewall“ im Maßnahmenkatalog M 4.365 beim BSI
wird gemeinhin die Konzeption eines unter R)/T. Für das Prinzip, den Browser
Sicherheitssystems bestehend aus UTM- über eine grafische Firewall auf einen
Firewall und Terminalserver verstanden. Terminalserver auszulagern, hat das BSI
Dabei wird der Terminalserver an ein vor einigen Jahren den Begriff ReCoBs
separates Netzwerk-Interface der Firewall eingeführt, der für „Remote Controlled
angeschlossen und so in einer sogenann- Browser System“ steht R)0T.
ten Demilitarisierten Zone (DMZ) vom
LAN isoliert. Für die Benutzer im LAN >iX]`jZ_\=`i\nXccj Thema
werden nun sämtliche Netzwerkver-
Flk$f]$k_\$9fo
bindungen in Richtung Internet auf der
Firewall blockiert, lediglich der Zugriff Anbieter grafischer Firewalls sind bei-
über ein grafisches Protokoll (daher der spielsweise die Berliner m-privacy GmbH
Name) auf den Terminalserver in der mit dem Produkt TightGate-Pro und die

8YY`c[le^,1Gi`eq`g\`e\i^iX]`jZ_\e=`i\nXcc1;\i9ifnj\ic€l]kXl]\`e\dK\id`eXcj\im\i`e[\i;DQ% ®

NETWAYS
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8L J >8 9 < '* $)' ( * ,*
N < 9 $J <: L I @ K P ;i`m\$Yp$8kkXZb\e

Das für viele Anwender umständliche R(*T=fik`]p1R_kkg1&&nnn%j\Zli\e\k%


Handling mit zwei Desktops kann dann [ \&n  \Y$Xggc`ZXk`fe$j\Zli`kp&
entfallen. l ej\i\$c\`jkle^\e&
jfliZ\$Zf[\$XeXcpj\$Xlkf%_kdcT
=Xq`k R(+T@9DIXk`feXc8ggJZXe1R_kkg1&&nnn$'(%
`Yd%Zfd&jf]knXi\&[\&iXk`feXc&XggjZXeT
Die Verbreitung von Malware durch R(,TJb`g]`j_1R_kkg1&&Zf[\%^ff^c\%Zfd&g&
8YY`c[le^-1J\Zli\M;Y`\k\k[\d9\elkq\im`ikl$ Drive-by-Downloads ist bereits heute die jb`g]`j_T
\cc\DXjZ_`e\e`e\`e\i^\_€ik\k\eLd^\Yle^Xe% Methode der Wahl für Angreifer. Besse- R(-TN_Xk`jJX]\9ifnj`e^6R_kkgj1&&
rung ist kurzfristig nicht in Sicht. Ad- [\m\cfg\ij%^ff^c\%Zfd&jX]\$Yifnj`e^T
Ettlinger BWG Systemhaus Gruppe AG mins sollten sich dringend mit diesem R(.T DXcnXi\;fdX`eC`jk1R_kkg1&&nnn%
mit secureVD. TightGate-Pro R*'T eignet Thema auseinandersetzen. Doch ist die dXcnXi\[fdX`ec`jk%Zfd&d[c%g_gT
sich Angaben des Herstellers zufolge für Situation keineswegs aussichtslos, denn R(/T@e`k`Xk`m\J1R_kkgj1&&nnn%`e`k`Xk`m\$j%[\T
Nutzergruppen ab 10 Arbeitsplätzen und durch einen sinnvollen Mix der im Arti- R(0TDf[\j\Zlik`kp1R_kkg1&&nnn%df[j\Zli`kp%
besonders für den Einsatz im behördli- kel vorgestellten Techniken und durch die fi^T
chen Umfeld. Aufklärung der Anwender kann dieser R)'TDfq`ccXGcl^`e$:_\Zb1R_kkgj1&&nnn%
Das Funktionsprinzip einer grafischen Bedrohung begegnet werden. (jcb) ■ dfq`ccX%fi^&\e$LJ&gcl^`eZ_\ZbT
Firewall erläutert 8YY`c[le^ ,. Secu- R)(THlXcpj9ifnj\i$:_\Zb1R_kkgj1&&
reVD R*(T (8YY`c[le^-) basiert auf ei- Yifnj\iZ_\Zb%hlXcpj%ZfdT
ner UTM-Firewall, deren gehärtetes Be- @e]fj R))T9lj`e\jj<[`k`fe1R_kkg1&&nnn%hlXcpj%Zfd&
triebssystem um einen KVM-Hypervisor R(T N\Yj\ej\1R_kkg1&&Zfddle`kp%n\Yj\ej\% ]fidj&Yifnj\iZ_\Zb$Ylj`e\jj$\[`k`feT
erweitert wurde. Dadurch lassen sich Zfd&Ycf^j&j\Zli`kpcXYjT R)*T=$J\Zli\1R_kkg1&&nnn%]$j\Zli\%
über die webbasierende Administrations- R)T AXmX$JZ_nXZ_jk\cc\1R_kkgj1&&nnn%Yj`% Zfd&[\&n\Y&Ylj`e\jjV[\&jl`k\j&
oberfläche virtuelle Maschinen mit Win- Yle[%[\&;<&Gi\jj\&Gi\jj\d`kk\`cle^\e& gifk\Zk`fe$j\im`Z\&fm\im`\nT
dows oder Linux direkt auf der Firewall Gi\jj\)'(*&Bi`kVJZ_nXZ_jk\cc\V R)+TG ifk\Zk`feJ\im`Z\]fi9lj`e\jj#
in Betrieb nehmen. AXmX$.$('V(('()'(*%_kdcT NfibjkXk`fe1RJ\Zli`kp_kkg1&&[fnecfX[%
Dabei werden die virtuellen Netzwerk- R*T < E@J8K_i\XkCXe[jZXg\1R_kkg1&& ]$j\Zli\%Zfd&n\YZclY&jlggfik\[)'
adapter der VMs mit dem physikalischen nnn%\e`jX%\lifgX%\l&XZk`m`k`\j& Xggc`ZXk`fej%g[]T
DMZ-Interface der Firewall über eine i`jb$dXeX^\d\ek&\mfcm`e^$k_i\Xk$ R),T9 C8;<1R_kkg1&&nnn%YcX[\$[\]\e[\i%fi^&
Bridge verbunden, sodass die virtuellen \em`ifed\ek&<E@J8VK_i\XkVCXe[jZXg\& \mXc$cXYT
Maschinen ebenfalls in der DMZ isoliert XkV[fnecfX[&]lccI\gfikT R)-TJ`ii`o8>1R_kkg1&&nnn%j`ii`o%[\T
sind. SecureVD kann daher grundsätz- R+T J gXdXl]DXcnXi\1R_kkg1&&nnn% R).TJhl`[^lXi[1R_kkg1&&nnn%jhl`[^lXi[%fi^&
lich sowohl Server (wie zum Beispiel \c\m\e$j\Zli`kpYcf^%[\&)'()&('&[`\$qX_c$[ YcXZbc`jkj%_kdcT
Web-, FTP- und Mailserver) als auch \j$dfeXkj$fbkfY\i$)'()T R)/T9J@>ile[jZ_lkq1R_kkgj1&&nnn%Yj`%Yle[%
genauso gut Desktops virtualisieren. Da R,T N\Yj\ej\)'()K_i\XkI\gfik1R_kkg1&& [\&:fek\ek9J@&^ile[jZ_lkq&bXkXcf^\&d&
für die Virtualisierung von Desktops auf nnn%n\Yj\ej\%Zfd&Zfek\ek&n\Yj\ej\$)' d'+&d'+*-,%_kdcT
SecureVD sowohl Linux als auch Win- ()$k_i\Xk$i\gfik$[fnecfX[%XjgoT R)0TI\:f9j1R_kkgj1&&nnn%Yj`%Yle[%
dows unterstützt werden, können die R-T K _\Fg\eN\Y8ggc`ZXk`feJ\Zli`kpGif$ [\&;  <&K _\d\e&:pY\i$J`Z_\i_\`k&
Anwender mit ihrer vom Arbeitsplatz a\Zk1R_kkgj1&&nnn%fnXjg%fi^&`e[\o%g_g& :fek\ekV:pY\i$J`Z_\i_\`k&K_\d\e:J&
gewohnten Software arbeiten. : Xk\^fip1FN8JGVKfgVK\eVGifa\ZkT J`Z_\i_\`kjmfi]:*8+cc\&8bk`m\@e_Xck\&
Wird auf dem virtuellen Windows-Desk- R.T 9 XZbkiXZb1R_kkg1&&nnn%YXZbkiXZb$c`elo% jZ_lkqdf\^c`Z_b\`k\e&i\ZfYj&
top zusätzlich noch ein RDP-Server wie fi^T bliq`e]fidXk`fe%_kdcT
zum Beispiel der XP/VS Terminal Server R/T BXc`C`elo1R_kkg1&&nnn%bXc`%fi^T R*'TK `^_k>Xk\$Gif1R_kkg1&&nnn%d$gi`mXZp%[\&
for Windows von Thinstuff R*)T instal- R0T : fddfe<ogcf`kB`kj1R_kkg1&&*% gif[lbk\&k`^_k^Xk\$gifT
liert, dann können sich problemlos auch Yg%Ycf^jgfk%Zfd&$lpDC>n.]'J@& R*(Tj\Zli\M;1R_kkg1&&nnn%j\Zli\m[%[\T
mehrere Anwender einen einzelnen vir- LB8Gnd@aZ+@&88888888=cn&Vk>[qO^]Pe@& R*)TO G&MJK\id`eXcJ\im\i1R_kkg1&&nnn%
tuellen Desktop teilen. Jeder Anwender j(-''&(./'o()''V:fddfe<ogcf`k$ k_`ejkl]]%[\&gif[lZkj&ogmj$j\im\iT
erhält in diesem Fall seine ganz eigene GXZbj)'()l(/%ag^T
Session. R('T<ogcf`kGXZbKXYc\)'(*1R_kkgj1&&[fZj% ;\i8lkfi
Ab der Version Standard unterstützt der ^ff^c\%Zfd&jgi\X[j_\\k&ZZZ6b \p4'8amjH K_fdXjQ\cc\i`jk@K$:fejlckXekle[Y\jZ_€]k`^k
ThinStuff XP/VS Terminal Server darüber M*`JCX([<0<M>_a\L_mHKEI\bf*Z)o_Kdg_ j`Z_ j\`k •Y\i (, AX_i\e d`k @K$J`Z_\i_\`k le[
hinaus auch noch die TSX RemoteApp CL<^ `[4'T Fg\eJfliZ\%<i`jk8lkfi$&:f$8lkfi[\i9•Z_\i
(Seamless Windows). Damit kann der R((T :M<1R_kkg1&&Zm\%d`ki\%fi^T ÙFg\eMGEbfdgXbkÈle[ÙD`e[dXgg`e^d`k=i\\$
Browser oder jede andere Anwendung R()T9J@$DXeX_d\ebXkXcf^1R_kkgj1&&nnn% d`e[È%@di`Z_k`^\eC\Y\e`jk\i>\jZ_€]kj]•_i\i
über eine RDP-Verbindung aus der vir- Yj`%Yle[%[\&J_Xi\[;fZj&;fnecfX[j& \`e\jd`kk\cjk€e[`jZ_\e@K$Jpjk\d_Xlj\jle[`jk
tuellen Maschine gestartet und dann di- ;<&9J@&GlYc`bXk`fe\e&Jkl[`\e&N\YJ\Z& [fikXlZ_]•i[\e>\jZ_€]kjY\i\`Z_@K$J`Z_\i_\`k
rekt am Arbeitsplatz angezeigt werden. N\YJ\ZVg[]%g[]6VVYcfY4glYc`ZXk`fe=`c\T m\iXeknfikc`Z_%

,+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Not to Miss at ISC: Top 10 Reasons to Attend ISC’13
NEW Industry track NEW Distinguished speakers series | @ A great networking event
Human Brain Project | The largest HPC exhibition in Europe | @ Unmatched access to thought leaders
TOP500 awarding @ Relevant and practical information
@ Source of inspiration for new ideas and new ventures
@ Sessions organized into new dynamic formats
@ The latest information on the TOP500 systems
Tutorials June 16, 2013 @ Your next customer could be here
@ Meet with the specialists who can help solve your problems
@ Full and half-day tutorials
@ Gain insight to help advance your career
@ Cover a broad range of HPC areas of interest
@ Leipzig is the better Berlin

Exhibition June 17 – 19, 2013 Conference June 17 – 20, 2013


@ With almost 170 exhibitors from research institutions and industries
representing supercomputing, storage and networking, ISC’13 will Conference Highlights
stand out as the largest HPC exhibition in Europe in 2013. @ State of the Art in Petascale Applications
@ Four-Day Research Track
@ Parallel Programming Models and Tools
@ Analysis of Big Data: Hard Problems for HPC
The 2013 Keynotes @ Petascale Computing in the Cloud?
@ HPC Centers Subject to Change
@ Future Challenges of Large-Scale Computing @ Challenges for HPC
Prof. Dr. Bill Dally, Willard R. and Inez Kerr Bell Professor, @ Panel: Long-Term Investments into Parallel Programming
Stanford University & Chief Scientist and SVP of Research, NVIDIA @ Publication of the 41st TOP500 list
@ Moore’s Law in the Year 2020 @ ISC Think Tank series on Big Data
Stephen S. Pawlowski, Senior Fellow, Chief Technology Officer for the @ HPC in Asia Session
Datacenter & Connected Systems Group (DCSG) & General Manager @ Analyst Crossfire
for the Architecture Group & DCSG Pathfinding, Intel
NEW The Industry Track June 18 – 19, 2013
@ HPC Achievement & Impact 2013
@ The goal of the Industry Track is to help commercial firms make informed
Prof. Dr. Thomas Sterling, Professor, School of Informatics & Computing
decisions about acquiring and managing HPC systems.
and Chief Scientist & Associate Director, CREST, Indiana University

@ Fooling the Masses with Performance Results: Contributed Sessions


Old Classics & Some New Ideas @ Research Papers & Posters
Prof. Dr. Gerhard Wellein, Head of High Performance @ Birds-of-a-Feather Sessions (BoFs)
Computing Group, Erlangen Regional Computing Center
Vendor Sessions

Platinum Sponsors Partner

Gold Sponsors For more details,


please visit:
www.isc13.org
Silver Sponsors
B E F N$ ? F N D=K

;Xk\ed`k=KG$8ck\ieXk`m\D=Kj`Z_\im\ij\e[\e
ŸLci`Z_Dl\cc\i#()*I=

KiXejgfik^\j`Z_\ik
=KG#[Xj=`c\KiXej]\iGifkfZfc#]\`\ik`e[\iXbkl\ccm\in\e[\k\eM\ij`fe[`\j\jAX_ij\`e\e)/%>\YlikjkX^2[`\
Mfi^€e^\i$M\ij`fejkXddk\^XiXlj[\dAX_i(0.(%Kifkqj\`e\j8ck\ijc\`jk\k=KG`dd\iefZ_ki\l\;`\ejk\#
[fZ_]•i[`\|Y\ikiX^le^j\ej`Yc\i;Xk\e^`Yk\jc€e^jkY\jj\i\8ck\ieXk`m\e%IfY\ikBfi_\ii

Nicht zuletzt die Sicherheitsbedenken Non-Disclosure-Agreements (NDA) und aber eigentlich sichere Services und Tech-
mit Blick auf FTP brachten inzwischen Regularien wie PCI oder ISO. Last, but nologien bevorzugen.
eine Reihe von Weiterentwicklungen her- not least nötigen auch interne und ex-
vor, die in den Protokollen Secure FTP, terne Compliance-Vorgaben wie der Sar- NXjDXeX^\[=`c\KiXej]\i
Secure Copy Protocol (SCP), FTP over banes Oxley Act (SOX), PCI-DSS, ISO
`jkle[bXee
SSL (FTPS) und SSH File Transport Pro- 27001 und Basel II zu technischen und
tocol (SFTP) mündeten. Neu hinzuge- organisatorischen Maßnahmen. Letztlich Die Kernfunktionalitäten von MFT umfas-
kommen ist das 2008 fertiggestellte Ver- müssen alle Unternehmen gewährleisten, sen die sichere Übertragung und Speiche-
fahren Managed File Transfer (MFT). Das dass sie ihre Daten in motion (beim Da- rung von Daten, gekoppelt mit Reporting
Besondere an ihm ist die Verschlüsselung teitransfer) verschlüsselt übertragen und und Audit der Datenaktivitäten. Darüber
aller zu übertragenen Dateien nicht nur at rest (bei der (Zwischen-)Speicherung) hinaus unterscheidet sich MFT von allen
während des Versands, sondern auch bei sicher ablegen. anderen Arten von Infrastrukturen da-
der Speicherung auf dem Server oder auf Auch das Bundesamt für Sicherheit in durch, dass es auch die Übertragung von
bereitgestellten Sharepoints. der Informationstechnik (BSI) empfiehlt sehr großen Dateien ermöglicht. Mit MFT
Der folgende Beitrag diskutiert die An- in seinem Übersichtspapier Online- tauschen Unternehmen große Datenmen-
forderungen an einen sicheren Datenver- Speicher vom November 2012: „Werden gen mit Geschäftspartnern über verschie-
sand und stellt die Technik hinter MFT schützenswerte Daten über ungeschützte dene Standorte, Regionen und Zeitzonen
vor. Netze übertragen, muss über den Einsatz hinweg sicher, nachweisbar und schnell
zuverlässiger Verschlüsselungsverfahren über öffentliche Netze aus.
;`\8e]fi[\ile^\e intensiv nachgedacht werden.“ Das BSI Dabei sind alle MFT-Lösungen ähnlich
erwähnt in dem Papier explizit auch eine aufgebaut: Sie bestehen aus einem Ser-
Der Schutz von sicherheitsrelevanten bestimmte Funktion, die häufig in Zu- ver, auf dem Dateien beliebiger Größe
Daten sollte für jeden Anwender hohe sammenhang mit MFT-Systemen angebo- bereitgestellt werden und einem System,
Priorität haben, nicht zuletzt fordert das ten wird: Cloud-Speicher, die Anwender das Zugriffs- und Nutzungsrechte verwal-
auch das Bundesdatenschutzgesetz in zum File Sharing oder zur Kollaboration tet. Der wesentliche Unterschied zu un-
§ 9 (Technische und organisatorische nutzen. Privat verwendet man dafür sicheren Technologien ist, dass Dateien
Maßnahmen) und § 42a (Informations- zumeist Google Tools oder kostenlose auf dem Server verschlüsselt gespeichert
pflicht bei unrechtmäßiger Kenntniser- Cloud Services wie Dropbox, Duplicati werden und so für Unberechtigte nicht
langung von Daten). Dazu kommen zu- und andere. Auch Unternehmen greifen zugänglich sind. Bei MFT können nur
sätzliche Bestimmungen wie sogenannte auf diese Möglichkeiten zurück, sollten die zugriffsberechtigten Empfänger die

,- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


D=K B E F N$ ? F N

verschlüsselt bereitgestellten Dateien werden kann. Diese Funktion dient bei Größenbeschränkungen. Das funktioniert
herunterladen und entschlüsseln. Die vielen Lösungen als Nachweis über die folgendermaßen: Werden große oder sen-
Daten werden bereits beim Versender erfolgreiche Zustellung von Daten an den sible Informationen in Form von Anhän-
verschlüsselt und erst beim Empfänger Empfänger. Eine Protokollierung sorgt gen durch den Anwender versandt, dann
wieder entschlüsselt. Dadurch sind Daten für zusätzliche Sicherheit, da durch eine wird der Text der E-Mail und das Attache-
nicht nur auf dem Transportweg, sondern Logfile-Analyse eine fehlerhafte Übertra- ment voneinander entkoppelt. Auf das
etwa auch in einem Zwischenspeicher gung oder ein nicht abgeholter Download Attachement verweist dann nur ein Link
sicher. erkannt und der Versender entsprechend in der E-Mail, physikalisch bleibt es meist
Als Verschlüsselungsstärke des MFT- informiert werden kann. lokal auf einem MFT-Laufwerk oder Ser-
Systems sollte man den sicheren 256-Bit- Häufig lässt sich auch noch die Gültigkeit ver verschlüsselt gespeichert. Der Emp-
AES-Standard wählen. Einige Lösungen von Dateien beschränken. Dann ist eine fänger, der die E-Mail erhält, kann durch
bieten als zusätzliche Sicherheitsoption Datei nur bis zu einem gewissen Datum Anklicken des Links die verschlüsselte
eine Datensegmentierung an, was bedeu- herunterladbar oder es ist nur eine ge- Datei vom MFT-Server des Versenders
tet, dass die Dateien vor dem Versand in wisse Anzahl von Downloads möglich. herunterladen. Es ist auch möglich für
kleine Segmente aufgeteilt, in zufälliger Solche Management-Funktionen stellen Dateien, die einer hohen Schutzklasse
Reihenfolge versandt und erst beim Emp- im Vergleich zu FTP & Co. einen Mehr- unterliegen, noch eine Authentifizie-
fänger wieder richtig zusammengesetzt wert dar und erlauben einen belastbaren rung vorzuschalten. Der Empfänger
werden. Zustellungsnachweis. meldet sich dann an einem MFT-Portal
Managed heißt der File Transfer unter mit seinen Login-Daten an und kann die
anderem deshalb, weil der Download <$DX`c$@ek\^iXk`fe Datei erst nach der Verifizierung seiner
von Dateien dem Versender meist ent- Zugriffsberechtigung herunterladen. Im
weder proaktiv über Benachrichtigungen Bei MFT-Lösungen, die auf E-Mail ba- Normalfall bekommt der Versender eine
per E-Mail mitgeteilt wird oder passiv in sieren, unterliegen die zu versendenden Nachricht über den erfolgreichen Down-
einer persönlichen Übersicht überprüft Dokumente nicht den meist eingestellten load des Anhangs. 

  

   "
 " !"
$!#!  #!

QR-Code scannen und


direkt online bestellen!
www.apps-und-tipps.de
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ,.
B E F N$ ? F N D=K

von Technologien in jedem Fall sinnvoll und auch nicht von


Cf^^`e^ :fe]`^=`c\
KiXej]\i?`jkfip cf^+a zur Übertragung jedem Administrator erwünscht. Deshalb
Efk`]`ZXk`fej
von Dateien aus- bieten auf dem Markt erhältliche Lösun-
wählen, darunter gen zumeist auch nur Teile davon an.
=KG =KG
j=KG j=KG WebDAV, UNC und Für Unternehmen entscheidend ist oft die
=KGJ =KGJ
N\Y;8M N\Y;8M ZIP. Usability. Ist die MFT nicht ergonomisch
A8;<
_kkg _kkg
=`c\jpjk\d =`c\jpjk\d
Andere in das in Standardapplikationen integriert, dann
:C@
LE:
8G@
LE: E-Mail-System in- führt der zusätzliche Aufwand häufig
Q@G Q@G
A@KC
I\Z\`m\ J\e[ tegrierte Lösun- dazu, dass Anwender die Software um-
@D8G @D8G
GFG* GFG* gen erweitern das gehen oder einfach nicht nutzen.
ADJ ADJ E-Mail-User-Front- Sicheres File Sharing und sichere Daten-
end mit entspre- räume als MFT-Zusatzfunktionen sind
CfZXc=`c\Jpjk\d&LE: chenden Buttons. Online-Speicher, die sich von den kosten-
Hier muss der User losen Diensten wie Dropbox deutlich un-
8YY`c[le^(1JZ_\dXk`jZ_\i8l]YXl[\iFg\e$JfliZ\$Cjle^]•iD=KA8;<% entscheiden, ob er terscheiden, da dort alle Daten verschlüs-
die Anhänge als selt abgelegt sind. Da diese Dienste durch
Eine in Exchange integrierte Lösung birgt schützenswert einstuft und dann vor dem das Unternehmen selbst gehostet wer-
den Vorteil, auf eine regelbasierte Klas- Versand die entsprechende Funktion akti- den, bieten sie die Möglichkeit, Dateien
sifizierung setzen zu können. Hier ent- viert. Vergisst er diese Funktion, werden in einer privaten Cloud zu speichern.
scheiden die eingestellten Policies vor der die Anlagen unverschlüsselt versandt. Sie bestehen ebenfalls aus einem System
Übertragung, ob eine bestimmte Datei als Diese Lösung ist aus Sicht des Daten- zur Datenverschlüsselung und einer Zu-
sicherheitsbedürftig eingestuft wird oder schutzes bedenklich und im Zweifels- griffs- und Rechteverwaltung. Werden die
nicht. Mögliche Regeln richten sich bei- fall haftet das Unternehmen, wenn der Daten der Teilnehmer lokal in einem Con-
spielsweise nach der Absenderadresse, Anwender trotz Arbeitsanweisung den tainer gespeichert, ist die Bearbeitung
der Empfängeradresse, dem Dateityp des Anhang nicht oder falsch klassifiziert hat auch ohne Internetverbindung möglich.
Anhangs, der Größe des Anhangs oder und damit sensible Daten in die falschen Besteht später wieder eine Verbindung,
dem ursprünglichen Speicherort des An- Hände gelangen. werden die Daten dann synchronisiert
hangs. So können beispielsweise auch in- Wenn Unternehmen und Anwender bis- und gegebenenfalls auch entsprechend
terne Mails anders behandelt werden als lang zumeist FTP zur Übertragung von versioniert.
externe. Für den Empfang von Dateien Dateien genutzt haben, dann kann eine
fremder Unternehmen, stellen einige MFT-Lösung als eigenständige Applika- =Xq`k
MFT-Lösungen auch Widgets zur Verfü- tion durchaus sinnvoll sein. Diese MFT-
gung. Mit ihnen ist ein Dateiaustausch Systeme arbeiten häufig ähnlich wie Letztlich lassen sich mit MFT große
über interne MFT-Server möglich. E-Mail-Applikationen und versuchen de- Datenmengen sicher, also verschlüsselt
ren Usability zu kopieren. Dabei wird ein über unsichere öffentliche Verbindungen
9\`jg`\c\ lokaler Client oder eine Web-Applikation austauschen. Zusätzliche Management-
genutzt, um Dateien zu versenden. Der Funktionen ermöglichen ein umfassendes
Die Software Policy Patrol MFT beispiels- Versender muss sich authentifizieren Reporting und Auditing und damit zum
weise integriert sich komplett in alle und kann dann dem Empfänger eine ver- Beispiel einen Nachweis einer erfolgrei-
bekannten E-Mail-Systeme und klassifi- schlüsselte Nachricht im Stil einer E-Mail chen Zustellung. Damit Compliance-An-
ziert die Anlagen in ausgehenden Mails inklusive Anhang senden. Ist das MFT- forderungen von nationalen und interna-
anhand der eingestellten Policies. Eine System Teil der täglichen Arbeit, dann tionalen Gesetzen und Zertifizierungen
weitere Lösung, die MFT erfolgreich als spricht der Aufwand zum Beispiel für erfüllt werden, darf man das System nicht
Übertragungstechnologie einsetzt, ist die doppelte Verwaltung von Empfängern umgehen oder manipulieren können. So
ShieldShare des schwedischen Herstellers eher für ein integriertes MFT-System. lässt sich verhindern, dass die Funktion
Blockmaster. Neben den kostenpflichti- vergessen wird. Die Klassifizierung von
gen soll hier auch eine Open-Source- BfccXYfiXk`fele[=`c\ zu versendenden Dateien soll nicht dem
Lösung erwähnt werden, die MFT als
J_Xi`e^d`kD=K Anwender überlassen bleiben, sondern
Übertragungstechnologie einsetzt. JADE automatisch durch Policies erledigt wer-
(JobScheduler Advanced Data Exchange, Die MFT-Technologie geht bei einigen der den. Hohe Usability und Integration in
Nachfolger von SOSFTP) von SOS wurde angebotenen Lösungen über den sicheren vorhandene Workflows oder Standard-
von Entwicklern aus Deutschland (SOS Datentransfer hinaus. Sie vereinheitlicht Applikationen wie E-Mail-Systeme er-
GmbH), Frankreich (SOS Paris) und der dann häufig ansonsten parallel existie- höhen die Akzeptanz. File Sharing,
Schweiz (SOS AG) entwickelt und bietet rende Insellösungen wie File Sharing, E-Collaboration und sichere Datenräume
Privat-Usern eine sichere Alternative zu E-Collaboration, Online-Speicher und si- nutzen die Grundfunktionen von MFT,
Dropbox & Co. Mit JADE (8YY`c[le^() chere Datenräume. Eine Gesamtlösung, müssen aber für die Anwendung jeweils
kann der Anwender eine ganze Reihe die alle MFT-Bausteine anbietet, ist nicht entsprechend optimiert werden. (jcb) ■

,/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Fixkosten 0,0 Ct

Festnetz ab 1,0 Ct
brutto pro Min.*

Features Freie Caller ID


EVN als CSV und mehr ...

Support Persönlicher Service


durch eigene Support - Rufnummer

Die Anbindung für Ihre SIP - Telefonanlage:


connectBasic – Der SIP - Telefonanschluss.

Die Anbindung für Ihre Telefon - Systeme Ohne Fixkosten – Keine Vertragslaufzeit
Nutzen Sie den SIP - Trunk connectBasic zur An- connectBasic hat keine Setup - Kosten, Grundge-
bindung Ihrer SIP - fähigen Telefonanlage oder bühren oder Mindestumsätze.
Ihrer eigenen Telefonieserver, wie z.B. Asterisk.
100 Minuten Gratis - Test
Als Ergänzung oder Komplettlösung
* Stand 16.04.2013

connectBasic ist die ideale Möglichkeit, Ihre Lei- Überzeugen Sie sich von unserer Sprachqualität
tungen für ausgehende Gespräche zu erweitern und sichern Sie sich 100 Freiminuten ins deut-
oder bestehende, teure Leitungen zu ersetzen. sche Festnetz: www.outbox.de

Infos und Beratung: 0800 /688 269 24 www.outbox.de


B E F N$ ? F N I\[?Xk:cfl[

I\[?Xkj:cfl[$le[M`iklXc`j`\ile^jgfik]fc`f`e[\i|Y\ij`Z_k

Nfcb\eble[\
Ÿ9i`Xe>l\jk#()*I=%Zfd

I\[?Xk_Xk`dCXl]\[\jAX_i\j)'()j\`e:cfl[$Gfik]fc`fdXjj`m\in\`$ Die offiziell verfügbaren Cloud-Kreatio-


nen Red Hat Hybrid Infrastructure-as-a-
k\ik%;`\j\Gif[lbk•Y\ij`Z_k_`c]k#I\[?XkjGif[lbk\`dBfek\okmfeMD$ Service (IaaS) R+T, Red Hat Cloud mit
nXi\:fqlY\n\ik\e%K_fdXj;i`cc`e^ Virtualization Bundle R,T und Open IaaS
Architecture Service R-T sollen Unter-
Nachdem im Jahr 2011 in der IT passend Produktphilosophie unterliegt. Wer ge- nehmen beim Aufbau eigener privater
zum damaligen CeBIT-Motto „Die Wolke“ nau hinschaut, erkennt dann aber doch, und/oder öffentlicher (hybrider) Clouds
insbesondere für Cloud-Anbieter der das Red Hats Cloud-Strategie einer über- unterstützen. Bereits seit November 2012
Startschuss für neue Geschäftsmodelle geordneten Vision folgt. Red Hat könnte ist zudem Red Hats PaaS-Plattform Open-
fiel, schossen 2012 vor allem neue Cloud- sich im Laufe des Jahres zum ersten An- Shift in einer Enterprise-Edition als kom-
Produkte wie Pilze aus dem Boden. In bieter entwickeln, der eine offene, hy- merzielles Produkt erhältlich. OpenShift
diesem Jahr könnte die Verwendung von bride und herstellerunabhängige Cloud- Enterprise ermöglicht zum Beispiel RZ-
Cloud-Technologien auch für gewöhnli- Lösung realisiert, die ausschließlich auf Betreibern, Red Hats PaaS-Dienst in ihre
che Anwender normal werden. An der freier Software basiert und neben den eigene Infrastruktur einzubauen.
inflationären Verwendung des Cloud-Be- eigenen auch Produkte von VMware & Die kurz vor Jahresende 2012 verkündete
griffs hat sich zwar nicht viel geändert, Co unter einer gemeinsamen Oberfläche Übernahme des US-Cloud-Spezialisten
Entscheider sollten heute aber in der Lage verwaltet. Managed IQ komplettiert das Puzzle. Den
sein, zwischen den verschiedenen SaaS-, Nutzen der neuen IaaS-Kreationen zum
PaaS- und IaaS-Angeboten, Online-Spei- I\[?XkjXbkl\cc\ Aufbau eigener privater und öffentlicher
chern, Software-Produkten zum gezielten
Gif[lbkgXc\kk\ Clouds vermag allerdings nur zu beurtei-
Aufbau eigener Hybrid-Clouds, Virtuali- len, wer die involvierten Basis-Produkte
sierungs-Management-Lösungen und in Wer Red Hats Produktpolitik rund um und Komponenten kennt und funktional
modernen Betriebssystemen enthaltenen die Geschäftsbereiche Enterprise Linux, in Red Hats Cloud Stack 8YY`c[le^ ()
Cloud-/Virtualisierungs-Funktionen zu Enterprise Virtualization, JBoss Middle- einzuordnen weiß; denn CloudForms 1.1,
unterscheiden. Wer hier durchblickt, ware und Cloud Computing beobachtet Deltacloud 1.0, Storage Server 2.0, JBoss
kann eine individuelle Strategie zum hat, dem dürfte aufgefallen sein, dass Middleware und Enterprise Virtualization
Aufbau eines eigenen Cloud-Angebots der Bereich Cloud Computing im beson- 3.1 bilden das Fundament für die neuen
entwickeln und die einschlägigen Ange- deren Fokus von Red Hats Engagement Produkte.
bote bewerten. im vergangenen Jahr stand. So hat der
Fasst man als Befürworter freier Software Open-Source-Spezialist auf dem Red Hat :cfl[d`kM`iklXc`qXk`fe
Summit R*T im Juni letzten Jahres gleich
und offener Standards Red Hat als Cloud-
9le[c\
Partner ins Auge, stellen sich angesichts mehrere neue Lösungen vorgestellt. Die
eines scheinbar recht unübersichtlichen sind größtenteils seit Ende des Jahres An oberster Stelle in Red Hats Cluster-
Produktportfolios R(T im Cloud-Segment 2012 offiziell verfügbar, sodass sich jetzt Stack finden sich die seit Ende Dezember
R)T Zweifel ein, ob das derzeitige Ange- ein klareres Bild von Red Hats Gesamtstra- erhältlichen neuen Produkte, die ihrer-
bot der Amerikaner einer erkennbaren tegie im Cloud-Segment abzeichnet. seits Bundles existierender Technologien

-' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


I\[?Xk:cfl[ B E F N$ ? F N

8YY`c[le^(1I\[?Xkj:cfl[$8iZ_`k\bklij`\_kmfi#d`k?`c]\mfeI\[?Xkj;\ckXZcfl[$8G@e\Y\e[\e\`^\e\e 8YY`c[le^)1I\[?Xk?pYi`[@e]iXjkilZkli\$Xj$
:cfl[$K\Z_efcf^`\eI?<M$Dle[Fg\eJkXZbXlZ_[`\a\e`^\eXe[\i\i?\ijk\cc\iXeqlY`e[\e% X$J\im`Z\jZ_c`\kXlZ_[Xj<`eY`e[\emfe:cfl[$
I\jjfliZ\e\`e\jI\[?Xk:\ik`]`\[GlYc`Z:cfl[
sind, allen voran die Cloud-Management- soll, die dem Aufbau hybrider Cloud- Gifm`[\ijeXZ_9\[Xi]d`k\`e%
Suite CloudForms und Red Hat Enterprise Umgebungen eigentlich innewohnende
Virtualization sowie IaaS-Ressourcen und Komplexität zu reduzieren. Die Lösung nommen hat. Bereits im Mai desselben
Dienstleistungen. packt die dazu fundamentalen Kompo- Jahres kündigte Red Hat an, OpenShift
Ein erster Blick gilt dem Programmgerüst, nenten RHEV, das CloudForms-Famework unter einer Open-Source-Lizenz (Apache-
bevor Funktionen und Prozeduren mit zu- und RHEL als Gastbetriebssystem in ein Lizenz) zu stellen. Sämtliche OpenShift-
nehmender Komplexität sichtbar werden. Paket, welches außerdem die Möglich- Komponenten rund um die Origin Server
Red Hat Cloud mit Virtualization Bundle keit einschließt, on-demand zusätzliche getaufte Community-Version sind seit
ist ein Paket aus RHEV-Version 3.1 und Cloud-Ressourcen von einem Red Hat Mai 2012 unter Github R0T verfügbar.
CloudForms 1.1, das Unternehmen den Certified Public Cloud Provider R.T ein- Laut Red Hat soll OpenShift den Markt
Einstieg ins Cloud Computing dadurch zubinden. für Platform-as-a-Service (PaaS) völlig
erleichtern soll, dass es die Virtualisie- umkrempeln. OpenShift stellt Software-
rungsstrategie gleich mit konsolidiert. Fg\eJ_`]kFi`^`e& Entwicklern zahlreiche Sprachen, Frame-
Unternehmen, die den Schritt zur Virtu-
<ek\igi`j\ works und SQL- sowie NoSQL-Daten-
alisierung ihrer Serverlandschaft bisher banken zur Verfügung und ermöglicht es
noch nicht vollzogen haben, können die- OpenShift R/T ist Red Hats seit Mai 2012 ihnen sogar, den Red Hat Certified Cloud
sen nach Red Hats Vorstellungen durch unter einer Community-Lizenz verfüg- Provider, bei dem ihre Anwendungen an-
den Einsatz des Virtualization Bundle bare Cloud-Anwendungsplattform. Der schließend laufen sollen, frei wählen zu
mit dem Aufbau einer Unternehmens- Platform-as-a-Service-Dienst (PaaS) stellt können (8YY`c[le^)). 
Cloud kombinieren und durch das Zu- Entwicklern Deve-
sammenfassen zweier Projekte in einem lopement-Tools in
Zyklus die TCO senken – so die Idee. der Cloud zur Ver-
Das Produkt-Bundle enthält sämtliche fügung, sodass sie
Komponenten, die zum Aufbau und für keine eigenen Um-
das Orchestrieren von Cloud- und Vir- gebungen für ihre
tualisierungsplattformen notwendig sind Software-Projekte
und umfasst das Management virtueller aufzusetzen müs-
Maschinen, das Systemmanagement und sen.
das Application Lifecycle Management. Die eigentliche
OpenShift-Platt-
?pYi`[@e]iXjkilZkli\$Xj$X$ form basiert auf
J\im`Z\@XXJ Technologien der
Firma Makara, ei-
Red Hat Hybrid Infrastructure-as-a-Ser- nem Anbieter von
vice (8YY`c[le^ *) ist, wie der Name Cloud-Services, 8YY`c[le^*1I\[?Xk?pYi`[@e]iXjkilZkli\$Xj$X$J\im`Z\Y\[`\ekj`Z_
unschwer erkennen lässt, ein klassisches den Red Hat im m\ijZ_`\[\e\e@e]iXjkilbklibfdgfe\ek\e#K\Z_efcf^`\ele[Gif[lbk\eXlj[\d
IaaS-Produkt, das Unternehmen helfen Jahr 2011 über- I\[$?Xk$9XlbXjk\e%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * -(


B E F N$ ? F N I\[?Xk:cfl[

Mit Beendigung der offiziellen Beta-Phase


im November letzten Jahres ist Open-
Shift (8YY`c[le^+) nun wie bei Red Hat
üblich auch als kommerzielles Produkt
unter der Bezeichnung OpenShift Enter-
prise R('T erhältlich und komplettiert Red
Hats Cloud-Portfolio im PaaS-Sektor. Mit
OpenShift Enterprise können Betreiber
von Rechenzentren die OpenShift-PaaS-
Dienste relativ einfach in ihre eigene In-
frastruktur integrieren und ihren Kunden
Entwicklungsinstanzen zuweisen.
OpenShift und OpenShift Enterprise
setzen auf zahlreiche Red-Hat-Techno-
logien auf, neben RHEL vor allem der
JBoss Enterprise Application Plattform
R((T. Im Unterschied zur Open-Source-
Version OpenShift Origin stellt OpenShift
Enterprise neben der reinen Webkonsole 8YY`c[le^+1Fg\eJ_`]k<ek\igi`j\\id^c`Z_k\j\knXIQ$9\ki\`Y\ie#\`e\`^\e\jGXXJ$8e^\YfkXl]9Xj`j[\i
R()T auch Zugang über Entwickler-IDEs, Fg\eJ_`]k$GcXkk]fidXl]qlj\kq\e%
REST-API und Kommandozeilen-Werk-
zeuge zur Verfügung. verschiedene Infrastruktur-Bausteine für seine mit dem quelloffenen (und im Ge-
OpenShift unterstützt derzeit die Pro- private und öffentliche Clouds zurück- gensatz zu Eucalyptus und OpenNebula
grammiersprachen Java EE, PHP, Python, greifen, die ihrerseits unterschiedliche auch herstellerunabhängigen) OpenStack
Ruby und Perl. Ferner stellt OpenShift Virtualisierungstechnologien nutzen. in Verbindung stehende Strategie umfas-
Frameworks für verschiedene Program- Ferner können Unternehmen mit Cloud- send erläutert R)(T.
miersprachen zur Verfügung, die das Ent- Forms derartige Cloud-Mixes nicht nur Ein weiteres wichtiges Puzzleteil im Zu-
wickeln von Software beschleunigen, da- aufbauen, sondern auch verwalten und sammenhang mit Red Hats Vision her-
runter Java EE, Spring, Seam, Rails, Rack, zwar ohne dass sich das Unternehmen stellerunabhängiger, hybrider Clouds ist
Symfony, Zend, Django und Twisted. Zur an einen bestimmten Cloud-Anbieter bin- die von Red Hat bereits im Jahr 2009 ins
Datenspeicherung unterstützt OpenShift den muss. In der technischen Produkt- Leben gerufene und im Jahr 2011 eben-
alle wichtigen Datenbank-Management- beschreibung der CloudForms-Version falls der Apache Software Foundation
Systeme, darunter MySQL, SQLite und 1.0 R(,T findet sich ein hervorragender übergebene Deltacloud-API R))T. Sie
MongoDB. Seit der Verfügbarkeit der Ver- Überblick der in Red Hats Cloud-Stack wurde mit der Zielsetzung entwickelt,
sion 7 des quelloffenen JBoss-Anwen- vorgesehenen Komponenten. Demnach die von den zahlreichen, unabhängigen
dungsservers, der wiederum Basis der sind für den Aufbau homogener Red- Cloud-Providern eingesetzten Virtuali-
JBoss Enterprise Application Platform 6 Hat-Clouds neben CloudForms auch der sierungstechnologien, Storage Formate
ist, unterstützt OpenShift auch Java EE 6, als Appliance konzipierte Storage Server und Protokolle so zu abstrahieren, dass
wodurch OpenShift laut Red Hat besser R(-T, die erwähnte JBoss Middleware, sich zum Beispiel mit CloudForms auch
skalierbar und verwaltbar wird. Red Hat Enterprise Linux (RHEL) R(.T herstellerunabhängige Clouds aufbauen
und an der Basis Red Hat Enterprise Vir- lassen. Seit August letzten Jahres ist Del-
:cfl[=fidj(%(Xcj tualization (RHEV) R(/T elementar. Red tacloud in einer stabilen Version 1.0 ver-
DXeX^\d\ek$GcXkk]fid Hat strebt jedoch an, die Technik der fügbar und unterstützt eine beachtliche
Clouds nicht ausschließlich auf die durch Zahl an Cloud-Anbietern und Cloud-In-
CloudForms R(*T ist Red Hats offene, hy- RHEV zur Verfügung gestellte Technolo- frastruktur-Lösungen. Außer den eige-
bride Cloud- und System-Management- gien zu beschränken. nen Technologien RHEV-M und Open-
Plattform und damit das Kernstück aller Stack gehören dazu auch Amazon
bisher vorgestellten Cloud-Lösungen mit Fg\eJkXZb`ebclj`m\ EC2, IBM SBC, VMware vSphere, Rack-
Ausnahme von OpenShift (8YY`c[le^,). space, sowie die beiden anderen Open-
Die aktuelle Version 1.1 wurde ebenfalls Bekanntlich enthält Enterprise Linux auch Source-Cloud-Stacks Eucalytpus und
auf dem Red Hat Summit 2012 vorgestellt die quelloffene Cloud-Lösung Eucalytpus OpenNebula.
und soll künftig auch Red Hats Network R(0T; RHEL 7 wird zudem Open Stack 2.0
Satellite R(+T ersetzen. (Folsom) R)'T mitbringen. Offensichtlich I\[?Xk<ek\igi`j\
Unternehmen können mit CloudForms misst Red Hat OpenStack, wie der Beitritt
M`iklXc`qXk`fe*%(
eigene hybride Clouds erstellen, die sich zur OpenStack-Foundation signalisiert,
auf die gesamte Infrastruktur des Un- ebenfalls eine große Bedeutung bei. Auf Basis aller Cloud- und Virtualisierungs-
ternehmens ausdehnen und dabei auf dem Summit 2012 hat Red Hat übrigens technologien von Red Hat ist die eben-

-) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


I\[?Xk:cfl[ B E F N$ ? F N

Red Hat Enterprise Virtualization 3.1 lässt


sich darüber hinaus mit der seit Juni 2012
verfügbaren Version 2.0 des auf Glus-
terFS R)-T aufsetzenden Red Hat Storage
Servers kombinieren. RHEV kann dann
den vom Storage Server zur Verfügung
gestellten Speicherplatz nutzen.

=Xq`k
Red Hats Unternehmensphilosophie,
selbst entwickelte oder durch strategische
Übernahmen erworbene Technologien
nach Abschluss der Testphase oder dem
Beseitigen von proprietären Bestandteilen
in Open-Source-Projekte zu überführen,
ist durchgängig zu beobachten und hat
8YY`c[le^,1D`k:cfl[=fidj^\c`e^k[\i8l]YXlle[[XjM\inXck\e_pYi`[\i:cfl[$D`o\jXlj@e]iXjkilbkli$ Methode. Mit KVM, JBoss, Ovirt, Delta-
9Xljk\`e\e%B•e]k`^jfcc:cfl[=fidjXlZ_I?E\ij\kq\ele[q\ekiXc\M\inXckle^jXl]^XY\emfdJf]knXi\$ cloud, OpenShift seien nur einige popu-
DXeX^\d\ek•Y\i[XjJpjk\d$DXeX^\d\ekY`jqldI\gfik`e^nX_ie\_d\e% läre Beispiele genannt. Viele der Techno-
logien sind aus strategischen Übernah-
falls seit Dezember 2012 in einer aktu- Hosts (RHEV-H) und dem Management- men hervorgegangen, was zeigt, dass Red
alisierten Version 3.1 verfügbare Virtu- System (RHEV-M), das nun endlich eine Hat tief im Open-Source-Gedankengut
alisierungsplattform Red Hat Enterprise reine Java-Anwendung ist. Eine un- verwurzelt ist und die Idee von Open
Virtualization (RHEV) R)*T für Server schöne Folge des Deals aus 2008 bestand Source mit den Anforderungen eines
R)+T und Desktops R),T. Dieser Beitrag nämlich bis RHEV 3.0 darin, dass das wirtschaftlich agierenden Unternehmens
beschränkt sich auf die Neuerungen, die Management-System (Administrations- verbindet. Red Hat ist schließlich auch
RHEV 3.1 auf einen Level mit den Enter- konsole) zum Verwalten der Wirtssys- wirtschaftlich der bedeutendste Open-
prise-Virtualisierern von VMware, Citrix teme nur auf Windows-Hosts lief, weil Source-Hersteller und einer der wenigen,
und Microsoft heben, denen RHEV 3.1 es zwingend IE7, Dot-Net und ein Active die stetig Gewinne erwirtschaften.
technologisch mit der Unterstützung von Directory voraussetzte. Wie die Adminis- Das Übergeben von durch Red Hat wei-
bis zu 160 CPUs in virtuellen Maschinen trationskonsole aussieht, lässt sich auch terentwickelten Technologien an Open-
und bis zu 2 TByte Speicher sogar über- ohne RHEV-Subscription einigermaßen Source-Stiftungen zahlt sich für das
legen ist. nachvollziehen, indem man einfach Unternehmen mehrfach aus. Zum einen
Red Hats Enterprise Virtualization war das Ovirt-Framework unter Fedora in ermöglichen Community-Entwickler ei-
bekanntlich zu großen Teilen im Jahr stalliert. nen stetigen Know-How-Transfer, der
2008 aus der Akquisition des israelischen RHEV 3.1 bringt weitere Verbesserungen letztendlich allen zugute kommt und die
Software-Herstellers Qumranet hervorge- mit, etwa bei den unterstützten Speicher- Produkte besser und bekannter macht.
gangen, ebenso wie der seit Linux 2.6.20 technologien, der Benutzerverwaltung, Ferner ermöglichen Community-Projekte
offiziell im Kernel verankerte KVM-Hy- der Skalierbarkeit und bei der Funk- einen herstellerübergreifenden Austausch
pervisor sowie große Teile der in RHEV tionalität virtueller Desktops. Der KVM- über Protokolle und Schnittstellen, was
verbauten Komponenten, inklusive der Hypervisor unterstützt in RHEV neueste Red-Hat-Produkte oft schneller in die
auf dem Ovirt-Framework und dem x86-Prozessoren.
Spice-Protokoll basierenden Desktop-Vir- Ferner supportet
tualisierung. Mit dem mittlerweile in ein RHEV 3.1 als Tech-
Community-Projekt überführten Ovirt- nologie-Preview
Framework (8YY`c[le^-) lässt sich ein die Live-Migration
leistungsfähiges Datacenter-Management von Speicher. So
aus Linux-Hosts unter RHEL oder Fedora lassen sich virtu-
aufbauen. Die konzeptionelle Vergleich- elle Festplatten
barkeit mit VMware & Co gelingt Red der VMs zwischen
Hat aber erst mit RHEV 3.1, weil die Red- verschiedenen
Hat-Entwickler über die Jahre proprietäre Speichersystemen
Code-Bestandteile (C#) erst durch Open- (SAN, iSCSI, NFS)
Source-Code ersetzen mussten. migrieren, ohne
Eine typische RHEV-Umgebung besteht die Maschine an-
aus einem (oder mehreren) Hypervisor- zuhalten. 8YY`c[le^-1;XjFm`ik$=iXd\nfibXcjDXeX^\d\ek$N\ibq\l^%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * -*


B E F N$ ? F N I\[?Xk:cfl[

R.T I  \[?Xk:\ik`]`\[:cfl[Gifm`[\i1
R_kkg1&&[\%i\[_Xk%Zfd&jfclk`fej&
Zcfl[$Zfdglk`e^&i\[$_Xk$Zcfl[&
]`e[$glYc`Z$Zcfl[%_kdcT
R/T Fg\eJ_`]k$GcXkk]fid1R_kkgj1&&fg\ej_`]k%
i\[_Xk%Zfd&Zfddle`kp&fg\e$jfliZ\T
R0T Fg\eJ_`]kXl]>`k_lY1
R_kkgj1&&^`k_lY%Zfd&fg\ej_`]kT
R('TFg\eJ_`]k<ek\igi`j\1R_kkg1&&nnn%i\[_Xk%
Zfd&XYflk&e\nj&gi\jj$XiZ_`m\&)'()&((&i\
[$_Xk$[\c`m\ij$`e[ljkipj$]`ijk$Zfdgi\_\ej
`m\$fg\e$fe$gi\d`j\$gcXk]fid$Xj$X$j\im`Z
\$f]]\i`e^$]fi$\ek\igi`j\jT
R((T A9fjj<ek\igi`j\D`[[c\nXi\1
R_kkg1&&[\%i\[_Xk%Zfd&gif[lZkj&
aYfjj\ek\igi`j\d`[[c\nXi\&
Xggc`ZXk`fe$gcXk]fid&T
8YY`c[le^.1I\[?XkjJkfiX^\J\im\ic`\^kjfnf_c]•i[\eMfi$Fik$<`ejXkqXcjXlZ_]•i[`\M\in\e[le^d`k R()TFg\eJ_`]kN\YZfejfc\1R_kkgj1&&fg\ej_`]k%
gi`mXk\ele[_pYi`[\e:cfl[jmfiÆ_`\iXcjjbXc`\iYXi\jE8J]•i8dXqfeN\YJ\im`Z\j% i\[_Xk%ZfdT
R(*T:cfl[=fidj1R_kkg1&&nnn%i\[_Xk%Zfd&
Lage versetzt, sich als herstellerunab- laubt. Übrigens nennt Red Hat – obwohl jfclk`fej&Zcfl[$Zfdglk`e^&i\[$_Xk$Zcfl[&
hängige Standards im Markt erfolgreich alle im Beitrag vorgestellten Produkte seit gi`mXk\$Zcfl[j$Zcfl[]fidj%_kdcT
zu etablieren. Ende letzten Jahres offiziell verfügbar R(+TI\[?XkE\knfibJXkk\c`k\1
Dieses Ziel verfolgen die Amerikaner sind – mit Ausnahme von RHEL und R_kkg1&&nnn%i\[_Xk%Zfd&gif[lZkj&
auch mit ihrer Cloud-Strategie hin zu ei- RHEV – keine Preise und verweist auf das \ek\igi`j\$c`elo&i_e$jXk\cc`k\&T
ner offenen, hybriden und herstellerunab- Kontaktformular zur Sales-Abteilung. Der R(,T:cfl[=fidj(%'1R_kkg1&&[\%i\[_Xk%
hängigen Cloud. Red Hats Cloud-Stratgie Grund dürfte darin liegen, dass Cloud- Zfd&i_\Zd&i\jk$i_\Zd&aZi&
hält somit, insbesondere im Zusammen- Computing im Einzelfall immer noch ein i\gfj`kfip&ZfccXYfiXk`fe&aZi1jpjk\d&
hang mit vorkonfektionierten Lösungen hochgradig individuelles und projekt- aZi1m\ij`feJkfiX^\&XX'X]+X-'X',)-'
wie Red Hat Hybrid Infrastructure-as-a- orientiertes Thema ist. Nichtsdestotrotz ((+]]X\'Z]Y)*Y\YZ&0&aZi1]ifq\eEf[\&
Service und Cloud with Virtualization versucht Red Hat, Produkt, Projektunter- i_1i\jfliZ\=`c\T
Bundle, Vergleiche mit kommerziellen stützung, Beratung und Cloud-Ressour- R(-TI\[?XkJkfiX^\J\im\i1
Lösungen wie etwa Microsoft System cen in Form des Open-IaaS-Architecture- R_kkg1&&[\%i\[_Xk%Zfd&gif[lZkj&
Center oder VMware vCloud Suite durch- Service zu bündeln und das Vorgehen jkfiX^\$j\im\i&T
aus stand. so auch konzeptionell zu standardisieren R(.T I\[?Xk<ek\igi`j\C`elo1
Die neuen Produktkreationen enthalten und damit für den Anwender kalkulierba- R_kkg1&&[\%i\[_Xk%Zfd&gif[lZkj&
sämtliche Komponenten zum Aufbauen rer zu machen. (jcb) ■ \ek\igi`j\$c`elo&T
und Verwalten von Clouds, von den ele- R(/TI\[?XkM`iklXc`qXk`fe1R_kkg1&&[\%i\[_Xk%
mentaren Virtualisierungstechnologien Zfd&gif[lZkj&m`iklXc`qXk`fe&T
bis zu CloudForms, das nicht nur dem @e]fj R(0T<lZXcpgklj`e=\[fiX(/1
Orchestrieren von Clouds dient, sondern R(T I\[?Xk:cfl[Gfik]fc`f1R_kkgj1&&[\% R_kkgj1&&]\[fiXgifa\Zk%fi^&n`b`&=\Xkli\j&
sich künftig zu einem zentralen System- i\[_Xk%Zfd&gif[lZkj&Zcfl[$Zfdglk`e^& <lZXcpgkljT
Management-Werkzeug entwickeln und gfik]fc`f&T R)'TFg\eJkXZb`e=\[fiX(/1
RHN Sattelite ablösen soll. R)T ;`\I\[?Xk:cfl[1R_kkg1&&[\%i\[_Xk% R_kkg1&&]\[fiXgifa\Zk%fi^&n`b`&=\Xkli\j&
Zfd&jfclk`fej&Zcfl[$Zfdglk`e^& Fg\eJkXZbV=fcjfdT
?\ijk\cc\i•Y\i^i\`]\e[\ i\[$_Xk$Zcfl[&T R)(TM`[\fFg\eJkXZb$JkiXk\^`\1R_kkg1&&nnn%
R*T I\[?XkJldd`k)'()1R_kkg1&&nnn% fg\ejkXZb%fi^&jldd`k&jXe$[`\^f$)'()&
JkXe[Xi[j
i\[_Xk%Zfd&jldd`k&)'()&^Xcc\ip&T fg\ejkXZb$jldd`k$j\jj`fej&gi\j\ekXk`fe&
Bereits jetzt ist CloudForms die einzige R+T I\[?Xk@XXJ1R_kkg1&&[\%i\[_Xk%Zfd& i\[$_Xk$j$Zcfl[$jkiXk\^pT
Management-Plattform für offene, hyb- jfclk`fej&Zcfl[$Zfdglk`e^&`XXj&T R))T;\ckXZcfl[1R_kkg1&&[\ckXZcfl[%XgXZ_\%fi^T
ride Clouds und hat dank Integration von R,T I\[?Xk:cfl[M`iklXc`qXk`fe9le[c\1 R)*TI\[?Xk<ek\igi`j\M`iklXc`qXk`fe1R_kkg1&&
Deltacloud die besten Chancen, Red Hats R_kkg1&&[\%i\[_Xk%Zfd&jfclk`fej& [\%i\[_Xk%Zfd&gif[lZkj&m`iklXc`qXk`fe&T
Open-Source-Cloud-Stack als Hersteller- Zcfl[$Zfdglk`e^&Zcfl[$m`iklXc`qXk`feT R)+TI?<MJ\im\i1R_kkg1&&[\%i\[_Xk%Zfd&
übergreifenden Standard zu etablieren, R-T I\[?XkFg\e@XXJ8iZ_`k\Zli\J\im`Z\1 gif[lZkj&m`iklXc`qXk`fe&j\im\i&T
der auch das Verwalten der Cloud-Lösun- R_kkg1&&[\%i\[_Xk%Zfd&i\jfliZ\c`YiXip& R),TI?<M;\jbkfgj1R_kkg1&&[\%i\[_Xk%Zfd&
gen von Amazon, Microsoft und VMware [ XkXj_\\kj&i_$fg\e$`XXj$XiZ_`k\Zkli\$j\i gif[lZkj&m`iklXc`qXk`fe&[\jbkfg&T
unter einer einheitlichen Oberfläche er- m`Z\T R)-T>cljk\i=J1R_kkg1&&nnn%^cljk\i%fi^&T

-+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


B E F N$ ? F N Fg\eMDJXl]M8O
ŸFc\?fl\e#()*I=

M8O$<dlcXk`fed`kFg\eMDJ

Q\`kdXjZ_`e\
<dlcXkfi\ekiXejgfik`\i\em\i^Xe^\e\:fdglk\iq\`k\e`e[`\>\^\enXik% der darauf hinwies, dass die Computer-
geschichte zur Auslöschung verdammt
;Xjj[Xje`Z_kelid`k[\d:-+le[8kXi`]lebk`fe`\ik#q\`^k[`\Jf]knXi\ sei, wenn nicht jemand etwas dagegen
J@D?#[`\[XjFg\eMDJ$Jpjk\dXl]\`e\d\dlc`\ik\eM8O$:fdglk\in`\$ unternähme. Das war dann Supnik, der
[\iqldC\Y\e\in\Zbk%Fc`m\i=ifdd\c die Anregung zum Anlass nahm, von
Assembler auf die Programmiersprache C
Die Computer von gestern üben auf viele Passend zum neuen Computer veröffent- umzusteigen und damit das SIMH-Projekt
Leute von heute einen großen Reiz aus. lichte DEC ein neues Betriebssystem na- zu beginnen.
Und das nicht nur bei der Emulation von mens VMS, das neben dem Support für SIMH ist in den Paket-Repositories ei-
Home-Computern und Spielekonsolen, Benutzerterminals auch so fortschrittli- niger Linux-Distributionen vorhanden,
sondern insbesondere, wenn Rechner che Features wie Clustering implemen- allerdings fehlen dabei manche Dateien.
wieder zum Leben erweckt werden, die tierte. VMS war auch für sein ausgefeiltes Die Installation aus dem Quellcode ist
damals selbst für kleine Firmen uner- Sicherheitskonzept bekannt, das etwa Ac- dagegen unproblematisch. Haben Sie das
schwinglich waren. Betrachtet man sich cess Control Lists (ACLs) und Auditing- etwa drei MByte große Zip-File herun-
ihre Leistungsdaten näher, reibt man sich Funktionen einschloss. Noch heute läuft tergeladen, sollten Sie sich mit dem Ent-
die Augen, denn selbst mancher Taschen- VMS als Betriebssystem auf manchem packen noch kurz zurückhalten und ein
rechner hat heute mehr zu bieten, von Bank-Computer. Verzeichnis dafür anlegen. Ein solches
Smartphones ganz zu schweigen. fehlt nämlich in dem Archiv. Wenn man
Viele dieser Dinosaurier waren Meilen- N`\[\iXl]\ijk\_le^ es einfach entpackt, sind alle enthaltenen
steine in der Entwicklung der Informa- Dateien und Verzeichnisse schön im ak-
tionstechnologie und haben den Aufstieg Neu erleben lässt sich all dies mit Hilfe tuellen Verzeichnis verteilt.
ganzer Firmen geprägt. Ein Beispiel da- des Emulators SIMH, der nicht nur einen
für sind die VAX-Maschinen der Digital VAX-Rechner nachbildet, sondern eine J\cYjk•Y\ij\kqk
Equipment Corporation (DEC), die schon ganze Reihe anderer Antiquitäten, darun-
mit der PDP-Reihe Computergeschichte ter die PDP-Reihe, den MITS Altair und Liegen die Dateien dann zum Beispiel
geschrieben hat. Bahnbrechend war aber Rechner von Hewlett Packard oder Ho- im Verzeichnis »simh«, genügt es, in
die VAX, die eine 32-Bit-Architektur mit neywell. Geschrieben hat das Programm dieses zu wechseln und »make« einzu-
virtuellem Speicher einführte, die schon der DEC-Veteran Bob Supnik, der heute geben. Wer nur den VAX-Emulator ha-
bald zum Marktführer im Segment der bei Unisys arbeitet. Die Anregung dazu ben möchte, kann sich mit »make vax«
Business-Computer wurde. kam von seinem Kollegen Larry Stewart, bescheiden. Das Ergebnis ist dann im

-- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Fg\eMDJXl]M8O B E F N$ ? F N

Verzeichnis »BIN« zu finden tems von der CD auf die erste


und heißt eben »vax«. Am Festplatte zu schreiben:
besten kopieren Sie sich das
backup dua3:vms073.b/save_set 5
Binary in ein Verzeichnis, das dua0:
sich im Pfad befindet, also
zum Beispiel »/usr/bin« oder Ist das geschafft, können
»$HOME/bin«. Damit der Sie zum ersten Mal von der
Emulator auch Netzwerkfunk- Festplatte booten und dann
tionen besitzt, muss vor dem mit der Installation weiter-
Kompilieren das Entwickler- machen. [Strg]+[e] wechselt
Paket der Libpcap (auf De- zum Prompt des Emulators,
bian/Ubuntu »libpcap-dev«) wo »exit« das Programm been-
installiert sein. det. Nach einem Neustart von
Am saubersten ist es, für die »vax« bootet dieses Mal »boot
VAX-Emulation ein eigenes dua0:« das System von der
Verzeichnis anzulegen, zum 8YY`c[le^(1Fg\eMDJY\`d\ijk\e9ffkeXZ_[\i@ejkXccXk`feXl][\i=\jkgcXkk\% Platte (8YY`c[le^ (). Wieder
Beispiel »/home/oliver/vax«. müssen Sie das Datum ein-
Dorthin kopieren Sie die Firmware-Da- Beginn VAX-11/VMS. Später fiel zuerst geben, anschließend ein Label für die
tei »ka655x.bin«, die in »simh/VAX« zu die Zahl unter den Tisch und dann mo- System-Disk, bei dem Sie die Vorgabe
finden ist. Auch die Konfigurationsdatei dernisierte DEC zu Beginn der neunziger einfach übernehmen können. Als »drive
»vax.ini« muss dort liegen. In ihr ist die Jahre den Namen zu OpenVMS. Unter holding the OpenVMS distribution me-
Hardware-Konfiguration der virtuellen diesem Namen ist das System auch heute dia« geben Sie »DUA3« ein und bestätigen
VAX spezifiziert. Zuerst steht dort die noch erhältlich, wenn auch nur noch für anschließend mit »Y«.
Anweisung zum Laden der Firmware. die Itanium-Architektur.
Dann folgt eine Datei für das nichtflüch- Wer noch eine CD mit OpenVMS für VAX ;<:e\kfgk`feXc
tige (non-volatile/NV) RAM, in dem die herumliegen hat, kann davon ein CD-
Boot-Parameter dauerhaft gespeichert Image anfertigen. Alle anderen müssen Bei der folgenden Paketauswahl bestä-
werden. Die restlichen Anweisungen sind vermutlich den Weg über das OpenVMS- tigen Sie meistens einfach die Defaults
der Konfiguration der Disks sowie des Hobbyist-Programm gehen, bei dem man beziehungsweise wählen das angebotene
Netzwerk-Interfaces gewidmet. Ganz am sich anmeldet und dann eine Lizenz fürs Paket mit »Y« aus. Auf »DECnet« und
Ende stehen noch ein paar spezielle Boot- Betriebssystem und alle andere verfüg- »DECwindows« können Sie aber norma-
Anweisungen, zu denen dieser Artikel bare Software erhält. Bis vor kurzem lerweise verzichten. Am Ende möchte
später noch mehr verrät. musste man dort auch physische Instal- der Installer noch einmal eine Bestäti-
lationsmedien bestellen, jetzt bekommt gung, dann schreibt er die Daten auf die
MDJXl]M8O man auf Anfrage per E-Mail einen Down- Festplatte.
load-Link für Disk-Images. Ist die Installation abgeschlossen, müs-
Wer nun im Verzeichnis »vax« das Kom- Das Image muss, entsprechend der Kon- sen Sie sich Passwörter für die Accounts
mando »vax« aufruft, bekommt ein paar figuration in C`jk`e^(, unter dem Namen »SYSTEM«, »SYSTEST« und »FIELD« aus-
Debug-Meldungen präsentiert, gefolgt »cdrom.iso« im Verzeichnis »vax« liegen. denken. Der Einfachheit halber und da
von einer Sprachauswahl. Viele andere Der Befehl »boot dua3«, im Boot-Prompt es sich ja nicht um eine VMS-Installation
Optionen gibt es an dieser Stelle nicht, ausgeführt, startet dann von der CD das für ein Bankhaus handelt, geben Sie ein-
denn es fehlt noch ein Bootmedium mit System, das sich als »OpenVMS (TM) fach für alle Accounts das Gleiche ein.
einem Betriebssystem, von dem die VAX VAX Version X7G7« meldet und dann zur Am Ende verlangt der Installer mit »SCS-
wirklich booten kann. Aus der Emulation Eingabe des Datums auffordert. Hier- NODE name« nach einem Namen für den
gelangen Sie jederzeit mit einem Druck bei verzichtet es ganz auf modernen
auf [Strg]+[e] heraus und in einen Ein- Schnickschnack, sondern erwartet die C`jk`e^(1¾mXo%`e`½
gabe-Prompt zur Steuerung der Emula- Eingabe in genau einem Format, nämlich 01 load -r ka655x.bin 13
02 attach nvr nvram.bin 14 attach -r rq3 cdrom.iso
tion hinein. Die Eingabe von »help« zeigt »22-APR-2013 11:54«, also den Monat als
03 set cpu 64m 15
die verfügbaren Befehle, »exit« beendet dreibuchstabiges Kürzel. Anschließend
04 16 set rl disable
den Emulator. sucht das System erst einmal nach vor-
05 set rq0 ra92 17 set ts disable
Als Betriebssystem für die VAX soll hier handenen Devices. 06 set rq1 ra92 18
das gute alte VMS zum Einsatz kommen. Sind alle Geräte gefunden, insbesondere 07 set rq2 ra92 19 set xq
Zwar gibt es mit Ultrix auch ein Unix- die Disks DUA0 bis DUA2, bestätigen Sie 08 set rq3 cdrom mac=08-00-2B-AA-BB-CC
System für die VAX, aber dann könnte dies mit »YES« und landen dann in einer 09 20 attach xq eth0
man sich das alles sparen und gleich Art Minimal-VMS. Der erste Schritt der 10 attach rq0 d0.dsk 21

Linux verwenden. Wie die erste VAX 11/ OpenVMS-Installation besteht darin, ein 11 attach rq1 d1.dsk 22 set cpu idle
12 attach rq2 d2.dsk 23 boot cpu
780 heißt auch das Betriebssystem zu sogenanntes Save Set des Betriebssys-

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * -.


B E F N$ ? F N Fg\eMDJXl]M8O

Rechner, als »SCSSYSTEMID« geben Sie Sie frei. Wenn Sie die Eingaben bestätigt sprechende Bit in dem Register, das dafür
einfach 1025 ein. haben, prüft das System, ob sie korrekt sorgt, dass der Rechner automatisch vom
sind und bietet an, die Lizenz zu laden. eingestellten Boot-Device startet. Wenn
C`q\eq`\ile^ Ansonsten dürfen Sie die Eingaben korri- Sie nun wieder »vax« starten, sollte das
gieren. Am Ende sollten Sie die folgende installierte OpenVMS automatisch hoch-
Anschließend erwartet der Installer die Meldung zu sehen bekommen: fahren (8YY`c[le^)).
Lizenzschlüssel, die Sie mit der Regis-
%LICENSE-I-LOADED, DEC VAX-VMS was 5
trierung für das OpenVMS-Hobbyist- successfully loaded with 0 units <ijk\jCf^`e
Programm als E-Mail zugesandt bekom-
men haben. Wählen Sie als Erstes den Wenn Sie das Lizenzierungs-Tool verlas- Jetzt können Sie sich zum ersten Mal
Menüpunkt 1 und antworten dann auf sen, fordert der Installer Sie auf, die Zeit- mit dem Account »system« und dem vor-
die Frage »Do you have your Product zone inklusive optionaler Sommerzeit zu her vergebenen Passwort anmelden. Auf
Authorization Key?« mit »YES«. Nun konfigurieren. Abschließend erzeugt er der Systemkonsole ist der Login-Prompt
kopieren Sie der Reihe nach die Daten ein neues System-Image und fährt VMS nicht automatisch zu sehen. Sie müssen
aus der E-Mail in die Eingabemaske. Das herunter. Am Ende landen Sie wieder vorher die Eingabetaste drücken, damit
Betriebssystemprodukt ist in der Lizenz- auf der Firmware-Ebene und können ent- er sichtbar wird. Nun initialisieren und
datei als »VAX-VMS« aufgeführt. In dem weder neu booten oder mit [Strg]+[e] mounten Sie die beiden anderen konfi-
Abschnitt finden Sie die Authorization in den Emulator wechseln und ihn mit gurierten Fesplatten:
Number, die etwa so aussieht: »HOBBY- »exit« beenden.
$ initialize dua1: DATA1
IST-VA-KEY11234-123456«. Der Product $ initialize dua2: DATA2
Name ist »VAX-VMS«, die Number of 8lkfdXk`jZ_Yffk\e $ mount/system dua1 data1
Units ist 0. Kopieren Sie genauso das Ter- %MOUNT-I-MOUNTED, DATA1 mounted on _5

mination Date (»TERMINATION_DATE«), Um nicht bei jedem Booten neu das Boot- ADVAX$DUA1:
$ mount/system dua2 data2
den Activity Table Code (»ACTIVITY«) Device angeben zu müssen, konfigurieren
%MOUNT-I-MOUNTED, DATA2 mounted on _5
und die Checksumme (»CHECKSUM«). Sie es in der Firmware beziehungsweise ADVAX$DUA2:
Die Felder Version, Product Release Date, dem NVRAM entsprechend um. Dazu
Availability Table Code, Key Options, geben dort »set boot dua0« ein. Wenn Damit die Platten auch bei jedem Booten
Product Token und Hardware-ID lassen Sie nun den Emulator beenden, wieder gemountet werden, muss man sie in die
neu starten und Startup-Datei »sys$manager:systartup_
»show boot« ein- vms.com« eintragen, die OpenVMS bei
geben, sollten Sie jedem Neustart ausführt. Setzen Sie die
das Boot-Device Terminaleinstellungen mit »set term/
»DUA0« sehen. Al- vt100« und öffnen Sie dann mit »edit
lerdings bootet die sys$manager:systartup_vms.com« die
VAX beim Starten Datei im Editor. Mit den Maustasten und
nun noch immer sogar den Bildschirmscrolltasten können
nicht automatisch. Sie sich durch die Datei bewegen. Gehen
Dazu fehlt noch Sie ganz ans Ende und fügen Sie vor der
der Befehl »dep Zeile »$ EXIT« zwei neue Zeilen ein:
bdr 0«, den Sie in
$ mount/system dua1 data1
der Datei vax.ini $ mount/system dua2 data2
über die Zeile »set
cpu idle« stellen. Die Dollarzeichen gehören dazu. Kom-
Er setzt das ent- mentarzeilen werden dagegen mit »$!«

8YY`c[le^)1EXZ_[\i@ejkXccXk`fed\c[\kj`Z_Fg\eMDJle[nXik\kXl]\ijk\ 8YY`c[le^*1Fg\eMDJY\_\iijZ_kXlZ_K:G&@G#[XjXcj\`^\e\jGif[lbk
Cf^`ej%8l][\iJpjk\dbfejfc\^`Yk[XjJpjk\d[`\8l[`k$D\c[le^\eXlj% Xlj^\c`\]\ikn`i[%

-/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Fg\eMDJXl]M8O B E F N$ ? F N

eingeleitet, wie Sie in den darüber- Wenn Sie nun neu booten, können Sie Nach dem Shutdown landen Sie wieder
liegenden Zeilen sehen können. Mit sich mit dem neuen Benutzer-Account im Emulator-Prompt, wo Sie die Ma-
[Strg]+[z] speichern Sie die Datei und einloggen und damit arbeiten. schine mit »boot cpu« neu booten. Log-
beenden den Editor. Alternativ gelangen gen Sie sich wieder als Benutzer »system«
Sie mit [F4] in seinen Befehlsmodus. Dort E\kqn\ib ein und starten Sie das System Genera-
geben Sie »write« zum Speichern und tion Utility, um einen weiteren Parameter
»exit« zum Beenden ein. Mit dem Befehl Damit die VAX keine Insel bleibt, soll sie zu ändern:
»@sys$system:shutdown« fahren Sie das endlich auch Anschluss ans Netzwerk
r sys$system:sysgen
System herunter, nachdem Sie ein paar finden. Mit dem beim Kompilieren ein- SYSGEN> SET INTSTKPAGES 20
Fragen beantwortet haben. gebauten Libpcap-Code kann der SIMH- SYSGEN> WRITE CURRENT
Generell ist das Dateisystemkonzept von Emulator die im Rechner eingebaute SYSGEN> EXIT

VMS für Unix-Anwender sehr gewöh- physische Netzwerkkarte nutzen. Aller-


nungsbedürftig R*T. Es gibt keinen ein- dings müssen Sie dazu den Emulator mit Wenn Sie nun das System neu booten,
heitlichen Dateibaum, sondern mehrere Root-Rechten starten oder auf anderem sind alle Voraussetzungen für die TCP/
Drives (»duaX«), ähnlich wie bei DOS Weg den entsprechenden Zugriff auf das IP-Installation erfüllt. Auf der Installati-
und Windows. Das jeweils aktuelle Un- Device sicherstellen. Die Konfiguration ons-CD gibt es ein Verzeichnis namens
terverzeichnis behält VMS aber bei, wenn stand bereits in der zu Beginn vorgestell- »TCPIP_VAX051«, in dem die nötige
der Anwender das Drive wechselt. Befin- ten »vax.ini«. Mit normalen Benutzer- Software liegt. Mounten Sie die CD mit
det man sich also etwa in »dua1:[ofr]« rechten aufgerufen meldete SIMH damit »mount/over=id dua3:«, wechseln Sie
und wechselt dann nach »dua3«, geht bisher immer: ins Unterverzeichnis »kit« von »TCPIP_
VMS vom Verzeichnis »dua3:[ofr]« aus. VAX051« und starten Sie die Installation:
vax.ini> attach xq eth0
Groß- und Kleinschreibung spielt dabei File open error set def [.TCPIP_VAX051.kit]
übrigens keine Rolle. Die dazu gehörigen product install *
Befehle heißen »set default« (Unix: »cd«) Starten Sie »vax« nun mit Root-Rechten, The following product has been selected:
und »show default« (»pwd«). Da sich sollten Sie zu Beginn die Erfolgsmeldung DEC VAXVMS TCPIP V5.1-15 ....

VMS-Befehle abkürzen lassen, solange »Eth: opened eth0« sehen. Damit hat die Do you want to continue? [YES]

sie eindeutig sind, werden diese meist VAX nun eine Netzwerkkarte. Ist die Installation abgeschlossen, li-
zu »set def« und »sh def« verkürzt. Eine Lange Zeit war für Digital Equipment zenzieren Sie das Produkt. Das kön-
Übersicht ist in KXY\cc\( auf der nächsten dafür das hauseigene DECnet das Mittel nen Sie wieder – wie oben beschrie-
Seite zu finden. der Wahl, aber irgendwann beugte man ben – interaktiv machen oder direkt in
sich schließlich doch den Fakten und bot einem Aufruf, den Sie aus der E-Mail
9\elkq\idXeX^\d\ek den Kunden optional einen TCP/IP-Stack des Hobbyist-Programms kopieren – das
an (heute sogar mit IPv6). Der setzt aber ganze Attachment ist eine einzige Batch-
Ähnlich wie bei Linux wird der System- etwas mehr Ressourcen voraus als der Datei, die Sie komplett ausführen könn-
benutzer nur für administrative Aufga- DECnet-Stack, weshalb Sie vor der In- ten, wenn Sie es nur schaffen würden,
ben verwendet. Um einen neuen Account betriebnahme erst noch ein neues Sys- sie in die VMS-Emulation zu kopieren.
anzulegen, wechseln Sie erst mit »set tem-Image mit mehr virtuellem Speicher
def sys$system« ins Systemverzeichnis. anlegen müssen. Dazu verwenden Sie
8eq\`^\
Mit »r authorize« gelangen Sie in das entweder den System-Account oder ver-
Interface zum Editieren des User Autho- schaffen sich mit »set proc/priv=all« die
rization File (UAF). Dort geben Sie den nötigen Privilegien. Wechseln Sie mit »set
folgenden Befehl ein: def sys$system« ins Systemverzeichnis
und editieren Sie mit »edit modparams.
UAF> add Login/password=temp/owner="Vorname5
Nachname"/dev=dua1/dir=[Homedir]/uic=[200,5
dat« (denken Sie im Fall von Bildschirm-
201]/flag=nodisuser/priv=all müll an das »set term/vt100«). Fügen Sie
der Datei die Zeilen
Der letzte Teil »priv=all« gibt dem Be-
ADD_GBLPAGES=10000
nutzer prinzipiell alle verfügbaren Pri- ADD_GBLSECTIONS=100
vilegien, die er später mit »set proc/ ADD_NPAGEDYN=800000
priv=all« erlangen kann, wenn er einge- ADD_NPAGEVIR=800000

loggt ist, ähnlich wie ein Sudo-Benutzer MIN_SPTREQ=6000

bei Ubuntu Linux. Mit »exit« beenden hinzu und beenden Sie den Editor mit
Sie das Editieren des UAF. Nun fehlt [Strg]+[z]. Wechseln Sie mit »set def
C13
noch das Home-Verzeichnis, das der Be- sys$update« in das Update-Verzeichnis
fehl »create/dir dua1:[Homedir]« anlegt. und generieren Sie ein neues System:
Die Berechtigungen setzt »set directory/
owner=Login dua1:[Homedir]«. @autogen getdata shutdown nofeedback

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * -0


B E F N$ ? F N Fg\eMDJXl]M8O

8YY`c[le^+1Jlggfik]•iFg\eMDJ^`Yk\jefZ_Y`j)')'%Hl\cc\1?G

Das TCP/IP-Produkt heißt jedenfalls UCX verfügbar. Deshalb 8YY`c[le^,1Jpjk\dDfe`kfi`e^`dFg\eMDJ$Jk`c%


und die nötige Kommandozeile reicht müssen Sie dafür
von »$ LICENSE REGISTER UCX -« bis zum Beispiel »run sys$system:tcpip$ping« sischen Minicomputer-Systems, das auf
»/CHECKSUM=...«. Anschließend lädt ausführen. Alternativ dazu rufen Sie überflüssige Ornamente verzichtet (8Y$
»license load UCX« die Lizenz. Die me- »@sys$startup:tcpip$define_commands« Y`c[le^ ,). Natürlich erscheinen auch
nügeführte Konfiguration startet der Be- auf, dann stehen die Befehle direkt zur viele Konzepte, wie etwa die Struktur
fehl »@sys$manager:tcpip$config«. Dort Verfügung. und die Navigation des Dateisystems
stellen Sie die IP-Adresse (oder DHCP), Die Kommunikation mit dem Host-Rech- veraltet. Seine Tauglichkeit als stabiler
Netzwerkmaske, Nameserver und so wei- ner, auf dem der Emulator läuft, ist bei Server hat OpenVMS in seiner mehr als
ter ein. Sind Sie damit fertig, starten Sie dieser Lösung ausgeschlossen, lässt sich 30-jährigen Geschichte jedoch ausrei-
über den Punkt 6 im Hauptmenü die Ser- aber mit Tunnel-Devices und ähnlichen chend bewiesen. Eine Neuinstallation
vices. Geht alles gut, sieht das Ergebnis Hacks bewerkstelligen. Die Darstellung von OpenVMS wird man im Jahr 2013
aus wie in 8YY`c[le^*. dieses Wegs ist aber einem künftigen wohl niemandem mehr anraten, aber als
Damit Sie sich auf dem Rechner einlog- VMS-Artikel vorbehalten, genauso wie interessantes Studienobjekt taugt es im
gen können, aktivieren Sie den Telnet- die Verbindung der VAX mit einem Ter- Emulator allemal. Auch Jobangebote für
Daemon, den Sie im TCP/IP-Menü unter minal im Webbrowser. weiterhin laufende VMS-Installationen
»Client components« finden. Spätestens Mit Netzwerkanschluss geht schon vie- sind noch gelegentlich zu finden.
hier sollte klar sein, dass die emulierte les leichter, aber auch nicht unbedingt Die Firma DEC verpasste es am Ende,
VAX ohne weitere Maßnahmen im Inter- von selbst. So ist es heute schon relativ sich rechtzeitig von der VAX zu verab-
net nichts zu suchen hat. schwierig, noch FTP-Server zu finden, schieden. Zwar konnte der Konzern mit
Um die TCP/IP-Dienste bei jedem Neu- die Binaries für VMS/VAX führen. Dabei Rechnern auf Alpha-Basis sein Leiden
start des Systems zu aktivieren, tragen muss man sich gerade am Anfang per noch etwas verlängern, aber am Ende
Sie »@sys$manager:tcpip$config« in das Bootstrapping erst einmal hocharbeiten. blieb nur noch der Verkauf an den Kon-
Startup-Skript ein (wie oben beim Moun- Am besten ist es, sich zuerst ein binäres kurrenten Compaq. Über diese Zwischen-
ten der Disks beschrieben). Den Eintrag Wget vom FTP-Server zu holen, dann station ist das „geistige Eigentum“ mitt-
gibt es schon, Sie müssen also nur das hat man später schon leichter Zugriff auf lerweile in den Besitz der Firma HP ge-
Kommentarzeichen »!« vor dem Aufruf HTTP-Server. Auch Binärprogramme von langt, die das DEC-Erbe heute verwaltet.
entfernen. Tar und Unzip erweisen sich als hilfreich. OpenVMS selbst ist noch lange nicht tot.
Compiler beziehungsweise Interpreter für Sogar für VAX-Systeme leistet HP noch
G`e^:f% BASIC, PASCAL, C und COBOL gibt es im bis 2016 Support, für Itanium-Systeme
Rahmen des Hobbyist-Programms eben- gar bis 2020 (8YY`c[le^+, R+T). ■
Kommandos wie Ping gibt es auch unter falls. Batch-Programme schreibt man mit
OpenVMS, sie sind aber nicht per Default der mitgelieferten DIGITAL Command
Language (DCL). @e]fj
KXY\cc\(1MDJ$Jlim`mXc$B`k R(T J@D?1R_kkg1&&j`d_%kiX`c`e^$\[^\%Zfd&T
Le`o$9\]\_c MDJ$G\e[Xek =Xq`k R)T Fg\eMDJ?fYYp`jkGif^iXd1R_kkg1&&nnn%
Z[;`i J<K;<=R%;@IT fg\emdj%fi^&gX^\j%g_g6gX^\4?fYYp`jkT
Z[;`i&JlY[`i J<K;<=R%;@I%JL9;@IT Wer sich etwas näher mit OpenVMS be- R*T Fg\eMDJ#Fi^Xe`q`e^=`c\jn`k_;`i\Z$
Z[%% J<K;<=R$T schäftigt, wird überrascht sein, wie ko- kfi`\j1R_kkg1&&_.('''%nnn.%_g%Zfd&
härent das Betriebssystem bei der Benut- [fZ&.*(]`eXc&-+/0&-+/0gifV''/%_kdc
gn[ J?;<=
zung auftritt – vor allem wenn man das [`i\ZkjVZ_T
cj ;@I
Chaos der über die Jahre gewachsenen R+T?GFg\eMDJJ\im`Z\JlggfikIfX[dXg1
db[`i :I<8K<&;@IR;@IT
Linux-Distributionen gewohnt ist. Dazu R_kkg1&&_.('''%nnn.%_g%Zfd&fg\emdj&
id ;<C kommt der spröde Charme eines klas- g[]&fg\emdjVifX[dXgj%g[]T

.' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


SOFTWARE-MAGAZIN
mit Windows-Installer J e tz t n e u
m it DV D
Direkt online bestellen! n u r 9,8 0 ¤ !
www.smart-software-magazin.de
K < JK KBg\i]

KBg\i]ÆdX^\jZ_e\`[\ik\G\i]fidXeZ\$K\jkj]•iJJ;jle[?;;j

Jkfggl_i
ŸFiZ\X;Xm`[#()*I=

zu den Tests für SSDs stehen außerdem


JJ;$?\ijk\cc\im\ijlZ_\eBle[\ed`kC\`jkle^j[Xk\eqlY\\`e[ilZb\e%
erste grundlegende Tests für Festplatten
N\i\j^\eXl\in`jj\edZ_k\#d`jjkj\cY\i#qld9\`jg`\cd`k\`e\ijkXe$ zur Verfügung, die in künftigen Versionen
[Xi[`j`\ik\eK\jkjl`k\#[`\[Xj]i\`\KffcKBg\i]`dgc\d\ek`\ik%>\fi^JZ_eY\i^\i von TKperf weiter ausgebaut werden.

Solid State Drives (SSDs) sind über ih- transparente Performance-Tests erleich- =`fle[Gpk_fe
ren Status als Nischenprodukt hinaus- tern diese Suche nach der richtigen SSD
gewachsen und treten parallel zu tradi- oder HDD wesentlich. Aus der Sicht des TKperf verwendet im Hintergrund den
tionellen Festplatten (HDDs) mit gestei- Endanwenders ist ein Test umso wert- von Jens Axboe, dem Maintainer des
gerter Attraktivität in puncto Kapazität voller, je mehr Informationen er daraus Linux Block Layers, entwickelten Flexi-
und Preis vermehrt in Server-Systemen gewinnen kann. Oft reichen die Herstel- ble I/O Tester (Fio) R*T. Fio bietet viele
auf. Ob SSDs einen Performance-Schub lerangaben zur Performance eines Geräts Testoptionen und die für die Umsetzung
bringen, hängt immer auch vom jeweili- nicht aus, da weder die zum Testen be- der SNIA Performance-Tests nötige Fle-
gen Einsatzzweck ab, da sich die Anfor- nutzte Software noch ein genauer Testab- xibilität: Das sind Features wie etwa
derungen an Speichersysteme grundle- lauf spezifiziert ist. Laufzeitbegrenzung, Direct I/O, Anzahl
gend unterscheiden können. Anwender Die „Storage Networking Industry Asso- gleichzeitig laufender Jobs, I/O-Tiefe
müssen sich im ersten Schritt für SSDs, ciation“ (SNIA) hat mit der „Solid State oder die Verwendung von nicht kompri-
HDDs oder eine Kombination der beiden Storage Performance Test Specification“ mierbaren Testdaten.
Technologien entscheiden. Steht der Ent- ein Dokument veröffentlicht, das eine TKperf erfordert Fio 2.0.3 oder höher.
schluss fest welches Medium zum Einsatz konkrete Testbeschreibung für SSDs im Bei älteren Fio-Versionen fehlen einige
kommt, bleibt immer noch die Auswahl Enterprise-Bereich liefert R(T. Die Spe- Informationen im Terse Output, einer
eines geeigneten Modells offen. zifikation geht in ihren Tests speziell Minimal-Ausgabe, die sich von anderen
auf die besonderen Eigenschaften von Programmen leicht verarbeiten lässt R+T.
J\cY\ik\jk\e SSDs ein und beschreibt, auf welchem Distributionen wie Ubuntu 12.04 oder De-
Weg sich korrekte und reproduzierbare bian Squeeze führen ältere Fio-Versionen
Bereits zu diesem Zeitpunkt sollte man Ergebnisse erzielen lassen. Die von der in den Repositories (v1.59 beziehungs-
darauf achten, dass die Geschwindigkeit Thomas-Krenn.AG entwickelte Open- weise v1.38). Fio kann aber sehr einfach
der ausgewählten Hardware den aktuel- Source-Software TKperf setzt diese Spe- aus dem Quellcode des Git-Repository
len und künftigen Performance-Anforde- zifikation um und bereitet die Ergebnisse kompiliert werden R,T.
rungen entspricht. Aussagekräftige und in einem Test-Report auf R)T. Zusätzlich Weitere Komponenten von TKperf setzen
auf Hdparm und Python. Hdparm liefert
C`jk`e^(1KBg\i]$I\jlckXk via »hdparm -I« automatisiert Informa-
01 $ sudo tkperf ssd intelDCS3700 /dev/sdb -nj 2 10 Firmware Revision: 5DV10206 tionen über ein zu testendes Device. Au-
-iod 16 -rfb 11 Media Serial Num:
ßerdem kann das Tool einen Secure Erase
02 !!!Attention!!! 12 Media Manufacturer:
von SATA-Laufwerken durchführen. Das
03 All data on /dev/sdf will be lost! 13 device size with M = 1000*1000: 200049
bewirkt bei SSDs, dass alle Flash Chips
04 Are you sure you want to continue? (In case you MBytes (200 GB)
really know what you are doing.) 14
gelöscht werden und die SSD wieder
05 Press 'y' to continue, any key to stop: 15 Starting test: lat die Performance wie zum Zeitpunkt des
06 y 16 Starting test: iops Auslieferungszustands bringt. Dieses Se-
07 Starting SSD mode... 17 Starting test: writesat cure Erase, das zentraler Bestandteil der
08 Model Number: INTEL SSDSC2BA200G3 18 Starting test: tp Initialisierungsphasen der Tests ist, ist
09 Serial Number: BTTV241303MG200GGN
auch der Grund, warum zur Zeit beim

.) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


KBg\i] K < JK

8YY`c[le^(1;\iJk\X[pJkXk\M\i`]`ZXk`feGcfkY\c\^k[\ejkXY`c\eQljkXe[[\i 8YY`c[le^)1;\iJk\X[pJkXk\:fem\i^\eZ\Gcfkq\`^k[`\<ekn`Zbcle^[\i
JJ;#[\i`e\`e\dK\jk$J\klg\ii\`Z_kn\i[\edljj#[Xd`k[`\<i^\Ye`jj\[\i ;\g\e[\ekMXi`XYc\jZ_nXiq\C`e`\ #XcjXlZ_[`\Xe[\i\e9cfZb^i\e]•i
Jg\q`]`bXk`fe^\e•^\e% ql]€cc`^\jJZ_i\`Y\e%

Testen von SAS- oder PCIe-SSDs noch Messgrößen aufgezeichnet werden. Unter der Steady State erreicht wurde, sind
Hand angelegt werden muss. Für SAS Einbeziehung einer sogenannten Depen- zum einen die Steigung der Geraden,
Devices muss man die Secure-Erase- dent Variable wird errechnet, ob sich die die den nächsten Wert vorhersagt, als
Methode auf »sg_format« der »sg3_utils« SSD in einem stabilen Zustand befindet. auch die Differenz zwischen dem größ-
(den Werkzeugen zum Ausführen von Dadurch sollen Messungen im „Fresh out ten und kleinsten gemessenen Wert.
SCSI-Kommandos) abändern. Für PCIe- of the Box“ oder in undefinierten Über- Die Messwerte der vorher gehenden
SSDs gestaltet sich das sichere Löschen gangsphasen zwischen unterschiedlichen fünf Runden dienen als Bezugsvaria-
noch aufwendiger, da sie herstellerspe- Workloads nicht zu den Messergebnissen blen für den Steady State. Der Steady
zifische Kommandozeilen-Werkzeuge beitragen. Nur wenn die Werte der De- State Verification Plot zeigt die Ent-
erfordern. Für Intels PCIe-SSD 910 wird pendent Variable über die letzten Runden wicklung der Dependent Variable und
zum Beispiel das Secure Erase über das hinweg stabil ist, gehen die Werte dieses belegt, dass sich die SSD in einem
Datacenter Tool »isdct« gestartet. „Measurement Windows“ ins Testresultat stabilen Zustand befindet (8YY`c[le^
Die Python-Skripte von TKperf starten ein. (). Der Pseudo-Code des IOPS-Test
die Fio-Jobs, bereiten die Ergebnisse auf veranschaulicht, welche Operationen
und generieren daraus Grafiken. Alle Fio- @FGJ^\d\jj\e in einer Runde durchgeführt werden
Aufrufe werden in einer Log-Datei aufge- (C`jk`e^)).
zeichnet. Nach dem Ende eines Tests wer- Am Beispiel einer IOPS-Messung erläu- Im Detail bedeuten die einzelnen
den außerdem die Testergebnisse geloggt. tern die folgenden Abschnitte des Artikels Schritte:
Die aufgezeichneten Performance-Werte den Ablauf eines Tests: vom Secure Erase 1. Ein Secure Erase garantiert, dass sich
werden in XML-Form abgelegt und zur über die Prüfung des stabilen Zustands die SSD in einem definierten Ausgangs-
Erstellung der Diagramme herangezogen. bis hin zur Darstellung der Ergebnisse. zustand befindet.
Unter Zuhilfenahme der Python-Biblio- Zu Beginn eine Definition jener Begriffe, 2. Zur Präkonditionierung wird das De-
thek Matplotlib generiert TKperf die von die für die rundenbasierten Tests von Be- vice zwei Mal (sequentielle Zugriffe mit
der Spezifikation geforderten Darstellun- deutung sind: 128 KByte Blockgröße) überschrieben.
gen aus den Ergebnissen R-T. ■ Dependent Variable: Sie ist für die Prü- 3. Solange der Steady State nicht erreicht
fung nötig, ob der Stable State erreicht ist, werden in jeder Runde verschiedene
KBg\i]$K\jkjq\eXi`\e wurde. Diese Variable wird von der Kombinationen aus Mixed Workloads und
Spezifikation vorgegeben und setzt Blockgrößen gestartet. Ein Workload von
Für SSDs stehen ein Bandbreiten-, ein sich aus einer Workload- und Block- 100 bedeutet 100 Prozent Lesezugriffe, 95
IOPS-, ein Latenz- und ein Sättigungstest größen-Kombination zusammen. Für
zur Auswahl. C`jk`e^( zeigt die Ausgabe den IOPS-Test ist diese Variable gleich C`jk`e^)1Gj\l[f$:f[\[\j@FGJ$K\jkj
von TKperf während der Tests einer Intel den erreichten IOPS beim zufälligen 01 Make Secure Erase

DC S3700 200 GByte SSD. Schreiben mit einer Blockgröße von 4 02 Workload Ind. Preconditioning

Die Tests zu Bandbreite, IOPS und Latenz KByte (KB). 03 While not Steady State

zeigen einige Gemeinsamkeiten, die sich ■ Steady State: Der Zustand, in dem die 04 For workloads [100, 95, 65, 50, 35, 5, 0]

05 For block sizes ['1024k', '128k', '64k',


auch in den aufbereiteten Grafiken wider- zuletzt gemessenen Werte nicht allzu
'32k', '16k', '8k', '4k', '512']
spiegeln. Für diese Tests gilt, dass sie run- sehr voneinander abweichen. Die
06 Random Workload for 1 Minute
denbasiert ablaufen und in jeder Runde Parameter für die Entscheidung, ob

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * .*


K < JK KBg\i]

steht für 95 Prozent Lese- und deutlich das Ziel dieses Tests,
5 Prozent Schreibzugriffe und der die Stabilität der SSD beim
so weiter. Für den IOPS-Test längeren Beschreiben mit zu-
werden dabei immer zufällige fälligen Zugriffen offenlegen
Zugriffe (Random I/Os) ver- soll.
wendet. Als Dependent Vari-
able werden die IOPS beim =•i=\jkgcXkk\e
Schreiben mit 4 KByte Block-
größe genutzt. Der Steady TKperf adaptiert das run-
State Convergence Plot zeigt denbasierte System für Fest-
die Entwicklung aller Block- platten. Die Erkennung ei-
größen (inklusive der Depen- nes stabilen Zustands eignet
dent Variable) für zufälliges sich jedoch für HDDs nicht.
Schreiben (8YY`c[le^)). Stattdessen berücksichtigt die
Befindet sich das Device in ei- Software den Unterschied der
nem stabilen Zustand, werden 8YY`c[le^*1;\iD\Xjli\d\ekGcfkq\`^k[`\\ii\Z_e\k\eD`kk\cn\ik\`d Performance am Anfang und
der Testlauf beendet und die D\Xjli\d\ekN`e[fn% am Ende einer Festplatte. Da
Messwerte für die Diagramme HDDs von außen nach innen
aufbereitet. Dazu berechnet TKperf für wurden. Der Test zeigt, wie sich eine beschrieben werden, führen kürzere Zu-
die Messgrößen (Workloads und Block- SSD beim kontinuierlichen Beschreiben griffswege des Lese-/Schreibkopfs und
größen) den Mittelwert im Measurement mit zufälligen Zugriffen verhält. In Bezug die erhöhte Bahngeschwindigkeit zu
Window. Die berechneten Werte stellt auf die abgesetzte Datenmenge wird da- mehr Performance. Für den Festplatten-
der Measurement Plot gesammelt dar rauf geachtet, dass sie ein Vielfaches der test unterteilt TKperf daher das Device
(8YY`c[le^*). Device-Größe ist. in 128 gleich große Teile, die es separat
Das vorhergehende Beispiel des IOPS- Der Test arbeitet zwar ebenfalls runden- testet. Für die Ermittlung des Durchsat-
Tests hat den grundlegenden Ablauf ge- basiert, eine Dependent Variable zum zes liest beziehungsweise schreibt es
zeigt, in dem die Messergebnisse ermit- Eruieren eines Steady State gibt es jedoch den gesamten Bereich einmal. Bei der
telt werden. Für den Bandbreiten- und nicht. In jeder Runde schreibt TKperf mit Messung der IOPS greift es eine Minute
den Latenztest gelten andere Workloads, zufälligen Zugriffen von 4 KByte Block- lang zufällig im jeweiligen Abschnitt auf
Blockgrößen und Dependent Variablen. größe eine Minute lang auf das Device. Daten zu. Dieses Verfahren veranschau-
Welche das sind, zeigt KXY\cc\(. Dabei protokolliert es, wie viele Bytes in licht die Performance-Entwicklung der
dieser Minute (Runde) auf das Device ge- Festplatte beim Abarbeiten der Sektoren
<`eJfe[\i]Xcc1 schrieben wurden. Die Anzahl an Bytes von außen nach innen.
Ni`k\JXkliXk`fe pro Runde summiert das Tool auf. Das
Ende des Tests ist erreicht, wenn diese =Xq`k
Der Write-Saturation-Test (auf Deutsch Anzahl die vierfache Größe des Devices
„Schreib-Sättigungstest“) zielt nicht auf übersteigt. Eine zweite Abbruchbedin- Dieser Artikel hat gezeigt, wie TKperf
die Erreichung eines stabilen Zustands gung setzt ein zeitliches Limit: Spätestens anhand der SNIA-Spezifikation auf die
ab, sondern benötigt ein Minimum an nach 24 Stunden Laufzeit geht der Test besonderen Eigenschaften von SSDs bei
Daten, die auf das Device geschrieben zu Ende. 8YY`c[le^ + veranschaulicht Performance-Tests eingeht. Mehrere Para-

Ni`k\JXkliXk`feK\jk<ek\igi`j\JJ;;:J*.'' Ni`k\JXkliXk`feK\jk@ek\cJJ;#,)'\i$J\i`\#)+'>9

8YY`c[le^+1;\iNi`k\$JXkliXk`fe$K\jkf]]\eYXik#n`\jkXY`c\`e\JJ;`jk#n\eej`\•Y\i\`e\ec€e^\i\eQ\`kiXldY\jZ_i`\Y\en`i[%;`\<ek\igi`j\JJ;;:J*.''c`ebj
q\`^k^\^\e•Y\i\`e\i@ek\cJJ;[\i,)'\i$J\i`\)+'>9[\lkc`Z_`_i\Mfik\`c\%

.+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


KBg\i] K < JK

KXY\cc\(1K\jkgXiXd\k\i]•i9Xe[Yi\`k\e$le[CXk\eq$K\jk X [d`e$dX^Xq`e%[\&;Xj$?\]k&)'((&',&
@$F$9\eZ_dXibj$d`k$=`fT
K\jk NfibcfX[j 9cfZb^i\e ;\g\e[\ekMXi`XYc\
R+T=`f)%'%*I\c\Xj\Efk\j1R_kkg1&&]i\\Zf[\%
9Xe[Yi\`k\ J\hl\ek`\cc1(''elic\$ (')+B9pk\#-+B9pk\#/ J\hl\ek`\cc\jJZ_i\`Y\e Zfd&gifa\Zkj&]`f&i\c\Xj\j&*+(**(T
K_ifl^_glk j\e #'elijZ_i\`Y\e B9pk\#+B9pk\#,()9pk\ d`k(')+B9pk\9cfZb^i\
R,T =`f>`k$I\gfj`kfip1R_kkg1&&^`k%b\ie\c%[b&6
CXk\eq Ql]€cc`^1(''#-,#' /B9pk\#+B9pk\# Ql]€cc`^\jJZ_i\`Y\ed`k g4]`f%^`k2X4jlddXipT
CXk\eZp ,()9pk\ +B9pk\9cfZb^i\
R-T DXkgcfkcfYÆGpk_feGcfkk`e^C`YiXip1
R_kkg1&&dXkgcfkc`Y%fi^T
meter beeinflussen die Geschwindigkeit sich so einfach analysieren und mit ande- R.T K_\N_pXe[?fnf]JJ;G\i]fidXeZ\
von SSDs, sodass bestimmte Abläufe nö- ren Modellen vergleichen. Der komplette 9\eZ_dXib`e^R_kkg1&&nnn%je`X%fi^&j`k\j&
tig sind, um definierte Ausgangsstände Report für die zu Beginn angesprochene [\]Xlck&\[lZXk`fe&klkfi`Xcj&)'((&]Xcc&
und Testergebnisse zu erreichen R.T. Intel DC S3700 findet sich unter R/T. Jfc`[JkXk\&<jk_\iJgXea\iVK_\VN_pV?fnV
Zentrale Teile dieser Prozeduren bein- (ofr) ■ JJ;VG\i]fidXeZ\V9\eZ_dXib`e^%g[]T
halten ein Secure Erase, Workload In- R/TK\jk\i^\Ye`jj\]•i@ek\c;:J*.''1R_kkg1&&
dependent Preconditioning sowie eine nnn%k_fdXj$bi\ee%Zfd&[\&n`b`;<&
Überprüfung, ob sich die SSD in einem @e]fj `dX^\j&\&\,&KBg\i]$I\gfik$@ek\c;:J*.''%
stabilen Zustand befindet. Zum Testen R(T Jfc`[JkXk\JkfiX^\JJJ G\i]fidXeZ\K\jk g[]T
von Festplatten stellt TKperf grundle- Jg\Z`]`ZXk`feGKJ 1R_kkg1&&nnn%je`X%fi^&
gende Tests zur Messung von Durchsatz k\Z_VXZk`m`k`\j&jkXe[Xi[j&ZliiVjkXe[Xi[j& ;\i8lkfi
und IOPS bereit. gkjT >\fi^JZ_eY\i^\iXiY\`k\kXcjK\Z_efcf^pJg\$
Mit Hilfe von Fio werden die Perfor- R)T KBg\i]Fg\e$JfliZ\$Jf]knXi\1R_kkg1&& Z`Xc`jkY\`[\iK_fdXj$Bi\ee%8>le[`jk8lkfi[\j
mance-Tests ausgeführt. Python-Skripte nnn%k_fdXj$bi\ee%Zfd&[\&n`b`&KBg\i]T K_fdXj$Bi\ee$N`b`j%J\`e\8iY\`kjjZ_n\iglebk\
generieren Grafiken und einen detaillier- R*T DXik`eJk\`^\inXc[#@&F$9\eZ_dXibj i\`Z_\emfe@e]fidXk`fejj`Z_\i_\`k•Y\iDfe`kf$
ten PDF-Report. Getestete Devices lassen d`k=`f#8;D@E',&)'((1R_kkg1&&nnn% i`e^$Gcl^`ejY`j_`eqlG\i]fidXeZ\$K\jkj%

IT-Onlinetrainings MEDIALINX
IT-ACADEMY

Mit Experten lernen. powered by


Sparen Sie Zeit und Kosten mit unseren
praxisorientierten Onlinetrainings.
Bestimmen Sie Ihr eigenes Lerntempo
und nutzen Sie die flexible Zeiteinteilung.

Effiziente BASH-Skripte
mit Klaus Knopper,
KNOPPER.NET
199 €

Konzentriertes BASH-Wissen
vom Gründer der Knoppix-Live-
Distribution.
Lösen Sie komplexe Aufgaben mit
schnellen Ad-hoc-Lösungen auf der
Kommandozeile. Automatisieren
Sie Ihre Systemadministration mit
Hilfe von Skripten.

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E www.medialinx-academy.de


8L J >8 9 < '* $)' ( * .,
K < JK Jpjk\d:\ek\i)'()
Ÿjemm#()*I=

■ System Center Operations Manager


Jpjk\d:\ek\i)'()JG(1NXj`jke\l6
2012 (SCOM) hat vor allem die Über-

Q\ekiXc$
wachung der mit SCCM installierten
Server und Netzwerkgeräte im Fokus
und ergänzt den SCCM.
■ System Center Data Protection Ma-
nager 2012 (SCDPM) stellt die Daten-

G\ijg\bk`m\ sicherungslösung im System Center


dar. Sie kann alle Server im Netzwerk
sichern und die Sicherungen zentral
verwalten.
■ System Center Service Manager 2012:
;XjJ\im`Z\GXZb(\in\`k\ik[XjJpjk\d:\ek\i)'()mfiXcc\dld=leb$ Der Fokus des Produkts liegt auf der
k`fe\e`e[\e9\i\`Z_\eM`iklXc`j`\ile^le[:cfl[:fdglk`e^%8cc\;\kX`cj Anbindung als zentrale Verwaltungs-
[Xqlj`e[`e[`\j\d8ik`b\cql]`e[\e%K_fdXjAffj oberfläche und Knotenpunkt für alle
System-Center-Produkte im Unterneh-
Wer Windows Server 2012, Windows Azure Virtual Machines, Online Backup men, sowie der Bildung von Schnitt-
8, Windows RT, Windows Phone 8 oder und Global Service Monitor. Die größten stellen und deren Verknüpfung und
Exchange Server 2013, SQL Server 2012 Änderungen betreffen System Center Vir- Automatisierung.
und SharePoint 2013 verwenden möchte, tual Machine Manager (SCVMM), System ■ System Center Virtual Machine Mana-
braucht auch eine kompatible Überwa- Center Configuration Manager (SCCM) ger 2012 (SCVMM) dient der Verwal-
chungs- und Verwaltungslösung. Hier und Data Protection Manager (DPM). tung der virtuellen Server im Netz-
bietet sich das System Center 2012 mit Im Zuge der Aktualisierung hat Microsoft werk. Hier lassen sich neben Hyper-V
seinen verschiedenen Produkten an. Al- die Lizenzierung der neuen Version ver- auch andere Virtualisierungslösungen
lerdings ist die RTM-Version des Produkts einfacht und die Editionen zusammenge- wie vSphere anbinden. Viele Unter-
nicht kompatibel mit neuen Microsoft- fasst. Das neue System Center 2012 R)T nehmen haben SCVMM außerhalb von
Servern. Erst durch das neu erschienene ist nur noch als Paket erhältlich und soll System Center lizenziert und müssen
Service Pack 1 R(T werden die einzelnen die Serververwaltung im Unternehmen in der neuen Version deutlich tiefer in
Produkte jetzt auch in System Center wesentlich verbessern. Die Produkte las- die Tasche greifen.
2012 unterstützt. sen sich nicht mehr einzeln erwerben. ■ System Center Orchestrator 2012 hilft
System Center 2012 besteht hauptsäch- bei der Automatisierung von IT-Pro-
=•i[`\:cfl[\in\`k\ik lich aus acht Produkten, die alle Belange zessen. Microsoft hat das zugekaufte
einer Serververwaltung abdecken: Produkt Opalis in SCO umbenannt
Das Service Pack 1 ist nicht nur eine ■ System Center Configuration Mana- und in der neuen Version für die Ver-
Sammlung von Bugfixes, sondern erwei- ger 2012 (SCCM) dient vor allem der waltung mit der Powershell erweitert.
tert die einzelnen Produkte im System Verwaltung von Endgeräten und der Wie Service Manager auch, findet das
Center 2012 um viele neue Funktionen. installierten Anwendungen. Die neue Produkt derzeit nur wenig Anklang.
Im Fokus stehen dabei die Anbindung Version hat vor allem die Anwender ■ System Center App Controller 2012
von System Center 2012 an bereits vor- selbst und deren wechselnde Geräte soll dabei helfen, Anwendungen im
handene oder neue Cloud-Dienste in im Fokus. Auch Smartphones lassen Unternehmen zentral zu verwalten
Windows Azure, zum Beispiel Windows sich mit der neuen Version verwalten. und zwar in einer Private Cloud oder

./ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Jpjk\d:\ek\i)'() K < JK

der Cloud eines Herstellers. Xenserver mit Version 5.6 mit


Das Tool stellt Vorlagen für Feature Pack 1, empfohlen ist
Anwendungen bereit, die aber der Einsatz von Xen 6.0
sich über andere System- und höher. Durch das Service
Center-Produkte bereitstel- Pack 1 kann der SCVMM auch
len lassen. alle weiteren neuen Funktio-
■ System Center Endpoint nen in Windows Server 2012
Protection 2012 ist ein und Hyper-V 3.0 verwalten,
Virenschutz, der sich mit die KXY\cc\( auflistet.
SCCM verwalten und ver- Mit Hyper-V-Replica lassen
teilen lässt. sich in Windows Server 2012
Mit der Standard-Edition kön- virtuelle Festplatten und ganze
nen kleine und mittlere Unter- Server asynchron zwischen
nehmen lokal installierte wie verschiedenen Hyper-V-Hosts
auch virtuelle Server verwal- im Netzwerk replizieren und
ten. Für große Unternehmen 8YY`c[le^(1Jpjk\d:\ek\i:fe]`^liXk`feDXeX^\i)'()lek\ijk•kqkXlZ_ synchronisieren. Die Repli-
lohnt sich schon die Data- N`e[fnjKf>fd`kN`e[fnj/% kation findet dabei über das
center-Edition. Beide Pakete Dateisystem statt, ein Cluster
umfassen alle System-Center-Produkte Erst ab dem SP1 kann SCVMM mit den ist nicht notwendig. Die Verwaltung die-
sowie die notwendigen Lizenzen für die neuen VHDX-Festplatten in Hyper-V 3.0 ses Vorgangs, der manuell, automatisiert
Installation einer SQL-Server-Datenbank. und Windows Server 2012 umgehen. oder nach einem Zeitplan abläuft, kön-
Der wesentliche Unterschied der beiden Diese Festplatten dürfen eine maximale nen Administratoren jetzt ebenfalls im
Editionen besteht in den erlaubten in- Größe von 64 TByte (VHD-Dateien bis zu SCVMM vornehmen. Auf diesem Weg
stallierten Betriebssystemen. Die Stan- 2 TByte) erreichen und sind wesentlich lassen sich virtuelle Server auch hoch-
dard-Edition erlaubt die Verwaltung von unempfindlicher gegen Systemabstürze. verfügbar betreiben, ohne teure Cluster
zwei installierten Systemen (Hyper-V- Mit der Installation des Service Pack 1 betreiben zu müssen.
Host und eine VM), die Datacenter-Edi- lassen sich die Verwaltungsoberflächen
tion eine unbegrenzte Anzahl. Allerdings der verschiedenen System-Center-Pro- ?Xi[nXi\$9\jZ_c\le`^le^
sind pro Lizenz bei beiden Editionen nur dukte außerdem an die eigenen Bedürf-
zwei Prozessoren berücksichtigt. Die nisse anpassen. Das ist vor allem bei Für bessere Netzwerkperformance ma-
Kerne dieser CPUs spielen dabei keine SCVMM von besonderer Bedeutung. chen virtuelle Server jetzt mehr Gebrauch
Rolle. Ein Server mit vier Prozessoren, Ab dem SP1 kann SCVMM die verschie- von den Hardwarefunktionen eingebau-
benötigt daher zwei Lizenzen. denen virtuellen Netzwerkswitches auf ter Netzwerkkarten, etwa bei Berech-
unterschiedlichen Hyper-V-Hosts und in nungen für IPsec. In den Einstellungen
Jpjk\d:\ek\iM`iklXc Hyper-V Server 2012 besser verwalten, von virtuellen Netzwerkkarten lässt sich
DXZ_`e\DXeX^\i)'() sowie die neuen Einstellungen setzen, die die Netzwerkbandbreite von Servern ein-
Microsoft hier bietet. SCVMM unterstützt grenzen und unerwünschte DHCP- oder
Auch wenn die aktuelle Version des Sys- auch VMware vSphere 5.1 über vCenter Routerpakete ausfiltern. Diese Einstel-
tem Center nur noch als Komplettpaket und Server mit ESXi. Citrix Xen arbeitet lungen lassen sich ab dem SP1 auch in
verfügbar ist, gibt es für alle enthaltenen besonders eng mit SCVMM 2012 zusam- den Vorlagen von virtuellen Servern im
Produkte eigene Service Packs. Neben men. Unterstützt wird auch der Citrix SCVMM steuern. 
der Unterstützung von Windows Server
2012 ist beispielsweise auch der Support KXY\cc\(1M`iklXc`j`\ile^j]\Xkli\j
für Cloud-Umgebungen neu. So arbeitet I\jjfliZ\ N`e[fnjJ\im\i N`e[fnjJ\im\i
System Center Virtual Machine Manager )''/I)JG(dXo`dXc )'()dXo`dXc
(SCVMM) 2012 jetzt mit Windows Azure Cf^`jZ_\Gifq\jjfi\e[\j?fjkj -+ *)'
zusammen und kann sogar Cloud-basierte G_pj`jZ_\iJg\`Z_\i (K9pk\ +K9pk\
virtuelle Server erstellen und verwalten. M`ikl\cc\Gifq\jjfi\egif?fjk ,() )'+/
Microsoft bietet auch vorgefertigte vir- M`ikl\cc\Gifq\jjfi\egifm`ikl\cc\dJ\im\i + -+
tuelle Server an, die Sharepoint, Active Jg\`Z_\igifm`ikl\cc\dJ\im\i -+>9pk\ (K9pk\
Directory und SQL-Server zur Verfügung 8bk`m\m`ikl\cc\J\im\i */+ (')+
stellen. Die virtuellen Festplatten dieser >i\m`ikl\cc\i=\jkgcXkk\e )K9pk\ -+K9pk\
Server sind in Windows Azure gespei- :cljk\i$Befk\e (- -+
chert, auf Wunsch auch hochverfügbar. M`ikl\cc\J\im\i`d:cljk\i (''' /'''
Auf diesem Weg lassen sich alle virtuel- C`m\$D`^iXk`fe eli`d:cljk\i d`kle[f_e\:cljk\i#C`m\$
len Server zentral verwalten, egal ob sie D`^iXk`fe[\i;Xk\eki€^\i
in der Cloud oder lokal laufen. I\gc`bXk`fem`ikl\cc\iJ\im\if_e\:cljk\i e`Z_kd^c`Z_ d^c`Z_

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * .0


K < JK Jpjk\d:\ek\i)'()

Eine weitere neue Einstellung ist die Windows 8 Enterprise Edition einsetzen, licht, an Windows Intune angebundene
E/A-Virtualisierung mit Einzelstamm. gibt es unter dem Namen »Windows To Geräte auch mit SCCM 2012 zu verwal-
Hierbei handelt es sich ebenfalls um Go« die Möglichkeit, das Betriebssystem ten. Daher bietet Microsoft zukünftig für
Hardware-Funktionen von Netzwerkkar- auf einem USB-Stick oder einer externen Unternehmen, die System Center 2012
ten, die jetzt auch in Hyper-V funktionie- Festplatte zu installieren, ganz ohne Vir- einsetzen, reduzierte Preise für Windows
ren. Netzwerkkarten, die diese Funktion tualisierung (8YY`c[le^(). Intune an.
unterstützen, stellen für virtualisierte Auch der SCCM ist mit Windows Azure Ab Service Pack 1 lassen sich auch Win-
Umgebungen implementierte E/A-Kanäle kompatibel und kann über die Cloud Ser- dows-8-optimierte Apps sowie Apps für
zur Verfügung, mit denen sich die Karte ver weltweit bereitstellen und verwalten. Windows Phone 8 und Windows RT zur
gegenüber virtualisierten Servern wie Ab dem SP1 arbeiten Windows Server Verfügung stellen. Die Verwaltungskon-
mehrere Netzwerkkarten verhält. 2012 und Windows Intune zusammen, solen der verschiedenen System-Center-
das eine Cloud-basierte Verwaltung von Produkte sind jetzt auch auf Windows 8
+B$J\bkfi\e$Lek\ijk•kqle^ Arbeitsstationen bietet und daher eigent- installierbar.
lich in Konkurrenz zu System Center Als integrierte Lösung verbessern Win-
In Windows Server 2012 unterstützt Configuration Manager 2012 steht. Wäh- dows Intune und System Center Con-
Hyper-V erstmals 4-KByte-Festplatten- rend Windows Intune für die Verwaltung figuration Manager die Sicherung und
sektoren. Zusätzlich unterstützt Hyper-V von Clients über die Cloud optimiert ist, Verwaltung von Windows-8-PCs, Win-
3.0 auch virtuelle Festplatten mit dem zum Beispiel für Heimarbeitsplätze und dows-RT-Tablets und Windows-Phone-
Emulationsformat 512e, mit dem sich kleinere Niederlassungen, zeigt SCCM 8-Smartphones. Auch Geräte von Apple
viele Festplatten anmelden, wenn das 2012 vor allem in Windows-Netzen seine und Android-basierten Plattformen kön-
Betriebssystem 4K-Sektoren nicht unter- Stärken. In Zusammenarbeit kombinie- nen in die Administration eingebunden
stützt. Die Firmware der Festplatte spei- ren die beiden Produkte ihre Stärken werden, genauso wie Rechner mit OS X
chert ankommende Datenpakete dann in (8YY`c[le^)). und Linux. Configuration Manager 2012
den vorhandenen 4 KByte-Sektoren. Dabei lassen sich zum Beispiel die Ver- enthält Agenten für beide Plattformen;
Bei SANs in Windows Server 2012 lassen waltungsaufgaben von Windows Intune Linux-Rechner unterstützen aber nur die
sich Speicherplätze direkt den virtuel- in die Verwaltungskonsole von System Inventarisierung der Hardware und das
len Servern zuordnen. In Hyper-V 3.0 Center Configuration Manager 2012 ein- Verteilen von Software. Bei OS X können
können Administratoren mit virtuellen binden. Zukünftig wird es keine Geräte- Administratoren auch verschiedene Ein-
Fibrechannel-Verbindungen den virtuel- lizenzen, sondern Benutzerlizenzen stellungen vornehmen.
len Servern direkt Zugriff auf das SAN geben. In Windows Intune rückt also
gewähren. Das verbessert die Leistung genauso wie im SCCM der Benutzer in ;XkXGifk\Zk`feDXeX^\i
und erlaubt die Anbindung von Hyper- den Mittelpunkt. Jeder Benutzer darf
V-Hosts an mehrere SANs. Vor allem bei dann bis zu fünf verwaltete Geräte nut- Data Protection Manager in System Cen-
der Live-Migration kann das einen echten zen. Zusätzlich soll es eine Lizenz für ter 2012 kann mit dem Service Pack 1
Mehrwert bieten. Eine weitere wichtige Windows Intune geben, die es ermög- virtuelle Server, die auf SMB-Freigaben
Neuerung in diesem Bereich ist die Un-
terstützung von Offloaded Data Transfer
(ODX). Dabei speichert Windows Server
2012 den Datenverkehr zwischen SAN
und Betriebssystem in einem Puffer zwi-
schen. Bei sehr großen Datenmengen
kann Windows Server 2012 solche Ak-
tionen auch ohne das Hostsystem direkt
mit der Steuerungssoftware des SANs
erledigen.

Jpjk\d:\ek\i:fe]`^liX$
k`feDXeX^\i)'()JG(
Das zweite wichtige Produkt des Pakets ist
der System Center Configuration Manager
(SCCM). Ab dem SP1 arbeitet er auch mit
Windows Server 2012 und Windows 8
zusammen. Auch Surface-Geräte und an-
dere Tablets mit Windows RT lassen sich
mit SCCM 2012 verwalten, nachdem das
SP1 installiert ist. Für Unternehmen, die 8YY`c[le^)18Y[\dJG(XiY\`k\kN`e[fnj@ekle\d`kJpjk\d:\ek\i:fe]`^liXk`feDXeX^\i)'()qljXdd\e%

/' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Jpjk\d:\ek\i)'() K < JK

besseren Failover 2012 direkt auf das SMB-Protokoll zugrei-


zwischen Cluster- fen. Damit müssen die virtuellen Fest-
Knoten. Dabei be- platten von Hyper-V 3.0 (VHDX) nicht
rücksichtigt Win- direkt auf dem Hyper-V-Host gespeichert
dows Server 2012 sein, sondern können auf einer Freigabe
die SMB-Sitzungen im Netzwerk liegen. Der Zugriff ist dann
der Benutzer und mit SMB Multichannel, SMB Direct und
behält sie auch Hyper-V over SMP sehr schnell. Auch
bei, wenn der hochverfügbare Lösungen wie Live-Mig-
Administrator vir- ration profitieren davon. Der gemeinsame
tuelle Dateiserver Datenträger des Clusters muss sich dann
zwischen Cluster- nicht mehr in einem teuren SAN befin-
Knoten verschiebt. den, sondern es reicht ein Server mit
Das setzt allerdings Windows Server 2012 und ausreichend
Clients mit Win- Speicherplatz.
dows 8 und einen Cluster Shared Volume (CSV), der für
Windows Server Hyper-V notwendige Dienst für gemein-
8YY`c[le^*1<`e8jj`jk\ek_`c]kY\`d<ijk\cc\e\`e\j9XZblgj% 2012 voraus. same Datenträger in Clustern, unterstützt
SMB Direct ist jetzt ebenfalls das SMB-3-Protokoll und
auf Servern mit Windows Server 2012 ebenfalls ohne weitere Konfiguration dessen neue Funktionen.
installiert sind, effizienter sichern. So zwischen Rechnern mit Windows Server
lassen sich zum Beispiel virtuelle Server 2012 aktiv. Damit können Server Daten ;\[lgc`q`\ile^
im laufenden Betrieb sichern, während aus dem Hauptspeicher eines Systems
eine Live-Migration stattfindet. Windows über das Netzwerk auf einen anderen Der Data Protection Manager arbeitet
8 und Windows Server 2012 verwenden Server übertragen, der aktuell Kapazitä- mit der neuen Deduplizierungstechnik
dazu das neue SMB-3-Protokoll, das für ten frei hat. Damit diese Funktion nutzbar in Windows Server 2012 zusammen,
den optimierten Zugriff auf Netzlaufwerke ist, müssen die eingebauten Netzwerkad- die doppelte Dateien in Freigaben findet
optimiert ist, etwa für SQL-Server-Daten- apter aber die RDMA-Funktion (Remote und so Speicherplatz sparen hilft. Der
banken oder die Hyper-V-Laufwerke. Die Direct Memory Access) unterstützen und DPM unterstützt dank des SP1 auch den
neue SMB-Version erlaubt mehrere paral- sehr schnell sein. Das sind etwa Adapter Online-Backup-Dienst Windows Azure
lele Zugriffe auf Dateifreigaben, einzelne der Typen iWARP, Infiniband und RDMA Online Backup und sichert Daten dann
Zugriffe über das Netzwerk bremsen sich over Converged Ethernet (RoCE). Von auf Wunsch in der Cloud. Ein Assistent
also nicht mehr gegenseitig aus. dieser Technik profitieren hauptsächlich hilft bei der Auswahl der Daten und der
Zusätzlich ermöglicht SMB 3 beim Ein- Hyper-V und SQL Server 2008 R2/2012. gewünschten Backup-Startzeit (8YY`c$
satz auf geclusterten Dateiservern einen Auch Hyper-V kann in Windows Server [le^*). 

A8?I<J$;M;)'()
INKLUSIVE:
te
Der komplet12
Jahrgang 20 !

■8ik`b\cqlJkfiX^\#9XZblg#J\Zli`kp#Dfe`kfi`e^#
M`iklXc`j`\ile^l%m%d%
■QldC\j\eXd9`c[jZ_`idf[\i8lj[ilZb\e1
G;=le[?KDC$=fidXk
■J\XiZ_<e^`e\]•i8ik`b\c$Mfcck\ok$JlZ_\

A\kqk^c\`Z_Y\jk\cc\e
nnn%X[d`e$dX^Xq`e%[\&;M;)'()
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < f[\i'/0$00*+(($''
8;D@E
ADMIN Netzwerk & Security
8L J >8 9 < '* $)' ( * /(
K < JK Jpjk\d:\ek\i)'()

Verfügung. Administratoren können sich


in der neuen Version eigene Dashboards
erstellen, die nur die notwendigen In-
formationen enthalten. Die Entwickler
gehen in ihrem Blog auf die Dashboards
und deren Möglichkeiten noch genauer
ein R+T. Zusätzlich bietet die neue Ver-
sion eine noch bessere Verwaltung in der
Powershell.
OPS 2012 arbeitet auch mit dem Sicher-
heitsmodell von Linux zusammen, ohne
dabei immer Root-Rechte vorauszuset-
zen. Nur wenn ein bestimmter Über-
wachungsprozess erweiterte Rechte
benötigt, bekommt er auch unter Linux
mehr Rechte. Um Server effizient zu
überwachen, muss ein Agent des OPS
8YY`c[le^+1;XkXGifk\Zk`feDXeX^\i)'()JG(bXeeXlZ_N`e[fnjJ\im\i)'()j`Z_\ie% 2012 installiert sein. Offiziell unterstützt
Microsoft dabei die folgenden Linux-/
Daten auf Servern mit Windows Server mit der das neue Dateisystem kommu- Unix-Systeme:
2012 online zu sichern, setzt noch zu- niziert, entspricht dem von NTFS. Das ■ HP-UX 11i v2 und v3 (PA-RISC und
sätzlich einen speziellen Agenten R*T vo- Dateisystem unterstützt derzeit allerdings IA64)
raus. Das Backup und die Wiederherstel- keine Bootmedien von Windows Server ■ Oracle Solaris 9 (SPARC) und Solaris
lung lassen sich dann über die GUI der 2012. In Windows 8 ist ReFS aktuell nicht 10 (SPARC und x86)
Windows-Datensicherung starten (8Y$ integriert. ■ Red Hat Enterprise Linux 4, 5, und 6
Y`c[le^ +). Auch eine Steuerung über (x86/x64)
die Powershell ist möglich, die dazu ein Fg\iXk`fejDXeX^\i)'() ■ Suse Linux Enterprise Server 9 (x86),
eigenes Modul bietet. 10 SP1 (x86/x64), and 11 (x86/x64)
System Center Operations Manager ar- ■ IBM AIX 5.3, AIX 6.1 (POWER), and
Fec`e\9XZblg beitet dank des SP1 auch mit dem IIS 8 AIX 7.1 (POWER)
von Windows Server 2012 zusammen. Zum Download bietet Microsoft das
Der Online-Backup-Service unterstützt Sharepoint 2010/2013 sowie Team Foun- Unix/Linux Shell Command Template
auch inkrementelle Sicherungen, bei dation Server 2010/2012 lassen sich mit Management Pack an. Mit diesem lassen
denen es dann nur die geänderten Blö- dem Operations Manager überwachen. sich in der Verwaltungskonsole von OPS
cke überträgt. Die Daten der Sicherung Weitere Neuerungen sind das Monito- 2012 Regeln erstellen, die Unix-/Linux-
werden durch den Agenten verschlüsselt ring von Computern mit CentOS, Debian Shell-Befehle zur Überwachung nutzen.
übertragen und auch so in Azure gespei- und Ubuntu, sowie die Unterstützung Um solche Regeln einzubinden, ist aller-
chert. Nach der Sicherung überprüft der der neuen dynamischen Zugriffskont- dings einiges an Linux-Wissen notwen-
Online-Backup-Service automatisch die rolle (Dynamic Access Control, DAC) von dig. Auf dem Blog R,T gibt es dazu einige
Integrität der Daten. Windows Azure On- Windows Server 2012. In diesem Bereich Hinweise. (ofr) ■
line Backup ist allerdings kein kostenlo- kann OPS 2012 auch die Leistung und
ser Dienst, sondern muss zusätzlich zu Verfügbarkeit der Komponenten besser
DPM 2012 lizenziert werden. beurteilen und darstellen. Die neue Ver- @e]fj
Ab SP1 unterstützt der Data Proction Ma- sion erkennt zum Beispiel, an welchem R(T J\im`Z\GXZb(1R_kkg1&&k\Z_e\k%d`Zifjf]k%
nager das ReFS-Dateisystem (Resilient File Port eines Switches ein überwachter Ser- Zfd&[\$Xk&\mXcZ\ek\i&__,',--'%XjgoT
System, unverwüstliches Dateisystem) in ver angeschlossen ist und kann ihn in das R)T J pjk\d:\ek\i)'()1
Windows Server 2012. Neben höherer Ge- Monitoring aufnehmen. R_kkg1&&nnn%d`Zifjf]k%Zfd&[\$[\&j\im\i&
schwindigkeit und Robustheit erlaubt das Um einzelne Anwendungen im Netzwerk jpjk\d$Z\ek\i&)'()%XjgoT
Dateisystem tiefere Ordnerstrukturen und besser zu überwachen, bietet OPS 2012 R*T 9 XZblg$8^\ek]•i8qli\1
längere Dateinamen. Außerdem sollen auch die Unterstützung von Java-JEE- R_kkg1&&nnn%n`e[fnjXqli\%Zfd&[\$[\&
keine Daten verloren gehen, da das neue Webanwendungen, zum Beispiel Web- _fd\&]\Xkli\j&fec`e\$YXZblgT
Dateisystem eine verbesserte Version der sphere 6.1/7, Weblogic 10 und 11, JBoss R+T;Xj_YfXi[j`dFg\iXk`feDXeX^\i1
Schattenkopien mitbringt. ReFS Daten- und Tomcat. Administratoren können R_kkg1&&Ycf^j%k\Z_e\k%Zfd&Y&dfdk\Xd&
träger beherrschen eine Größe von 16 OPS 2012 auch über eine Webkonsole XiZ_`m\&)'((&'0&).&`ekif[lZ`e^$fg\iXk`fej
Exabyte. Berechtigungen lassen sich auf verwalten. Auch Webparts für die Ein- $dXeX^\i$)'()$[Xj_YfXi[j%XjgoT
ReFS-Datenträger genauso vergeben wie bindung in das eigene Intranet, zum R,T C`elo$Dfe`kfi`e^d`kJ_\cc$9\]\_c\e1
in NTFS. Die Zugriffsschnittstelle (API), Beispiel über Sharepoint, stehen zur R_kkg1&&Zfekfjf%j\&Ycf^&6g4+,0T

/) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Computerwissen für Praktiker

Bekannt für Qualität


S. Karbginski, M. Lanzrath

VMware View

  
Virtuelle Windows-Desktops in der vSphere-
Umgebung: virtuelle Maschinen anlegen,
verteilen und verwalten, Endgeräte
vorbereiten, Gäste anpassen
 543 Seiten  ISBN 978-3-936546-67-5
 EUR 59,90 (D)

Thomas Werth Michael Van Canneyt et al.


Penetrations-Tests Lazarus
Angriffe auf Dienste, Programme Klassenbibliothek und IDE
und Netzwerke Plattformübergreifende GUI-Ent-
Firewalls überwinden, SAP-Systeme wicklung für Windows, Mac und
kompromittieren, Webbrowser Linux mit Pascal.
überlisten und Backdoors  768 Seiten
implementieren.
 ISBN 978-3-936546-63-7
 703 Seiten  EUR 49,90 (D)
 ISBN 978-3-936546-70-5
 EUR 49,90 (D)

Dr. Rolf Freitag Christoph Willer

Die Kunst des Verdeckens PC-Forensik


Daten verschleiern, verschlüsseln, Daten suchen und wiederherstellen
zerstören Lehr- und Arbeitsbuch zur Analyse
Alle clientseitigen Maßnahmen, den von PCs mit Windows- und Linux-
Computer und seine Inhalte vor Werkzeugen.
Diebstahl und Spionage zu schützen.  510 Seiten
 366 Seiten  ISBN 978-3-936546-60-6
 ISBN 978-3-936546-65-1  EUR 49,90 (D)
 EUR 29,90 (D)
Probekapitel und Inhaltsverzeichnisse finden Sie auf www.cul.de.
Falls das gewünschte Buch in der Buchhandlung gerade nicht Unser Gesamtprogramm
vorrätig ist, bestellt sie es portofrei innerhalb von 24 Stunden. finden Sie unter:

Computer & Literatur Verlag


C&L-Bücher erhalten Sie im gut sortierten Buch- und Fachhandel oder über www.cul.de
K < JK 8iZ_C`elo

C`eloJ\im\i]Xjk]ifdJZiXkZ_
Ÿ:Xicfj:X\kXef#()*I=

Ql[\eNliq\ce
Aufbau eines BSD-Systems (oder Slack-
8iZ_C`elo_Xkj`Z_`e[\ec\kqk\eq\_eAX_i\eql\`e\igfglc€i\eC`elo$
ware) mit einer auf Kommandoebene mit
;`jki`Ylk`fe]•i]fik^\jZ_i`kk\e\8en\e[\i\ekn`Zb\ck#[`\JkXY`c`k€kle[ Debian vergleichbaren Paketverwaltung
8bklXc`k€k^c\`Z_\idX\eY`\k\k%K_fdXj;i`cc`e^ und dem intelligenten Build-System R-T
von Gentoo (siehe BXjk\e Ù8iZ_ 9l`c[
Wer als Administrator seinen eigenen Team, sowie eine Anzahl sogenannter Jpjk\dÈ). Wie bei Gentoo sind die ein-
Linux-Server aufsetzen möchte, greift Trusted User aus der Community. Die zelnen Releases daher nichts anderes, als
häufig entweder zu Debian, einem RHEL- große Popularität unter Nerds hat im Zu- Snapshots vom jeweiligen Entwicklungs-
Klone wie CentOS oder bucht – sofern sammenhang mit der weithin gelobten stand. Der einfache Aufbau impliziert
Hersteller-Support gewünscht ist – eine Stabilität inzwischen eine ganze Reihe aber keineswegs die Verwendung veral-
Enterprise-Subskription bei Red Hat, von Arch-Derivaten hervorgebracht, teter Komponenten. So kommt etwa seit
Oracle oder Suse. Für spezielle Anforde- die sich unter anderem durch grafische Oktober letzten Jahres standardmäßig
rungen, etwa einem Small-Business- oder Konfigurationswerkzeuge und eine GUI- »systemd« als Init-System zum Einsatz.
Groupware-Server, stehen darüber hinaus basierte Paketverwaltung auszeichnen. Die Arch-Entwickler legen großen Wert
noch eine Reihe von Appliances parat. Besonders populär sind Chakra Linux R+T auf die Dokumentation und eine sich an
und Manjaro R,T. Letzteres ist ein noch gängigen Standards orientierende Konfi-
8iZ_C`elo sehr junger Arch-Abkömmling mit eige- guration, sodass Anwender in vielen Fäl-
nem Setup-Programm, selbst entwickel- len allgemein zugängliche Linux-Howtos
Arch Linux R(T baut nicht auf einer be- ter grafischer Oberfläche zur Pacman- verwenden können, ohne auf distribu-
kannten Distribution wie Debian, Ubuntu Paketverwaltung und mit Xfce-, Gnome-, tionsspezifische Eigenheiten achten zu
oder Red Hat auf, sondern wurde von KDE- oder Cinnamon-Desktop. müssen.
Grund auf eigenständig konzipiert. So Seit Sommer letzten Jahres verwendet
entstand eine nach dem Prinzip der Ein- Arch Linux ein im Vergleich zu den Vor- GXb\km\inXckle^
fachheit R*T entwickelte, für 32- und gängern geändertes Release-Modell, das
64-Bit-x86-Systeme optimierte Distribu- jeden Monat ein aktualisiertes Installa- Arch Linux ist wie die meisten Distribu-
tion. Da Arch Linux mit seinem minima- tionsmedium mit datumsbezogenen Ver- tionen für den Einsatz von Binär-Paketen
listischen Ansatz auf grafische Installa- sionierungsschema herausgibt. Demnach konzipiert, verwendet aber weder RPM-
tions- und Konfigurationshilfen verzich- hört die aktuelle Version auf den Namen noch Deb-Pakete, sondern ein eigenes
tet, eignet sich die von Judd Vinet Anfang „archlinux-2013.03.01“. Format ähnlich dem von Slackware, das
2001 ins Leben gerufene Linux-Variante die selbst entwickelte, Apt-ähnliche Pa-
mit Anleihen an BSD und Crux-Linux nur 8iZ_$<`^\ejZ_X]k\e ketverwaltung Pacman organisiert. Zu-
für erfahrene Nutzer. sammen mit dem im BXjk\eÙ8iZ_9l`c[
Arch Linux wird heute unter Leitung von Wie schon gesagt, wurde Arch Linux von Jpjk\dÈ beschriebenen Mechanismus
Aaron Griffin weiterentwickelt, der Vinet Grund auf neu entwickelt und setzt auf lassen sich wie bei Gentoo auch neue
2007 als Projektleiter ablöste. Ihm zur keine andere Distribution auf. Es kom- Pakete für Software bauen, für die ledig-
Seite steht ein 25 Leute zählendes Kern- biniert den vergleichsweise einfachen lich der Sourcecode verfügbar ist.

/+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8iZ_C`elo K < JK

Pacman ist ein speziell für kann beispielsweise eine GPT-


Arch Linux entwickelter, kom- Partitionstabelle mit »mkla-
mandozeilenorientierter Pa- bel« erzeugen. Das hier ge-
ketmanager, der inzwischen zeigte Beispiel verwendet ein
auch bei einigen anderen Dis- MBR-Layout mit 500 MByte
tributionen verwendet wird. großer Boot- und einer zwei
Pacman löst Abhängigkeiten GByte großen Swap-Partition.
auf und lädt bei Bedarf alle System- und Home-Partition
benötigten Pakete von den dagegen verfrachtet es ab-
Arch-eigenen Paketquellen weichend von der Standard-
herunter, ähnlich wie bei De- Installationsanleitung in ein
bians Apt-System. Pacman LVM-Volume.
kommt bei Arch Linux auch Nach dem Partitionieren mit
dann zum Einsatz, wenn Fdisk ist ein Reboot fällig,
die zu installierenden Pakete um die neue Partitionstabelle
in einer lokalen Quelle vor- 8YY`c[le^(1;`\*)$le[-+$9`k$M\ij`fe\en\i[\emfd^c\`Z_\e;Xk\eki€^\i einzulesen. Das Erstellen der
liegen. Das ist zum Beispiel `ejkXcc`\ik% benötigten Volumegroup ist
dann der Fall, wenn sie vom mit
Arch Build System (ABS) just in time 64-Bit-Version wählen. Wie üblich liefert
pvcreate /dev/sda3
erstellt wurden. Seit der Version Januar »[Tab]« eine paar nützliche Start-Optio- vgcreate vg_arch /dev/sda3
2012 unterstützt Pacman auch das Über- nen, etwa »ide-legacy« bei Problemen mit
prüfen digital signierter Pakete und räumt IDE-Laufwerken oder »noapic acpi=off«, schnell erledigt, wobei die hier gewählten
mit einem der häufigsten Kritikpunkte an »pci=routeirq« oder »nosmp« bei Boot- Namen und Größen beispielhaft sind. Die
früheren Arch-Linux-Versionen auf. Problemen. benötigten logischen Laufwerke für Home
Die Arch-Linux-Entwickler stellen in ih- Nach dem Booten des Installationsker- und Swap werden werden dann zum Bei-
rem gut bestücktem Wiki R.T eine sehr nels meldet sich Arch Linux mit einer spiel mit »lvcreate -n -L 5G lv_home vg_
detaillierte und umfangreiche Instal- einfachen Kommandozeile und meldet arch« angelegt. Bei der System-Partition
lationsanleitung R/T für Einsteiger zur automatisch den Benutzer Root an. Mit verwendet man zur Größenspezifikation
Verfügung. Darüber hinaus existiert ein »loadkeys de« lässt sich dann für die wei- nicht »-L Größe in GB«, sondern ermittelt
ebenso ausführliches E-Book R0T mit tere Installation das deutsche Tastatur- zuvor mit »vgdisplay« die Anzahl ma-
dem Titel „Arch Linux – Die Grundin- layout einstellen. Optional stehen auch ximal noch verfügbarer „PEs“ (physical
stallation und mehr“ von Farid Mesbahi, Layouts für Akzenttasten und Nodead- extends) und verwendet als Parameter
sodass sich der Autor im Folgenden auf keys zur Verfügung. Da bis dato noch das für die Größe dann »-l Anzahl PEs«.
die notwendigsten Handreichungen be- englische Default-Layout eingestellt ist,
lvcreate -n -l 3202 lv_sys vg_arch
ziehungsweise etwaige Besonderheiten muss die Bestätigung mit »[z]« erfolgen.
oder Aktualisierungen beschränkt. Anschließend lassen sich die benötigten
=\jkgcXkk\le[ Dateisysteme mit »mkfs« anlegen. Dabei
8iZ_C`eloJZ_i`kk]•i ;Xk\`jpjk\d\ ist es empfehlenswert, mit dem Para-
JZ_i`kk meter »-L« Labels zur Bezeichnung der
Anschließend muss der Admin die Fest- Dateisysteme zu verwenden.
Arch Linux stellt nur ein einziges ISO- platte mit Fdisk (MBR), Parted oder Gfdisk
mkfs.ext4 -L arch_sys /dev/mapper/vg_arch/5
Image für 32- und 64-Bit-Systeme zur (GPT) manuell partitionieren. Achtung: lv_home
Verfügung. Erst beim Booten mit dem Partitionen größer zwei TByte setzen
von R('T heruntergeladenen Dual-ISO zwingend eine Partitionstabelle vom Typ Auch das Mounten der Partitionen und
kann der Admin zwischen der 32- und GPT (GUID Partition Type) voraus. Parted Aktivieren des Swap-Bereiches muss der

8iZ_9l`c[Jpjk\d89J
<`e 8iZ_$GXb\k `jk €_ec`Z_ n`\ \`e JcXZbnXi\$ jk\_k \`e\ ]•i a\[\j Gif^iXdd mfi_Xe[\e\ <`ejXkq% ;Xj •Y\ij\kqk \ekn\[\i Hl\ccgXb\k\
GXb\ki\Z_k\`e]XZ_jkilbkli`\ikle[e`Z_km`\c K\ok[Xk\` d`k [\i 9\q\`Z_ele^ ¾GB>9L@C;½% f[\iY\i\`k\kqld9\`jg`\c^\gXkZ_k\GXb\k\qld
d\_i Xcj \`e bfdgi`d`\ik\j kXi$8iZ_`m% ;Xj J`\ \ek_€ck 8en\`jle^\e qld ?\ilek\icX[\e @ejkXcc`\i\e[liZ_¾gXZdXe½mfi%=\ie\i^`Yk\j
\ek_€ckXcc\i[`e^je\Y\e[\eql`ejkXcc`\i\e[\e le[ Bfe]`^li`\i\e [\j a\n\`c`^\e Gif^iXddj% efZ_[Xj8iZ_$C`elo$I\gfj`kfipLj\i$:fddle`kp
Hl\cc[Xk\`\e\`e\;Xk\`¾%GB>@E=F½d`kj€dkc`$ ;\i8en\e[\ibXeed`k[\i;Xk\`¾GB>9L@C;½ 8LI %@e[\dbee\e8iZ_$C`elo$8en\e[\i[\i
Z_\e D\kX$;Xk\e# n\cZ_\ [`\ GXb\km\inXckle^ a\[\j `e [\i GXb\km\inXckle^ mfe 8iZ_ \ek_Xc$ >\d\`ejZ_X]k\`^\e\GB>9L@C;j]•ie`Z_klek\i$
GXZdXeYiXlZ_k%<`e\\c\d\ekXi\Bfdgfe\ek\ k\e\Gif^iXdd[liZ_?`eql]•^\e\`e\jGXkZ_\j jk•kqk\Gif^iXdd\qliM\i]•^le^jk\cc\e%8lZ_
mfe8iZ_C`elo`jkql[\d[Xj8iZ_9l`c[Jpjk\d% jg\q`\ccXej\`e\\`^\e\e9\[•i]e`jj\eXegXjj\e% 8LIY\elkqk¾dXb\gb^½qld<ijk\cc\emfeGX$
;XY\` _Xe[\ck \j j`Z_ ld \`e\ [\e 9J;$Gfikj Qld8lj]•_i\e[\i`e¾GB>9L@C;½\ek_Xck\e\e b\k\e]•iGXZdXe%89J\id^c`Z_kXY\iXlZ_\`e
€_ec`Z_\GXb\km\inXckle^%@dQ\ekildmfe89J 8en\`jle^\e bfddk [Xj Kffc ¾dXb\gb^½ qld mfccjk€e[`^\jE\lYXl\e[\j^\jXdk\eJpjk\dj%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * /,


K < JK 8iZ_C`elo

Admin selbst übernehmen. klappt das Festlegen der deut-


Zunächst mountet er die Root- schen Tastaturbelegung in
Partition zum Beispiel nach »/etc/vconsole.conf« mit
»/mnt«; danach die Home- »echo KEYMAP=de-latin1 >
und Boot-Partitionen an die /etc/vconsole.conf«. Ferner
vorgesehenen Mount-Punkte empfiehlt es sich, die »/etc/
»boot« und »home« relativ vconsole.conf« um folgende
zu »/mnt«, die vorher mit Font-Einträge zu erweitern,
»mkdir« anzulegen sind.
echo FONT=lat9w-16 >> /etc/5

mount /dev/mapper/ 5 vconsole.conf

vg_arch-vg_sys /mnt echo FONT_MAP=8859-1_to_uni >> 5

mount /dev/mapper/ 5 /etc/vconsole.conf

vg_arch-vg_home /mnt/home 8YY`c[le^)1;XjB•iq\e[\iD`iific`jk\Xl]eX_\^\c\^\e\Jg`\^\cj\im\iYi`e^k


mount /dev/sda1 /mnt/boot >\jZ_n`e[`^b\`kjmfik\`c\% Für das Festlegen der Zeitzone
Danach kann der Admin den genügt ein einfacher Symlink
Swap-Bereich mit »swapon /dev/sda2« Admin seine »fstab«-Konfigurationsdatei auf »/etc/localtime«:
aktivieren, sofern er die Swap-Partition erzeugen. Das kann er von Hand tun
ln -s /usr/share/zoneinfo/Europe5
zuvor mit »mkswap /dev/sda2« forma- oder das »genfstab«-Kommando verwen- /Berlin /etc/localtime
tiert hat. den, das die Datei mit den momentan
gemounteten Partitionen bestückt. Anschließend muss der Admin in der
8l]j\kq\e[\j9Xj`j$ genfstab -p /mnt > /mnt/etc/fstab
»/etc/locale.gen« die für Deutschland re-
Jpjk\dj levanten, auskommentierten Zeilen ent-
Das funktioniert wahlweise auch mit der kommentieren.
Vor dem Aufsetzen des Basis-Systems Label-Bezeichnung, sofern der Admin
de_DE.UTF-8 UTF-8
muss man eine Netzwerkverbindung diese beim Formatieren mit »mkfs« ge- de_DE ISO-8859-1
herstellen. Ist im Netz ein DHCP-Server setzt hat. de_DE@euro ISO-8859-15
aktiv, sollte die Netzwerkverbindung von
genfstab -Lp /mnt > /mnt/etc/fstab
Haus aus funktionieren. Weitere mögli- Das eigentliche Generieren der Locales
che Netzwerk-Setups mit und ohne Rou- In der so generierten »fstab« stehen die erfolgt dann mit »locale-gen«.
ter, DSL-Modem oder per WLAN erläutert benötigten Partitionen nicht mehr relativ
die ausführliche Installationsanleitung. zur Installationswurzel »/mnt«, sondern E\kqn\ibbfe]`^liXk`fe
Danach geht es an die Konfiguration des korrekt relativ zu »/«. Somit kann der
Paketmanagers Pacman. Dabei kann der Admin jetzt das Installationsmedium ver- Der zu verwendende Hostname ist bei
Admin etwa den gewünschten Spiegel- lassen und »/mnt« mit »arch-chroot« zum einer Systemd-konformen Konfiguration
server aussuchen und der Datei »/etc/ neuen Systemroot machen. mit »echo hostname > /etc/hostname«
pacman.d/mirrorlist« hinzufügen. Am schnell in »/etc/hostname« verankert.
arch-chroot /mnt
einfachsten ist es, eine Kopie der vor- Das Eintragen des Hostnamen als Teil des
handenen Mirrorlist anzulegen und dann Ab jetzt kann er sich der endgültigen Sys- vollständigen FQDN in »/etc/hosts« ist
in der Originaldatei die nicht benötigten temkonfiguration unter »/etc« widmen. bei aktuellen Versionen von Arch Linux
Zeilen im Editor zu entfernen. nicht mehr erforderlich, weil inzwischen
Das ist selbstverständlich nicht zwin- 9Xj`j$Bfe]`^liXk`femfe »nss-myhostname« für das Auflösen des
gend. Ein Reduzieren auf die näheren
8iZ_C`elo Hostnames zum Einsatz kommt.
deutschen Server kann aber in der Praxis Die »/etc/resolv.conf« ist per Default für
bei der Installation einen Geschwindig- Bei Arch Linux kommt Systemd als be- den automatischen Adressbezug konfi-
keitsvorteil von bis zu 30 Minuten brin- vorzugtes Init-System zum Einsatz, das guriert. Möchte der Admin auf statische
gen. Zum Aufsetzen des Basis-Systems direkt auf die Konfigurationsdateien Adressvergabe umstellen, kann er das an
installiert der Admin zunächst die Grup- unter »/etc« zugreift. Das Setzen einer dieser Stelle tun und als Nameserver ei-
pen »base« und »base-devel« mit Hilfe deutsch lokalisierten Umgebung in »/etc/ nen externen DNS-Forwarder eintragen.
des »pacstrap«-Kommandos nach »/mnt«. locale.conf« bewerkstelligen die folgen- Für die weitere Konfiguration des Paket-
In »base-devel« stecken unter anderem den drei Zeilen: managers muss zwingend das Netzwerk
wichtige Build-Tools, wie etwa »make« gestartet sein. Sollte das noch nicht der
echo LANG=de_DE.UTF-8 > /etc/locale.conf
und »automake«, die es unter anderem echo LC_TIME=de_DE.UTF-8 >> /etc/locale.conf
Fall sein, hilft im Beispiel (mit DHCP) das
ermöglichen, zusätzliche Software aus echo LC_COLLATE=C >> /etc/locale.conf Kommando »dhcpcd«, beziehungsweise
dem AUR-Repository zu installieren: die erweiterte Form »dhcpcd enp0s3«.
Natürlich kann der Admin die drei Zei- Die seltsamen Gerätebezeichnungen re-
pacstrap /mnt base base-devel
len auch gleich in eine Datei »/etc/lo- sultieren aus dem neuen regelbasierten
Ist das Basis-System installiert, kann der cale.conf« schreiben. Genauso schnell Udev-System.

/- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8iZ_C`elo K < JK

Vor dem Installieren weiterer Pakete steht Jetzt ist es an der Zeit, sich für einen Administrator kann sich also bislang nur
prinzipiell das Konfigurieren des Paket- Bootloader zu entscheiden. In den Pac- mir dem Account »root« und dem mittels
managers in der Konfigurationsdatei man-Paketquellen sind Syslinux und »passwd« vergebenen Passwort an der
»/etc/pacman.conf« an. Im Normalfall Grub 2 verfügbar. Das Installieren der Konsole anmelden.
sollten allerdings keine Anpassungen Grub-2-Software kann beispielsweise mit
notwendig sein. Der BXjk\e Ù<ekn`Zb$ »pacman -S grub-bios« erfolgen. Jpjk\d[
cle^jqn\`^\È beschreibt die verfügbaren Zum Erzeugen der Konfiguration dient
Paketquellen. Mit »pacman -Sy« bringt Nach dem ersten Start (8YY`c[le^ *)
grub-mkconfig -o /boot/grub/grub.cf
der Admin Pacman dazu, bei Änderun- grub-install /dev/sda
ist es Zeit, sich noch einmal der Sys-
gen an den zu verwendenden Paket- temstartkonfiguration zuzuwenden. An
quellen seine Repository-Datenbank neu Ist das erledigt, sollte das neu installierte erster Stelle sollte nach dem erneuten
einzulesen. Die Liste der Spiegelserver Arch-Linux-Basis-System problemlos Starten des Netzwerks mit »dhcpcd« der
ist wie oben gezeigt in »/etc/pacman.d/ booten, nachdem der Admin mit »exit« Start der Netzwerkdienste dauerhaft ein-
mirrorlist« zu finden. und »umount /dev/sda1« wieder zum gerichtet werden. Bei systemd funktio-
Jetzt ist außerdem ein guter Zeitpunkt, Installationsmedium zurückgekehrt ist. niert das mit
mit »passwd« ein Root-Passwort zu set- Im Zusammenhang mit LVM ist es gut
systemctl enable dhcpcd.service
zen. Das funktioniert aber auch später. und nützlich, Grub 2 zu verwenden, weil
er LVM per Default unterstützt. Wer auf- Wahlweise kann der Admin sein Netz-
B\ie\cle[9ffkcfX[\i grund der einfacheren Konfiguration lie- werk auch manuell konfigurieren oder
ber Grub 1 benutzt, der muss zwingend den Rechner selbst als Router einrich-
Anschließend muss der Admin unter darauf achten – wie im Beispiel – »/boot« ten. Das Arch-Wiki liefert entsprechende
Umständen die MODULES- und HOOKS- in einer separaten physischen Partition Anleitungen für zahlreiche Setups mit
Werte des Kernels in »/etc/mkinitcpio. außerhalb einer LVM-Group verfügbar zu DSL-Modem, oder das Einrichten eines
conf« seinen Vorstellungen und Gegeben- machen, damit Kernel, Grub-Config und WLANs. Mit »ip addr« (nicht »ifconfig«)
heiten anpassen. Die auskommentierte Initramfs beim Booten gelesen werden lässt sich die via DHCP vergebene Ad-
Default-Zeile können. Wer lieber »syslinux« verwendet, resse schnell ermitteln. Was Systemd be-
kann dieses jetzt oder bereits beim Auf- trifft, ist es noch nützlich, den cronie-Ser-
HOOKS="base udev autodetect block 5
keyboard keymap filesystems fsck shutdown"
setzen des Basis-Systems mit »pacstrap vice mit »systemctl enable cronie.service«
/mnt base base-devel syslinux« installie- permanent zu machen. Sollte der Admin
gilt etwa für das Booten von einer SATA- ren. Das Schreiben von Syslinux in den wie im Beispiel ebenfalls ein LVM-ba-
Festplatte mit einer USB-Tastatur. Die MBR erfolgt dann mit: siertes Partitionslayout verwenden, fehlt
Datei ist gut dokumentiert und enthält noch ein »systemctl enable lvm.service«.
syslinux-install_update -i -a -m -c /mnt
zahlreiche Beispiele. Ferner finden sich Nach einem weiteren Reboot kann sich
alle verfügbaren Hooks-Werte im Arch- Zum Konfigurieren von »syslinux« muss der Admin endgültig um das individuelle
Wiki R((T. Für unser Beispiel mit LVM der Admin allerdings Hand anlegen. Bei- Einrichten seines Arch-Linux-Systems
sind noch die Hooks »lvm2« und gege- spiele für eine funktionsfähige »/boot/ kümmern.
benenfalls »encrypt« zu ergänzen, sollen syslinux/syslinux.cfg« finden sich eben-
die LVM-Partitionen auch verschlüsselt falls im Arch-Linux-Wiki R()T. O((le[B;<
werden. Der Kernel selbst lässt sich dann Eine grafische Oberfläche oder weitere
mit »mkinitcpio -p linux« erzeugen. Benutzer gibt es bis dato noch nicht. Der Admins, die mit Arch Linux einen schnel-
len und stabilen Server betreiben möch-
<ekn`Zbcle^jqn\`^\ ten, haben jetzt bereits ein funktions-
;\i ÙgXZbX^\ ki\\È mfe 8iZ_ C`elo ^c`\[\ik qld<`ejXkqbfdd\ebee\e%GXb\k\#[`\mfe fähiges Basis-System und können sich
j`Z_ [\iq\`k `e ]•e] <ekn`Zbcle^jqn\`^\% N`\ jf^\eXeek\e Kiljk\[ Lj\ij \ijk\cck nli[\e# wie gewohnt dem Installieren und Kon-
Y\` Xe[\i\e ;`jki`Ylk`fe\e XlZ_ ]`e[\k [\i ]`e[\e j`Z_ [X^\^\e `d Ù:fddle`kpÈ$Qn\`^% figurieren der benötigten Server-Dienste
^ik\K\`c[\i<ekn`Zbcle^jXiY\`kqlda\n\`$ ;\i Qn\`^ ÙLejlggfik\[È$I\gf \ek_€ck b\`e\ wie etwa Apache, Samba oder LDAP
c`^\e Q\`kglebk `d ÙK\jk`e^È$Qn\`^ jkXkk% =•i GXb\k\#jfe[\ieY\q\`Z_e\k[`\9\i\`kjk\ccle^ kümmern. Da Arch Linux weitgehend
[\eGif[lbk`m\`ejXkqmfi^\j\_\e\GXb\k\]`e$ mfeGB>9L@C;j`dfY\e\in€_ek\e8iZ_$C`elo$
LFS-konform ist und Sonderwege wann
[\ej`Z_[X^\^\e`dÙ:fi\È$Qn\`^%8cc\i[`e^j Lj\i$:fddle`kp$I\gfj`kfip8LI %E\Y\e[\d
immer möglich meidet, sollte das jedem
\ek_€ck :fi\ eli GXb\k\ ]•i \`e d`e`dXc\j K\jk`e^$I\gf#^`Yk\jXlZ_efZ_ÙDlck`c`Y$k\j$
C`elo$Jpjk\d% N`Z_k`^ ]•i \`e ]lebk`fe`\i\e$ k`e^È le[ Ù:fddle`kp$k\jk`e^È# [`\ \Y\e]Xccj versierten Admin mit entsprechendem
[\j9Xj`j$Jpjk\dj`e[Xl\i[\d[`\GXb\k\`d `e <ekn`Zbcle^ Y\]`e[c`Z_\ GXb\k\ \ek_Xck\e% Linux-Know-how (soweit nötig unter
ÙDlck`c`YÈ$I\gfj`kfip#n`\qld9\`jg`\cj€dkc`$ N`\ Y\` Xe[\i\e ;`jki`Ylk`fe\e XlZ_ ^`Yk \j Zuhilfenahme allgemein zugänglicher
Z_\GXb\k\]•i[`\o/-V-+$8iZ_`k\bklile[[`\ ql[\d efZ_ `ef]]`q`\cc\ 8iZ_$C`elo$I\gfj# [`\ Linux-Dokumentationen oder dem Arch-
`-/-$9`Yc`fk_\b\ec`Y*)$! %@dI\gfj`kfipÙ<o$ mfe;i`kk\eqliM\i]•^le^^\jk\cckn\i[\ele[ Linux-Wiki wie R(*T oder R(+T) gelingen.
kiXÈ]`e[\ej`Z_GXb\k\#[`\e`Z_kqn`e^\e[]•i `e [\i I\^\c e\l\i\ f[\i Xe^\gXjjk\ M\ij`f$ Wer jedoch eine grafische Oberfläche be-
\`e 9Xj`jjpjk\d ^\YiXlZ_k n\i[\e# XY\i qld e\emfeGXb\k\eXlj:fi\#<okiXf[\iDlck`c`Y nötigt, kann sich im Folgenden dabei an
9\`jg`\c Xcj 8ck\ieXk`m\e ]•i [`\ :fi\$GXb\k\ \ek_Xck\e% der in dieser Hinsicht sehr detaillierten

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * /.


K < JK 8iZ_C`elo

8YY`c[le^*1;\i\ijk\Cf^`e\i]fc^kXe[\iBfddXe[fq\`c\% 8YY`c[le^+1<`e\\`e]XZ_\¾%o`e`kiZ½]•i[\eB;<$JkXik%

Installationsanleitung orientieren. Ein R(-T, Ati R(.T und Intel R(/T detaillierte Home-Verzeichnis des jeweiligen Benut-
X11-Basissystem ist durch das Installieren Anleitungen parat. Selbstverständlich zers. Gibt es die Datei nicht, nimmt das
der folgenden Pakete schnell aufgesetzt. braucht auch X11 eine deutsche Tasta- System automatisch die globale »/etc/
turbelegung, was man bekanntlich mit X11/xinit/xinitrc«, welche allerdings für
pacman -S xorg-server xorg-xinit 5
xorg-utils xorg-server-utils
einer passenden Sektion der zentralen die Verwendung von TWM und Xterm
Xorg-Konfigurationsdatei löst. Die ist konfiguriert ist. Ein Beispiel für den
Die Abhängigkeitsauflösung von Pacman bei Arch Linux wie inzwischen auch an- Start mit einem der gängigeren Desktops
sorgt dabei gegebenenfalls für das er- derswo üblich auf mehrere Dateien in »/ (KDE, Gnome, XFCE, LXDE) lässt sich
forderliche Nachziehen der »libgl« nebst etc/X11/xorg.conf.d« verteilt, wobei die der Installationsanleitung R(,T entneh-
weiterer Abhängigkeiten zur »libgl«, wie vorangestellte Ziffer die Reihenfolge der men. Für KDE sieht das so aus wie in
etwa die Mesa-Bibliotheken. Abarbeitung bestimmt. Für die Keyboad- 8YY`c[le^+.
Im Arch-Wiki R(,T findet sich außerdem Einstellungen verwendet man »/etc/X11/ Ein Benutzer wird – soweit noch nicht
eine Liste der in den Arch-Repositories xorg.conf.d/20-keyboard.conf«. geschehen – wie üblich mit »useradd -m
verfügbaren Open-Source-Treiber. Sogar -g users -s /bin/bash Name« angelegt.
Section "InputClass"
der VirtualBox-Gastsystem-Treiber »vir- Identifier "keyboard"
Ein einfacher Start des X-Servers kann
tualbox-guest-utils« ist darunter, der in MatchIsKeyboard "yes" jederzeit mit »startx« erfolgen. Da sich
unserem Beispiel zum Einsatz kommt, Option "XkbLayout" "de" der Konfigurator im Beispiel bereits für
da wir Arch Linux in einer virtuellen Option "XkbVariant" "nodeadkeys" KDE entschieden hat, ist das Installieren
EndSection
Maschine installieren. Dessen Auswahl eines KDE-Basissystem mit
in Pacman zieht folgerichtig auch das Wer mag, kann an dieser Stelle noch ei-
pacman -S kde kde-l10n-de
Installieren der VirtualBox-Kernel- nige hübschere TrueType-Fonts installie-
Sourcen in Form des Paketes »virtual- ren, von denen sich in den Paketquellen schnell erledigt. Weitere Details zur KDE-
box-guest-dkms« nach sich. einige finden R(0T. Jetzt braucht es nur Installation verrät wiederum das Arch-
Wer gar nicht weiß, welcher Video-Trei- noch ein Init-Skript für X11. Empfehlens- Wiki R)'T.
ber der richtige ist, installiert einfach wert ist eine lokale ».xinitrc« im eigenen Nach dem Abmelden als root und dem
das Paket »xorg-drivers«. Xorg sucht Heimatverzeichnis. Die erhält der Admin Neuanmelden als Benutzer sollte sich
sich dann selbst den Passenden aus. etwa durch Kopieren der mitgelieferten KDE durch einen Aufruf von »startx« pro-
Das Arch-Wiki hält übrigens für Nvidia Beispieldatei aus »/etc/skel/« in das blemlos starten lassen (8YY`c[le^,).

@e]fj
R(T 8iZ_C`elo1R_kkgj1&&nnn%XiZ_c`elo%[\T R()TJpjc`elobfe]`^li`\i\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&
R)T C`elo]ifdjZiXkZ_1R_kkg1&&nnn%c`elo]ifdjZiXkZ_%fi^&T Jpjc`elo_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&Jpjc`eloT
R*T B@JJ$Gi`eq`g`\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&B@JJ$Gi`eq`gT R(*T8gXZ_\1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&8gXZ_\Vle[VG?GT
R+T :_XbiXC`elo1R_kkg1&&nnn%Z_XbiX$gifa\Zk%fi^T R(+TJXdYX1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&JXdYXT
R,T DXeaXif1R_kkg1&&dXeaXif%fi^T R(,TO((le[8cjXbfe]`^li`\i\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&
R-T >\\ekff9l`c[$Jpjk\d1R_kkg1&&nnn%^\ekff%fi^&[fZ&[\&_Xe[Yffb& 8ec\`kle^V]:*9:iV<`ejk\`^\iK\`cV)1V@ejkXccXk`feVmfeVOVle[V
_Xe[Yffb$o/-%odc6gXik4)Z_Xg4(T Bfe]`^liXk`feVmfeV8CJ8T
R.T 8iZ_$C`elo$N`b`1R_kkgj1&&n`b`%XiZ_c`elo%[\T R(-TEm`[`X$BXik\e1R_kkgj1&&n`b`%XiZ_c`elo%[ \&k`kc\&Em`[`XT
R/T @ejkXccXk`fejXec\`kle^?KDC1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\& R(.T 8k`$BXik\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&8K@T
8ec\`kle^V]:*9:iV<`ejk\`^\iT R(/T@ek\c$BXik\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&@ek\cT
R0T <$9ffb8iZ_C`elo1R_kkg1&&nnn%jZ_i\`Y[`Z_k\%[\&[fnecfX[T R(0TJZ_i`]kXik\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&JZ_i`]kXik\eT
R('T;fnecfX[8iZ_$C`elo$@JF1R_kkgj1&&nnn%XiZ_c`elo%fi^&[fnecfX[T R)'TB ;<`ejkXcc`\i\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&B[\T
R((T ?ffbj$N\ik\1R_kkgj1&&n`b`%XiZ_c`elo%fi^&`e[\o%g_g&Db`e`kZg`f?
 FFBJT R)(TGXZdXe$Fgk`fe\e1R_kkgj1&&n`b`%XiZ_c`elo%[\&k`kc\&GXZdXeT

// 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8iZ_C`elo K < JK

8YY`c[le^,1EXZ_n\e`^\e?Xe[^i`]]\ejkXik\k8iZ_XlZ_gifYc\dcfjd`k[\i 8YY`c[le^-18iZ_C`elod`kB;<$;\jbkfgle[[XebM`iklXcYfo$>Xjkjpjk\d$Ki\`$
^iX]`jZ_\eFY\i]c€Z_\B;<% Y\i]lebk`fej]€_`^\e:fdgfj`k\$<]]\bk\e`e\`e\im`ikl\cc\eDXjZ_`e\%

Das rudimentäre KDE-Basissystem lässt Das erreicht man mit der Anweisung: ner Art Back-to-the-Roots-Gefühl beim
sich mit Pacman durch Installieren einer Installieren und Administrieren. Im End-
gpasswd -a Benutzer audio
Reihe von Meta-Paketen zu einem voll- resultat erhält der Admin ein äußerst
wertigen Desktop-System aufrüsten. Alle schnelles, stabiles und aktuelles System,
Meta-Pakete sind am Names-Bestandteil Jpjk\dXbklXc`j`\i\ed`k das sich auf einfache und flexible Weise
„kde-meta…“ zu erkennen, wie zum Bei- GXZdXe aktualisieren lässt.
spiel »kde-meta-kdeadmin«, »kde-meta- Schnell ist zwar relativ, ein subjektiver
kdemultimedia« und so weiter. Wer es Der Lohn der ganzen Mühe beim Aufset- Vergleich mit RHEL oder SLES auf glei-
sich einfach machen möchte, installiert zen eines Arch Linux ist unter anderem, cher Hardware fällt aber nach mehre-
einfach ein Fullsize-KDE-System mit … dass der Admin das gesamte System pro- ren Wochen zuverlässigen Arbeitens mit
blemlos mit »pacman -Syu« aktualisieren Arch Linux auch ohne Benchmarks nicht
pacman -S kde-meta
kann. Das beherrschen andere Paketma- schwer: Arch Linux fühlt sich sowohl
… und verfügt im Handumdrehen über nager zwar auch, bei diesen hängt der beim Booten, als auch beim Installieren
einen Kingsize-KDE-Desktop. Erfolg aber stets von der Version und von und Aktualisieren von Software mit Pac-
eingebundenen Paketquellen ab (prob- man und beim Starten von Anwendun-
8CJ8$N\ibq\l^]•i[\e lematisch sind meist Testing-Repos und gen flüssiger an und erfreut mit einer
^lk\eKfe Backports). Arch Linux dagegen wird im beeindruckenden Stabilität.
Rolling-Release-Verfahren veröffentlicht, Da das Entwickler-Team Paketquellen,
Der KDE-Desktop sollte jetzt zwar funk- sodass ein komplettes Upgrade nahezu Snapshots neuer Versionen und das Wiki
tionieren, spielt aber noch keine Sounds monatlich möglich ist und stets funkti- seit mehr als zehn Jahren zuverlässig
ab. Zwar sprengt das Inbetriebnehmen oniert. Damit ist das System immer auf pflegt, bietet sich Arch Linux als zeitge-
verschiedener Hardware-Komponenten einem aktuellen, stabilen Stand, was sich mäße Alternative zu Red Hat & Co für all
den Rahmen des Beitrags, die Ausgabe auch beim Nachinstallieren einzelner Pa- jene Admins an, die einen Linux-Server
von Ton gehört allerdings zu den ele- kete zeigt. einmal von Grund auf neu aufsetzen
mentaren Funktionen einer Desktop- Das Aktualisieren sämtlicher installierter möchten und bei dieser Gelegenheit auf
Oberfläche. Pakete funktioniert genauso einfach mit kommerziellen Support verzichten kön-
Die Advanced Linux Sound Architecture »pacman -Su«. Dabei arbeitet Pacman nen. (jcb) ■
(ALSA) ist eine Komponente des Linux- spürbar schneller, als man es etwa von
Kernels und unter anderem für das Be- Yum (Red Hat) oder Zypper (Suse) ge-
reitstellen von Soundtreibern verantwort- wohnt ist, lässt sich flexibel steuern und ;\i8lkfi
lich. überzeugt etwa im Vergleich zu Apt mit K_fdXj ;i`cc`e^ `jk j\`k q\_e AX_i\e _XlgkY\$
Mit Installieren des Paketes »alsa-utils« einer eingängigen Syntax und einer über- il]c`Z_ Xcj ]i\`\i AflieXc`jk le[ I\[Xbk\li ]•i
gelangt auch das Utility »alsamixer« auf sichtlichen Ausgabe. Selbstverständlich N`jj\ejZ_X]kj$le[@K$DX^Xq`e\k€k`^%<ij\cYjk
die Festplatte, mit dessen Hilfe sich Ein- offenbart das Arch-Wiki auch sämtliche n`\XlZ_[XjK\Xdj\`e\jI\[Xbk`fejY•ifjm\i$
stellungen für den Soundchip des Main- für Pacman verfügbaren Optionen R)(T. ]Xjj\ei\^\cd€jj`^9\`ki€^\ql[\eK_\d\eFg\e
boards oder der Soundkarte vornehmen JfliZ\#C`elo#J\im\i#@K$8[d`e`jkiXk`fef[\iXlZ_
lassen. =Xq`k DXZFJO%8l\i[\dXiY\`k\kK_fdXj;i`cc`e^Xcj
Zu beachten ist, dass der KDE-Benutzer, 9lZ_Xlkfile[M\ic\^\i#Y\i€kXcj@K$:fejlckXek
der die Konfiguration nutzen soll, ein Arch Linux kombiniert einen einfachen bc\`e\le[d`kkc\i\Lek\ie\_d\ele[_€ckMfi$
Mitglied der Gruppe »audio« sein muss. Aufbau und aktuelle Technologie mit ei- ki€^\qlC`elo#Fg\eJfliZ\le[@K$J`Z_\i_\`k%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * /0


J <: L I @ K P KCJ
ŸDXi`X;ip]_flk#()*I=

staatlicher Kontrolle zu erlauben – mit


NXjmfeKCJ•Yi`^Yc\`Yk einem Drittschlüssel, der beim Geheim-

C•Zb\e_X]k\
dienst zu hinterlegen wäre.
Kurze Zeit später schob Netscape SSLv3
nach, um zumindest die schlimmsten
Sicherheitsprobleme zu beheben. Wäh-
rend SSLv2 heute nur noch historische

J`Z_\i_\`k
QX_ci\`Z_\8e^i`]]\_XY\e[`\J`Z_\i_\`kmfeJJC&KCJ$M\ijZ_c•jj\cle^\e
Bedeutung hat und von praktisch allen
modernen Browsern abgeschaltet wird,
ist der Nachfolger nach wie vor im Ein-
satz, man findet heute noch Webserver,
die ausschließlich SSLv3 unterstützen.
Erst danach wurde aus SSL ein Standard.
`e[\ec\kqk\eAX_i\e\ijZ_•kk\ik%8Y_`c]\jZ_X]]\en•i[\ee\l\i\JkXe$ Damit einher ging die Umbenennung in
[Xi[j#[fZ_[`\j`e[bXldm\iYi\`k\k%?Xeef9Zb TLS (Transport Layer Security), die für
viel Verwirrung sorgt. Im RFC 2246 veröf-
Das TLS-Protokoll (früher SSL) ist die noch in seinen Kinderschuhen steckte, fentlichte die Standardisierungsorganisa-
Grundlage der sicheren Kommunikation veröffentlichte der damalige Browser-Mo- tion IETF 1999 das Protokoll TLS Version
im Internet. Jede Webseite, die über https nopolist das Verschlüsselungsprotokoll 1.0 (im folgenden TLSv1.0).
aufgerufen wird, verwendet im Hinter- SSL Version 2.0 (im folgenden SSLv2). Dieses inzwischen vierzehn Jahre alte
grund TLS. Doch TLS ist in die Jahre Eine Version 1 existierte nur intern bei Protokoll ist nach wie vor die Grundlage
gekommen. Viele Designentscheidungen Netscape. der Mehrzahl der verschlüsselten Kom-
erwiesen sich nach umfangreichen Ana- In SSLv2 wurden schon nach kurzer Zeit munikationsverbindungen. Bereits kurze
lysen als ungünstig und es fanden sich zahlreiche Sicherheitslücken entdeckt. Zeit später wurde bekannt, dass die Art
immer wieder Wege, die Sicherheit des SSLv2 unterstützte viele Verschlüsse- und Weise, wie der Verschlüsselungsmo-
Protokolls in Frage zu stellen. Die Reakti- lungsalgorithmen, die schon zur damali- dus CBC in TLSv1.0 eingesetzt wurde,
onen darauf sind bislang meist Flickwerk. gen Zeit als unsicher gelten mussten, da- fehleranfällig war. Doch die Probleme
Kleine Änderungen am Protokoll konnten runter etwa der Data Encryption Standard blieben lange theoretischer Natur.
bislang alle Angriffe unterbinden, aber (DES) in seiner ursprünglichen Form mit Im Jahr 2006 folgte dann TLSv1.1, das
das Problem ist ein Grundsätzliches. einer Schlüssellänge von nur 56 Bit. die gröbsten Schwächen von CBC aus-
Der Hintergrund für diese Entscheidung: bügeln sollte. Zwei Jahre später trat
;`\bliq\>\jZ_`Z_k\mfeJJC In den 90ern war die heiße Phase der dann TLSv1.2 auf den Plan, das mit
sogenannten Crypto Wars. In den USA einigen Traditionen von TLS brach. Doch
SSL (Secure Socket Layer) wurde ur- waren starke Verschlüsselungstechniken TLSv1.1 und TLSv1.2 fristen bis heute
sprünglich von der Firma Netscape ent- verboten. Zahlreiche Staaten diskutier- ein Nischendasein. Unterstützung für
wickelt. 1995, als das World Wide Web ten, starke Verschlüsselung nur unter beide Protokolle ist auch Jahre später

0) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


KCJ J <: L I @ K P

kaum vorhanden – und die einst nur als (AES) eingesetzt. Dieser Algorithmus Ein Angreifer kann durch Einschleusen
theoretisch geltenden Schwächen feiern wurde von der US-Standardisierungsbe- eines fehlerhaften Datenblocks anhand
inzwischen ein Comeback. hörde NIST nach einem Wettbewerb un- der zurückgegebenen Fehlermeldung he-
ter Kryptografen 2001 veröffentlicht. rausfinden, ob das sogenannte Padding,
9cfZbZ_`]]i\e# Da eine Blockchiffre immer jeweils nur also das Auffüllen von fehlenden Bytes
JkifdZ_`]]i\e einen Block einer festen Länge verschlüs- in einem Block, einen Fehler verursacht
selt, kann sie nicht direkt auf einen Da- oder die Überprüfung des HMAC-Hashes.
Bei der Kommunikation über eine TLS- tenstrom angewandt werden. Hierfür gibt Denn TLS verschickte in diesen Fällen
Verbindung kommen grundsätzlich Hy- es verschiedene Modi. Im einfachsten Fall in früheren Versionen unterschiedliche
bridlösungen zwischen einem Public- verschlüsselt man schlicht einen Block Fehlermeldungen.
Key-Verfahren und einem symmetrischen nach dem anderen. Doch dieser soge- Durch das Senden einer großen Zahl feh-
Verschlüsselungsverfahren zum Einsatz. nannte Electronic Codebook Mode (ECB) lerhafter Datenblöcke konnte ein Angrei-
Zunächst verständigen sich Server und ist aus Sicherheitserwägungen wenig fer Details über den verwendeten Schlüs-
Client über eine in der Regel mit RSA ab- empfehlenswert. sel herausfinden. Diese Form des Angriffs
gesicherte Verbindung auf einen symme- erhielt den Namen „Padding Oracle“.
trischen Schlüssel. Dieser wird anschlie- Jf]lebk`fe`\i\e[\i:9: Später änderte man das System so, dass
ßend zur verschlüsselten und authentifi- ein Angreifer immer dieselbe Fehler-
zierten Kommunikation eingesetzt.
le[?D8: meldung erhält. Doch dabei ergab sich
Während der initiale Verbindungsauf- Der gängigste und auch heute meist noch das nächste Problem: Die Antwortzeit
bau fast immer mit einem RSA-Schlüssel eingesetzte Modus ist der sogenannte ermöglichte dem Angreifer trotzdem he-
vonstattengeht, gibt es bei der anschlie- Cipher-Block-Chaining-Modus (CBC). rauszufinden, ob die Überprüfung des
ßenden Kommunikation einen wahren Dabei wird zunächst der sogenannte Ini- Datenblocks beim Padding oder beim
Zoo an Kombinationen von Algorithmen. tialisierungsvektor (IV) als Zufallswert HMAC-Hash fehlschlug.
Zusätzlich zur Verwirrung trägt bei, dass generiert und mit dem ersten Datenblock Auf diesen Methoden basieren die in
deren Bezeichnung keinem einheitlichen in einer Bit-weisen XOR-Operation ver- jüngster Zeit bekannt gewordenen An-
Schema folgt. Ein möglicher Algorithmus knüpft. Das Ergebnis wird verschlüsselt. griffe BEAST und Lucky Thirteen. De-
wäre etwa ECDHE-RSA-RC4-SHA. Das be- Der nächste Datenblock wird dann mit tailveränderungen in den Protokollim-
deutet: Ein initialer Verbindungsaufbau dem verschlüsselten ersten Block eben- plementierungen unterbanden diese
über RSA, anschließend ein Schlüsselaus- falls XOR-verknüpft (das Schema ist in vorläufig. Doch das gestaltete sich alles
tausch über das Diffie-Hellman-Verfahren 8YY`c[le^( dargestellt). andere als einfach. So zeigte sich zum
mit elliptischen Kurven, die Datenver- Die Verschlüsselung einer Übertragung Beispiel, dass eine der Änderungen, die
schlüsselung erfolgt über RC4 und die mit CBC garantiert allerdings nur, dass eingeführt wurde, um die BEAST-Attacke
Datenauthentifizierung über SHA1. die Daten von einem Angreifer nicht mit- zu verhindern, anschließend eine Form
Grundsätzlich zu unterscheiden ist bei gelesen werden können. Die Echtheit der der Lucky-Thirteen-Attacke gerade erst
der Verschlüsselung zwischen sogenann- Daten garantiert sie nicht. Daher wird bei ermöglichte.
ten Blockchiffren und Stromchiffren. Eine einer TLS-Verbindung vor der Verschlüs-
Blockchiffre verschlüsselt zunächst im- selung mit CBC das sogenannte HMAC- 8lk_\ek`]`q`\ile^le[
mer nur einen Block einer festen Länge, Verfahren angewandt. Hier wird aus der
etwa 256 Bit. Eine Stromchiffre kann di- Nachricht und dem Schlüssel ein Hash
M\ijZ_c•jj\cle^
rekt auf einen Datenstrom, wie er bei ei- gebildet und übertragen. Modernere Blockverschlüsselungsmodi
ner Datenverbindung anfällt, angewendet Die Kombination HMAC und CBC erwies kombinieren Authentifizierung und Ver-
werden. sich als erstaunlich wackelig. Vor allem schlüsselung in einem Schritt. Ein der-
Die deutlich gängigeren Verfahren sind die Entscheidung, zuerst HMAC und artiger Modus ist etwa der sogenannte
Blockchiffren. Hierbei wird heute in aller anschließend CBC anzuwenden, stellte Galois-/Counter-Mode (Abkürzung GCM,
Regel der Advanced Encryption Standard sich als Fehlgriff heraus. Das Problem: dargestellt in 8YY`c[le^ )). Dieser gilt
zwar als relativ kompliziert, aber im Ge-
gensatz zu anderen Verfahren ist GCM
frei von Patentansprüchen und weist
bislang keine bekannten Sicherheitspro-
bleme auf.
AES mit dem GCM-Verfahren wird von
TLS in der Version 1.2 unterstützt. In al-
len früheren TLS-Versionen setzen sämt-
liche Blockverschlüsselungen auf CBC.
Von den Autoren der BEAST-Attacke ist
noch ein weiterer Angriff auf TLS ver-
8YY`c[le^(1;Xj:9:$JZ_\dX`jki\cXk`mj`dg\cXl]^\YXlk% öffentlicht worden. Bei der sogenannten

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * 0*


J <: L I @ K P KCJ

CRIME-Attacke handelt es ist generell wünschenswert


sich ebenfalls um ein Timing- und das gängigste Verfahren
Problem. Hier machen sich hierfür ist ein Diffie-Hellman-
die Autoren eine Schwäche Schlüsselaustausch.
in der Kompressionsroutine Ärgerlich: TLS bietet diesen
von TLS zunutze. Anhand zwar an, aber der Apache-
der Antwortzeit eines Servers Webserver ermöglicht es
konnten sie Rückschlüsse auf nicht, die Parameterlänge für
den Inhalt eines Datenblocks den Schlüsselaustausch zu
ziehen. definieren. Als Standard ist
Die TLS-Datenkompression eine Länge von 1024 Bit vor-
wird nur selten eingesetzt, da gegeben. Eigentlich zu wenig:
viele Browser sie nicht unter- Bei Verfahren, die wie Diffie-
stützen. Für Serveradminis- Hellman auf dem diskreten
tratoren ist es das Beste, diese Logarithmus-Problem basie-
einfach auszuschalten. ren, sollten Schlüssellängen
Neben den Blockchiffren bie- von 1024 Bit vermieden und
ten ältere TLS-Versionen auch mindestens 2048 Bit einge-
Unterstützung für die Strom- setzt werden.
verschlüsselung RC4. Das Ver- Alternativ bietet TLS noch ei-
fahren wurde von Ron Rivest 8YY`c[le^)18lk_\ek`]`q`\ile^le[M\ijZ_c•jj\cle^`e\`e\dÆ[\i nen Schlüsselaustausch über
entwickelt und war ursprüng- >Xcf`j$&:flek\i$Df[\% Diffie-Hellman in elliptischen
lich nicht zur Veröffentlichung Kurven. Bei dieser Methode
vorgesehen. Doch 1994 tauchte ein Quell- fen Dan Bernstein einen Angriff auf RC4 gelten schon deutlich kürzere Schlüssel-
code der RC4-Verschlüsselung in einer und TLS R+T. längen als sicher.
Newsgroup auf. Seitdem erfreut es sich Bei der Stromverschlüsselung von RC4
großer Beliebtheit, weil es relativ simpel tauchen bestimmte Bits an manchen Stel- NXj`jkXe^\j`Z_kj[\i
und sehr schnell ist. len nicht nur zufällig auf, sondern mit
JZ_nXZ_jk\cc\eqlkle6
Der Einsatz von RC4 ist auch in TLS erhöhter Häufigkeit. Durch statistische
möglich und ist bei älteren Versionen des Analysen lassen sich so Rückschlüsse Zu betonen ist, dass die Wahrschein-
Standards die einzige Möglichkeit, wenn auf den Inhalt ziehen. Ein mögliches An- lichkeit, dass die vorgestellten Attacken
man die Nutzung von CBC vermeiden griffsziel könnte etwa ein Cookie in einer zu Problemen in realen Anwendungen
möchte. Viele Experten empfahlen daher Webanwendung sein. führen, gering ist. Doch die Autoren des
bis vor kurzem, bei TLS-Verbindungen Anders als die Schwächen in CBC gibt es Lucky-Thirteen-Angriffs sagen explizit,
ausschließlich auf RC4 zu setzen. Große vermutlich keine einfache Möglichkeit, dass sie mit weiteren Überraschungen
Webseiten wie Google setzten auf RC4 die Probleme von RC4 im Rahmen von bei CBC rechnen. Auch die Autoren der
als primären Algorithmus und der Kre- TLS zu beheben, ohne mit dem Standard Attacke auf RC4 gehen davon aus, dass
ditkartenstandard PCI-DSS forderte von zu brechen. Die Empfehlung, aufgrund es verbesserte Angriffsmethoden geben
Serveradministratoren, alle CBC-Algorith- der Schwächen von CBC stattdessen wird.
men abzuschalten und nur Verbindun- auf RC4 zu setzen, ist also keine Option Langfristig wünschenswert wäre es daher
gen über RC4 anzunehmen. Ein Fehler, mehr. vermutlich, CBC komplett zu verbannen.
wie sich nun herausstellte. Auf der Fast- Der wahre Zoo an Verschlüsselungs-
Software-Encryption-Konferenz im März G\i]\Zk=finXi[J\Zi\Zp modi, die von TLS unterstützt werden,
präsentierte ein Team um den Kryptogra- schrumpft damit drastisch zusammen.
Eine Möglichkeit, die manche der TLS- In TLSv1.1 und allen früheren Versionen
C`jk`e^(1Bfe]`^liXk`fejY\`jg`\c Algorithmen bieten, ist ein sogenannter nutzten sämtliche Blockchiffreverfahren
01 Protocol -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 +TLSv1.2 Schlüsselaustausch. Dabei wird gewähr- CBC. Alle Verfahren, die 3DES, IDEA oder
02 SSLHonorCipherOrder on
leistet, dass der eigentliche Schlüssel CAMELLIA einsetzen, fallen damit weg.
03 SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AE
für die Datenübertragung nie über die Aus Gründen der Abwärtskompatibilität
S256-GCM-SHA384
Leitung übertragen wird. Nach der Da- ist es heute in der Regel ausgeschlossen,
04 SSLCompression off
tenübertragung wird dieser temporäre nur auf TLSv1.2 zu setzen (siehe 8YY`c$
Schlüssel vernichtet. Der Vorteil: Selbst [le^*). Übrig bleibt lediglich die eben-
C`jk`e^)1GiXo`j^\i\Z_k\<`ejk\ccle^ wenn ein Angreifer die Verbindung be- falls problematische Stromchiffre RC4.
01 Protocol -SSLv2 -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 lauscht und später in den Besitz des pri- In TLSv1.2 wird nur noch die AES-Ver-
02 SSLCipherSuite HIGH:!MEDIUM:!LOW:!aNULL@STRENGTH
vaten Schlüssels gelangt, kann er den schlüsselung unterstützt – und zwar so-
03
Inhalt nicht entschlüsseln. Diese Eigen- wohl im (problematischen) CBC-Modus
04 SSLCompression off
schaft heißt Perfect Forward Secrecy. Sie als auch im moderneren GCM (Galois-/

0+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


KCJ J <: L I @ K P

Counter-Mode). Diese werden ebenfalls eine Aktivierung der alten SSL-Versionen Probleme gefährdet. Cross-Site-Scripting-
mit und ohne Perfect Forward Secrecy sollte daher nicht mehr notwendig sein. Lücken oder SQL-Injection-Angriffe zum
angeboten. Einschränkend muss noch gesagt wer- Beispiel, die mit der Kryptografie nichts
Im Optimalfall schaltet man alles außer den, dass die Algorithmen, die einen zu tun haben, sind die weit größere Be-
den GCM-Algorithmen ab. Das funktio- Schlüsselaustausch mit elliptischen Kur- drohung und können auch durch die
niert aber nur bei Anwendungen, bei de- ven durchführen (durch ECDHE abge- beste Verschlüsselung nicht verhindert
nen man Kontrolle über sämtliche Clients kürzt), erst seit Apache in der Version werden.
hat und weiß, dass sie TLSv1.2 unter- 2.4 unterstützt werden. Die wird bislang Trotzdem sollte man die Sache nicht auf
stützen. Der pragmatische Kompromiss: aber nur von wenigen Distributionen die leichte Schulter nehmen. Dass das
Vorläufig weiter auf die CBC-basierten ausgeliefert. Doch die angegebenen Op- mit Abstand wichtigste Kryptografiepro-
Verfahren setzen und dafür sorgen, dass tionen funktionieren trotzdem, die nicht tokoll der heutigen Zeit so lückenhaft
die verwendete SSL-Bibliothek – in den unterstützten Algorithmen werden dann daherkommt, ist zweifellos nicht gut.
meisten Fällen OpenSSL – nur in der einfach ignoriert. Und verbesserte Angriffsmethoden sind
aktuellen Version mit allen Sicherheits- Wer das Diffie-Hellman-Verfahren mit sehr wahrscheinlich lediglich eine Frage
Updates eingesetzt wird. 1024 Bit vermeiden will, kann entwe- der Zeit.
der einen experimentellen Patch aus Die Lösung der meisten der hier ange-
NXjY\[\lk\k[Xj]•i[`\ dem Apache-Bugtracker nutzen R,T oder sprochenen Probleme liegt längst vor:
8gXZ_\$Bfe]`^liXk`fe6 das Verfahren DHE-RSA-AES256-GCM- In einem fünf Jahre alten Standard mit
SHA384 aus der Konfiguration streichen dem Namen TLS Version 1.2, den kei-
Im Apache-Webserver können wir die un- und nur den Schlüsselaustausch über el- ner benutzt. Die Probleme, die TLS zu
terstützten TLS-Modi über die Optionen liptische Kurven anbieten. schaffen machen, sind lange bekannt.
SSLProtocol und SSLCipherSuite einstel- Die Abschaltung der verwundbaren Kom- Hier zeigt sich eine der Schwierigkeiten
len. Eine Konfiguration, die nur mit TLS pression ist in älteren Apache-Versionen der Entwicklung von sicheren Netztech-
1.2 arbeitet und nur GCM-Algorithmen nicht möglich. Sie wurde erst für die nologien: Solange es keine praktischen
mit Perfect Forward Secrecy aktiviert, ist 2.2er-Serie in Version 2.2.24 eingeführt. Angriffe gibt, sehen viele Programmierer
in C`jk`e^ ( dargestellt. Die problemati- Damit die GCM-Algorithmen von TLS und Systemadministratoren keinen An-
sche Kompression wird deaktiviert. 1.2 funktionieren, wird eine OpenSSL- lass, auf neuere Standards umzusatteln
Eine im praktischen Betrieb eher realis- Version größer als 1.0.1 benötigt. Diese und ihre Systeme zu aktualisieren. Sie
tische Einstellung ist in C`jk`e^) zu se- ist inzwischen bei den meisten Linux- warten lieber ab, bis man ihnen mit Brief
hen. Alle Algorithmen mittlerer und nied- Distributionen vorhanden. und Siegel einen Angriff vorführt und
riger Stärke werden abgeschaltet, ebenso Anschließend kann man die Seitenkon- ihre Systeme auch praktisch verwundbar
Algorithmen, die keine Authentifizierung figuration mit dem SSL-Test der Firma sind. Vernünftig ist das nicht – aber leider
anbieten. Außerdem wird auch hier die Qualys überprüfen. Der gibt zahlreiche weit verbreitet. (jcb) ■
inzwischen recht alte SSL-Version 3 de- Hinweise, falls etwas mit der Konfigu-
aktiviert. TLS Version 1.0 wird schon seit ration nicht stimmt und vergibt Punkte
langem von allen Browsern unterstützt, für die Sicherheit der Konfigurationsein- @e]fj
stellungen R-T. Zu warnen ist allerdings R(T 9 <8JK$8kkXZb\1R_kkg1&&me_XZb\i%Ycf^jgfk%
vor den dort vergebenen Empfehlungen [\&)'((&'0&Y\Xjk%_kdcT
bezüglich der BEAST-Attacke. Denn der R)T C lZbp$K_`ik\\\e$8kkXZb\1
Online-Test empfiehlt zumindest zu Re- R_kkg1&&nnn%`j^%i_lc%XZ%lb&kcjT
daktionsschluss hierfür noch die Bevor- R*T : I@D<$8kkXZb\1R_kkgj1&&\e%n`b`g\[`X%fi^&
zugung der RC4-Algorithmen. n`b`&:I@D<Vj\Zli`kpV\ogcf`k T
R+TI:+$8kkXZb\1
Lek\idJki`Z_ R_kkg1&&nnn%`j^%i_lc%XZ%lb&kcjT
R,T 8gXZ_\$GXkZ_]•ic€e^\i\;`]]`\$?\ccdXe$
TLS ist in die Jahre gekommen. Die Tech- GXiXd\k\i1R_kkgj1&&`jjl\j%XgXZ_\%fi^&
nik, die gegenwärtig in Browsern und Yl^q`ccX&j_fnVYl^%Z^`6`[4+0,,0T
Webservern zum Einsatz kommt, würde R-T J JC$K\jkmfeHlXcpj1R_kkgj1&&nnn%jjccXYj%
so heute niemand mehr entwickeln. Die Zfd&jjck\jk&T
Attacken der jüngsten Zeit werfen darauf
ein Schlaglicht. In der Praxis muss man ;\i8lkfi
sich dennoch nicht allzu viele Sorgen ?Xeef9Zb`jk]i\`\iAflieXc`jkle[\_i\eXdk$
machen. Die Angriffe sind kompliziert c`Z_\i <ekn`Zbc\i Y\` >\ekff C`elo% E\Y\e_\i
und nur im Zusammenspiel mit Umstän- XiY\`k\k \i Y\`d N\Y_fjk`e^$Lek\ie\_d\e
8YY`c[le^*1^ff^c\%[\•Y\i_kkgjÆ[`\M\iY`e[le^ den möglich, die nur selten eintreffen. jZ_fbfb\bj%fi^ d`k# n\cZ_\j ]•i [\e 9\ki`\Y
elkqkI:+d`kKCJm(%(#KCJm(%)lek\ijk•kqk:_ifd\ Die Sicherheit von Webanwendungen ist j\`e\i;`\ejk\XljjZ_c`\c`Z_Xl]]i\`\Jf]knXi\
efZ_e`Z_k% nach wie vor meist durch weit banalere j\kqk%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * 0,


J <: L I @ K P GXjjnfik$DXeX^\d\ek
ŸJfdZ_X`JlggXc\ikgfie#()*I=

8e]fi[\ile^\eXe\`eq\ekiXc`j`\ik\jGXjjnfik$DXeX^\d\ek

>lk^\j`Z_\ik6
@dd\in`\[\ibfddk\jmfi#[Xjj`d8ljeX_d\]Xcc\`e8[d`eQl^Xe^ql\`e\dJpjk\dY\bfdd\edljj#[Xj\i
jfejke`Z_kY\ki\lk%N`ccdXe[\j_XcY[`\GXjjnfikm\inXckle^\`e\iq\ekiXc\eJf]knXi\•Y\ikiX^\e#jk\cckj`Z_
[`\=iX^\1NXjdljj[`\bee\e6=\c`omfe<p\#Nfc]^Xe^?fdd\c

Das Eintippen von Login-Name und Eintreten eines Notfalls einem dazu Be- rund 130 000 Hochschulmitarbeiter und
Passwort stellt in IT-Umgebungen mit rechtigten ausgehändigt werden. Solche Studierende zur Verfügung und betreibt
normalem Schutzbedarf seit langer Zeit herkömmlichen Lösungen skalieren al- das Münchner Wissenschaftsnetz, in
die häufigste Form der Authentifizierung lerdings nur unzureichend: Anders als dem jeden Tag rund 110 000 Endgeräte
dar. Auch Alternativen wie Token, Smart- früher müssen in größeren Organisatio- laufen.
cards, elektronische Ausweise und ver- nen und Rechenzentren nicht mehr nur Um die Masse an Passwörtern für die
schiedenste Varianten der Biometrie ha- einige Handvoll, sondern Dutzende oder am LRZ betriebenen Server und Dienste
ben daran nichts geändert. An Passwör- Hunderte von Passwörtern hinterlegt zu verwalten, wurde der kommerzielle
tern führt fast kein Weg vorbei: Geringe werden. Passwortrichtlinien sehen etwa Passwort-Manager Password Safe Enter-
Implementierungskosten, ausreichend auf Basis des Standards ISO/IEC 27001 prise Edition (PSE) der deutschen Firma
hohe Nutzerakzeptanz und die relative nicht nur regelmäßige Passwortänderun- Mateso R(T eingeführt. Dabei stellte sich
Seltenheit signifikanter Sicherheitsvor- gen vor, sondern erfordern diese auch heraus, dass PSE viele Anforderungen
fälle legen nahe, dass Passwörter auch in beispielsweise bei Personalfluktuation. durchaus elegant erfüllt, aber auch noch
Zukunft kaum aussterben werden. Das Pflegen hinterlegter Passwortzettel einige Schwächen aufweist, die hoffent-
Das sogenannte Notfall-Passwort-Ma- entwickelt sich dadurch von der subjek- lich in zukünftigen Versionen behoben
nagement deckt Situationen ab, in denen tiv lästigen Pflichtübung hin zum ob- werden.
am Dienstbetrieb nicht direkt beteiligte jektiven Zeitfresser. Die Umstellung des
Dritte in Ausnahmesituationen Zugriff Notfall-Passwort-Managements auf eine NXildq\ekiXc\j
auf Systeme erhalten sollen, um größe- zentrale, serverbasierte Softwarelösung,
GXjjnfik$DXeX^\d\ek6
ren Schaden abzuwenden. Beispielsweise die von jedem Arbeitsplatz aus genutzt
kann es ein Ziel sein, dass ein rund um werden kann, birgt viele Chancen, aber Während so mancher reguläre Anwender
die Uhr besetztes Security-Team Zugriff auch viele (Sicherheits-)Risiken und will recht sorglos mit Passwörtern umgeht –
auf kompromittierte Server erhält, auch aufgrund ihrer Tragweite gut überlegt man denke an den berüchtigten gelben
wenn der zuständige Systemadministra- sein. Klebezettel am Monitor – kümmern sich
tor gerade nicht erreichbar sein sollte. Dieser Beitrag untersucht die Chancen die meisten Administratoren bewusst um
und Risiken und leitet konkrete Auswahl- die Geheimhaltung. Am liebsten würden
@dEfk]Xcc kriterien für Produkte ab. Die Umsetzung viele Administratoren Passwörter über-
in der Praxis wird beispielhaft anhand haupt nicht mit anderen teilen und aus-
Zu den klassischen Lösungsansätzen für des Leibniz-Rechenzentrums (LRZ) schließlich offline verwalten, etwa per
dieses Problem gehören auf Zetteln no- diskutiert. Das LRZ ist der zentrale IT- Passwortliste auf einem Zettel, der in der
tierte Passwörter in versiegelten Kuverts, Dienstleister der Münchner Universitäten Brieftasche mitgeführt oder in persönli-
die in einem Tresor deponiert und beim und Hochschulen; es stellt Dienste für ches Büromobiliar eingeschlossen wird.

0- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


GXjjnfik$DXeX^\d\ek J <: L I @ K P

Mit einigem Aufwand lässt sich sowohl fen, ob und mit welcher Verzögerung der kopiert und diese unkontrolliert wei-
die Anzahl zu verwaltender Passwörter zuständige Administrator benachrichtigt terverwendet. Das bedeutet aber auch,
minimieren als auch das Erfordernis ein- wird, dass auf sein hinterlegtes Passwort dass man den Administratoren des zen-
schränken, Passwörter weiterzugeben. zugegriffen wurde. Zudem ist ein Zugriff tralen Passwort-Management-Services
Beispielsweise ersetzen SSH-Keypairs auf den Tresorinhalt nur möglich, wenn vertrauen können muss und dass die
die Passwörter zur Authentifizierung eine schließberechtigte Person anwesend Funktionsfähigkeit dieses Dienstes auch
beim Remote Login auf Linux-Servern; ist, was die Problematik der nicht ständig unter widrigen Umständen aufrechtzu-
personengebundene, nicht administra- verfügbaren Administratoren letztlich nur erhalten ist. Bei einer näheren Betrach-
tive Kennungen machen in Kombination verlagert. Spätestens, wenn die Passwör- tung entsprechender Software-Produkte
mit der Nutzung von sudo unter Linux ter regelmäßig geändert werden müssen, fällt auf, dass sich gerade mit Blick auf
beziehungweise UAC unter Windows mutiert der Tresor zur Papierablage, die mögliche High-Availability-/Redundanz-
die gemeinsame Kenntnis des root- oder vielfältigen Verwaltungsaufwand mit sich Konzepte die Spreu vom Weizen trennt.
Administrator-Passworts überflüssig. bringt. Beim hier exemplarisch betrachteten PSE
Das Problem, Notfallpasswörter hinterle- ist es beispielsweise möglich, eine Daten-
gen zu müssen, bleibt dennoch bestehen, Jf]knXi\$Cjle^`dMfik\`c bank mit allen enthaltenen Passwörtern
da jede Organisation daran interessiert automatisiert auf einen zweiten Server
ist, dass die Server weiterhin adminis- Demgegenüber bringt eine zentrale zu spiegeln.
trierbar bleiben, auch wenn der oder die software-basierte Lösung auf den ersten
üblichen Administratoren für längere Zeit Blick eine Reihe von Vorteilen: Auf die 8Z_n`\^lk#[Xjje`\dXe[
nicht verfügbar sind. Hinzu kommt die hinterlegten Passwörter kann von den
n\`¿
Notwendigkeit des Passwort-Sharings für dazu Berechtigten jederzeit und ohne
Dienste, die kein Rollenberechtigungsmo- Medienbruch zugegriffen werden; per Da nicht alle Passwörter von allen Nut-
dell mit mehreren Administratoren un- Logging und Reporting lässt sich mühelos zern der Software eingesehen werden
terstützen. nachvollziehen, wer sich wann welche sollen, ist es nötig, ein angemessen fein
Viele Administratoren können sich in- Passwörter verschafft hat und auch das granuliertes Berechtigungskonzept einzu-
zwischen mit persönlichen Passwort- Ändern eines hinterlegten Passworts lässt führen. Viele Software-Lösungen, so auch
Management-Tools wie KeyPass R)T oder sich einfacher erledigen als mit Zettel, PSE, bieten im Wesentlichen die Berech-
KeePassX R*T anfreunden: Alle ihre Pass- Kuvert und zentralem Tresor. tigungsstufen „Lesen“ und „Schreiben“,
wörter werden mit einem persönlichen Gerade diese vermeintliche Leichtigkeit, wobei das Setzen von beiden Berechti-
Master-Passwort verschlüsselt in einer mit der ein Software-Tresor seinen In- gungen einem Vollzugriff gleichkommt.
Datei abgelegt, sodass niemand anderes halt zugänglich macht, schürt aber die Oftmals gibt es noch andere Berechti-
Zugriff erhält. Dadurch wird der Medien- Bedenken der Administratoren, die ihn gungen, die beispielsweise das Drucken,
bruch, der durch das Notieren auf Papier verwenden sollen: Was passiert, wenn Löschen oder Exportieren von Einträgen
entsteht, vermieden, sodass Passwörter jemand aufgrund einer Sicherheitslücke mittels dedizierter Client-Software regeln,
bequem per Copy&Paste eingegeben wer- in der Tresor-Software ganz einfach alle und die Berechtigung zum Vergeben von
den können; von vielen Tools wird auch Passwörter abziehen kann? Führt ein ein- Berechtigungen, wie in 8YY`c[le^ ( zu
das direkte Starten einer SSH- oder RDP- ziges ausgespähtes Passwort eines Admi- sehen. Eine typischerweise gewünschte
Verbindung mit automatischer Passwort- nistrators nicht dazu, dass der Angreifer Berechtigungsstufe fehlt jedoch häufig:
eingabe unterstützt, der Ablauf ist also die komplette Datenbank leerräumen „Lesen mit Alarmierung“. Sie muss je
ähnlich wie das Speichern von Passwör- kann? Solche neuen Risiken sind bei der
tern im Webbrowser. Einführung eines zentralen Passwort-
Management-Tools in jedem Fall zu be-
MfiY\_Xck\^\^\eQ\ekiXc\ rücksichtigen. Selbstverständlich sind
sie auch den Herstellern entsprechender
Gegenüber einem zentralen Hinterlegen Software bekannt, sodass sie bei orga-
von Passwörtern in einer organisations- nisationsweiten zentralen Lösungen be-
weiten Datenbank herrscht jedoch häufig dacht werden konnten.
große – und sicher nicht ganz unberech- Aus dem Wunsch, zuverlässig darüber
tigte – Skepsis. Offline-Varianten wie der informiert zu werden, wenn sich jemand
Passwortzettel im verschlossenen Kuvert Zugriff zu einem Passwort verschafft hat,
im Tresor werden dabei noch oft gut ak- folgt, dass das Passwort-Management
zeptiert. In der Praxis hat die Tresorlösung Client-Server-basiert angelegt sein sollte:
jedoch viele Nachteile: Beispielsweise ist Die Passwort-Management-Software
nicht ohne Weiteres nachvollziehbar, wer muss eine vertrauenswürdige Zwischen-
Einblick in welches Passwort hatte oder schicht darstellen, die nicht umgangen
ob gegebenenfalls komplette Passwort- werden kann, indem sich jemand zum 8YY`c[le^(1;`\M\inXckle^mfe9\i\Z_k`^le^j$
listen kopiert wurden. Weiter bleibt of- Beispiel die gesamte Passwortdatenbank jkl]\e`dGJ<$Jpjk\d%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * 0.


J <: L I @ K P GXjjnfik$DXeX^\d\ek

nach Produkt und dahinter stehender deutet, dass man eine Benachrichtigung
Nutzungsphilosophie anderweitig imple- nur dann angezeigt bekommt, wenn man
mentiert werden. das Programm als Passwortverantwort-
Diese Berechtigungsstufe ist für ein Not- licher gerade benutzt. Im Allgemeinen
fall-Passwort-Management von entschei- wird jedoch die Software erst bei Bedarf
dender Bedeutung. Diejenigen Benutzer, gestartet und somit ist eine zeitnahe Be-
die einen Zugriff auf die Passwörter im nachrichtigung an die Verantwortlichen
Notfall benötigen, sind im alltäglichen nicht sichergestellt.
Betrieb nicht dazu berechtigt. Daher 8YY`c[le^)1Jf]lebk`fe`\ik[\iJ`\^\cjZ_lkq\`e\j Es ist zwar möglich, sich alle innerhalb
würde man ihnen mit der Berechtigungs- GXjjnfik\`ekiX^j`eGJ<% von PSE verschickten Nachrichten an ge-
stufe „Lesen“ zu viele Berechtigungen nau eine fest vorgegebene E-Mail-Adresse
einräumen, was dem Grundsatz wider- vorhanden, so müsste bei jeder Passwort- weiterleiten zu lassen, jedoch ist es im
spricht, dass man den Benutzern nur die änderung erst das Siegel gebrochen wer- Allgemeinen eher erwünscht, dass die
minimal notwenigen Rechte zuweist. Die den, um das Passwort ändern zu können, E-Mails an die für den jeweiligen Pass-
Berechtigung „Lesen mit Alarmierung“ nur um anschließend das Siegel mit all worteintrag zuständigen Administratoren
würde die Berechtigungen soweit ein- seinen Berechtigungsstufen wieder zu gehen. Dazu lässt sich das in C`jk`e^ (
schränken, dass zwar ein lesender Zu- aktivieren. vorgestellte Python-Skript verwen-
griff immer noch jederzeit möglich ist, Schließlich stellt sich die Frage, wie viel den, das die E-Mails von einem festen
jedoch in jedem Fall eine Benachrichti- der Funktionalitäten des Passwort-Ma- IMAP-Account liest, parst und an den
gung an die Verantwortlichen geschickt nagers auf dem Serversystem bereitge- gewünschten Empfänger weiterleitet.
wird. Um die Missbrauchsgefahr noch stellt werden soll und wie viel auf den Zusätzlich werden die abgerufenen
weiter zu minimieren, sollte es optional Endsystemen der Nutzer. Dabei gibt es E-Mails in einem speziellen Ordner ar-
auch möglich sein, für bestimmte Pass- verschiedene Ansätze, die von der Daten- chiviert. Innerhalb des Skripts wird aus-
worteinträge oder auch für bestimmte bank und der Berechtigungsprüfung auf genutzt, dass die E-Mails, die von PSE an
Benutzergruppen ein Vier-Augen-Prinzip Serverseite bis hin zu Beispielen reichen, eine feste Zieladresse versendet werden,
durchzusetzen. bei denen die gesamte Programmlogik eine vorher definierte Struktur haben und
einer Webanwendung obliegt. somit einfach geparst werden können,
@jk[XjJ`\^\cefZ_^Xeq6 Die Sicherung der Verfügbarkeit und das um die eigentlich gewünschte Empfän-
Berechtigungsmanagement sind Aufga- geradresse der E-Mail-Benachrichtigung
An der Unversehrtheit von Siegeln konnte ben, die in jedem Fall auf Serverseite zu ermitteln.
man früher erkennen, ob die Nachricht ausgeführt werden müssen. Bei einer
unterwegs geöffnet wurde und somit der Client-basierten Ausführung der restli- J`Z_\i_\`kjY\[\eb\e
Inhalt auch Unberechtigten zur Kenntnis chen Funktionalitäten ist das Verhalten
gelangte. Mit diesem Prinzip soll auch bei der Passwort-Management-Lösung ein- Viele Sicherheitsbedenken der Nutzer
einigen Passwort-Management-Systemen facher anpassbar, wohingegen sich eine beruhen auf einem subjektiven Sicher-
kenntlich gemacht werden, ob Passwörter Webanwendung mit verschiedenen Be- heitsgefühl. So ist es beispielsweise nicht
angezeigt beziehungsweise benutzt wur- triebssystemen und Endgeräten nutzen unwahrscheinlich, dass Nutzer sich da-
den. Dazu bringt man an einem beliebi- lässt. Beispiel für eine mögliche Verhal- gegen sträuben, ein verschlüsseltes und
gen Passworteintrag ein virtuelles Siegel tensanpassung ist der automatische Auf- versiegeltes Passwort in einer serverba-
an. Der Passwort-Manager registriert nun bau einer SSH- oder RDP-Verbindung, sierten Datenbank zu speichern, weil
jeden Zugriff auf das Passwort und gibt ohne dass das Passwort dem Nutzer an- dort viele potenzielle Gefahren drohen:
den Inhalt des Passworteintrages erst frei, gezeigt werden muss. Dabei ist es bei Beispielsweise eine nicht ausreichende
wenn das Siegel durch den Anfragenden Client-basierten Lösungen im Allgemei- Verschlüsselung, eine Backdoor, ein Bug
gebrochen wird, wie in 8YY`c[le^) er- nen möglich, individuelle Einstellungen im verwendeten Produkt oder ein klas-
kennbar ist. für jeden Nutzer einzurichten. sischer Cracker, der sich per Remote Ex-
In Passwort-Managern mit einem aus- ploit Zugriff zu den hinterlegten Daten
gereiften Berechtigungssystem, wie bei- 9\eXZ_i`Z_k`^le^\e verschafft.
spielsweise im PSE, ist es nun möglich, Neben diesen subjektiven Sicherheitsbe-
anzugeben, welche Benutzer berechtigt Für ein Notfall-Passwort-Management denken muss man sich jedoch durchaus
sind, das Siegel zu brechen oder auch sind Benachrichtigungen bei Zugriffen bewusst sein, dass ein zentraler Ort, an
welche Benutzer berechtigt sind, Pass- auf Passwörter eine essenzielle Anforde- dem ein Großteil der Passwörter und
worteinträge, die unter einem Siegel- rung. Passwort-Management-Lösungen, sonstigen Zugriffsberechtigungen einer
schutz stehen, trotzdem bearbeiten zu die explizit für den Mehrbenutzermodus Organisation abgelegt ist, tatsächlich ein
dürfen. Diese Eigenschaft ist eine wich- entwickelt wurden, setzen dies zuwei- attraktives Ziel für potenzielle Angreifer
tige Anforderung, wenn eine regelmä- len nicht vollständig um. So werden darstellt. Aus diesem Grund ist es wich-
ßige Passwortänderung vorgeschrieben Nachrichten über Siegelbrüche in PSE tig, im Vorfeld zu untersuchen, ob die ge-
ist. Wäre eine solche Funktionalität nicht nur programmintern versendet. Das be- wählte Software-Lösung und das System,

0/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


GXjjnfik$DXeX^\d\ek J <: L I @ K P

auf dem sie betrieben wird, den eigenen der Vergangenheit zu informieren. Aber nagement-Lösungen ein eigenes Spe-
Sicherheitsanforderungen genügt. selbst Open-Source-Lösungen sind in der zialgebiet, hinter dem nur selten große
Da es bei Closed-Source-Lösungen nicht Regel nicht frei von Schwachstellen, da und zugleich herausragend aktive Open-
mit praktikablem Aufwand möglich ist, solche Projekte einerseits so umfangreich Source-Communities stehen. Aus diesem
die Software auf mögliche Schwachstellen sind, dass sie durch ein einfaches Lesen Grund bietet es sich auch hier an, zu
oder absichtlich eingebaute Backdoors zu des Codes nicht in ausreichendem Maße untersuchen, wie es beispielsweise um
untersuchen, ist es hilfreich, sich über analysiert werden können. Andererseits die Reaktionszeiten der Entwickler nach
die Sicherheitspolitik des Herstellers in sind organisationsweite Passwort-Ma- gemeldeten Sicherheitsmängeln steht

C`jk`e^(1N\`k\ic\`kle^mfeGJ<$EXZ_i`Z_k\e
001 #!/usr/bin/python 044 msguid = match.group('uid') 081 continue
002 045 logging.debug("Found UID %s" % ( msguid 082
003 import imaplib )) 083 # Try parsing the message
004 import email 046 result = imap.uid('COPY', msguid, 084 # Valid mails
005 import email.mime.text targetfolder) 085 # - have Subject "Neue interne Nachricht
006 import re 047 if result[0] == "OK": des Passwortmanagers"
007 import smtplib 048 mov, data = imap.uid('STORE', msguid , 086
008 import pdb '+FLAGS', '(\Deleted)') 087 subject = mimeobj["Subject"]
009 import logging 049 logging.debug("Moved Message %s to 088 if subject == 'Neue interne Nachricht
010 folder %s" % ( msgid, targetfolder )) des Passwortmanagers':
011 HOSTNAME = '' 050 else: 089 logging.debug("Message %d has my
012 USER = '' 051 logging.warn("Moving message failed, subject, processing" % msgnum)
013 PASS = '' result=%s" % str(result)) 090
014 MAILFROM = '' 052 except Exception, e: 091 payload = mimeobj.get_payload()
015 MAILOUT = '' 053 logging.warn("Exception in move_message: 092 recipient = None
016 ADSDOMAIN = '' %s" % e) 093 subject = None
017 FOLDER = "INBOX" 054 094
018 FOLDERPROCESSED = "INBOX/bearbeitet" 055 def resolve_recipient(user): 095 for line in payload.split("<br>\r\n"):
019 FOLDERADMIN = "INBOX/admin" 056 return "%s@%s" % ( user, ADSDOMAIN) 096 match = RERECIPIENT.match(line)
020 RERECIPIENT = re.compile("^Empfaenger: 057 097 if match:
(?P<recipient>.+) \(.+$") 058 def main(): 098 recipient = match.
021 RESUBJECT = re.compile("^Betreff: 059 logging.basicConfig(level=logging.DEBUG, group('recipient')
(?P<subject>.+)$") format='%(asctime)s %(message)s') 099
022 REUID = re.compile('\d+ \(UID (?P<uid>\ 060 imap = imaplib.IMAP4_SSL(HOSTNAME) 100 match = RESUBJECT.match(line)
d+)\)') 061 logging.debug("Connected to server %s" % 101 if match:
023 HOSTNAME) 102 subject = match.group('subject')
024 def send_mail(recipient, subject, text): 062 imap.login(USER, PASS) 103
025 logging.debug("Sending mail to %s" % 063 logging.debug("Logged in as %s" % USER) 104 if recipient and subject:
recipient ) 064 imap.select(FOLDER) 105 logging.info("Found message to %s:
026 mail = email.mime.text.MIMEText(text, 065 logging.debug("Changed to folder %s" % Subject %s" % ( recipient, subject ))
'html', 'iso-8859-1') FOLDER) 106 if recipient == 'Administrator':
027 mail["Subject"] = subject 066 resp, msglist = imap.search(None, "ALL") 107 move_message(imap, msgnum,
028 mail["From"] = MAILFROM 067 if msglist == ['']: FOLDERADMIN)
029 mail["To"] = recipient 068 logging.info("No messages found") 108 continue
030 # gekuerzt um die Fehlerbehandlung 069 imap.logout() 109
031 smtp = smtplib.SMTP(MAILOUT, port='587') 070 return 0 110 # Resolve recipient username to a
032 smtp.ehlo() 071 email address
033 smtp.starttls() 072 logging.debug("Found %d messages" % 111 rrecipient = resolve_
034 smtp.login(USER, PASS) len(msglist[0].split(' '))) recipient(recipient)
035 smtp.sendmail(MAILFROM, recipient, mail. 073 for msgnum in msglist[0].split(' '): 112 logging.debug("Resolved %s to %s" %
as_string()) 074 msgnum = int(msgnum) ( recipient, rrecipient ) )
036 smtp.quit() 075 logging.debug("Getting body for ID %d " 113 send_mail(rrecipient, subject,
037 logging.info("Sent mail to %s" % recipient % msgnum) payload)
) 076 resp, ((msguid, msgbody), msgflags) = 114 move_message(imap, msgnum,
038 imap.fetch(msgnum, '(RFC822)') FOLDERPROCESSED)
039 def move_message(imap, msgid, targetfolder): 077 try: 115
040 try: 078 mimeobj = email.message_from_ 116 imap.expunge()
041 logging.debug("Moving Message %s to string(msgbody) 117 imap.logout()
folder %s" % ( msgid, targetfolder )) 079 except: 118
042 resp, data = imap.fetch(msgid, '(UID)') 080 logging.warn("Could not decode msgnum 119 if __name__ == '__main__':
043 match = REUID.match(data[0]) %d, skipping") % msgnum 120 main()

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * 00


J <: L I @ K P GXjjnfik$DXeX^\d\ek

und welche Arten von Sicherheitslücken fehlt häufig eine Funktion, mit der man Passworteinträge intuitiv richtig einzusor-
von ihnen in der Vergangenheit schon zu importierte Passwörter automatisch be- tieren und einfach wieder auffinden zu
beheben waren. arbeiten kann. können, ist potenziell Gegenstand langer
Viele Hersteller versprechen in ihren Eine wesentliche Arbeitserleichterung Diskussionen. Beispielsweise kann die
Produktbeschreibungen, dass Passwort- stellt es in der Praxis zudem dar, wenn die Organisationsstruktur mit einer Eintei-
einträge mit den neuesten und sichers- Passwort-Management-Software regelmä- lung in Abteilungen und Betriebsgruppen
ten kryptographischen Algorithmen ver- ßig erforderliche Passwort-Änderungen als Basis dienen, wie auch in 8YY`c[le^*
schlüsselt in der Datenbank abgespeichert selbst durchführen kann. Sie muss dazu beispielhaft für einige Dienste des LRZ
werden. Der Nachweis dieser Behauptung einerseits einen Zufallspasswortgenerator gezeigt. Alternativ kann aber auch ein
ist jedoch nur sehr schwer bis gar nicht beinhalten, der an die organisationswei- Dienstleistungskatalog herangezogen
zu erbringen und selbst bei Open-Source- ten Vorgaben bezüglich der Passwort- werden, dem die einzelnen Server zuge-
Lösungen ist die Korrektheit der Imple- komplexität angepasst werden kann. An- ordnet sind. Möglicherweise existieren
mentierung nur mit größerem Aufwand dererseits muss sich die Software auf den auch bereits Namenskonventionen etwa
nachweisbar. Zudem sollte berücksichtigt verwalteten Systemen einloggen und dort für DNS-Einträge oder die Strukturierung
werden, dass die verschlüsselte Speiche- das bestehende Passwort ändern kön- in anderen Systemen wie einem organi-
rung der Passworteinträge nur einer von nen; dies erfordert zum Teil komplexe sationsweiten Active Directory, mit denen
mehreren wichtigen Sicherheitsbaustei- Skripting-Möglichkeiten. Beispielsweise die Anwender bereits vertraut sind. In
nen ist. Mindestens genauso wichtig ist alleine schon das Ändern eines root- jedem Fall sollte die Passwort-Manage-
sind die zuverlässige Implementierung Passworts auf einem Linux-Server per ment-Software eine geeignete Suchfunk-
des Berechtigungs-Managements und SSH-Login nicht gänzlich trivial, wenn tion anbieten; im Idealfall können auch
dem Schutzbedarf angemessene Authen- sich der Benutzer root nicht direkt per mehrere logische Sichten definiert wer-
tifizierungsmöglichkeiten. Beispielsweise SSH einloggen darf, sondern eine nicht den, ohne dass Passworteinträge mehr-
beugt eine Zwei-Faktor-Authentifizierung privilegierte Kennung in Kombination mit fach hinterlegt werden müssen.
dem Problem vor, dass ein vom Angrei- »sudo« verwenden muss.
fer ausgespähtes Benutzerpasswort den Um bei Hunderten hinterlegter Passwor- Mfi^XY\e]•i
Zugriff auf alle seine Passworteinträge teinträge noch die Übersicht zu behal-
9\i\Z_k`^le^\e
ermöglicht. ten, werden Strukturierungsmöglichkei-
ten benötigt, die bei den meisten Pro- Ebenso wie eine brauchbare Ordnerstruk-
<`e]•_ile^le[9\ki`\Y dukten auf dem Anlegen von Gruppen tur sollten auch die Default-Berechtigun-
oder mit Dateisystemen vergleichbaren gen für neue Passworteinträge vorkonfi-
In der Regel gibt es eine vorhandene In- Ordnerstrukturen basieren. Wie diese guriert werden können. Beispielsweise
frastruktur, in die sich die neue Software- Möglichkeiten genutzt werden, um neue könnte gewünscht sein, dass für neue
Lösung integrieren muss. Somit ist eine
wichtige Anforderung an die Passwort-
Management-Lösung, dass sich schon
vorhandene Passwörter einfach und ohne
größeren Aufwand in die Datenbank im-
portieren lassen. Aber auch im laufenden
Betrieb ist es oft eine Arbeitserleichte-
rung, wenn sich gerade geänderte Pass-
wörter mehr oder weniger automatisiert
in die Passwort-Management-Lösung la-
den lassen.
Dieser Aspekt ist jedoch in der Praxis
nicht ganz so einfach umsetzbar. Im
Beispiel ist zwar eine Ansteuerung von
PSE per Skript nicht direkt möglich, aber
durch einen CSV-Import kann man extern
erstellte Passwortlisten in das Tool impor-
tieren. Diese werden jedoch genau an der
Stelle importiert, an der man sich gerade
befindet und mit den für diesen Ort vor-
gegebenen Default-Berechtigungen. Will
man die Passwörter versiegeln oder an-
dere Berechtigungen vergeben, muss das
– jedenfalls in PSE – manuell geschehen. 8YY`c[le^*1<`e\Y\`jg`\c_X]k\Fi[e\ijkilbkli`dGJ<qldFi^Xe`j`\i\emfeGXjjnik\iele[\`ee\l\i
Auch in ähnlichen Software-Produkten GXjjnfik\`ekiX^%

('' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


GXjjnfik$DXeX^\d\ek J <: L I @ K P

Passworteinträge in der Rubrik „Mailser- nicht unter den Tisch fallen: Zum einen reren Personen zugänglich sein müssen,
ver“ alle Mitglieder des entsprechenden muss das Passwort-Management-Tool lässt sich zwar minimieren, ganz ver-
Betriebsteams Vollzugriff erhalten und zu- gut bedienbar sein, wobei ein Kompro- meidbar ist die Passwortweitergabe aber
sätzlich dem Security-Team automatisch miss zu finden ist zwischen Effizienz für kaum.
Leseberechtigung eingeräumt wird. Die Poweruser, die ständig damit arbeiten, Die Umstellung von rein persönlichem
dafür nötigen Gruppenberechtigungen und intuitiver Bedienbarkeit für Gele- Passwort-Management oder Offline-
sollten sich inklusive der damit erfassten genheitsnutzer, die vielleicht nur einmal Verfahren wie verschlossenen Kuverts
Kennungen etwa aus einem Active Direc- pro Quartal geänderte Passwörter hin- im Tresor auf ein organisationsweites
tory importieren lassen, sodass die Pflege terlegen müssen. Zum anderen müssen Passwort-Management-Tool muss gut ge-
solcher Gruppenzugehörigkeiten nur an die Gesamtkosten für die Passwort-Ma- plant werden. Der größte Vorteil server-
einer Stelle nötig ist. Eine automatisier- nagement-Lösung – inklusive Hardware, basierter Lösungen ist die zuverlässige
bare Versiegelung beugt Race Conditions Software, Administration, laufendem Be- Alarmierung der Zuständigen bei Zugrif-
beim Anlegen neuer Passworteinträge trieb und kommerziellem Support – den fen auf Passwörter unter außergewöhn-
vor und vermeidet, dass dieser wichtige organisatorischen Rahmenbedingungen lichen Umständen. Den Aufwand, bei-
Schritt eventuell ganz vergessen wird. und Zielen angemessen sein. spielsweise die Ordnerstruktur, Default-
Berechtigungen sollten sich zeitlich be- Berechtigungen und E-Mail-Alarmierung
fristen lassen, falls beispielsweise einma- =Xq`k zu konfigurieren, sollte man aber nicht
lige Vertretungsaufgaben übernommen unterschätzen. (jcb) ■
werden; ansonsten droht die Gefahr, dass Organisationsweit zentrales Passwort-
jemand temporär bestimmte Berechtigun- Management hat zahlreiche Vorteile,
gen erhält, aber vergessen wird, die spä- stößt bei seiner Einführung aber häufig @e]fj
ter dann auch wieder zurückzunehmen. auf Skepsis der Administratoren, die ihre R(T GJ<1R_kkg1&&nnn%gXjjnfi[jX]\%[\T
Wie bei jeder anderen Software auch Zugangsdaten darin hinterlegen sollen. R)T B\pGXjj1R_kkg1&&nnn%b\\gXjj%`e]fT
dürfen zwei weitere Auswahlkriterien Die Anzahl von Passwörtern, die meh- R*T B\pGXjjO1R_kkg1&&nnn%b\\gXjjo%fi^T

22. –25. 5 ABCD 0 


EUROPE‘S LEADING
OPEN SOURCE EVENT
-  -&
Keynote-Speaker, Kernel-Entwickler, Arbeitgeber,
Trendsetter und Neueinsteiger geben sich vom
22. – 25. Mai 2013 auf dem 19. LinuxTag in Berlin
wieder die Hand.
22. Mai 2013: Track – Embedded Linux for Industrial Applications
u. a. mit folgenden Speakern:
 
     
  

!"
!#$%&&  &
 '( &$ )#%'*
 +   & ,-

24. Mai 2013: OpenStack® inaugural DACH Day 2013


%$ 
/
 +& ! 01 (' &#$% 2&  &
   &34   &%( 
'
! &

Open Source .05.2013


22. + 23 SUMMIT:
 5&1 1 &, 4  ),4*
 0! 6  7%
! 4 %8%

mobilisiert. OPEN-IT ess & Start-ups


!  5! ,9 &( ; 
$  &
 '-6&  %! <= 
r Busin
Open fo .05.2013
 &
;  > 1

24. + 25 by netways  '-8&%   


'  4&


amp
2. RootC
E 
!&$ E4& 
LinuxTag 2013 – where .com meets .org

, $ $ / 4 / %$&


& 4 /

MAGAZIN
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ('(
M @ IK L8 C @ J @ < I L E > :cfl[JkXZb

Fg\e$JfliZ\$:cfl[$K\Z_efcf^`\e`d|Y\iYc`Zb

:cfl[$HlXik\kk
ŸXc_fm`b#()*I=%Zfd

D`k[\d`dD€iqqld8gXZ_\$Kfg$C\m\c$Gifa\bkY\]i[\ik\e:cfl[JkXZb^`Yk\je\Y\eFg\eE\YlcX#<lZXcpgklj
le[Fg\eJkXZba\kqkm`\ibfeblii`\i\e[\Fg\e$JfliZ\$Cjle^\e]•i:cfl[j%;XY\`n\`j\e[`\Gifa\bk\\`e\
^Xeq\I\`_\mfe>\d\`ejXdb\`k\eXl]%K_fdXj;i`cc`e^
Bis vor kurzem war die Welt der Cloud- versprach man sich von dem Wechsel temen Citrix Cloud Platform, Oracle VM,
Plattformen noch sehr übersichtlich: Im zur Apache Foundation eine möglichst VMware (vSphere), KVM und Xenserver
Jahr 2008 gab es darin nur das unter der schnelle Verbreitung für ein „offenes, künftig auch Hyper-V unterstützen soll.
Apache-Lizenz verfügbare OpenNebula, interoperables Cloud Computing“. Um Etwas eigenartig erscheint dabei, dass
ein Jahr später kam das unter der GPLv3 sämtliche mit dem Lizenzwechsel ver- Citrix sich zeitweise auch bei OpenStack
lizenzierte Eucalyptus hinzu. Wiederum bundenen Anforderungen der Apache eingebracht hat beziehungsweise dies
ein Jahr später folgte das von Rackspace Foundation zu erfüllen, mussten zahl- noch tut. Unternehmensintern gibt es
initiierte OpenStack-Projekt, das in den reiche Lizenzen überprüft und weitere aber spätestens seit dem Lizenzwech-
letzten Wochen und Monaten verstärkte Formalitäten erfüllt werden. Das hat sich sel zu Apache ein klares Commitment
Aufmerksamkeit in den Medien erfuhr. offenbar gelohnt. Dank des enormen zu CloudStack. So basiert die kommer-
Im Sommer 2011 stellte dann Citrix nur Entwicklungstempos wurden die Bemü- zielle Cloud Platform R*T ebenfalls auf
zwei Monate nach Übernahme des Cloud- hungen jetzt mit der Beförderung zum CloudStack. Das Produkt zielt vor allem
Anbieters Cloud.com dessen Cloud-Ma- Apache-Top-Level-Projekt belohnt R)T. auf die kommerzielle Konkurrenz und
nagement-Plattform CloudStack R(T unter bietet bereits jetzt Support für vSphere
die GPLVv3. 8l]Xcc\e?fZ_q\`k\e und Oracle VM und beherrscht in der
Mit Übergabe des Projektes von Citrix an aktuellen Version auch Bare Metal Provi-
die Apache-Stiftung im April 2012 ging Damit stehen jetzt vier verschiedene sioning. Den vSphere-Support hatte Cit-
eine Änderung der Lizenz der CloudStack- Open-Source-IaaS-Lösungen (Infrastruc- rix zuvor allerdings auch in OpenStack
Plattform auf die Apache-2-Lizenz einher, ture as a Service) mit unterschiedlichen eingeführt.
wobei Citrix allerdings Hauptsponsor ge- Schwerpunkten zur Auswahl. Dass sich
blieben ist. Seit März diesen Jahres ist dabei involvierte Technologien (Hypervi- Fg\eJkXZb
CloudStack nun ein Apache-Top-Level- sor-Systeme), Standards und Schnittstel-
Projekt, das in der öffentlichen Präsenz len großteils überschneiden, liegt in der Das von Rackspace und der NASA ini-
mit OpenStack konkurrieren möchte. Natur der Sache. Das gilt auch für die tiierte, in Python realisierte OpenStack
involvierten Unterstützer und Sponsoren. unterstützt die Hypervisor-Systeme KVM
:cfl[JkXZbn€Z_jk So engagieren sich beispielsweise neben und Xen. Eine zeitweise bereits imple-
Citrix auch Microsoft, IBM, AMD, Google, mentierte Unterstützung für Hyper-V
Glaubt man den Aussagen der jeweiligen Yahoo und Facebook bei CloudStack. musste Anfang des letzten Jahres wie-
Communities, ist CloudStack die derzeit Die CloudStack-Unterstützung durch der entfernt werden, weil Microsoft den
am schnellsten wachsende CMP (Cloud Microsoft ist insofern interessant, dass Code nicht mehr gepflegt hatte. Neben
Management Plattform). Laut Citrix CloudStack neben den Hypervisor-Sys- Citrix unterstützen auch Canonical, Suse,

(') 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


:cfl[JkXZb M @ IK L8 C @ J @ < I L E >

Dell, HP, AMD und Intel das Projekt. zon Web Services (AWS) S3 und EC2 von neben Xen und KVM auch VMware und
Anfang 2012 kamen noch IBM und Red der Konkurrenz abhob. Die noch aktuelle in naher Zukunft auch Hyper-V zur Ver-
Hat hinzu. Version ist die 2.0.3 aus dem Jahr 2011. Er- fügung.
Mit dem OpenStack-Dashboard steht er- wähnenswert ist, dass die Version 1.5 von Ebenso vielseitig gibt sich OpenNebula
gänzend zur REST-API seit einiger Zeit Eucalyptus offiziell in Ubuntu integriert bei den Cloud-APIs: es unterstützt ne-
auch eine Webschnittstelle zur Verfü- wurde und als Fundament der Ubuntu ben EC2 und EBS auch OFG, OCCI und
gung. Die Django-basierte Implementa- Enterprise Cloud (UEC) diente. Inzwi- vCloud. Die gesamte Architektur ist sehr
tion von Canonical hört auf den Namen schen favorisiert Ubuntu aber OpenStack. flexibel ausgelegt, sodass sich völlig un-
„Horizon“. Interessant an der REST-API Ferner ist Eucalyptus seit Version 1.6.2 in terschiedliche Hard- und Softwarekom-
von OpenStack ist, dass sie sich auch Debian GNU/Linux enthalten. binationen in einem Datacenter zusam-
über das Kommandozeilen-Interface von Unterstützer von Eucalyptus sind ne- menfassen lassen. Interessant: Seit der
Eucalyptus steuern lässt. Prominenter ben Amazon Dell, HP, Intel, Novell, Red Version 3.6 können Entwickler über den
OpenStack-Nutzer ist die deutsche Te- Hat und Ubuntu. Für Eucalyptus spricht OpenNebula Marketplace fertige Applian-
lekom, die im vergangenen Jahr damit die API-Kompatibilität mit Amazons EC2- ces anbieten. Prominentester Nutzer von
einen neuen Marktplatz mit der Bezeich- Plattform. So können sich Admins zum OpenNebula ist das CERN.
nung „Business Marketplace“ implemen- Evaluieren von EC2 ein Testsystem auf-
tiert hat R+T. bauen, das vollständig aus freier Software :cfl[JkXZble[:`ki`o
Die seit September letzten Jahres ver- besteht. Ferner können Unternehmen,
fügbare OpenStack-Version „Folsom“ die bereits AWS-Kunden sind, Eucalyp- Den mittlerweile vier quelloffenen IaaS-
wurde kurz vor Redaktionsschluss durch tus auch für eigene Entwicklungsprojekte Lösungen stehen mit AWS, vSphere/
das aktuell siebente Release OpenStack nutzen, bevor diese in der Amazon-Cloud vCloud, Windows Azure, Oracle VM, Red
„Grizzly“ ersetzt, das jetzt ebenfalls Bare online gehen. Eucalyptus gilt unter Fach- Hat, Rackspace und der auf CloudStack
Metal Provisioning beherrscht (mehr dazu leuten, abgesehen von der mit Ubuntu basierenden Citrix Cloud Platform eine
verrät der OpenStack-Artikel in diesem integrierten Version, nicht gerade als ein- Reihe von kommerziellen Public-/Pri-
Heft). Das größte Manko an OpenStack fach zu installieren beziehungsweise zu vate-Cloud-Angeboten gegenüber. Be-
ist die werksseitig fehlende Schnittstelle konfigurieren. merkenswert ist aber, dass beim Cloud
zu AWS, wozu es aber Drittanbieterlö- Computing die Open-Source-Lösungen
sungen gibt, wie etwa Canonicals AW- Fg\eE\YlcX den Ton angeben. Das verwundert bei
SOME (Any Web Service Over Me). näherem Hinsehen jedoch nicht länger,
OpenNebula liegt seit Dezember letzten denn keine andere Software-Gattung ist
<lZXcpgklj Jahres in Version 3.8 vor und kann mit in einem solchen Maße auf Interopera-
seiner fast fünf Jahre währenden Lebens- bilität und offene Standards angewiesen.
Die beiden älteren IaaS-Lösungen Open- zeit auf eine große Anzahl von Installati- Eine interessante Klassifizierung anhand
Nebula und Eucalyptus sind aus For- onen verweisen. Prominente Unterstützer von Cloud-Computing-Modellen findet
schungsprojekten hervorgegangen, wobei sind IBM, Dell und SAP. Auch die Open- sich im OpenNebula-Blog R,T (siehe 8Y$
sich das an der University of California Nebula-Entwickler legen großen Wert auf Y`c[le^().
entstandene Eucalyptus von Anfang an Interoperabilität und offene Standards. Ein näherer Blick auf CloudStack ist
durch seine Kompatibilität zu den Ama- So stehen als unterstützte Hypervisoren lohnenswert, denn es ist das derzeit am
stärksten wachsende Projekt. Allein die
;XkXZ\ek\i Anzahl der bisher rund 30 000 Commu-
M`iklXc`qXk`fe
nity-Mitglieder spricht eine deutliche
Sprache. Ferner nennt Citrix mehrere
tausend zertifizierte Apps und einige
hundert produktive Clouds. Laut Citrix
setzen weit über 50 namhafte Unterneh-
men und Organisationen CloudStack
:cfl[Df[\c beziehungsweise die Citrix Cloud Plat-
form ein, darunter GoDaddy, Nokia,
Intel, Zyngan, RightScale, PuppetLabs,
Juniper Networks, Enstratus, TrendMicro
Hl\cc\1_kkg1&&Ycf^%fg\ee\YlcX%fi^

oder Equinix.
Prominente Nutzer wie zum Beispiel Ser-
vicemesh, Engine Yard und Rightscale ha-
@e]iXjkilZkli\ ben den Wechsel auf die Apache-Lizenz
Gifm`j`fe schon vor rund einem Jahr durchweg
Cfn =c\o`Y`c`kp ?`^_
positiv kommentiert. Laut Citrix war der
8YY`c[le^(1<`eBcXjj`]`q`\ile^jm\ijlZ_[\iXbkl\cc\e:cfl[$GcXkk]fid\ed`kFg\e$JfliZ\$C`q\eq% Wechsel von OpenStack zu CloudStack

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ('*


M @ IK L8 C @ J @ < I L E > :cfl[JkXZb

vor allem wegen der Kompatibilität von


Dlck`$k`\i8ggc`ZXk`fe
CloudStack zur Amazon-Cloud-API un-
GlYc`Z DXeX^\d\ek
verzichtbar. Deshalb hat Citrix im Zuge
seines Commitments zu CloudStack auch
seine eigene bis dato auf OpenStack ba- Iflk\i
MC8E(''+ @GJ\Z ;XkX:\ek\i
sierende Cloud-Distribution „Olympus“ Gi`mXk\ :JMI
E\knfib
aufgegeben. 8:Cj

MC8E(''( MC8E('') MC8E(''*

E\l\ile^\e`eM\ij`fe+%'
le[+%'%(
Die Version 4.0 von CloudStack vom No-
vember letzten Jahres enthielt zahlreiche
Hl\cc\1:`ki`o

Neuerungen, die den Aufstieg zum Apa- N\Y 8gg ;9


che-Top-Level-Projekt begründet haben,
darunter die Funktionen Inter-VLAN- 8YY`c[le^)1<`e\[\ie\l\e=lebk`fe\e`e:cfl[JkXZb+%'1@ek\i$MC8E$Iflk`e^%
Routing (8YY`c[le^)), Site-to-Site-VPN
und Tags. Network Controller steuert die virtuellen Dabei wirkt die Java-Software kohären-
Inter-VLAN-Routing macht es möglich, Netzwerke und der Storage Controller ter als OpenStack und liefert neben dem
den Netzwerkverkehr zwischen VLANs kümmert sich um die Speicherverwal- Commandline-Interface und der REST-API
zu steuern – eine Voraussetzung für den tung des Block Storage. ein attraktives Webinterface gleich mit. In
Aufbau privater Clouds. Die Funktion Die drei elementaren Komponenten kön- Sachen Flexibilität setzt sich CloudStack
Site-to-Site-VPN erlaubt es, den Aufbau nen direkt auf die darunter liegende physi- damit zumindest der Papierform nach an
von VPN-Verbindungen zwischen einzel- sche Hardware zugreifen. Die CloudStack die Spitze der Open-Source-IaaS-Systeme.
nen virtuellen Maschinen zu umgehen Orchestration Engine setzt ihrerseits auf Für welche Lösung man sich letztlich
und eine sichere Verbindung zwischen die drei Basiskomponenten auf und steu- entscheidet, kann indes nicht von den
dem Firmennetz und einer Cloud-In- ert die Cloud-Infrastruktur. Die Cloud- Features der Papierform abhängen. Von
frastruktur aufzubauen. Die neue Tags- Stack-API wiederum nimmt Befehle von Vorteil ist es – beim Cloud Computing je-
Funktion erlaubt das Speichern der Me- der Weboberfläche via REST oder der denfalls mehr als anderswo–, wenn eine
tadaten von Cloud-Ressourcen, um deren Kommandozeile entgegen und reicht sie Lösung ein hohes Maß an Offenheit bie-
Kategorisierung zu erleichtern. Größter zur Verarbeitung an die Orchestration tet. Eine lesenswerte Auseinandersetzung
Vorteil von CloudStack gegenüber frühe- Engine weiter. Das Webinterface ist eine zu diesem Aspekt liefert ein weiterer Bei-
ren Versionen ist aber, dass die neue Ver- moderne, Ajax-basierte Web-GUI, die die trag im Open-Nebula-Blog R/T. (ofr) ■
sion von Amazons API CloudBridge R-T Verwaltung der Cloudstack-Infrastruktur
enthalten ist, während die Komponente erheblich vereinfacht. Die GUI stellt Kom-
zuvor separat zu installieren war. Das im ponenten wie CPU, Storage, IP-Pool und @e]fj
Februar dieses Jahres erschienene aktu- Arbeitsspeicher in Echtzeit dar. R(T :cfl[JkXZb1R_kkg1&&Zcfl[jkXZb%XgXZ_\%fi^T
elle Release 4.0.1 ist dagegen ein reines R)T :cfl[JkXZbn`i[8gXZ_\$KCG1
Bugfix-Release. =Xq`k R_kkg1&&nnn%X[d`e$dX^Xq`e%[\&E\nj&
:cfl[JkXZb$n`i[$8gXZ_\$Gifa\bkT
=lebk`fejn\`j\ In den vergangenen Wochen und Mona- R*T :`ki`o:cfl[GcXk]fid1R_kkg1&&nnn%Z`ki`o%
ten hat das OpenStack-Projekt reichlich [\&gif[lZkj&Zcfl[gcXk]fid&fm\im`\n%_kdcT
CloudStack ist eine komplett in Java ge- Aufmerksamkeit in den Medien genossen. R+TK\c\bfd9lj`e\jjDXib\kgcXZ\1R_kkg1&&
schriebene Plattform für den Aufbau und Was OpenStack allerdings fehlt, ist eine \Yj'.%k\c\bfd%[\&Zcfl[Z\ek\i&n\Y&[\&
die Verwaltung skalierbarer Infrastruktu- direkte AWS-Unterstützung. Die bietet ^\jZ_X\]kjble[\e&Ylj`e\jj$dXib\kgcXZ\6
ren. Unter R.T finden sich ausführliche dagegen das jüngere CloudStack-Projekt, jlZ_Y\^i`]]bXk\^fi`\4'T
Anleitungen für Administration, Instal- das im vergangenen Jahr von Citrix eben- R,T :cfl[$Cjle^\eXcj:cfl[$Df[\cc\bcXj$
lation und API-Entwicklung. Derzeit un- falls in die Selbstständigkeit entlassen j`]`q`\ik1R_kkg1&&Ycf^%fg\ee\YlcX%fi^&6
terstützt CloudStack die kommerziellen wurde und jetzt zum Apache-Top-Level- g4+'+)T
Hypervisor-Systeme von Citrix, VMware Projekt geworden ist. CloudStack ist nicht R-T 8dXqfe8G@:cfl[9i`[^\1
und Oracle, sowie Xenserver und KVM. nur unangefochten Spitzenreiter bei den R_kkg1&&nnn%Z`ki`o%Zfd&gif[lZkj&
CloudStack stellt drei Schnittstellen zur unterstützen Cloud-APIs, sondern auch Zcfl[Yi`[^\&fm\im`\n%_kdcT
Wahl: ein Webinterface, die Kommando- bei den unterstützten Hypervisor-Syste- R.T :cfl[JkXZb$;fbld\ekXk`fe1
zeile und die REST-API. Architektonisch men, darunter in naher Zukunft auch R_kkg1&&Zcfl[jkXZb%XgXZ_\%fi^&[fZj&\e$LJ&
besteht CloudStack aus mehreren Kom- Hyper-V. Ferner unterstützt CloudStack `e[\o%_kdcT
ponenten. Der Compute Controller dient auch die Citrix Cloud Platform und VM- R/TF]]\e_\`kmfe:cfl[$GcXkk]fid\e1R_kkg1&&
zur Kontrolle der Rechenleistung, der ware. Ycf^%fg\ee\YlcX%fi^&6g4+*.)T

('+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


8;D@E$D8>8Q@E;@>@K8C
GIF=@$BEFN$?FN@DD<IQLI?8E;

MFIK<@C<
•@[\Xc]•iI\Z_\iZ_\li\
•Y\i\`kjmfi[\dB`fjb$
K\id`eXcjG;=c\j\e
•bfdgXbk\j#gXg`\icfj\j
8iZ_`m
•JgXi\eJ`\`d8Yf•Y\i
)'`dM\i^c\`Z_qld
G;=$<`eq\cbXl]

,9 0 %* p r o J a h r
nur 44
(6 Ausgaben)
A\kqkY\jk\cc\elek\i1
nnn%X[d`eÆdX^Xq`e%[\&[`^`jlY
K\c\]fe'.(*(&).'.).+›=Xo'.(*(&).'../-'(›<$DX`c1XYf7X[d`e$dX^Xq`e%[\
!Gi\`j\^\ck\e]•i;\lkjZ_cXe[%
M @ IK L8 C @ J @ < I L E > Fg\eJkXZb

vorhandene Installationen keine Umkon-


figuration brauchen. Die Entwickler ver-
sprechen, dass die alte API mindestens
bis zur übernächsten Release bleibt, also
dem I-Release (zur Erinnerung: Wie bei
Ubuntu auch erhalten alle OpenStack-
Releases Codenamen, die dem Alphabet
folgen – der Nachfolger von Grizzly wird
beispielsweise Havana heißen).
Funktionen der 3.0er-API lassen sich frei-
lich aus der 2.0er-API heraus nicht nut-
zen. Im Test der Vorversion klappte die
Migration von einem Folsom-Keystone
auf ein Grizzly-Keystone gut, obgleich
der zu migrierende User-Stamm eher
klein war. Insgesamt machte das Update
jedoch einen zuverlässigen Eindruck, vor
der Umstellung des Produktivsystems tun
ŸA\]]i\p9Xeb\#()*I=

Admins aber dennoch gut daran, den


Umstieg unter Laborbedingungen gut zu
testen.

E\l\Bfdgfe\ek\e
Fg\eJkXZb$Nfibj_fg#K\`c+1NXj`jke\l`e>i`qqcp6 Grizzly kommt also mit Update-Potenzial,
aber lohnt sich das Update denn über-

9€i\ejkXib6 haupt? Die Antwort auf diese Frage geben


vielleicht bereits die beiden Neuzugänge
in der Familie der OpenStack-Kernkom-
ponenten: Ceilometer und Heat.
Ceilometer ist OpenStacks sehnlichst
D`kk\8gi`c_XY\e[`\Fg\eJkXZb$<ekn`Zbc\i[`\e\l\jk\M\ij`fe`_i\i
erwartete Statistik-Komponente. Wer
]i\`\e:cfl[$Ld^\Yle^lek\i[\d:f[\eXd\e>i`qqcpm\i]]\ec`Z_k%J`ee$ jetzt an schnödes Zahlenwerk denkt,
mfcc\jLg[Xk\f[\iJZ_ljj`e[\eF]\e6<`e\ijk\i9c`Zb%DXik`eCfjZ_n`kq hat Recht und auch wieder nicht – denn
Ceilometer soll keinesfalls nur Statistik-
Neben Ubuntu hält kein anderes Projekt OpenStack-Version war Essex im April daten in OpenStack sammeln, um dann
so treu zu einem festen Release-Zyklus 2012. Schon damals versprachen die Ent- bunte Diagramme daraus zu generieren.
wie OpenStack. Im Parallelflug mit Ca- wickler, sich bei zukünftigen Versionen Stattdessen weisen die Entwickler ihrem
nonical werfen die Entwickler im April besser um die API-Kompatibilität zwi- Schätzchen die Rolle eines Billing-Sys-
und im Oktober jeweils eine neue Version schen alter und neuer Version zu küm- tems zu. Ceilometer tritt damit an die
auf den Markt. Auch in diesem April mern. Mit sehr bescheidenem Erfolg: Ein Stelle der in der Computing-Komponente
war das nicht anders: Seit kurzem steht Update von Essex auf Folsom als Nachfol- Nova bereits enthaltenen, aber sehr rudi-
OpenStack 2013.1 alias Grizzly bereit ger war kompliziert bis unmöglich. mentären Nutzungsstatistiken.
zum Download. Wie bei den vorangegan- Der Clou bei Ceilometer ist, dass es in der
genen Versionen hat sich auch diesmal 8G@$JkXY`c`k€k Lage sein soll, seine Daten grundsätzlich
vieles geändert. Für Administratoren be- einer beliebigen Anzahl von Nutzern zur
stehender Cloud-Installationen stellt sich Zwischen Folsom und Grizzly haben die Verfügung zu stellen. Theoretisch kann
die Frage, ob sich ein Update lohnt – und Entwickler ihre Hausaufgaben allerdings es damit als Datenquelle für ein Verrech-
ob das technisch ohne weiteres zu bewäl- besser erledigt: Anstatt vorhandene APIs nungssystem nach Industriestandard ge-
tigen ist. Bisher hat OpenStack sich im zu verändern, haben sie zusätzliche APIs nau so funktionieren wie als Quelle für
Hinblick auf Updates ja nicht eben mit hinzugefügt und diese mit einer höhe- ein Cloud Monitoring. Ein Client (im Cei-
Ruhm bekleckert. ren Versionsnummer versehen. Ganz gut lometer-Sprech auch Consumer genannt)
So war bis dato der einzige vertretbare wird das bei Keystone deutlich, der Au- ist BillingStack, das ein eigenständiges
Rat an OpenStack-Admins, Updates von thentifizierungskomponente: Neben der Billing-System für OpenStack ist und die
einer OpenStack-Version auf die nächste schon in Folsom vorhandenen API v2 Verrechnung von OpenStack-Diensten
erst gar nicht zu probieren. Die erste mit hat Keystone jetzt eine API 3.0, die pa- nach dem auch tatsächlich vorhandenen
dem "Enterprise Ready"-Siegel geadelte rallel zur alten API funktioniert, sodass Konsum durch Anwender ermöglicht.

('- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Fg\eJkXZb M @ IK L8 C @ J @ < I L E >

Mehr Consumer sind zumindest auf der Geschichte von OpenStack kennt, erlebt in der Wolke will, kommt so also deutlich
Ceilometer-Website bis dato nicht aufge- ein Déjà-vu, denn schon zu Nova-Zeiten schneller zum Ziel.
listet, allerdings ist die Umgebung eben hatte das, was später Tenants hieß, den OpenStack Compute (Nova) ist fast die
auch erst seit Grizzly überhaupt als In- Namen Projects. Sicherheitsbewusste wichtigste der Kernkomponenten, die
cubated Project Teil von OpenStack. Die Menschen freuen sich über die Möglich- zu OpenStack gehören. Und für Grizzly
Hoffnung auf einen baldigen Reigen an keit, in Keystone ab sofort eine Mehrphasen- haben die OpenStack-Entwickler sich so
Consumern ist also durchaus berechtigt. Authentifizierung nutzen zu können. einiges einfallen lassen. Bei der Konfigu-
Noch einen Neuling dürfen OpenStack- ration fällt zunächst auf, dass etwas fehlt
Benutzer in Grizzly willkommen heißen: >cXeZ\d`km`\c\e9XZb\e[j – denn nachdem »nova-volume« schon
Heat hat es ebenfalls in den Rang ei- in Folsom aus Nova zum größten Teil
nes Incubated Projects geschafft. Heat Für den Image-Dienst Glance haben die rausgeflogen war, haben die Entwickler
bezeichnet sich selbst als Orchestration Entwickler auf die Rufe ihrer User gehört nun auch dessen letzte Reste beseitigt.
Suite; allerdings tritt Heat nicht in direkte und ein Feature implementiert, das viele Ähnliches gilt für die allermeisten Funk-
Konkurrenz zu anderen Lösungen wie dringend wollten: Glance ist ab sofort in tionen, die vormals in »nova-manage«
Chef oder Puppet. Denn Heat ist streng der Lage, mehrere Image-Backends pa- vorhanden waren. Denn neben »nova«,
OpenStack-spezifisch: Mittels einer ein- rallel zu benutzen. Bis dato musste sich dem eigentlichen CLI-Client für Nova,
zelnen Datei – einem Template – ha- der Admin entscheiden, ob er Images in lieferte »nova-manage« zusätzliche De-
ben Benutzer per Heat die Möglichkeit, Swift, Ceph oder lokal auf der Platte des tails. Damit ist nun Schluss, langfristig
virtuelle Maschinen aus dem Boden zu Glance-Hosts ablegen wollte. In Grizzly soll »nova-manage« nur noch notwendig
stampfen und diese gleich miteinander steht die Option zur Verfügung, verschie- sein, um bei einer Installation eingangs
zu verbinden. Ein Template könnte zum dene Image-Stores miteinander zu kom- die Tabellen in der MySQL-Datenbank
Beispiel „Webserver-Cluster“ heißen und binieren. für Nova anzulegen. Alle anderen Funk-
dafür sorgen, dass automatisch eine Web- Auch neu in Grizzly ist die Möglichkeit, tionen wandern in »nova« ab.
server-Farm entsteht. Praktisch: Features dass Benutzer ihre eigenen Images mit
wie Hochverfügbarkeit sowie ein grund- anderen Benutzern teilen; bisher standen I•Zbb\_i[\i:\ccj
legendes Monitoring bringt Heat gleich Images von Nutzern nur unmittelbar die-
mit. Außerdem unterstützt OpenStack sen auch zur Verfügung – was oft genug Wer sich mit OpenStack schon eine Zeit
Heat das AWS-CloudFormation-Format, zu Dopplungen führte. Zudem können lang beschäftigt, trifft in Grizzly bei Nova
das auch Amazon nutzt, um in der eige- Admins nun wesentlich mehr Details zu auf einen alten Bekannten im neuen Ge-
nen Wolke Inter-VM-Orchestrierung zu Images in der Glance-Datenbank hinter- wand: Die Cells sind wieder da. Zur Erin-
ermöglichen. Letztlich ist Heat vor allem legen; dazu gehört, dass sich die exakte nerung: In früheren OpenStack-Versionen
ein Werkzeug, dass Admins bei der wei- Version eines Betriebssystems angeben sollten Cells es ermöglichen, OpenStack-
teren Automatisierung helfen soll. Damit lässt. Bis dato war es lediglich möglich, Rechnern zu Gruppen zusammenzufas-
passt es sehr gut in OpenStack, das Au- den Namen frei zu wählen. sen, um anschließend diese Gruppen in
tomatisierung insgesamt zum höchsten Ab sofort legt der Admin per Flag auch OpenStack gezielt einzusetzen – beispiels-
Prinzip erhoben hat. fest, dass es sich beispielsweise um ein weise um festzulegen, dass verschiedene
Windows 7 oder um ein Windows 8 han- VMs eines Kunden in unterschiedlichen
E\l\=lebk`fe\e`e delt und welche Formateigenschaften Cells laufen mussten, die dann vielleicht
B\pjkfe\ das Image aufweist. Ziel ist vor allem, in zwei separaten Rechenzentren lagen.
in großen OpenStack-Installationen mit In OpenStack Essex fiel das Cell-Feature
Auch die schon etablierten Komponen- entsprechend vielen Images für Über- in Ungnade und die Entwickler entfern-
ten von OpenStack punkten in Grizzly sichtlichkeit zu sorgen. Denn all die ten die Funktion. Nicht, weil sie ihnen
mit so einigen tollen Funktionen. Key- neuen Felder sind indexiert und mithin nicht sinnvoll erschien, sondern weil ih-
stone als zentrale ID-Komponente macht durchsuchbar – wer ein spezifisches OS nen die Implementation nicht gefallen
den Anfang und wartet mit hat. Nun sind die Cells also
der Unterstützung für Active als »Nova Compute Cells«
Directory auf – neben LDAP zurück, und ermöglichen so-
funktioniert nun also auch wohl die präzise Steuerung
die zweite weit verbreitete verschiedener geographisch
Methode, um die Daten der getrennter Systeme wie auch
eigenen Nutzer zentral zu ver- die Option, Host- und Cell-
walten. Die schon erwähnte Scheduling voneinander zu
API bringt ebenfalls einige separieren, um einzelne Te-
Neuigkeiten. Dazu gehört, nants in OpenStack gegebe-
dass die Tenants eine neue Be- nenfalls zu bevorzugen.
zeichnung kriegen und ab so- 8YY`c[le^(1;`\JkfiX^\$Bfdgfe\ek\:`e[\inXik\kd`km`\c\ee\l\eKi\`Y\ie Eine weitere Neuerung in
fort Projekte heißen. Wer die Xl]#[Xilek\iXlZ_]•i=`Yi\$:_Xee\c$J8Ej% Grizzly wirkt banal, ist aber

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ('.


M @ IK L8 C @ J @ < I L E > Fg\eJkXZb

gefallene VMs jetzt zwar auf anderen


Knoten deutlich leichter starten lassen,
Hand anlegen muss der Admin aber noch
immer. Von echter HA ist das leider noch
immer einigermaßen entfernt. Immerhin:
Die Entwickler haben das HA-Szenario in
der Spezifikation von Evacuate bereits er-
wähnt, so dass durchaus noch Hoffnung
auf eine Umsetzung besteht. Vielleicht
wird das ja in Havanna was.

Ki\`Y\i]clk`e:`e[\i
Die Block-Storage-Komponente Cinder
präsentiert sich in Grizzly vor allem durch
viele neue Treiber positiv. So unterstützt
8YY`c[le^)1?`\id`kn`i[[\iLj\iXd_€l]`^jk\eXiY\`k\e1[XjFg\eJkXZb;Xj_YfXi[% die Software nun eine direkte Anbindung
an FibreChannel-Storages und kommt
spektakulär – das Libvirt-Backend von Knoten einzusetzen. Wer also lieber auch mit HP-3PAR- und EMC-Storages
OpenStack versteht jetzt nämlich SPICE. auf Virtualisierung von WMware denn nativ zurecht (8YY`c[le^(). Neue Funk-
Zur Erinnerung: SPICE ist ein Protokoll auf KVM oder Xen vertraut, kommt mit tionen sind aber auch hinzugekommen:
für die Verbindung eines Clients mit dem Grizzly ans Ziel. Wie Glance kann auch Cinder jetzt bei-
grafischen Desktop eines virtualisierten spielsweise mit mehreren Backends zur
Systems. Im Grunde handelt es sich um EfmX?fZ_m\i]•^YXib\`k gleichen Zeit umgehen. Das ist wirklich
eine dem VNC-Protokoll sehr ähnliche nützlich, vor allem wenn man sowohl ein
Lösung, allerdings ist SPICE viel perfor- Immer wieder kreiden insbesondere Eu- vorhandenes SAN wie auch einen neuen
manter. So wird es in Grizzly endlich ropäer OpenStack an, dass es sich nicht Ceph-Cluster gleichzeitig als Backend
möglich sein, sich technisch zuverläs- um das Thema Hochverfügbarkeit küm- einsetzen möchte. Und sowohl Backups
sig und schnell mit dem Desktop von mere. In der Tat war die Unterstützung wie auch das Klonen von Images gehören
Windows-VMs zu verbinden. Im Grunde von HA-Funktionen in Nova bis jetzt ein- jetzt zu den Features, die Cinder ab Werk
öffnet sich OpenStack damit einer ganz geschränkt, für Grizzly versprachen die mitbringt.
neuen Zielgruppe, denn SPICE erlaubt es, Entwickler aber Besserung. Und haben
OpenStack als eine typische Lösung für geliefert – allerdings nur ein bisschen. ?8XlZ_Y\`HlXekld
virtualisierte Desktops (VDI) einzuset- Denn das Evacuate-Feature bleibt leider
zen. Mit VNC war das undenkbar. auf halbem Wege zu echter HA-Funktio- Der Netzwerkdienst Quantum besticht in
Wer WMware mag, wird sich über die nalität stehen. Grizzly vor allem dadurch, dass er mit ei-
Tatsache freuen, dass Nova in Grizzly Der Ansatz ist gut: Evacuate soll Admins nem neuen Bestandteil namens Quantum
ein Computing-Modul für WMware er- die Möglichkeit bieten, VMs auf anderen Scheduler daherkommt. Der Scheduler
halten hat. Damit wird es möglich, Hosts Hosts einfach neu zu starten, wenn diese ermöglicht es, viele verschiedene Instan-
mit WMware als OpenStack-Computing- zuvor auf einem Computing-Knoten lie- zen der diversen Dienste von Quantum
fen, der zwischen- auf mehreren Hosts gleichzeitig laufen
zeitlich ausgefal- zu lassen. Konkret ist es also durchaus
len ist. Allein es möglich, mehrere DHCP- und L3-Agents
scheitert an der verteilt zur gleichen Zeit zu betreiben.
Umsetzung, denn Daraus ergeben sich zwei konkrete Funk-
Evacuate bietet tionen: Scale Out nach diesem Prinzip
zwar genau diese sorgt dafür, dass es nicht länger zwin-
Funktion, doch hat gend einen einzelnen Netzwerkknoten
OpenStack noch geben muss, der zum Nadelöhr wird.
immer kein zu- Überdies ist das neue Feature für Hoch-
verlässiges Mittel verfügbarkeit nützlich, denn der Ausfall
um festzustellen, des Hosts mit dem Netzwerkdienst be-
ob ein Computing- trifft nicht mehr automatisch sämtliche
Knoten ausgefal- VMs, und außerdem stehen mehrere al-
len ist oder nicht. ternative Quantum-Server zur Verfügung,
8YY`c[le^*1D`k[\ie\l\eM\ij`fecXjj\ej`Z_[`\<`^\ejZ_X]k\emfeMDj Im Klartext heißt die nahtlos die Funktion des ausgefalle-
Y\hl\d`d;Xj_YfXi[\[`k`\i\e% das, dass sich aus- nen Servers übernehmen können.

('/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Sicherheitsbeauftragte freuen sich, dass
OpenStack nun auf OpenVSwitch-Ebene
jetzt aufs Beste. Da ist es auch kein Wun-
der, dass neben den Grundfunktionen
ONLINE
nativ Iptables unterstützt. Das geht einher
mit der Tatsache, dass Security Groups in
die LBaaS-Funktion bereits im Dashboard
erscheint. Auch kleine Korrekturen sind
    
Nova ab sofort offiziell als „abandoned“ eingeflossen, zum Beispiel besteht nun     
gelten und Quantum der Alleinherrscher die Möglichkeit, VMs per Dashboard zu
über die Netzwerksicherheit ist. migrieren (8YY`c[le^ *) und sich eine 


Und dann ist da noch eine Funktion, für grafische Übersicht der genutzten Netz-
die die Quantum-Entwickler ganz beson- werktopologie anzuzeigen.
ders die Werbetrommel rühren: Load Ba-
lancing as a Service. Was klingt, als käme
es direkt aus der Marketing-Abteilung,
=Xq`k NEU!
bringt in Wirklichkeit eine sehr kom- OpenStack reift mit einer atemberauben-
plexe Funktion direkt in die Mitte von den Geschwindigkeit. Das macht sich
Quantum. Quantum lässt sich mit LBaaS insbesondere daran fest, dass in Grizzly
unmittelbar als Loadbalancer für ver- zwar immer noch viele neue und sehr
schiedene Dienste benutzen, ohne dafür nützliche Funktionen Einzug in Open-
 Tests aktueller Tablets
extra einen eigenen virtuellen Server mit Stack gehalten haben, diese werden aber und Smartphones
entsprechender Funktionalität zu brau- tendenziell kleiner und decken die Be-
chen. Quantum selbst wird zum Hard-
ware-Loadbalancer und kümmert sich
dürfnisse zusehends kleinerer Gruppen
ab. Gigantische Neuerungen wie Quan-
 Informationen zu Apps
unmittelbar im Netzwerkstack darum, tum in Folsom sucht man diesmal ver- und Systemtools
Pakete über die verschiedenen Instanzen gebens, dafür hat es viele mittelgroße
einer Cloud hinweg zu verteilen. Neuerungen und viel Liebe zum Detail
gegeben. Ein großer Wurf ist zweifellos
 App-Neuheiten
;Xj;Xj_YfXi[1>Xeqm`\c die Tatsache, dass Cinder und Quantum
HlXekld nun mit Schedulern daherkommen, die  Rubrik für Power-User
den nahtlosen Scale Out der Dienste
Nicht unerwähnt bleiben darf selbstver- ermöglichen und somit potenzielle Fla-  Workshops
ständlich die Komponente, mit der End- schenhälse eliminieren. Active-Directory-
user typischerweise den meisten Kontakt Support in Keystone dürfte für manche
haben: das Dashboard (8YY`c[le^ )), Unternehmen ein Killer-Feature sein und
 Tipps & Tricks
also Horizon. Grizzly steht für Horizon mögliche OpenStack-Ambitionen befeu-
ganz im Zeichen von Quantum, denn das ern. Zusätzlich sind es die vielen kleinen  und vieles mehr!
war eine der größten Baustellen seit der aber sehr nützlichen Erweiterungen und
Essex-Release im Oktober 2012. Bugfixes, die diese OpenStack-Version
Das Problem: Das Quantum-Team hatte sehr attraktiv erscheinen lassen. Zellen
zwar wie versprochen eine erste Version in Nova, Multifaktor-Authentifizierung in
von Quantum für Essex fertig bekommen, Keystone und verschiedene Backends für
allerdings wusste das Dashboard davon Glance sind zwar nicht bahnbrechend,
gar nichts und war im Grunde noch im- aber doch überaus nützlich. Wer sich mit
mer darauf ausgelegt, sich das Netz mit OpenStack gerade erst beschäftigt, sollte
Hilfe von Nova zu konfigurieren. Die das bereits auf Grizzly-Grundlage tun.
Nova-Entwickler schafften zwar einen Wer keines der neuen Features braucht,
teilweise funktionalen Workaround, in sollte sich trotzdem ein Update überle-
dem sie Nova so patchten, dass es in gen, denn die sprichwörtliche Hausmeis-
Quantum-Setups entsprechende Befehle terarbeit in Grizzly hat OpenStack sehr
an Quantum schickt, anstatt selbst die gut getan. Als Gesamturteil gilt: Daumen
Netzwerkeinstellungen vorzunehmen. hoch! (jcb) ■
In der Praxis hat sich dieser üble Hack
jedoch als wenig zuverlässig herausge-
stellt, noch immer ist für Folsom zum ;\i8lkfi
Beispiel ein Patch notwendig, wenn das DXik`e>\i_Xi[CfjZ_n`kqXiY\`k\kXcjGi`eZ`gXc
Web-Interface Floating-IPs verstehen soll. :fejlckXekY\`_Xjk\of%<iY\jZ_€]k`^kj`Z_[fik
In Grizzly ist damit Schluss, denn Hori- `ek\ej`m d`k ?fZ_m\i]•^YXib\`kjcjle^\e le[
zon hat hier ein völlig neues Backend g]c\^k`ej\`e\i=i\`q\`k[\eC`elo$:cljk\i$JkXZb
erhalten und versteht sich mit Quantum ]•i;\Y`Xe>EL&C`elo%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <  


 

8L J >8 9 < '* $)' ( * ('0
98 J @ : J DpJHC$JZ_\dX€e[\ie

ŸXli\dXi#()*I=

DpJHC$JZ_\dX€e[\ile^\e`dcXl]\e[\e9\ki`\Y

ve[\ile^\e
dX^\jZ_e\`[\ik
JZ_\dX€e[\ile^\e`eDpJHCbee\e\`e\?\iXlj]fi[\ile^j\`e%8Y\id`k[\ei`Z_k`^\eKffcjc€jjkj`Z_[`\8l]$
^XY\j\cYjkY\`^if\e;Xk\eYXeb\e\]]`q`\ekcj\e%;Xm`[9\ilY\
Ob im Umgang mit dem Smartphone tenbankschema ändern zu müssen. Im Änderungen durchgeführt sind. Dann ist
oder auf der Bank – relationale Daten- einfachsten Fall ist das trivial, alle Da- der bisher diskutierte Ansatz nicht prak-
banken begegnen einem überall. Sie tenbanken inklusive MySQL halten die tikabel. Was soll der Admin stattdessen
speichern für uns alle Arten von Daten nötigen Werkzeuge parat. Mit einem ein- tun?
in einem speziellen, wohl definierten fachen ALTER-TABLE-Statement lassen
Format. Im Gegensatz zu ihren jüngeren sich Spalten hinzufügen oder löschen, Fec`e\$JZ_\dX$ve[\ile^\e
NoSQL-Abkömmlingen verwenden sie Datentypen ändern und so fort. Das funk-
dabei ein festes Schema und akzeptieren tioniert so lange problemlos, so lange die Das Hauptproblem mit dem eingebau-
keine ungeordneten Daten. In der Theo- Datenbank relativ klein ist. ten ALTER-TABLE-Kommando ist, dass
rie entwickelt ein smarter Programmierer Hinter den Kulissen blockt MySQL alle es immer mit einer kompletten Tabelle
dieses Schema, das dann in dieser Form Aktivitäten, die die zu ändernde Tabelle arbeitet. Weil dabei große und sehr große
in die Produktion übernommen wird. betreffen. Will oder muss man mehrere Datenmengen betroffen sein können,
In der Praxis erfährt das Schema al- Tabellen ändern, erzeugt man so meh- kann das sehr lange dauern. Andererseits
lerdings zahlreiche Änderungen, bei- rere Locks. Selbst aufeinanderfolgende tangiert das Ändern einer leeren Tabelle
spielsweise, weil sich einige der ersten Änderungen derselben Tabelle können den Betrieb überhaupt nicht. Der Weg
Entscheidungen später als Irrtum her- zu mehrfachen Locks führen. So lange besteht deshalb darin, zuerst eine leere
ausstellen. Daraus resultierende Fehler, das Lock besteht, kann kein User und Kopie der korrekturbedürftigen Tabelle
die sich zuweilen erst sehr spät zeigen, keine Applikation die gesperrte Tabelle zu erzeugen. Das leistet in MySQL ein
müssen korrigiert werden. In anderen verwenden – die Datenbank ist mehr Statement wie
Fällen ändern sich die Anforderungen oder weniger nutzlos (jede Datenbank
CREATE TABLE xyz LIKE eine-andere-Tabelle;
im Laufe der Zeit und erzwingen Ände- behandelt die Situation allerdings ein we-
rungen, selbst wenn der erste Entwurf nig anders). Hat man diese leere Kopie angelegt, kann
vollkommen korrekt war. Derartiges ist In manchen Situationen mag man die man deren Struktur ändern und zum
meist unvorhersehbar. Locks akzeptieren können, sehr große Schluss die Daten herüberkopieren. Da-
Im Ergebnis stehen Admins nicht selten Tabellen können aber viele Minuten, bei ist es typischerweise nötig, die Daten
vor der Aufgabe, ein existierendes Da- Stunden, ja sogar Tage brauchen, bis alle langsam und Stück für Stück zu überneh-

((' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


DpJHC$JZ_\dX€e[\ie 98 J @ : J

men. Versucht man alle auf einmal zu Trigger dar. Damit sorgt dann MySQL Wer mit Ruby on Rails arbeitet, für den
kopieren, resultiert das typischerweise in selbst dafür, dass die Daten up-to-date ist der Large Hadron Migrator R)T eine
einer sehr schlechten Performance. bleiben. Wenn das alles nach sehr viel passende Lösung. Er arbeitet ähnlich wie
Das kommt daher, dass InnoDB die so Arbeit klingt – nicht verzweifeln: Es gibt die erwähnten Tools, aber auf Basis der
genannte Multi Version Concurrency gute Tools, die den gesamten Prozess au- in Ruby on Rails eingebauten Migrations-
Control (MVCC) unterstützt. MVCC be- tomatisieren. mechanismen.
wirkt, das umfangreiche Transaktionen Bevor demonstriert werden kann, wie
(wie das Kopieren einer großen Tabelle) ;XjG\iZfeXKffcb`k »pt-online-schema-change« funktioniert,
als einzelne, konsistente Aktion gehand- müssen ein paar Daten her. Das erledigt
habt werden. Wenn so ein Statement Für den oben beschriebenen Workflow das Skript in C`jk`e^(. Es braucht übri-
100 000 Zeilen kopieren soll, von denen existieren eine Reihe von Tools. Sowohl gens das Gem »progressbar«, das man im
einige modifiziert wurden, speichert es OpenArk als auch das Percona Toolkit Bedarfsfall mit
sowohl das Original als auch die neue R(T bieten Werkzeuge für Online-Ände-
gem install progressbar
Version. Das erzeugt einen Overhead, der rungen an Tabellen, die »oak-online-al-
oft kritisch wird. Deshalb ist das por- ter-table« beziehungsweise »pt-on- installiert. Nun kann man das Skript mit
tionsweise Kopieren häufig schneller. line-schema-change« heißen. Dieser
ruby create_test_data.rb
Das letzte Teil im Puzzle bildet die Auf- Artikel behandelt das Werkzeug von Per-
gabe, dafür zu sorgen, dass die Daten cona, weil es mehr Features bietet, dar- laufen lassen.
stets aktuell bleiben, auch wenn An- unter etwa die Unterstützung für Primary Progressbar ist übrigens bei vielen lang
wender beispielsweise die Quelltabelle Keys, die keine Integer-Werte enthalten, laufenden, nicht unterbrechbaren Tasks
während des Kopierens ändern. Die ein- oder das automatische Verlangsamen des nützlich. Es wird einfach mit einer Be-
fachste Methode das zu erreichen, stellen Slaves. schreibung und der Anzahl der abzu-

C`jk`e^(1¾Zi\Xk\Vk\jkV[XkX%iY½
01 require 'rubygems' 17 if ExampleModel.table_exists? 34
02 require 'active_record' 18 35
03 require 'progressbar' 19 ActiveRecord::Schema.drop_table :example_ 36 pbar = ProgressBar.new('creating sample
04 models records', number_of_sample_records)
05 number_of_sample_records = ENV['number_of_ 20 37
records'] || 10_000 21 end
38 number_of_sample_records.times do |i|
06 22
39
07 ActiveRecord::Base.establish_connection( 23 ActiveRecord::Schema.define do
40 ExampleModel.create(
08 :adapter => 'mysql', 24
41 :test_string_1=>"Test String 1 - ##{i}",
09 :host => 'localhost', 25 create_table :example_models do |t|
42 :test_string_2=>"Test String 2 - ##{i}",
10 :username => 'root', 26
43 :test_integer=>"Test Integer - ##{i}"
11 :password => 'your_mysql_password_goes_ 27 t.string :test_string_1
44 )
here', 28 t.string :test_string_2
12 :database => 'test') 29 t.integer :test_integer 45

13 30 46

14 class ExampleModel < ActiveRecord::Base; end 31 end 47 pbar.inc

15 32 48
16 33 end 49 end
ONLINE

MAGAZIN
LINUX-MAGAZIN NEWSLETTER
Nachrichten rund um die Themen Linux und
informativ Open Source lesen Sie täglich im Newsletter
Newsletter des Linux-Magazins.

kompakt

tagesaktuell
N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < www.linux-magazin.de/newsletter
8;D@E 8L J >8 9 < '* $)' ( * (((
98 J @ : J DpJHC$JZ_\dX€e[\ie

arbeitenden Einheiten aufgerufen. Nach installiert, lässt es sich mit folgendem men des Users und »p« für das Passwort.
Abschluss jeder Einheit wird seine Me- Aufruf testen: Eine vollständige Aufzählung der mögli-
thode »inc« benutzt. chen Optionen findet sich in der Doku-
pt-online-schema-change --dry-run 5
--alter 'ADD COLUMN test_string_3 5
mentation, die man mit dem Kommando
Gif^i\jjYXibfe]`^li`\i\e VARCHAR(255)' 5 »man pt-online-schema-change« oder
D=test,t=example_models,u=root, 5 auch auf der Percona-Webseite erhält.
Das vorgestellte Skript ist konfigurierbar. p=your_password_goes_here

Per Default erzeugt es nur 10 000 Zeilen, Das angeführte Kommando fügt der KifZb\ecXl]
man kann es aber auch mit 10 000 000 Tabelle »example_models« eine Spalte
Zeilen laufen lassen. »test_string_3« hinzu. Das Argument Besonders beachtenswert ist die Option
der Option »--alter« ist dabei ein SQL- »--dry-run«, die einen Trockenlauf an-
number_of_records=10000000 ruby5
create_test_data.rb
Fragment, genauer gesagt der »ADD stößt, indem sie eine neue Tabelle anlegt,
COLUMN«- oder »DROP COLUMN«-Teil ändert und dann wieder löscht. Auf diese
Ist das Skript einmal durchgelaufen, hat einer »>ALTER TABLE«-Anweisung. Weise lässt sich sicherstellen, dass das
man eine Datenbank mit einer Tabelle Mehrfache Ausdrücke sind hier mit Kom- verwendete SQL fehlerfrei ist. Die Ausga-
»example_models«, die die Testdaten ent- mas zu trennen. ben sollten denen in C`jk`e^) gleichen.
hält. Danach muss man das Percona Tool- Das letzte Argument spezifiziert die De- Ohne die »--dry-run«-Option würden
kit installieren, für das es RPM-, Debian- tails der Datenbankverbindung: »D« steht die Daten herüberkopiert, wobei Trig-
und Sourcecode-Pakete auf der Webseite vor dem Datenbanknamen, »t« gibt den ger auf jede von Anwendern geänderten
des Projektes gibt R*T. Ist das Toolkit Tabellennamen an, »u« steht für den Na- oder neu eingegebenen Daten reagieren
würden (C`jk`e^*). Die Terminalausga-
C`jk`e^)1KifZb\ecXl]¾gk$fec`e\$jZ_\dX$Z_Xe^\½ ben verweisen in diesem Fall auf 10 261
01 Starting a dry run. `test`.`example_models` 08 Not copying rows because this is a dry run. Zeilen, nicht auf exakt 10 000, weil »pt-
will not be altered. 09 Not swapping tables because this is a dry run.
online-schema-change« die Zeilenzahl
02 Specify --execute instead of --dry-run to alter 10 Not dropping old table because this is a dry
mit »EXPLAIN SELECT« schätzt und
the table. run.
03 Creating new table... 11 Not dropping triggers because this is a dry
nicht mit »COUNT *« zählt. Letzteres
04 Created new table test._example_models_new OK. run. wäre genauer, würde aber länger dauern
05 Altering new table... 12 Dropping new table... und könnte bei großen Tabellen Prob-
06 Altered `test`.`_example_models_new` OK. 13 Dropped new table OK. leme erzeugen.
07 Not creating triggers because this is a dry 14 Dry run complete. `test`.`example_models` was Vom Erfolg der Änderung kann man sich
run. not altered.
in der MySQL-Konsole überzeugen (C`$
jk`e^+). Mögliche Änderungen erschöp-
C`jk`e^*18lj^XY\mfe¾gk$fec`e\$jZ_\dX$Z_Xe^\½ fen sich natürlich nicht im Hinzufügen
01 pt-online-schema-change --execute --alter 09 Copying approximately 10261 rows... von Spalten; man kann auch Spalten lö-
'ADD COLUMN test_string_3 VARCHAR(255)' 10 Copied rows OK. schen, umbenennen, Datentypen ändern,
D=test,t=example_models,u=root,p=your_password_ 11 Swapping tables... Defaults setzen und so weiter – alles,
goes_here
12 Swapped original and new tables OK.
02 Altering `test`.`example_models`...
was mit einem »ALTER TABLE«-DDL-
12 Dropping old table...
03 Creating new table... Statement möglich ist.
13 Dropped old table `test`.`_example_models_old`
04 Created new table test._example_models_new OK.
OK.
05 Altering new table...
06 Altered `test`.`_example_models_new` OK. 14 Dropping triggers...
=Xq`k
07 Creating triggers... 15 Dropped triggers OK.
Eine Schemaänderung im laufenden Be-
08 Created triggers OK. 16 Successfully altered `test`.`example_models`.
trieb kann eine Herausforderung sein.
Aber mit den richtigen Tools erledigt man
C`jk`e^+1DpJHC$K\jk diese Aufgabe auch bei großen Daten-
# mysql test banken sauber und akkurat. Das Tool
»pt-online-schema-change« nimmt der
mysql> describe example_models;
Anwendung ihre Schrecken. (jcb) ■
+-----------------+----------------+--------+-------+-----------+------------------+
| Field | Type | Null | Key | Default | Extra |
+-----------------+----------------+--------+-------+-----------+------------------+
| id | int(11) | NO | PRI | NULL | auto_increment | @e]fj
| test_string_1 | varchar(255) | YES | | NULL | | R(T G \iZfeXKffcb`k1R_kkg1&&nnn%g\iZfeX%Zfd&
| test_string_2 | varchar(255) | YES | | NULL | | jf]knXi\&g\iZfeX$kffcb`kT
| test_integer | int(11) | YES | | NULL | | R)T C Xi^\?X[ifeD`^iXkfi1R_kkgj1&&^`k_lY%
| test_string_3 | varchar(255) | YES | | NULL | | Zfd&jfle[Zcfl[&cXi^\$_X[ife$d`^iXkfiT
+-----------------+----------------+--------+-------+-----------+------------------+
R*T G \iZfeX;fnecfX[1R_kkg1&&nnn%g\iZfeX%
5 rows in set (0.00 sec)
Zfd&[fnecfX[j&T

(() 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


MEDIALINX
IT-ACADEMY

IT-Online t ra ini ngs


i t E n lernen.
x p e r te
powered by

M
■ Lernen Sie, wo und wann Sie möchten. Effiziente BASH-Skripte
■ Sparen Sie Zeit und Kosten. mit Klaus Knopper,
■ Bleiben Sie trotz zeitlicher Engpässe
Gründer der Knoppix-Distribution,
KNOPPER.NET
up-to-date. 199 €

LPIC-1 / LPIC-2 Trainings Einfache IMAP-Server mit Dovecot


LPIC-1 (LPI 101 + 102) LPIC-2 (LPI 201 + 202) mit Peer Heinlein,
mit Ingo Wichmann, mit Marco Göbel, Heinlein Support GmbH
Linuxhotel Com Computertraining GmbH 249 €
499 € 499 €

– die offiziellen Trainings Python für Systemadministratoren


mit Marco Welter, mit Rainer Grimm,
Zarafa Deutschland GmbH science + computing AG
Zarafa Administrator Zarafa Engineer 199 €
249 € 249 €

www.medialinx-academy.de
98 J @ : J M`d
Ÿ8[Z_Xi`pX:_Xeg`gXk#()*I=

durchsuchen. Um rückwärts zu suchen,


JlZ_\ele[<ij\kq\e`dM`d$<[`kfi verwenden Sie »?Suchbegriff«. Im Prinzip

@dJlZ_\i
steckt dahinter ein System, das sich dem
deutschen Anwender nicht unbedingt er-
schließt: Auf der US-amerikanischen Tas-
tatur liegen diese beiden Buchstaben auf
derselben Taste. Per Default unterschei-
N\i^\c\iek_Xk#j`Z_f_e\:lijfi$KXjk\e[liZ_[\eM`d$<[`kfiqlY\n\$ det Vim hier Groß- und Kleinschreibung,
^\e#bXeej`Z_Xe[`\e€Z_jk\?\iXlj]fi[\ile^nX^\e1JlZ_\ele[<ij\k$ eine Suche nach »Vim« findet also weder
»vim« noch »VIM«.
q\e#Xl]NlejZ_XlZ_d`kI\^lcXi<ogi\jj`fejf[\i`ek\iXbk`m%9ilZ\9p]`\c[ Wollen Sie nach einem Treffer weiter-
suchen, drücken Sie die Taste [n]. Um
Als Abkömmling des alten Vi-Editors, nen, bringt einen wahren Schub für die alternativ weiter in der Datei nach oben
der aus dem Jahr 1976 stammt, ist Vim eigene Produktivität. zu suchen, verwenden Sie [N]. Die Sys-
einer der am weitestverbreiteten Text- tematik entspricht hier derjenigen der
editoren überhaupt, insbesondere in 9Xj`j$JlZ_\ Suche: Auch [n] und [N] unterscheiden
Linux-Distributionen. Bei den meisten ist sich nur durch einen [Shift]-Druck, aber
er standardmäßig enthalten und es gibt Wie Sie vielleicht wissen, gibt es in hiervon profitieren auch Anwender mit
kaum einen Anwender, der nicht mit ihm Vim zwei unterschiedliche Modi: den deutscher Tastatur.
Bekanntschaft gemacht hat – und sei es Befehlsmodus und den Einfügemodus.
nur, dass er oder sie unabsichtlich in den Man startet Vim im Befehlsmodus und Qn`cc`e^\]`e[\e
Vim-Editor gelangte und nicht wusste, drückt dann beispielsweise [i], um in den
wie man ihn beendet. Einfügemodus zu gelangen und Text ein- Das waren aber nur die absoluten Basics.
Viele Anwender lernen dann die grund- zugeben. Ein Druck auf die [Esc]-Taste Steht der Cursor auf einem bestimmten
legende Bedienung, gelangen aber kaum versetzt Vim wieder in den Befehlsmo- Wort und Sie drücken [*], springt er zum
darüber hinaus. Für viele bleibt zum Bei- dus. Am unteren Rand des Fensters zeigt nächsten Vorkommen dieses Worts in der
spiel die Suche in dem Texteditor immer Vim eine Statusleiste, in der etwa der Datei. Der umgekehrte Fall, zurück zu
ein Buch mit sieben Siegeln. Das ist sehr Einfügemodus gekennzeichnet ist. springen, lässt sich mit [#] erreichen.
verständlich, denn mit seinen vielen Ei- Die Befehle und Tastenkürzel für die Vim findet hierbei nur genau das Wort,
genheiten und Hunderten von Tastatur- reine Suche in Vim unterscheiden sich aber keine Substrings, eine Suche nach
kürzeln wirkt Vim oft eher wie ein eige- von denen für das Suchen und Ersetzen. »Admin« springt also nicht zu »Adminis-
nes Betriebssystem als wie ein Editor. Auf Wie die meisten anderen werden sie im trator«. Um das zu erreichen, verwenden
jeden Fall kann man seine umfangreichen Befehlsmodus eingegeben. Die grund- Sie die Tastenfolge [g][*] beziehungs-
Fähigkeiten nicht nutzen, wenn man sich legende Suche könnte kaum einfacher weise [g][#].
darauf beschränkt, mit den Cursor-Tasten sein: Geben Sie »/Suchbegriff« ein, um Weitere Variationen der grundlegenden
durch eine Datei zu navigieren. Sich ein von der aktuellen Cursor-Position ausge- Suchbefehle erlauben noch weitere Such-
paar grundlegende Suchbefehle anzueig- hend die Datei nach dem Suchbegriff zu optionen. Geben Sie nur [/] ein, nachdem

((+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Suchbegriff eintippt, aber nicht,
wenn man mit [*] sucht.
Sehr praktisch ist es auch, im
Text alle Fundstellen hervorzu-
heben. Das können Sie mit »:set
hlsearch« erreichen (8YY`c[le^

(). Standardmäßig verwendet

Vim dafür Gelb, mit der Einstel-

lung »:hi Search guibg=ASCII
COLOR« lässt sich das aber UÊ
ändern. Für die nächste Suche UÊ
schalten Sie die Hervorhebung UÊ
mit »:nohlsearch« ab. Dauerhaft UÊ
tut dies »:set nohlsearch«. UÊ
Noch bequemer ist es, mit »:set UÊ
incsearch« die sogenannte inkre- UÊ
mentelle Suche zu aktivieren.

Damit markiert Vim bereits ge-

8YY`c[le^(18l]NlejZ__\YkM`dXcc\=le[jk\cc\eY\`\`e\iJlZ_\^iX]`jZ__\imfi% fundene Wörter, während Sie

noch den Suchbegriff eintippen.
Sie einmal gesucht haben, wie- Sie auch vor der Suche den Be- Sucht man etwa bei diesem Ar-
derholt Vim die letzte Suche. Mit fehl »:set ignorecase« eingeben tikel nach »/Vi«, hebt Vim die
einer Zahl kombiniert, springt und die Einstellung damit für ersten beiden Buchstaben von
der Editor zu dem n-ten Vor- die aktuelle Sitzung dauerhaft »Vi-Editor« hervor. Tippt man
kommen des Suchbegriffs: »/5/ einschalten. Dauerhaft legen Sie nun noch ein »m«, springt die
command« springt also zu der diese Einstellung fest, indem Sie Markierung in den nächsten Ne-
fünften Stelle, an der der String den Befehl in die Konfigurations- bensatz zur ersten Erwähnung
»command« steht. Das lässt sich datei »$HOME/.vimrc« schrei- von »Vim«.
wiederum mit den eben beschrie- ben. Falls Sie dann doch einmal
benen Kürzeln kombinieren. So Groß- und Kleinschreibung un- DXib`\ile^\e
springt »/2*« zur zweiten Stelle, terscheiden wollen, verwenden
an der das aktuelle Wort steht. Sie eben den Schalter »/C«. Wenn Sie die grafische Hervor-
Per Default landet man dabei im- hebung praktisch finden, wollen
mer am Anfang des Suchbegriffs. JZ_cXl\iM`d Sie vielleicht manche ihrer Such-
Wollen Sie stattdessen ans Ende ergebnisse dauerhaft markieren.
springen, schreiben Sie hinter Eine weitere interessante Alterna- Das können Sie tun, indem Sie
den Suchbegriff »/e«. tiv dazu ist es, gleichzeitig »:set »mKleinbuchstabe« eingeben. Die
ignorecase« und »:set smartcase« Marke besteht dann aus einem
@^efiXek einzuschalten. Vim entscheidet Buchstaben zwischen a und z. Ist
dann anhand des eingegebenen eine Markierung gesetzt, sprin-
Die Unterscheidung von Groß- Suchbegriffs, ob er Groß- und gen Sie mit »'Buchstabe« dorthin.
und Kleinschreibung bei der Su- Kleinschreibung beachtet oder Zusätzlich zu ihrer Verwendung
che schalten Sie ab, indem Sie nicht. Enthält er einen Groß- als Ziel für Sprünge können Sie
»/c« an eine Suche anhängen. buchstaben, findet Vim nur diese die Marken auch für Textblocks
Verwenden Sie dagegen ein »/C«, Schreibweise, ansonsten ist er to- verwenden, also etwa um Text
wird die Unterscheidung wieder lerant. Die Smartcase-Einstellung von der aktuellen Cursor-Position
eingeschaltet. Alternativ können funktioniert nur, wenn man den bis zur Marke zu löschen. Ein
Nachteil der Marker ist, dass sie
KXY\cc\(19\jk€k`^le^Y\`dJlZ_\e<ij\kq\e nicht sichtbar sind. Sie müssen
<`e^XY\ =lebk`fe sich also selbst merken, wo Sie
p <ij\kq\Jki`e^ Markierungen gesetzt haben.
e |Y\ijgi`e^\e Alle diese Kürzel zu lernen,
X <ij\kq\Xcc\=fc^\e[\e braucht seine Zeit. Der Vim-
h JlZ_\e<ij\kq\eY\\e[\e Editor hilft dabei, indem er eine
c ;`\j\eJki`e^\ij\kq\e#[XeeY\\e[\e History der gefundenen Wörter
U< D`kRJki^T"R\T_fZ_jZifcc\e (nicht der Suchbegriffe) führt.
UP D`kRJki^T"RpT_\ilek\ijZifcc\e Um ein schon einmal gefundenes

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8L J >8 9 < '* $)' ( * ((,


98 J @ : J M`d

Wort noch einmal zu suchen, tippen Sie Analog dazu führt Vim die Ersetzung mit chens. Einen Bereich von Zeichen geben
[/] beziehungsweise [?] und verwenden »'d,'g« nur zwischen den Markierungen Sie innerhalb eckiger Klammern an, etwa
dann die Pfeiltasten, um durch die His- »d« und »g« aus. Alternativ ist auch die »[a-z]«. Steht innerhalb der Klammern
tory zu scrollen. Angabe einer relativen Position mög- zu Beginn ein »^«, wird der Bereich ne-
lich. So ersetzt Vim mit »./$« gefundene giert.
JlZ_\ele[<ij\kq\e Strings in allen Zeilen von der aktuel- Wer Regular Expressions von anderen
len bis zur letzten; »./+N« macht das Programmen oder Programmiersprachen
Wie schon erwähnt, ist Suchen und Erset- gleiche für die folgenden N Zeilen. Mit kennt, sollte daran denken, dass sie sich
zen in Vim eine vom Suchen vollkommen »g/^String/« ersetzt Vim das Suchmuster von denen in Vim möglicherweise un-
getrennte Funktion. Grundsätzlich sieht nur in Zeilen, die mit dem angegebenen terscheiden. Gerade beim Ersetzen sollte
der Befehl für eine Ersetzung so aus: String beginnen. man das Suchmuster lieber noch einmal
Neben »g« gibt es auch noch weitere Op- überprüfen. Für den Fall, dass die einge-
%s/Suchbegriff/Ersetzung/g
tionen, die als Modifikatoren hinter dem setzten Regular Expressions unerwartete
Das Prozentzeichen zu Beginn zeigt an, Ersetzungsstring folgen dürfen. Dies sind Nebeneffekte haben, gibt es sonst immer
dass sich der Befehl auf die ganze Datei »i« (ignoriere Groß-/Kleinschreibung), noch das Undo-Kommando.
bezieht. Das »g« am Ende steht für „glo- »l« (achte Groß-/Kleinschreibung) und Speziell bei Regular Expressions emp-
bal“ und bedeutet, dass Vim den String »c« (bestätige Ersetzung). Im letzten Fall fiehlt es sich, eine von Vim unterstützte
auch ersetzt, wenn er in einer Zeile mehr- fragt der Editor bei jedem Fund nach, was Grep-Version zu verwenden: entweder
mals vorkommt. In der Praxis werden er machen soll (siehe KXY\cc\(). die externen Befehle »grep« und »lgrep«
meist diese beiden Optionen verwendet. oder die eingebauten Vim-Befehle »vim-
Den Grundbefehl können Sie auf mehr- I\^lcXi<ogi\jj`fej grep« und »lvimgrep«. Der übliche Rat
fache Weise variieren. Lassen Sie das lautet, für einfache Suchaufträge die ein-
Prozentzeichen weg, sucht Vim nur in Vim hat seine eigene Version von Regular gebauten Kommandos zu verwenden, sie
der aktuellen Zeile. Ersetzen Sie es durch Expressions R(T, die sich beim Suchen aber für komplizierte zu vermeiden, weil
einen Bereich, etwa »4,6,«, sucht Vim nur (und Ersetzen) verwenden lassen. Dabei sie nicht sehr schnell sind. Die Ergebnis-
in den Zeilen 4 bis 6: gibt es die üblichen Verdächtigen wie ».« liste für Suchen mit »grep« und »vimgrep«
für ein Zeichen und »*« für die optionale öffnen Sie mit »:cw« oder »:copen«; bei
:4,6,s/Vim/Foom/ mehrmalige Wiederholung eines Zei- »lgrep« und »lvimgrep« sind es die Be-
fehle »:lw« und »:lopen« R)T.
Wie andere Anwendungen lassen sich
auch die Suchfunktionen in Vim durch
Plugins erweitern. Das Plugin Ack.vim
R*T erlaubt die Suche mit dem Ack-
Utility R+T, das für rekursive Suchen in
Quellcode-Dateien optimiert ist. Ein an-
deres populäres Plugin ist SearchCom-
plete R,T, das Vim beim Suchen mit Tab-
Vervollständigung ausstattet, wie viele
Anwender sie von der Bash-Shell kennen.
Schließlich bleibt als letzter Ausweg auch
noch der Gvim-Editor (8YY`c[le^)), der
Anwender mit dem gewohnten Dialog-
fenster beglückt. (ofr) ■

@e]fj
R(T I\^lcXi<ogi\jj`fej1R_kkg1&&nnn%
cX^dfejk\i%fi^&[fZj&m`i\T
R)T ;Xk\`\e]`e[\e`eM`d1R_kkg1&&m`d%n`b`X%
Zfd&n`b`&=`e[V`eV]`c\jVn`k_`eVM`dT
R*T 8 Zb%m`d1R_kkg1&&nnn%m`d%fi^&jZi`gkj&
jZi`gk%g_g6jZi`gkV`[4),.)T
R+TFc`m\i=ifdd\c#8Zb#[XjY\jj\i>i\g1
R_kkg1&&nnn%X[d`e$dX^Xq`e%[\&E\nj&
K`ggj&8;D@E$K`gg$8Zb$[Xj$Y\jj\i\$>i\gT
8YY`c[le^)1>Xeqf_e\KXjkXklib•iq\c1;`\^iX]`jZ_\M\ij`femfeM`dlek\ijk•kqk8en\e[\iY\`[\iJlZ_\d`k R,T J\XiZ_:fdgc\k\1R_kkgj1&&^ `k_lY%Z fd&
[\dmfeXe[\i\e8en\e[le^\eY\bXeek\e;`Xcf^]\ejk\i% m`d$jZi`gkj&J\XiZ_:fdgc\k\T

((- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Jfe[\ik\`c
8l][\i]fc^\e[\eJ\`k\jkXik\k[\ii\^\cd€`^\
=i\\O$Jfe[\ik\`c[\j8;D@E$DX^Xq`ej%?`\i]`e[\e
J`\Befn$_fn$8ik`b\cle[Nfibj_fgjmfe\i]X_$
i\e\e8lkfi\eXlj[\icXe^\eKiX[`k`fe[\i=i\\O% Q=J% % % % % % % % % % % % % % % % % % % % % % % % % % % % % % % ((/
N`\=i\\9J;mfdXl\i^\n_ec`Z_c\`jkle^jjkXib\e
JfcXi`j$=`c\jpjk\dQ=Jgif]`k`\ik%
Ÿp\nb\f#()*I=

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ((.


Q=J

Q=Jlek\i=i\\9J;Æ;Xk\ej`Z_\i_\`kXl]e\l\eN\^\e

8jkifefd`jZ_
ŸEf\cGfn\cc#()*I=%Zfd

;XjmfeJle\ekn`Zb\ck\;Xk\`jpjk\dQ=J`jklek\iJfcXi`j\`e\]\jk\>i\%<jY`\k\k<`^\ejZ_X]k\e#[`\bfe$
k ` b ck k ` k `k k c ` ` ] k  Y` k k
m\ek`fe\cc\;Xk\`jpjk\d\mfe=i\\9J;#C`elof[\iFJOm\id`jj\ecXjj\e%;\iQ=J$Gfik]•i=i\\9J;Yi`e^k[Xj
c\`jkle^j]€_`^\Jpjk\d]•i8en\e[\i]i\`\iJf]knXi\`eI\`Z_n\`k\%A•i^\e;Xebfn\`k

Im Jahr 2004 trat ein neues und extrem Angesichts dieser Umstände wurde bei Einige dieser Probleme beseitigt der un-
leistungsfähiges Dateisystem mit inte- ZFS ein mehr als dreißig Jahre altes ter FreeBSD verfügbare Journaling-Me-
griertem Volume Management die Bühne Dateisystemkonzept umgekrempelt. So chanismus Gjournal, allerdings erkauft
der Betriebssysteme: das Zettabyte File- sehen Dateisysteme wie Ext4 oder UFS2 man sich damit auch weitere Probleme,
system oder kurz ZFS. Das von Sun ent- nur die Verwaltung von Dateien, Attribu- wie die technische Beschreibung von ZFS
wickelte Dateisystem ist als Antwort auf ten und Berechtigungen vor, aber nicht zeigen wird.
den stetig steigenden Speicherbedarf mo- das Management von Datenträgern.
derner Anwendungen konzipiert. Auch Hier setzt ZFS an. Es verwaltet nicht Jg\`Z_\i_le^i`^
die zunehmende Anforderung an Daten- nur die extrem großer Speichermengen,
sicherheit spielte bei der Entwicklung sondern bietet auch einen integrierten Natürlich hat ZFS gegenüber UFS2 auch
eine große Rolle. Volume-Manager, Transaktionsmechanis- Nachteile. Ein Minuspunkt von ZFS ge-
Zum Glück für die Open-Source-Welt men und Snapshots. Teilweise macht es genüber anderen Dateisystemen ist, dass
wurde der Quelltext von ZFS freigegeben. dabei Anleihen bei der RAID-Technolo- es sehr viel Arbeitsspeicher benötigt.
Dies ermöglichte FreeBSD-Entwicklern – gie, die ebenfalls den um sich greifen- Von daher scheiden für einen effektiven
allen voran Pawel Jakub Dawidek – ZFS den Einsatz preisgünstiger Festplatten Einsatz 32-Bit-Systeme wie FreeBSD/386
in die FreeBSD-Welt zu portieren. Es war berücksichtigte. aus, da der Adressraum mit maximal drei
eine gewaltige, aber sehr erfolgreiche Sicher ist auch UFS2 ein leistungsfähiges GByte nicht mehr dafür ausreicht, ZPools
Kraftanstrengung, die FreeBSD für An- Dateisystem, aber wenn die Speicherka- im TByte-Bereich zu verwalten. Mit der
wendungen im Bereich der Web- und pazität eines Datenträgers ausgeschöpft 64-Bit-Version von FreeBSD (amd64), die
Maildienste attraktiv machen. ist, wird UFS2 sehr langsam. Das liegt an für Intel- und AMD-Systeme bereitsteht,
den relativ ineffizienten Algorithmen zur macht der Betrieb von ZFS mit etwa vier
Bfdg\ej`\ik Datenverwaltung. GByte richtig Spaß und ZFS zeigt seine
Auch UFS2 bietet Snapshots, aber sie Leistungsfähigkeit. Zunächst ein kurzer
In Zeiten immer weiter fallender Festplat- weisen gegenüber ZFS entscheidende Überblick über die Merkmale von ZFS:
tenpreise stellt sich die Frage, ob man die Nachteile auf: Sie belegen sehr viel Spei- ■ Datenintegrität wird durch Prüfsum-
für eine Firma lebenswichtigen Daten die- cherplatz, machen das Dateisystem fühl- men über die Daten erreicht.
sen Massenspeichern noch anvertrauen bar langsamer und sind in der Adminis- ■ Es lassen sich mehrere Speicherein-
darf. Der Grund liegt nicht nur in der tration sehr umständlich. Weiterhin ma- heiten zu einem Storage Pool zusam-
mechanischen Stabilität. Es ist auch die chen die klassischen Dateisysteme nach menfassen.
immer weiter steigende Packungsdichte einem Systemabsturz einen sehr langen ■ Jede ZFS-Dateioperation findet als
der einzelnen Sektoren, die nicht unbe- und speicherintensiven Filesystem-Check Transaktion statt, die in einem Journal
dingt für höhere Datensicherheit sorgt. notwendig. protokolliert wird.

((/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Q=J

■ Es lassen sich Shares für SMB/CIFS Die unterste Ebene ist der sogenannte ■ ZFS-RAIDZ2: Hierbei handelt es sich
oder NFS anlegen und es besteht die Storage-Pool-Manager. Besonders her- um ein RAID6. Es müssen mindestens
Möglichkeit, ein Volume als iSCSI- vorzuheben ist der ZFS-Intent-Log (ZIL), vier Festplatten vorhanden sein, um
Target oder für Swapping zu definie- die Cache-Verwaltung mit dem Adaptive einen solchen Pool anzulegen. Daten
ren. Die FreeBSD-Version bietet im Replace Cache (ARC) und dem Second und Prüfsummen werden ebenfalls
Moment allerdings nur NFS. Level Adaptive Replace Cache (L2ARC). auf alle Platten verteilt. Allerdings
■ Um die Administration der Pools zu Während ZIL Schreibvorgänge in einem dürfen bei diesem Typ zwei Fehler-
erleichtern, stehen statt langer Skripte Journal protokolliert, verhält sich der fälle auftreten.
einfache und leicht erlernbare Befehle ARC/L2ARC wie ein zweistufiger Read- ■ ZFS-RAIDZ3: Dieser Typ ist eine Wei-
zur Verfügung. Die Unabhängigkeit Cache, wobei der ARC sich im Arbeits- terentwicklung von ZFS-RAIDZ2.
vom Endian-Typ erleichtert die Admi- speicher und der L2ARC auf einer Fest- Hier dürfen drei Fehlerfälle auftreten,
nistration zusätzlich. platte (oder SSD) befindet. ohne dass es zum totalen Datenverlust
■ ZFS erkennt und korrigiert versteckte kommt.
Fehler in der Datenübertragung (End- Mfcld\$DXeX^\i ZFS fasst diese Funktionen zusammen
to-End Data Integrity). und bildet aus den physischen Daten-
■ Bei ZFS handelt es sich um ein Herkömmliche Dateisysteme verwalten trägern zunächst eine logische Einheit.
128-Bit-Filesystem. Das bedeutet, es in der Regel nur eine Partition. Unter- Diese wird im ZFS-Sprachgebrauch Sto-
lassen sich 256 Quadrillionen Zetta- stützt werden sie dabei meist durch ei- rage Pool genannt. Innerhalb eines Pools
bytes verwalten. Verzeichnisse dürfen nen Logical-Volume-Manager (LVM), lassen sich dann beliebig viele logische
bis zu 256 Trillionen (= 248) Einträge der physische Partitionen zu logischen Partitionen (mit je einem Dateisystem) –
aufnehmen. An diesen Werten lässt zusammenfasst. Als Nebenprodukt kann auch Datasets genannt – anlegen.
sich ablesen, dass es keine realistische ein LVM auch Funktionalitäten wie RAID, Dies erinnert alles stark an Hardware-
Grenze für die Zahl der Dateien in Kompression oder Verschlüsselung be- RAID-Controller. Im Unterschied dazu
ZFS gibt. reitstellen. Der Volume-Manager von ZFS können bei ZFS die logischen Partitionen
■ ZFS interpretiert den Begriff „Daten- kennt derzeit vier RAID-Typen: dynamisch wachsen und schrumpfen,
satz“ oder „Dataset“ neu: Für konven- ■ ZFS-Mirror: Eine gerade Anzahl von soweit die Größe des Pools es zulässt.
tionelle Dateisysteme ist ein Datensatz Festplatten wird zu einem Spiegel zu- Interessant ist dabei, dass jeweils die
ein Datenpaket. Bei ZFS ist es aber sammengefasst. Die Speicherkapazität volle Bandbreite zur Verfügung steht.
ein Abschnitt im Dateisystem, der die entspricht der Hälfte der Gesamtkapa- Weiterhin stellt dieser Pool eine Abs-
Möglichkeit bietet, nach dem Mounten zität aller Festplatten. traktionsebene für Funktionen zum Be-
Daten zu speichern. ■ ZFS-RAIDZ1: Dieser RAID-Typ ent- legen (malloc) und Freigeben (free) von
Um die Gründe für die Leistungsfähig- spricht einem RAID5. Mindestens drei Speicherbereichen auf Datenträgern be-
keit von ZFS zu verstehen, muss man Festplatten bilden hier ein Laufwerk. reit. In 8YY`c[le^) ist der Unterschied
in die Tiefen dieser Software hinabstei- Die Daten und Prüfsummen werden grafisch dargestellt.
gen. 8YY`c[le^( zeigt den prinzipiellen auf alle drei Platten verteilt. Es darf Im Gegensatz zu klassischen Dateisyste-
Aufbau. maximal ein Fehlerfall eintreten, ohne men wie Ext4, UFS2, FAT16 oder FAT32
dass es zu einem Totalausfall kommt. ist ZFS ein so genanntes Transactional
Q=J$8iZ_`k\bkli
AX`cj
AX`cj q]j
q]j
Die oberste Ebene bildet die Schnittstelle
Lj\icXe[

zum Userland und anderen Diensten, L=J) E=J#`J:J@


L=J) E=J#`J:J@ c`Yq]j
welche die Daten im Netzwerk bereit- c`Yq]j
stellen. Dieser Layer wird Interface Layer
B\ie\c

genannt. Dies ist auf der einen Seite


ein Posix-Layer, um Netzwerkdateisys- QGC1Q=J$Gfj`o$CXp\i
QGC QMFC &[\m&q]j QMFC1Q=J$Mfcld\$<dlcXkfi
teme wie NFS über die entsprechenden
Daemons an ZFS anzubinden. Auf der
anderen Seite dient der ZFS-Volume-Emu-
Q@C1Q=J$@ek\ek$Cf^
lator dazu, eine Schnittstelle für andere Q@C Q8G ;DL Q8G1Q=J$8kki`Ylk\$GifZ\jjfi
lokale Dateisysteme wie beispielsweise ;DL1;XkX$DXeX^\d\ek$Le`k
;JC1;XkXj\kJeXgj_fkCXp\i
UFS2, Auslagerungsdateien oder iSCSI zu ;JC KiXm
KiXm1KiXm\ijXcDXeX^\i
bieten. Auch Jails kommunizieren über
8I:18[Xgk`m\$I\gcXZ\$:XZ_\
diese Ebene mit ZFS. Die nächste Schicht
C)8I:1J\Zfe[C\m\c8I:
ist der Transactional Object Layer, gewis- 8I:
Q@F M;<M :FE= Q@F1Q=J$@&F$G`g\c`e\
C)8I:
sermaßen das Herz von ZFS. Hier findet M;<M1M`iklXc;\m`Z\j
:FE=1:fe]`^liXk`feDXeX^\i
die Verwaltung der Snapshots, Transak-
tionen und Datenverwaltung statt. 8YY`c[le^(18l]YXlmfeQ=J%

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ((0


Q=J

Filesystem. Das bedeutet, dass es sämt-


9`j_\i`^\jDf[\cc1 E\l\jDf[\cc1
liche Dateioperationen durch Transaktio- CMDle[=`c\jpjk\d JkfiX^\$Gffcd`kQ=J
nen absichert. Hierzu ein kurzer Ausflug
in die Welt der Transaktionen: Sie werden
Y\c`\Y`^\j Y\c`\Y`^\j =`c\jpjk\d1 =`c\jpjk\d1
meist im Bereich der relationalen Da- %%%
=`c\jpjk\d =`c\jpjk\d Q=J Q=J
tenbanken eingesetzt, um Daten konsis-
tent zu halten. Eine Transaktion ist eine
%%%
logisch zusammengehörige Folge von
einzelnen Operationen. Entweder alle
Befehle der Transaktion werden ausge- CMD CMD Q=JJkfiX^\$Gffc
führt und die entstandenen Änderungen
werden übernommen (Commit) oder alle
Änderungen werden rückgängig gemacht,
?;; ?;; ?;; %%% ?;;
als ob die Transaktion nie stattgefunden
hätte (Rollback).
Dieses Modell wurde auch in ZFS reali-
siert. Traditionelle Dateisysteme schrei- 8YY`c[le^)1Lek\ijZ_`\[qn`jZ_\eCMDle[JkfiX^\Gffc%
ben Daten sofort an die zuvor durch Al-
gorithmen ermitteltete Stelle auf den Da- auf die neuen Blöcke. Da auch dies wie- Firmen gespart, was das Risiko für Da-
tenträger (oder wenn sie die Cache-Daten der eine Transaktion darstellt, wird nur tenverlust vergrößert. Meistens gibt es
auf die Festplatte schreiben). Wenn nun nach einem erfolgreichen Abschluss der Backups, aber das Zurückspielen und Er-
wegen eines Stromausfalls der Eintrag im nächste und letzte Schritt durchgeführt: gänzen der Daten verursacht auch nicht
Verzeichnisbaum nicht mehr geschrieben Der Super-Node wird neu geschrieben. unerhebliche Kosten.
werden kann, liegt eine Inkonsistenz vor, Auch dies ist wieder durch eine Transak- Das Forschungsinstitut CERN hat zu
die erst ein Dateisystem-Check wieder tion abgesichert. dieser Problematik eine Untersuchung
auflöst. durchgeführt. Dazu hat es eine Appli-
Bfej`jk\eq^XiXek`\ik kation entwickelt, die im Abstand von
AflieXc`e^ einer Sekunde ein MByte Daten schreibt,
Wie man anhand der beschriebenen bis die Dateigröße ein GByte erreicht hat.
Abhilfe für dieses Problem schaf- Schritte schnell erkennen kann, bleibt bei Anschließend wurde die Datei ausgelesen
fen Dateisysteme mit Journaling wie einem Stromausfall das Dateisystem in und mit den ursprünglichen Daten vergli-
JFS (Journaling File System) von IBM einem konsistenten Zustand. Da nur mit chen. Dieses Experiment wurde auf 3000
oder das GEOM-Modul Gjournal unter Kopien der Nodes und Blöcke gearbeitet Servern mit Hardware-RAID5 durchge-
FreeBSD. Dabei werden sämtliche Ände- wird, bleiben im schlimmsten Fall die führt. Nach drei Wochen hatten die For-
rungen am Dateisystem in einem Journal Originale erhalten, während die Kopien scher 152 sogenannte „Silent Errors“ pro-
protokolliert. Im Falle eines Falles wird verloren sind. tokolliert. Das sind Fehler, die nicht sofort
dieses Journal abgearbeitet und so das Die Transaktionsmethode Copy on Write auffallen. Ein Hardware-RAID5 meldet
Dateisystem wieder in einen konsisten- bietet außerdem auf einfache Art und demgegenüber nur Fehler, die sofort auf-
ten Zustand versetzt. Diese Methode hat Weise Snapshots: Die Originalblöcke wer- fallen (Noisy Errors). Dies sollte jedem
aber den Nachteil, dass das Journal Plat- den einfach nicht freigegeben. So erhält Administrator zu denken geben, der Wert
tenplatz benötigt. Doch was ist, wenn man die Möglichkeit, jederzeit zum vor- auf Datenintegrität legt.
bei Stromausfall das Journal nicht mehr herigen Stand der Datei zurückzukeh- Abhilfe schafft hier wieder ZFS. Es bie-
geschrieben werden kann? ren. Kostengünstiger können Snapshots tet im Moment als einziges Dateisystem
ZFS verwendet die Transaktionsmethode nicht sein. Außerdem benötigen sie im die Möglichkeit, die Datenintegrität von
des Copy on Write (COW). 8YY`c[le^* Gegensatz zur klassischen Methode der Anfang bis Ende zu gewährleisten, im
zeigt, wie diese Methode funktioniert. Snapshots kaum Systemresourcen. Fachjargon „End to End Data Integrity“
Wie bei allen modernen Dateisystemen genannt. Herkömmliche Dateisysteme
liegen die Daten in einer baumartigen J`Z_\i68Y\ij`Z_\i speichern eine Prüfsumme zusammen
Struktur vor (1). Die Wurzel bildet der mit dem Datenblock. Außerdem wird
Super-Node, die Daten sind in den Blö- In vielen Unternehmen ist es heute lei- die Prüfsumme von der Festplatte selber
cken gespeichert. Im nächsten Schritt der so, dass EDV und die dazugehörigen erzeugt und umfasst meist eine Breite
(2) werden die Blöcke kopiert, in denen Dienstleistungen unter einem enormen von acht Bit. ZFS arbeitet hier anders.
Daten verändert werden sollen. Die Ori- Kostendruck stehen, was der Satz „EDV Die Prüfsummen werden statt von der
ginalblöcke bleiben dabei erhalten. So- darf nichts kosten“ gut charakterisiert. Hardware von ZFS selbst erzeugt und
bald diese Transaktion erfolgreich abge- Dies schlägt sich auch in der Qualität in den Nodes abgelegt. Jeder Node ent-
schlossen ist, werden die Nodes kopiert der Komponenten nieder. Gerade bei der hält die Prüfsumme des untergeordneten
und deren Pointer zeigen gegebenenfalls Qualität der Festplatten wird in vielen Node. Diese Struktur nennt man validie-

()' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


3 AUSGABEN
FÜR NUR 5,90 %
Jetzt bestellen:
beestellen: 3 Hefte zum Preis von einem. Sie sparen 66 %
%!

KENNENLERN-
ANGEBOT:
3 AUSGABEN
für nur 5,90 %
Jetzt bestellen unter:
www.android–user.de/miniabo
K\c\]fe'.(*(&).'.).+›=Xo'.(*(&).'../-'(›<$DX`c1XYf7Xe[if`[$lj\i%[\
Q=J

render Merkle-Baum. Dabei lässt sich der Wenn erhöhte Datensicherheit das über- Im Gegensatz zu Hardware-RAID-Syste-
Algorithmus zur Berechnung der Prüf- geordnete Ziel ist, setzen viele Firmen men bietet ZFS dynamische Stripe Sets.
summe frei wählen. Im Moment stehen auf Hardware-RAIDs vom Typ 5. Dazu Das ist eine Sammlung von Blocks, die
die Algorithmen »fletcher2«, »fletcher4« braucht man mindestens drei Festplatten, als Einheit behandelt werden. Die Aus-
und »SHA256« zur Verfügung. Die Prüf- wobei die Blöcke mit der Prüfsumme und wahl der Stripe-Set-Größe erfordert sehr
summe, die von der Hardware erzeugt die Blöcke mit den Daten nach einem viel Fingerspitzengefühl seitens des Ad-
wird, spielt dabei keine Rolle. Wie man bestimmten Muster auf alle Festplatten ministrators, da ein zu groß gewähltes
leicht erkennen kann, werden Fehler da- verteilt werden. Bei ZFS heißt dieses Ver- Stripe Set bei kleinen Dateien unnötig
mit sehr unwahrscheinlich. Es gibt Admi- fahren RAID-Z. Platz verschwendet.
nistratoren, die empfehlen, die Verwal- Umgekehrt erzeugen zu klein gewählte
tung der Prüfsummen aus Performance- N\e`^\iFg\iXk`fe\e Stripe Sets bei großen Dateien Perfor-
gründen abzuschalten. Davon ist aber im mance-Verluste. ZFS bietet auch auf diese
Hinblick auf Datensicherheit abzuraten. Wenn nun eine Platte ausfällt, kann diese Problematik eine Antwort. Es passt die
vom RAID-Controller leicht wiederher- Stripe Sets dynamisch an und erreicht
J\cYjk_\`c\e[ gestellt werden. Allerdings erkauft man somit immer die optimale Verarbeitungs-
sich diese Zuverlässigkeit mit erhebli- geschwindigkeit.
Wenn man nun alle bisher genannten Ei- chen Geschwindigkeitsverlusten. Um
genschaften auf die RAID-Funktionalität einen Datenblock zu modifizieren, sind 8ejZ_cljj]€_`^
überträgt, erhält man die Möglichkeit, drei Operationen notwendig: Daten le-
dass sich ein Dateisystem selbst repariert. sen, modifizieren und wieder schreiben. In großen Rechnerverbünden werden Da-
In ZFS wurde dies verwirklicht. Zur Er- Ebenso ist ein Beschreiben von über das ten oft zentral auf iSCSI-Systemen gespei-
läuterung soll ein ZPool vom Typ Mirror gesamte RAID zufällig verteilten Blöcken chert. iSCSI ist eine Kombination aus der
dienen, der die Daten auf einer zweiten (random write) ein Performance-Desas- bewährten und zuverlässigen, zwanzig
Platte spiegelt. Bei Lesen von der ersten ter. Nicht zu unterschätzen ist auch das Jahre alten SCSI-Technologie und dem
Platte erkennt ZFS kaputte Daten. Daher sogenannte „Schreibloch“: Dies tritt auf, Internet-Protokoll IP. ZFS mit FreeBSD
greift es auf die Spiegelplatte zurück, um wenn zwischen dem Schreiben der Nutz- kann als kostengünstiger iSCSI-Initiator
von dort die korrekten Informationen zu daten und der Parity-Daten ein Stromaus- für die verschiedensten Betriebssysteme
lesen. Soweit besteht kein Unterschied fall auftritt. auftreten, ohne dafür teure Hardware
zwischen einem Hardware-RAID vom Auch hier spielt ZFS wieder seine Stärken anzuschaffen. Auch die Administration
Typ 1 und ZFS. Im Gegensatz zum Hard- aus. Durch den Transaktionsmechanis- solcher Datenpools ist in der Regel mit
ware-RAID repariert ZFS die Daten auf mus Copy on Write fällt nur eine Opera- nur wenigen Befehlen erledigt.
der ersten Festplatte wieder. Das bedeu- tion an: Schreiben. Bedingt durch Copy- In Sachen Performance ist die ZFS-Lö-
tet, dass beim nächsten Zugriff auf die on-Write gibt es auch kein Schreibloch sung nicht schlechter zu bewerten als
Informationen wieder alles in Ordnung mehr. Auch das angesprochene Random- klassische Hardware-Systeme. Im Mo-
ist. Diese Reparatur geschieht unmerklich Write ist bedingt durch die internen Opti- ment bietet FreeBSD eine iSCSI-Lösung
im Hintergrund. 8YY`c[le^+ zeigt den mierungsalgorithmen nur mit minimalen noch nicht als Bestandteil des Betriebs-
Ablauf grafisch. Geschwindigkeitseinbußen verbunden. systems an, allerdings steht mit »istgt« in
den Ports eine leistungsfähige Software
(%8e]Xe^jqljkXe[ )%Bfg`\i\e[\i9cZb\ für iSCSI-Targets zur Verfügung. Im Unix-
Jlg\i$Ef[\ Jlg\i$Ef[\ Bereich ist auch in der heutigen Zeit NFS
die erste Wahl, wenn es um eine zen-
Ef[\ Ef[\ tralisierte Bereitstellung von Daten geht.
FreeBSD bietet im Moment keinen spe-
Ef[\ Ef[\ Ef[\ Ef[\ ziell an ZFS angepassten NFS-Daemon.
Man geht hier den Umweg über das vor-
9cfZb 9cfZb 9cfZb 9cfZb
9cfZb 9cfZb
9cfZb 9cfZb
handene Tool »nfsd«.
Die lange Liste der positiven Eigenschaf-
*%8ec\^\e[\ie\l\eEf[\j +%Jlg\ief[\e\ljZ_i\`Y\e ten von ZFS bietet zwei weitere inter-
essante Punkte: Datenkompression und
Jlg\i$Ef[\ Jlg\i$Ef[\
Datenverschlüsselung. Während die Da-
Ef[\ Ef[\ tenkompression bereits implementiert ist,
Ef[\
sucht man die Datenverschlüsselung in
Ef[\ Ef[\ Ef[\ Ef[\ der FreeBSD-Version von ZFS vergebens.
Ef[\ Hier hat Oracle mit seiner strengen Li-
9cfZb 9cfZb 9cfZb 9cfZb 9cfZb 9cfZb zenzpolitik einen Riegel vorgeschoben.
9cfZb 9cfZb
Die implementierte Datenkompression
8YY`c[le^*1KiXejXbk`fejd\k_f[\Ù:fgpfeNi`k\È`eQ=J% arbeitet vollständig transparent und ist

()) 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Q=J

für jeden ZPool individuell bestimmbar.


=\_c\i_X]k\e ;Xk\eYcfZb =\_c\i_X]k\e
Dabei lassen sich für die Kompression ;Xk\eYcfZb mfdJg`\^\c ;Xk\eYcfZb
der Daten im Moment die beiden Ver- \`e^\c\j\e \`ec\j\e bfii`^`\i\ele[
qli•ZbjZ_i\`Y\e
fahren Gzip und LZJB (Lossless Data
Compression) auswählen, die beide auf
Geschwindigkeit und Zuverlässigkeit hin 8en\e[le^ 8en\e[le^ 8en\e[le^
8en\e[le^ 8en\e[le^ 8en\e[le^
optimiert wurden.

@e[\iGiXo`j1\`eD`iifi\[
Gffc
Q=J$D`iifi Q=J$D`iifi Q=J$D`iifi
Q=J$D`iifi Q=J$D`iifi Q=J$D`iifi
Nach soviel Theorie widmet sich der rest-
liche Artikel dem praktischen Einsatz von
ZFS unter FreeBSD. Zunächst soll ein
so genannter Mirrored Pool (Hardware-
RAID Typ 1) entstehen. Dabei sind die Fb Fb Fb Fb

einzelnen Datenträger so kombiniert,


dass die Daten gespiegelt werden. Im 8YY`c[le^+18YcXl]\`e\i=\_c\ibfii\bkli\`e\jQ=J$D`iifi%
folgenden Beispiel sind dies die zweite
(»ada1«) und dritte (»ada2«) Festplatte. Home Directories im Netzwerk für NFS finden, wenn sie für den jeweiligen Be-
Der Befehl hierzu lautet: freigegeben werden: nutzer angelegt wurden. Einen Snapshot
für den Benutzer »user_a« für Donnerstag
zpool create daten mirror ada1 ada2 zfs set sharenfs=rw daten/home
erzeugt
Der nächste Schritt erstellt das Datei- Wie bereits erwähnt, nutzt die FreeBSD-
zfs snapshot daten/home/user_a@donnerstag
system für das Verzeichnis »home« und Version von ZFS den vorhandenen NFS-
mountet es in »/home«: Daemon. Die Informationen über die Hat der Benutzer »user_a« versehentlich
einzelnen NFS-Shares finden sich in der wichtige Dateien vom Vortag (Dienstag)
zfs create daten/home
zfs set mountpoint=/home daten/home
Datei »/etc/exports«. Den NFS-Daemon gelöscht, lassen sie sich mit einem Roll-
veranlasst das Signal »SIG_HUP« dazu, back schnell wieder herstellen:
Nun lassen sich für die einzelnen Be- sie neu einzulesen.
zfs rollback daten/home/user_a@dienstag
nutzer die Datensätze für die Home-Ver-
zeichnisse erstellen. Die Eigenschaften Bfdgi`d`\ik Wenn in regelmäßigen Abständen
von »daten/home« werden dabei an die Snapshots erzeugt wurden, hat der An-
neuen Mountpoints weitergegeben. Quotas und Kompression sind interes- wender auch die Möglichkeit, alte Ver-
sante Merkmale von ZFS. So läßt sich sionen seiner Dateien einzusehen:
zfs create daten/home/user_a
zfs create daten/home/user_b
für den gesamten Pool die Kompression
cat ~user_a/.zfs/snapshot/ donnerstag5
zfs create daten/home/user_c einschalten. Als Algorithmus dient in die- /bild.odg
sem Beispiel LZJB:
Die angelegten Home-Directories lassen Alle jemals angelegten Snapshots lassen
zfs set compression=lzjb daten
sich sofort benutzen, da keine Forma- sich so anzeigen:
tierung notwendig ist. Wenn man nach Die Kompression lässt sich optional aber
zfs list -t snapshot
einer gewissen Zeit feststellt, dass der auch für ein einzelnes Dataset konfigu- NAME USED AVAIL REFER MOUNTPOINT
Platz knapp wird, lassen sich Platten hin- rieren: daten/home/user_a@donnerstag 0 - 780M -
zufügen. Der folgende Befehl nimmt die daten/home/user_a@dienstag 0 - 1.01G -
zfs set compression=lzjb daten/user_a
vierte (»ada3«) und die fünfte (»ada4«)
Festplatte in den Pool auf: Quotas kann der Administrator ebenso Ein ZPool muss aus dem System ausge-
für den gesamten Pool setzen, wie für den hängt werden, bevor er in Form seiner
zpool add daten mirror ada3 ada4
einzelnen Datensatz. Der User »user_b« Festplatten in eine andere FreeBSD-Ma-
Diese Aktion lässt sich während des Be- bekommt im Beispiel 10 GByte und der schine eingebaut wird. Bei einem System-
triebs durchführen, während die User User »user_c« bekommt 20 GByte Spei- Shutdown wird dieses Kommando auch
davon kaum etwas bemerken. Dazu cherplatz, dessen Kapazität garantiert ist: ausgeführt. Das Aushängen geschieht
muss die Hardware natürlich den Einbau mit
zfs set quota=10g daten/home/user_b
im laufenden Betrieb unterstützen (Hot zfs set reservation=20g daten/home/user_c zpool export daten
Swap).
Freigaben für NFS lassen sich ebenso ein- Das wohl mit Abstand wichtigste Merkmal Daraufhin werden die Konfiguration, die
fach und unkompliziert erstellen. Zum sind Snapshots. Die einzelnen Snapshots Puffer und alle Datensätze ausgehängt.
Beispiel sollen alle Datasets mit den sind im Verzeichnis »${HOME}/.zfs« zu Außerdem wird der Pool geschlossen.

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ()*


Q=J

Um den Pool beispielsweise beim Sys- tert die Administration. Außerdem hat ternativen Mountpoint für »/« an, und
temstart wieder für das System verfügbar man gleichzeitig die Möglichkeit, bei ei- »canmount=off« bedeutet, dass »/« von
zu machen, dient folgende Sequenz: nem Defekt von einer anderen Platte zu ZFS nicht automatisch gemountet werden
booten. Dies gelingt mit den Aufrufen: soll, sondern vom Mount-Befehl des Be-
zpool import daten
triebssystems.
gpart create -s gpt ada0
Wenn man keinen ZPool angibt, listet der gpart create -s gpt ada1
Befehl alle Pools auf. =i\\9J;$;Xk\`jpjk\d
Im folgenden Schritt werden die einzel-
Q=JXcjIffk$GXik`k`fe nen Partitionen angelegt. Hierbei ist zu Eine Installation von FreeBSD verlangt
beachten, dass die Swap-Partition aus nach einer bestimmten Hierarchie im
FreeBSD lässt sich seit Version acht auch Performance-Gründen nicht auf einem Verzeichnisbaum. Da auch der Portstree
auf ZFS-Datenträgern installieren und ZFS-Datenträger liegt. Die beiden nach- mit seinen Dateien im ZPool liegen soll,
booten. Ziel des folgenden Beispiels ist folgenden Befehle reservieren Platz sind einige Besonderheiten zu beachten,
es, FreeBSD auf einem ZPool-Mirror be- für den Bootloader. Die Größe von 222 die später näher erläutert werden. Für
stehend aus zwei Festplatten »ada0« und Blocks resultiert aus der Tatsache, dass mehr Datensicherheit sorgt die ZFS-Op-
»ada1« zu installieren. Der Weg dorthin der Bootloader maximal diesen Speicher- tion »checksum« mit dem Algorithmus
ist sehr steinig und das Installations- bereich belegt. »fletcher4«. Es hat sich herausgestellt,
programm vereinfacht die Prozedur nur dass dieser Algorithmus sehr stabil ist
gpart add -s 222 -t freebsd-boot -l 5
teilweise. Allerdings wird man dann mit boot0 ada0
und selbst bei großen Datenmengen zu-
einer Funktionalität belohnt, die man gpart add -s 222 -t freebsd-boot -l 5 verlässig funktioniert.
von Windows kennt: Die Snapshots er- boot1 ada1
zfs set checksum=fletcher4 fbsd
möglichen es, sogenannte Wiederher-
stellungspunkte anzulegen. Das ist vor Anschließend werden die restlichen bei- Das Anlegen des Root-Dataset im ZPool
allem für Entwickler und Softwaretester den Partitionen erzeugt, wobei die Parti- geschieht folgendermaßen:
interessant. tionen, die als ZPool zusammengefasst
zfs create -o mountpoint=/ fbsd/ROOT
Zunächst lädt man sich vom FreeBSD- sind, das Label »zdisk0« beziehungsweise
Verteiler das Image für einen USB-Stick »zdisk1« erhalten: Das für temporäre Dateien benötigte
oder CD der sogenannten Fixit-Software Verzeichnis erhält einen eigenen mit ak-
gpart add -s 8G -t freebsd-swap -l 5
herunter. Das ist eine Notfall-Shell, die swap0 ada0
tivierter Datenkompression versehenen
die Möglichkeit bietet, ein System „von gpart add -t freebsd-zfs -l zdisk0 ada0 Datensatz innerhalb des ZPool:
außen“ zu administrieren und zu reparie- gpart bootcode -b /boot/pmbr -p /boot/5
zfs create -o compression=on -o exec=on 5
ren. Auch die reguläre Installations-DVD gptzfsboot -i 1 ada0
-o setuid=off fbsd/tmp
gpart add -s 8G -t freebsd-swap -l swap1 5
bietet diese Funktionalität, wenn man im chmod 1777 /mnt/tmp
ada1
Installationsprogramm den Menüpunkt gpart add -t freebsd-zfs -l zdisk1 ada1
»Shell« auswählt. Das Chmod-Kommando sorgt dafür, dass
Nachdem man sich entweder einen boot- Damit FreeBSD überhaupt von einem das Sticky-Bit gesetzt ist. Dadurch haben
fähigen USB-Stick oder eine DVD erstellt ZPool bootet, braucht es den entspre- die User nur die Berechtigung, Dateien
hat, startet man das System mit dem chenden Bootcode: zu löschen oder zu verändern, die sie
gewünschten Datenträger. Im Auswahl- selber erzeugt haben. Die nächsten zwei
gpart bootcode -b /boot/pmbr -p /boot/5
menü des BSDInstaller wählt man die gptzfsboot -i 1 ada0
Kommandos erzeugen die Datasets für
Option »Shell« aus und findet sich an- gpart bootcode -b /boot/pmbr -p /boot/5 das Betriebssystem:
schließend in einer Shell wieder. gptzfsboot -i 1 ada1
zfs create fbsd/usr
Zunächst werden beide Festplatten für zfs create fbsd/usr/local
den Einsatz mit GPT vorbereitet. Unter Für die folgenden Schritte wird der ZPool
Umständen ist es möglich, dass der Ker- »fbsd« angelegt, indem die Partitionen Die Partition für die Home Directories
nel einen Schreibzugriff auf die Festplat- mit dem Label »zdisk0« und »zdisk1« ein- sollte man in einem separaten ZPool vor-
ten verhindert. Um die Sperre aufzuhe- gebunden werden: halten. Für das Beispiel reicht es aus,
ben, genügt das folgende Kommando: die Home-Partition im ZPool »fbsd« an-
zpool create -o altroot=/mnt -O canmount=5
off fbsd mirror /dev/gpt/zdisk0 /dev/gpt/5
zulegen:
sysctl kern.geom.debugflags=0x10
zdisk1
zfs create -o setuid=off fbsd/home
Für den weiteren Installationsprozess
lädt man die ZFS-Module: Die virtuellen Geräte »/dev/gpt/ Die Abschnitte für den Portstree bedür-
zdisk(0|1)« hat der FreeBSD-Device-Ma- fen einer genaueren Betrachtung. Im Ver-
kldload opensolaris
kldload zfs
nager aus den zuvor angelegten Labels zeichnis »/usr/ports« ohne »/usr/ports/
»zdisk(0|1)« erzeugt, um den Zugriff auf distfiles/« und »/usr/ports/packages/«
Alle Festplatten eines ZPools müssen die Partitionen zu erleichtern. Der Pa- liegen später Textdateien wie Makefiles
identisch partitioniert sein. Das erleich- rameter »altroot=/mnt« gibt einen al- und Patches, die sehr viel Speicherplatz

()+ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


MAGAZIN JFE;<I8BK@FE
A<KQK 
K\jk\eJ`\a\kqk
D@K;M; *8lj^XY\e
]•i*<lif

A\kqkjZ_e\ccY\jk\cc\e1
›K\c\]fe '.(*(&).'.).+
><N@EE<EJ@<%%% ›=Xo  '.(*(&).'../-'(
\`e\e8Z\iI<MFIC.'1 ›<$DX`c1XYf7c`elo$dX^Xq`e%[\
;Xj]c•jk\ic\`j\BiX]k$
iX]k$ ›N\Y1 nnn%c`elo$dX^Xq`e%[\&gifY\XYf
[`X
gXb\k]•iDlck`d\[`X
\ek
?fd\<ek\ikX`ed\ek D`k^if\d>\n`eejg`\clek\i1
`dN\ik nnn%c`elo$dX^Xq`e%[\&gifY\XYf
mfe)+0<lif
›lckiXbfdgXbk\i=fid]Xbkfi)'0o)'0o*,dd
›9Xj`\ikXl]8D;9iXqfj$GcXkk]fid]•i=lcc$?;
le[>Xd\j


<`ej\e[\jZ_cljj`jk[\i(-%'-%)'(*
Q=J

benötigen. Die eingeschaltete Kompres- zfs create -o exec=on -o setuid=off 5 Bei einer normalen Installation trägt BSD-
fbsd/var/spool
sion reduziert den Speicherbedarf erheb- Install die Laufwerke mit der Swap-Parti-
lich, da sich Textdateien sehr gut kompri- tion automatisch in »/etc/fstab« ein. Bei
mieren lassen. Der Druckerspooler generiert ebenfalls dem hier beschrittenen Weg ist das nicht
Dateien von erheblicher Größe, weil die der Fall. Diese Zeilen sind notwendig:
zfs create -o compression=lzjb -o 5
setuid=off fbsd/usr/ports
Postscript- oder PCL-Kommandos als
/dev/gpt/swap0 none swap sw 0 0
reiner ASCII-Text zwischengespeichert /dev/gpt/swap1 none swap sw 0 0
Dagegen liegen in den Verzeichnissen werden. Weil die Kompression aber eini-
»/usr/ports/distfiles« und »/usr/ports/ ges an Rechenleistung erfordert, besteht Abschließend teilt man der ZFS-Verwal-
packages« die heruntergeladenen Ports- bei schnell wachsenden Spool-Dateien tung die Mountpoints mit, wie C`jk`e^
Archive und die generierten Pakete. Das die Gefahr der Überlastung. Aus diesem ) zeigt.
sind ausschließlich Binärdateien, die sich Grund sollte man hier keine Kompres- Die folgenden Kommandos schreiben alle
nur wenig komprimieren lassen. Daher sion aktivieren. Übrigens gilt diese Regel Tabellen in den ZPool und bringen ZFS in
wird für diese Verzeichnisse die Kom- auch für Spool-Dateien des Maildienstes einen ordnungsgemäßen Zustand:
pression abgeschaltet, was die Systemlast Postfix.
cd /
reduziert: zfs export fbsd

zfs create -o compression=off -o exec=off5


DXeZ_dXcY\jj\i1M\iq`Z_k zpool import -o altroot=/tmp/fbsd 5

-o setuid=off fbsd/usr/ports/distfiles Xl]Bfdgi`d`\ile^ -o cachefile=/tmp/zpool.cache fbsd


cd /tmp/fbsd/boot/zfs
zfs create -o compression=off -o exec=off 5
cp /tmp/zpool.cache .
-o setuid=off fbsd/usr/ports/packages Die folgenden drei Verzeichnisse kom-
cd /
men ebenfalls ohne Kompression aus,
Auch für das Verzeichnis »/var« bietet weil die abgelegten Daten größtenteils Nach einem Reboot startet FreeBSD vom
es sich an, durch aktivierte Kompression Binärdaten oder wie »/var/run« Unix- ZPool und der weiteren Administration
Speicherplatz zu sparen. Allerdings sollte Sockets enthalten: steht nichts mehr im Wege. Wenn man
man sich vorher überlegen, welche Art sich das System wie gewünscht einge-
zfs create -o exec=off -o setuid=off 5
von Dateien in den einzelnen Unterver- fbsd/var/db
richtet hat, hat man die Möglichkeit von
zeichnissen liegen sollen. In der Erfah- zfs create -o exec=off -o setuid=off fbsd5 den relevanten Verzeichnissen Snapshots
rung des Autors hat sich die Struktur in /var/run zu erzeugen.
C`jk`e^( als effizient erwiesen.
Im Verzeichnis »/var/crash« landen Wenn alle Datensätze angelegt sind, =i\\9J;$AX`cjd`kQ=J
Coredumps, die sehr groß werden und verlässt man die Shell mit »exit« oder
aus binären Daten und ASCII-Daten be- [Strg]+[D] und setzt die Installation mit Eines der bekanntesten Features von
stehen. Sie lassen sich daher gut kom- Hilfe von BSDInstall fort. Am Ende der FreeBSD sind die Jails. Sie sind ein Si-
primieren. Installation wechselt man ein weiteres cherheitskonzept, welches das Konzept
Mal in die Shell, um einige wichtige Ein- von »chroot()« erheblich erweitert. Pro-
C`jk`e^(1&mXiXl]Q=J stellungen vorzunehmen: Damit die ZFS- gramme, die in einer Jail gestartet wer-
01 zfs create fbsd/var Module beim Booten geladen werden, den, haben keine Möglichkeit, auf Re-
02 zfs create -o compression=lzjb -o exec=off
trägt man sie in »/boot/loader.conf« ein. sourcen des Hosts zuzugreifen. Es gibt
-o setuid=off fbsd/var/crash
Während der Installationsphase ist diese aber auch Ausnahmen. Wenn beispiels-
03 zfs create -o compression=lzjb -o exec=on
Datei im Verzeichnis »/mnt/boot/loader. weise einem Kunden eine Jail unter der
-o setuid=off fbsd/var/db/pkg
04 zfs create -o compression=lzjb -o exec=off
conf« zu finden: Maßgabe zur Verfügung gestellt werden
-o setuid=off fbsd/var/log soll, dass er Datasets innerhalb der Jail
echo 'zfs_load="YES"' >> /mnt/boot/5
05 zfs create -o compression=lzjb -o exec=off loader.conf
selber anlegen darf. Hierfür bietet die
-o setuid=off fbsd/var/mail echo 'zfs_load="YES"' >> /mnt/boot/5 ZFS-Implementierung in FreeBSD eine
06 zfs create -o compression=lzjb -o exec=on -o loader.conf Lösung an.
setuid=off fbsd/var/tmp Nachdem man eine FreeBSD-Jail erstellt
07 chmod 1777 /mnt/var/tmp
Ein Eintrag in »/mnt/etc/rc.conf« sorgt hat, muss sichergestellt sein, dass sie auf
für das Laden der ZFS-Module: »/dev/zfs« zugreifen kann. Über dieses
C`jk`e^)1Dflekgf`ekjd\c[\e Device läuft die Kommunikation mit ZFS.
echo 'zfs_enable="YES"' >> /mnt/etc/rc.conf
01 zfs unmount -a Dies ermöglicht in der Konfiguration des
02 zpool set bootfs=fbsd/ROOT fbsd
Damit der Kernel weiß, von welchem Device-Managers »/etc/devfs.rules« der
03 zfs set mountpoint=/ fbsd/ROOT
Laufwerk er booten soll, muss der Ad- folgende Eintrag:
04 zfs set mountpoint=/fbsd fbsd
ministrator in »/mnt/boot/loader.conf«
05 zfs set mountpoint=/tmp fbsd/tmp [zfs=10]
diese Zeile eintragen: add include $devfsrules_hide_all
06 zfs set mountpoint=/usr fbsd/usr
07 zfs set mountpoint=/var fbsd/var add include $devfsrules_unhide_basic
echo 'vfs.root.mountfrom="zfs:fbsd"' >>5 add include $devfsrules_unhide_login
08 zfs set mountpoint=/home fbsd/home
/mnt/boot/loader.conf add path 'zfs' unhide

()- 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Q=J

In der Systemkonfiguration des Hosts Die Kompression sollte man abschalten, Wie erwähnt verwenden viele Adminis-
»/etc/rc.conf« ändert man für die ge- da es sich hauptsächlich um Binärdaten tratoren für die Anbindung großer Daten-
wünschte Jail die Einträge nach folgen- handelt: pools die iSCSI-Technologie, die nahezu
dem Muster: jedes Betriebssystem unterstützt. Auch
zfs create -o compression=off -p 5
fbsd/jail/vorlage
für das heimische Netzwerk-Storage NAS
jail_Jailname_devfs_enable="YES"
jail_Jailname_devfs_ruleset="zfs"
ist iSCSI durchaus interessant, da Win-
Es folgt ein je nach Rechenleistung recht dows- und Apple-Systeme dieses Proto-
Um das Mounten von ZFS-Datasets in langwieriger Schritt: koll unterstützen. FreeBSD bringt diese
der Jail zu erlauben, trägt man in »/etc/ Unterstützung auch mit, allerdings nur
cd /usr/src
sysctl.conf« diese beiden Zeilen ein: make world DESTDIR=/jail/vorlage
wenn man aus den Ports heraus die ent-
make distribution DESTDIR=/jail/vorlage sprechende Software installiert.
security.jail.mount_allowed=1
security.jail.enforce_statfs=0
Ein weiteres Dataset nimmt die Konfi- `J:J@`e[\eGfikj
Der SysCtl-MIB »security.jail.mount_al- gurationsdaten auf, die als Basis für alle
lowed« bewirkt, dass der Anwender weiteren Jails dienen sollen. Dazu werden Als iSCSI-Target dient das Tool »istgt«, das
innerhalb der Jail Mount-Operationen die Informationen aus der Jail-Vorlage in im Ports-Verzeichnis unter »/usr/ports/
durchführen darf. Der zweite SysCtl-MIB das Dataset mit den Konfigurationsda- net/istgt« zu finden ist. Da es ständig
»security.jail.enforce_statfs« lässt alle ge- ten umkopiert. Anschließend startet man weiterentwickelt wird, sollte der Ports-
mounteten Dateisysteme sichtbar wer- noch das Programm »mergemaster«, das Tree immer auf dem aktuellen Stand sein.
den. Das Setzen beider Werte ist für das alles an die neuen Gegebenheiten an- Im iSCSI-Jargon spricht man von einem
Funktionieren von ZFS innerhalb einer passt (C`jk`e^*). Target und meint damit den Server, der
Jail nötig, reduziert allerdings die Sicher- iSCSI bereitstellt. Der Initiator ist der
heit des Hostsystems. Danach erstellt =•iGfikjXe^\gXjjk Client, der die Anfragen initiiert. Siehe
man ein ZFS-Dataset: hierzu 8YY`c[le^,.
Um innerhalb der Jails Programme über Die Installation der Software läuft schnell
zfs create fbsd/jail
zfs set jailed=on fbsd/jail
die Ports zu installieren, müssen in der und problemlos ab:
Datei »make.conf« im Verzeichnis »/jail/
portinstall -C istgt20121028 
Das ZFS-Dataset muss anschließend der basiskonf/etc/« einige Einträge modifi-
gewünschten Jail zugeordnet werden. ziert beziehungsweise ergänzt werden:
Dazu ermittelt man mit »jls« die Identifi- C`jk`e^*1AX`cj\iq\l^\e
cd /jail/basiskonf
kationsnummer der Jail (JID) und über- echo WRKDIRPREFIX=/data/ports >> etc/make.conf
01 zfs create fbsd/jail/basiskonf

gibt sie ZFS: 02 mkdir -p /jail/basiskonf/home /jail/basiskonf/X11R6


echo DISTDIR=/data/ports/distfiles >> 5
/jail/basiskonf/ports/distfiles /jail/basiskonf/
etc/make.conf
jls ports/packages
echo PACKAGES=/data/ports/packages >> etc/5
JID IP Address Hostname Path 03 mv /jail/vorlage/etc /jail/basiskonf
make.conf
1 IP-Adresse Jail-Name Jail-Pfad
04 mv /jail/vorlage/tmp /jail/basiskonf
zfs jail 1 fbsd/jail Innerhalb der Vorlage für die weiteren 05 mv /jail/vorlage/root /jail/basiskonf
Jails sind einige Pfade so anzupassen, 06 chflags -R 0 /jail/vorlage/var
Danach hat man die Möglichkeit, das dass sie später innerhalb jeder Jail auf die 07 mv /jail/vorlage/var /jail/basiskonf
ZFS-Dataset innerhalb der Jail zu admi- korrekten Daten zeigen (C`jk`e^+). 08 mergemaster -t /jail/basiskonf/var/tmp/temproot -D /
nistrieren. Allerdings sollte man beach- Im nächsten Schritt kommt wieder ZFS jail/basiskonf -i

ten, dass nach jedem Systemstart das Da- ins Spiel. Zunächst legen die folgenden 09 cd /jail/basiskonf

taset wieder der Jail zugeordnet werden Befehle von der Jail-Vorlage und von der 10 rm -R bin boot lib libexec mnt proc rescue sbin sys

muss. Mit einem kleinen Skript ist das Datenvorlage jeweils einen Snapshot an: usr dev

schnell erledigt.
zfs snapshot fbsd/jail/vorlage@master
C`jk`e^+1AX`cjm\ic`eb\e
zfs snapshot fbsd/jail/basiskonf@master

AX`cj^\bcfek 01 cd /jail/vorlage

02 ln -s data/etc etc
Die im nächsten Schritt erzeugten Clones
Das Erstellen mehrerer Jails ist dagegen sind im Gegensatz zum Snapshot be- 03 ln -s data/home home

langwierig. Es wird durch Tools wie EZ- schreibbar: 04 ln -s ../data/home usr/home

05 ln -s data/root root
Jail erheblich erleichtert. Aber es gibt
zfs clone fbsd/jail/vorlage@master fbsd/5 06 rmdir usr/local
dank ZFS eine elegantere Methode, meh- jail/jail_1
07 ln -s ../data/local usr/local
rere Jails zu generieren. Man bedient sich zfs clone fbsd/jail/basiskonf@master fbsd/5
08 mkdir usr/ports
dabei der ZFS-Snapshots und ZFS-Clones, jail/jail_1/data
09 mkdir usr/src
wie die folgende Vorgehensweise anknüp-
10 ln -s ../data/X11R6 usr/X11R6
fend an das vorherige Beispiel zeigt. Abschließend wird die Systemkonfigura-
11 ln -s data/var var
Zunächst legt man ein Dataset an, in tion »/etc/rc.conf« des Hostsystems um
12 ln -s data/tmp tmp
dem der Code für die Jail abgelegt wird. die Einträge für die Jails ergänzt.

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ().


Q=J

Es erscheint ein Konfigurationsdialog,


`J:J@$KXi^\k `J:J@$@e`k`Xkfi
dessen Vorgaben man normalerweise
übernehmen kann. Nachdem die Soft- =i\\9J;
9\ki`\Yjjpjk\d
ware installiert ist, legt man den ZPool 9\ki`\Yjjpjk\d
an. Die Art des Pools spielt im Zusam- C8E
menhang mit iSCSI keine Rolle und rich-
tet sich nur nach den eigenen Wünschen `J:J@$KXi^\k
an die Datensicherheit. Im Beispiel soll es `J:J@$@e`k`Xkfi
ein ZFS-RAIDZ1 sein:
Q=J$M\inXckle^
zpool create fbsdsan raidz /dev/ada1 /dev/5
ada2 /dev/ada3

Im nächsten Schritt legt man den Da- Q=J$Gffc


tensatz an, der für das iSCSI-Target be-
stimmt sein soll. Wichtig sind hierbei
zwei Dinge: Zum einen darf man keinen 8YY`c[le^,1`J:J@lek\i=i\\9J;d`kQ=J%
Mountpoint festlegen, da der Client dafür
verantwortlich ist. Zum anderen muss Die beiden Einträge besagen, dass der Manuell lässt sich der iSCSI-Daemon vom
man die Größe des Datasets festlegen, Daemon auf der IP-Adresse 192.168.1.1 Administrator mit dem Aufruf
weil man diese Größe in die Konfigura- und Port 3260 einen Kommunikations-
/usr/local/etc/rc.d/istgt start
tionsdatei des iSCSI-Daemons eintragen kanal bereitstellt und Anfragen aus dem
muss, damit die Clients darüber infor- Klasse-C-Netzwerk 192.168.1 entgegen auf der Kommandozeile starten.
miert werden. nimmt.

zfs create fbsdsan/target Q=J$Kle`e^lek\i=i\\9J;


zfs set mountpoint=none fbsdsan/target ;XkXj\k]•i`J:J@
zfs set quota=1024G fbsdsan/target Die FreeBSD-Version von ZFS bietet viele
Dem iSCSI-Daemon muss man natürlich Möglichkeiten, die Performance beim
Nachdem der Pool eingerichtet ist, er- auch mitteilen, welches ZFS-Dataset er Schreiben und Lesen von Daten zu opti-
folgt die Konfiguration des Daemons. verwenden soll. Dazu sucht man in der mieren. Grundsätzlich gilt, dass schnelle
Zunächst kopieren die folgenden Befehle genannten Konfigurationsdatei nach dem Hardware mehr Freude bereitet. Moderne
einige Dateien um: Eintrag SCSI-Systeme mit SAS (Serial Attached
SCSI) oder U320 mit hochtourigen Fest-
cd /usr/local/etc/istgt LUN0 Storage /tank/iscsi/istgt-disk1 10GB
cp auth.conf.sample auth.conf
platten bieten genügend Potenzial. Bei
cp istgt.conf.sample istgt.conf und ersetzt ihn durch folgende Konfigu- SATA-Systemen sollte man auch darauf
cp istgtcontrol.conf.sample istgtcontrol.conf rationszeile: achten, möglichst schnelle Festplatten
mit SATA2 zu verwenden.
LUN0 Storage /fbsdsan/target
Da es sich nur um ein Beispiel zu De- Den Arbeitsspeicher betreffend gilt die
monstrationszwecken handelt, müssen Abschließend ergänzt man noch die Sys- bekannte Regel: RAM über alles. Unter
nur wenige Zeilen in »/usr/local/etc/ temkonfiguration »/etc/rc.conf« um eine vier GByte braucht man nicht anzufan-
istgt/istgt.conf« geändert werden: Zeile, die festlegt, dass der iSCSI-Daemon gen. Eine Richtgröße sind etwa 128 GByte
automatisch startet: RAM bei 18 TByte ZPool-Kapazität. Das
Portal DA1 192.168.1.1:3260 ist schon ein gewaltiger Wert, aber bei
Netmask 192.168.1.0/24 stgt_enable="YES"
den heutigen RAM-Preisen machbar.

Q=JXl]=\jkgcXkk\ed`k+B$J\bkfi\e
J\`k\`e`^\iQ\`kj`e[=\jkgcXkk\eXl][\dDXibk# 8e[\ie]Xccj dljj dXe \knXj qlj€kqc`Z_\ Q\`k J\bkfi\ei\gi€j\ek`\ik%;XjdljjdXe]•iXcc\
[\i\e J\bkfi^i\ +'0- 9pk\j +B  jkXkk ,() `em\jk`\i\e# nfY\` \`e Y\jk\_\e[\i QGffc c\`$ =\jkgcXkk\e`dJpjk\ddXZ_\e#[`\Q=Jm\inXc$
9pk\jY\ki€^k%C\`[\i_XY\e[`\?\ijk\cc\i[\i [\im\icfi\e^\_k%CjZ_\ec€jjkj`Z_\`eGffc k\ejfcc%8ejZ_c`\\e[bXeedXen`\`d8ik`b\c
;Xk\eki€^\i^\jZ_cXdgkle[\`e\XlkfdXk`jZ_\ d`k ¾q]j [\jkifp qgffc½% Mfi [\d E\lXec\^\e Y\jZ_i`\Y\e\`e\ee\l\eQGffcXec\^\e%
<ib\eele^Y\`eX_\led^c`Z_^\dXZ_k% _`c]k [Xj ><FD$Gcl^`e >EFG# [`\ +B$J\bkfi\e ;`\9ffk$=\jkgcXkk\[Xi]dXe[Xd`ke`Z_kY\_Xe$
9\` N`e[fnj n`i[ [`\j\j GifYc\d [liZ_ \`e\e qlXbk`m`\i\e1 [\ce# n\`c [\i 9ffkcfX[\i ¾^gkq]jYffk½ [Xd`k
qlj€kqc`Z_\eKi\`Y\iXlj^\Y•^\ck%Lek\i=i\\9J; efZ_e`Z_kld^\_\ebXee%
gnop create -S 4096 ada0
\i]iX^k[\i9\]\_c
gnop create -S 4096 ada1 zpool create fbsd mirror ada0.nop ada1.nop
zdb | grep ashift
;Xd`k \iq\l^k dXe \`e e\l\j >\i€k eXd\ej FY [`\ J\bkfi^i\ bfii\bk \`e^\kiX^\e `jk#
fY[`\J\bkfi^i\bfii\bk\ibXeeknli[\%=Xccj ¾X[X'%efg½ Y\q`\_le^jn\`j\ ¾X[X(%efg½# m\ii€k¾q[Ys^i\gXj_`]k½%;Xj<i^\Ye`jjfcck\
[`\ 8lj^XY\ ¾Xj_`]k1 ()½ cXlk\k# `jk Xcc\j ^lk% [Xj [`\ =\jkgcXkk\ ¾X[X'½ d`k Xbk`m`\ik\e +B$ ¾Xj_`]k1()½j\`e%

()/ 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


Q=J

=Xccjki`Zb\ cher, der Richtwert liegt bei 50 Prozent wieviele Kenngrößen und Parameter es
der Speichergröße. Auch der Datendurch- gibt, um ZFS zu beeinflussen, der sollte
Ql \`e\d Gffc cXjj\e j`Z_ XlZ_ =\jkgcXkk\e
satz des Pools spielt bei der Berechnung folgendes Kommando eingeben:
lek\ijZ_`\[c`Z_\i BXgXq`k€k _`eql]•^\e% 9\$
eine Rolle. Als Faustformel gilt, dass pro
XZ_k\ejfcck\dXeXcc\i[`e^j]fc^\e[\Glebk\1 sysctl -a | grep zfs
;`\ BXgXq`k€k [\i e\l\e =\jkgcXkk\e jfcck\ 100 MByte/s circa 2GByte Speicherbedarf
d`e[\jk\ej jf ^if j\`e# n`\ [`\ BXgXq`k€k bestehen. Als Ergebnis erhält man 140 SysCtl-MIBs
[\ibc\`ejk\eGcXkk\`eGffc%N\ee[`\BXgXq`$ ZFS bietet wie bereits ausgeführt zwei alleine für ZFS.
k€k[\je\l\e;Xk\eki€^\ijbc\`e\i`jk#[Xee Caches zur Beschleunigung des Lese- In vielen Tutorials zur FreeBSD-Installa-
]•_ik[Xj\m\ekl\ccql;Xk\em\icljk%N\ee[\i zugriffs: ARC und L2ARC. Man sollte tion in einem ZPool liest man, dass Swap-
GffcmfdKpgd`iifi\[`jk#[Xeed•jj\e\`e\ sich allerdings schon beim Anlegen des ping in ein ZFS-Dataset kein Problem
^\iX[\ 8eqX_c mfe ;Xk\eki€^\ie qld Gffc ZPools Gedanken machen, in welchem darstelle. Das ist aber nicht ganz rich-
_`eql^\]•^k n\i[\e% ;`\ J\bkfi^i\ Xcc\i Dataset häufig benötigte Daten abgelegt tig. Das Problem liegt darin, dass beim
=\jkgcXkk\edljj^c\`Z_j\`e%
werden. Für dieses Dataset legt man den Swappen das Schreiben in den ZPool zu
L2ARC auf eine schnelle Festplatte oder einem Schreibzugriff auf den ARC führt.
Eine andere Möglichkeit der Optimierung auf ein SSD: Das kostet aber weiteren Arbeitsspeicher.
besteht darin, dass man dem ZFS-Intent- Wenn man Swapping auf ein ZFS-Dataset
zpool add tank cache ada1
Log ZIL einen SSD-Speicher mit mög- erlaubt, will der Kernel das auch nutzen,
lichst hohem Datendurchsatz spendiert. So richtig performant wird die ZFS-In- wenn der Speicher ausgeht. Aber dadurch
Alle Dateisysteme-relevanten Schreib- stallation, wenn man wieder einen Mirror wird noch mehr RAM genutzt.
operationen und Transaktionen werden bestehend aus zwei SSDs oder Partitionen Früher führte dies zwangsläufig zum Teu-
durch den ZIL protokolliert. Im Falle einrichtet. Der Grund liegt darin, dass felskreis mit einem Absturz am Ende.
eines Systemabsturzes benutzt ZFS die ZFS die Cache-Daten nach dem Round- Heute erkennt ZFS die Speicherknappheit
Informationen aus dem Protokoll dazu, Robin-Verfahren ablegt. und gibt einen Teil seines ARC wieder
eventuell beschädigte Dateien zu repa- frei. Allerdings klappt das nur bis zu ei-
zpool add tank cache ada1p2 ada2p2
rieren. Wie man schnell erkennt, fällt nem bestimmten Punkt. Daher sollte man
die Schreibgeschwindigkeit besonders ins Wenn ZFS als Dateisystem für Daten- die Swap-Partition weiterhin auf eine
Gewicht. banken wie PostgreSQL dienen soll, sind konventionelle Partition legen.
zwei Einstellungen von Interesse:
@ek\ekCf^Xl]JJ; zfs set primarycache=metadata tank/db =Xq`k
zfs set atime=off tank/db
In Standardkonfigurationen von ZPools Mit ZFS hat FreeBSD ein Dateisystem be-
wird das ZIL-Protokoll im ZPool selbst Sie legen fest, dass für das Dataset »tank/ kommen, das seinesgleichen sucht. Es ist
gespeichert. Für kleinere Server-Anwen- db«, in dem die Tabellen der Datenbank extrem flexibel und sorgt gleichzeitig für
dungen ist das ausreichend. Für große liegen, im primären Cache (ARC) nur die hohe Datensicherheit. Durch seine Fea-
Pools sollte man eine externe SSD ein- Metadaten vorgehalten werden sollen. tures erspart es dem Administrator auch
binden: Das ist auch sinnvoll, da sich hauptsäch- eine Menge Arbeit, wie das Beispiel mit
lich die Tabellengröße verändert, aber den Jails gezeigt hat. Für FreeBSD ist es
zpool add pool log ada1
eher selten die Zahl der Dateien. Eine ein Quantensprung.
Auch sollte man auf Ausfallsicherheit weitere Beschleunigung erfährt das Data- Leider hat der neue Lizenzinhaber Oracle
achten. ZIL unterstützt auch gespiegelte set durch das Abschalten des Attributes ab Version 28 alle weiteren Ergänzun-
Festplatten. Eingebunden wird ein sol- »atime«, das angibt, wann zuletzt auf die gen an ZFS nicht mehr der Open-Source-
cher Mirror mit Datei zugegriffen wurde. Szene zur Verfügung gestellt. Für die Zu-
Die hier gemachten Vorschläge zur Op- kunft bleibt zu hoffen, dass Oracle seine
zpool add tank log mirror ada1 ada2
timierung stellen nur einen kleinen aber Politik überdenkt und die Weiterentwick-
Die Mindestgröße eines ZIL-Devices liegt wichtigen Teil dar. Es gibt noch eine lung der FreeBSD-Version mit weiterem
bei 64 MByte. Die maximale Größe richtet Menge anderer SysCtl-MIBs, die zur Op- freigegebenen Code unterstützt. (ofr) ■
sich nach dem verfügbaren Arbeitsspei- timierung beitragen. Wer wissen möchte,

KXY\cc\(1=\_c\i\ib\eele^ @e]fj
=\_c\iXik ?\ibddc`Z_\j;Xk\`jpjk\d Q=J R(T =i\\9J;$?Xe[YlZ_1
9`k$=€lc\Ù9`k[i\_\iÈ " " R_kkg1&&nnn%]i\\Yj[%fi^&[fZ&[\V;<%
G_Xekfd$JZ_i\`Yfg\iXk`fe\e $ " @JF//,0$(&Yffbj&_Xe[Yffb&`e[\o%_kdcT
R)T Q=J$8[d`e`jkiXk`fej_Xe[YlZ_1
M\i`iik\C\j\&JZ_i\`Y$Fg\iXk`fe\e $ "
R_kkg1&&[fZj%fiXZc\%Zfd&Z[&<(0),*$'(&
;D8$GXi`k€kj$=\_c\i $ "
/)'$)*(*&`e[\o%_kdcT
Ki\`Y\i$9l^j $ "
R*T DXegX^\j1q]j/ #qgffc/ #q[Y/ #
M\ij\_\ekc`Z_\j|Y\ijZ_i\`Y\e $ " ^efg/

N N N% 8 ; D @ E $ D 8>8 Q @ E % ; < 8;D@E 8L J >8 9 < '* $)' ( * ()0


J < IM @ : < @dgi\jjldle[MfijZ_Xl

@dgi\jjld @JJE)(0'$('--
8;D@E$DX^Xq`e \`e\GlYc`bXk`fe[\iD\[`Xc`eo8> Gi\`j\;`^`kXc ;\lkjZ_cXe[ {jk\ii\`Z_ JZ_n\`q 8ljcXe[<L
I\[Xbk`fejXejZ_i`]k G lkqYilee\iJkiX\.( ?\]k$G;=<`eq\cXlj^XY\ `0#/' `0#/' J]i('#.( `0#/'
/(.*0D•eZ_\e ;`^`JlY-8lj^XY\e  `++#0' `++#0' J]i+0#', `++#0'
K\c%1' /0&00 *+ (($' ;`^`JlYqldGi`ekXYf  `-#Ç `-#Ç J]i-#Ç `-#Ç
(
=Xo1' /0&00 *+ (($00f[\i$0- ?KDC$8iZ_`mqld8Yf  `+/#Ç `+/#Ç J]i+/#Ç `+/#Ç
@ek\ie\k nnn%X[d`e$dX^Xq`e%[\ Gi\`j\BfdY`XYfj
)
<$DX`c i\[Xbk`fe7X[d`e$dX^Xq`e%[\ Gif]`$8Yf  `(*-#-' `(,(#.' J]i),0#0' `(-,#.'
(
>\jZ_€]kjc\`kle^ 9i`XeFjYfieMfijkXe[ #YfjYfie7d\[`Xc`eo$^ilgg\%[\ eli\i_€ckc`Z_`eM\iY`e[le^d`k\`e\dAX_i\jXYfGi`ekf[\i;`^`kXc
)
?\idXeeGcXebMfijkXe[ #_gcXeb7d\[`Xc`eo$^ilgg\%[\ d`kC`elo$DX^Xq`e$8Yfle[Y\`[\eAX_i\j$;M;j
:_\]i\[Xbk\li\ Fc`m\i=ifdd\cM%`%J%[%G% # JZ_•c\i$le[Jkl[\ek\e\id€`^le^1)'Gifq\ek^\^\eMficX^\\`e\jJZ_•c\iXljn\`j\jf[\i\`e\iXbkl\cc\e
f]ifdd\c7X[d`e$dX^Xq`e%[\f]i @ddXki`blcXk`fejY\jZ_\`e`^le^%;\iXbkl\cc\EXZ_n\`j`jkY\`M\ic€e^\ile^e\lql\iYi`e^\e%8e[\i\8Yf$
=fid\e#<id€`^le^\e`d8ljcXe[\kZ%Xl]8e]iX^\%
 A\ej$:_i`jkfg_9i\e[\c
 aYi\e[\c7X[d`e$dX^Xq`e%[\aZY 8[i\jj€e[\ile^\eY`kk\ld^\_\e[d`kk\`c\e#[XEXZ_j\e[\Xl]ki€^\Y\`[\iGfjke`Z_k]•iQ\`kjZ_i`]k\e^\ck\e%
I\[Xbk`fe Gi\jj\d`kk\`cle^\e `e]f7X[d`e$dX^Xq`e%[\
E\nj&I\gfik L ci`Z_9Xekc\Ck^% #lYXekc\7d\[`Xc`eo$^ilgg\%[\lYX  8eq\`^\e&I\gi€j\ekXeq
DXk_`Xj?lY\i#d_lY\i7d\[`Xc`eo$^ilgg\%[\d_l  <j^`ck[`\8eq\`^\egi\`jc`jk\mfd'(%'(%)'()
Jf]knXi\&K\jk DXiZ\c?`cq`e^\i#d_`cq`e^\i7d\[`Xc`eo$^ilgg\%[\#d_`  EXk`feXc G\kiXAXj\i
Bi`jk`XeB`c`e^#bb`jjc`e^7d\[`Xc`eo$^ilgg\%[\#bb` K\c%1'/0&00*+(()+#=Xo1'/0&00*+((00
J\Zli`kp&E\knfib`e^ DXiblj=\`ce\i#d]\`ce\i7d\[`Xc`eo$^ilgg\%[\d]\  <$DX`c1gaXj\i7d\[`Xc`eo$^ilgg\%[\
K_fdXjC\`Z_k\ejk\ie#kc\`Z_k\ejk\ie7d\[`Xc`eo$^ilgg\%[\kc\  D`Z_X\cJ\`k\i
Jk€e[`^\D`kXiY\`k\i ;Xm`[>_c\iJZ_cljji\[Xbk`fe # K\c%1'/0&00*+(()*#=Xo1'/0&00*+((00
:Xijk\eJZ_efY\i#K`dJZ_•idXee#:cXl[`XK_Xc^fkk <$DX`c1dj\`k\i7d\[`Xc`eo$^ilgg\%[\
Gif[lbk`fejc\`kle^ :_i`jk`XeLcci`Z_#Zlcci`Z_7d\[`Xc`eo$^ilgg\%[\ Gi\jj\m\iki`\Y DQM#Df[\ie\iQ\`kjZ_i`]k\eM\iki`\Y>dY?
9i\jcXl\iJkiX\,#/,*/-<Z_`e^
>iX]`b BcXljI\_]\c[#Bi`jk`eX=c\`jZ_\i#
K\c%1'/0&*(0'-$'#=Xo1'/0&*(0'-$((*
 K`k\c1Al[`k_<iY#8lj^Xe^j^iX]`b1DXbj`dBXYXbfl#()*I=
;ilZb Mf^\c;ilZble[D\[`\ej\im`Z\>dY?
8Yf$@e]fj\`k\  nn%X[d`e$dX^Xq`e%[\&XYf
n  0.)'+?Z_Y\i^
8Yfee\ek\e$J\im`Z\ Dfe`bXAccp
;\i9\^i`]]Le`on`i[`e[`\j\iJZ_i\`Yn\`j\Xcj^\e\i\cc\9\q\`Z_ele^]•i[`\Le`o$€_ec`Z_\e9\ki`\Yjjpjk\d\m\ijZ_`\[\e\i
XYf7X[d`e$dX^Xq`e%[\ ?\ijk\cc\i#qld9\`jg`\c<li`o:fd]ff[ #Lcki`o;`^`kXc<hl`gd\ek #?G&LO?\nc\kk$GXZbXi[ f[\iJ`e`oJ`\d\ej Y\elkqk#
K\c%1'.(*(&).'.).+#=Xo1'.(*(&).'../-'( e`Z_kXcj[`\9\q\`Z_ele^]•i[XjKiX[\dXibmfeO&Fg\e%C`elo`jk\`e\`e^\kiX^\e\jDXib\eq\`Z_\emfeC`eljKfimXc[jle[
Gi\`j\Gi`ek ;\lkjZ_cXe[ {jk\ii\`Z_ JZ_n\`q 8ljcXe[<L n`i[`elej\i\dDXib\eeXd\ed`kj\`e\i<icXlYe`jm\in\e[\k%8cc\Xe[\i\eDXib\ej`e[<`^\ekld[\ia\n\`c`^\e@e_XY\i%
<`eq\c_\]k `0#/' `('#/' J]i(0#-' j`\_\K`k\c  <`e\?X]kle^]•i[`\I`Z_k`^b\`kmfeM\i]]\ekc`Z_le^\ebXeekifkqjfi^]€ck`^\iGi•]le^[liZ_[`\I\[Xbk`femfdM\icX^
e`Z_k•Y\iefdd\en\i[\e%D`k[\i<`ej\e[le^mfeDXeljbi`gk\e^`Yk[\iM\i]Xjj\ij\`e\Qljk`ddle^qld8Y[ilZb`d
D`e`$8Yf)8lj^XY\e  `0#/' `('#/' J]i(0#-' j`\_\K`k\c  8;D@E$DX^Xq`e%=•ilem\icXe^k\`e^\jXe[k\DXeljbi`gk\bXeeb\`e\?X]kle^•Y\iefdd\en\i[\e%;`\I\[Xbk`feY\_€ck
AX_i\j$;M;<`eq\cgi\`j  `(+#0, `(+#0, J]i(/#0' `(+#0, j`Z_mfi#8ik`b\cqlb•iq\e%;Xj<obclj`m$le[M\i]•^le^ji\Z_k]•iXe^\efdd\e\DXeljbi`gk\c`\^kY\`dM\icX^%<j[Xi]b\`e
AX_i\j$;M;qld8Yf(  `-#.' `-#.' J]i/#,' `-#.' K\`c[\j@e_Xckjf_e\Xlj[i•Zbc`Z_\jZ_i`]kc`Z_\>\e\_d`^le^[\jM\icX^j`e`i^\e[\`e\i=fidm\im`\c]€ck`^kf[\im\iYi\`k\k
AX_i\jXYf `+0#0' `,+#0' J]i00#0' `,0#0' n\i[\e%:fgpi`^_kŸ(00+Æ)'(*D\[`Xc`eo8>

@ej\i\ek\em\iq\`Z_e`j

((@ek\ie\k8> _kkg1&&nnn%\`ejle[\`ej%[\ . C`elo$DX^Xq`e _kkg1&&nnn%c`elo$dX^Xq`e%[\ (),


8;D@E _kkg1&&nnn%X[d`e$dX^Xq`e%[\ *-#/(#(', C`elo$DX^Xq`eFec`e\ _kkg1&&nnn%c`elo$dX^Xq`e%[\ (((
8_c\ij<;MJpjk\d\ _kkg1&&nnn%X_c\ij\[m%[\ ((, D\[`Xc`eo@K$8ZX[\dp _kkg1&&nnn%d\[`Xc`eo$XZX[\dp%[\ .,#((*
8e[if`[8ggjK`ggj _kkg1&&nnn%Xe[if`[$lj\i%[\ ,. D\jj\9\ic`e>dY? _kkg1&&nnn%c`elokX^%fi^ ('(
8e[if`[Lj\i>P _kkg1&&nnn%Xe[if`[$lj\i%[\ ('0#()( D`Zifjf]k>dY? _kkg1&&nnn%d`Zifjf]k%Zfd&^\idXep *,
:C:fdglk\i$l%C`k\iXklim\icX^>dY? _kkg1&&nnn%Zlc%[\ /* E\knXpj>dY? _kkg1&&nnn%e\knXpj%[\ ,*
:feJfcJf]knXi\>dY? _kkg1&&nnn%Zfejfc%[\ *0
flkYfo8> _kkg1&&nnn%flkYfo%[\ ,0
;\cc>dY? _kkg1&&[\cc%[\&^ifnn`k_lj )
gXjZfd$E\kqn\ibk\Z_e`b>dY?:f%B> _kkg1&&nnn%gXjZfd%e\k ((
;`Xmcfe>dY? _kkg1&&nnn%klo_Xi[nXi\%[\ )*
=\iejZ_lc\N\Y\i>dY? _kkg1&&nnn%]\iejZ_lc\$n\Y\i%[\ -0 GcljJ\im\i8> _kkg1&&nnn%gcljj\im\i%[\ (+#+-#.-#0'
?\kqe\iFec`e\8> _kkg1&&nnn%_\kqe\i%[\ -, Gifodfo _kkg1&&nnn%gifodfo%Zfd (*)
@GK8D>dY? _kkg1&&nnn%`gkXd%Zfd *( JdXikJf]knXi\DX^Xq`e _kkg1&&jdXik$jf]knXi\$dX^Xq`e%[\ .(
@J:<m\ekj _kkg1&&nnn%`jZ$\m\ekj%Zfd ,, K_fdXjBi\ee8> _kkg1&&nnn%k_fdXj$bi\ee%Zfd ),
B\kke\iDXk_`Xj$C`elo<og\ik\ _kkg1&&nnn%dXk_`Xj$b\kke\i%[\ (* N\Ykifg`X _kkg1&&nnn%n\Ykifg`X%Zfd +(
C`elo$?fk\c _kkg1&&nnn%c`elo_fk\c%[\ +, N`e[fnjG_fe\Lj\i _kkg1&&nnn%n`e[fnj$g_fe\$lj\i%[\ (*(

8lkfi\e[`\j\i8lj^XY\
=Xcbf9\ek_`e J`Z_\i\9Xeb +) K_fdXjAffj <`jq\`k (/
;Xm`[9\ilY\ ve[\ile^\edX^\jZ_e\`[\ik ((' K_fdXjAffj Q\ekiXc$G\ijg\bk`m\ ./
:_i`j9`ee`\ Gfjkqljk\cc\i )) IfY\ikBfi_\ii KiXejgfik^\j`Z_\ik ,-
9ilZ\9p]`\c[ @dJlZ_\i ((+ DXik`eCfjZ_n`kq 9€i\ejkXib6 ('-
?Xeef9Zb C•Zb\e_X]k\J`Z_\i_\`k 0)
DXibljDXeqb\ 9iXe[jZ_lkq *)
A•i^\e;Xebfn\`k 8jkifefd`jZ_ ())
K_fdXj;i`cc`e^ :cfl[$HlXik\kk (') K_fijk\eJZ_\i] NXZ__le[ (-
K_fdXj;i`cc`e^ Nfcb\eble[\ -' >\fi^JZ_eY\i^\i Jkfggl_i .)
K_fdXj;i`cc`e^ Ql[\eNliq\ce /+ K`dJZ_•idXee J`Z_\ij\im`\ik )-
=\c`omfe<p\ >lk^\j`Z_\ik6 0- K_fdXjQ\cc\i JZ_lkqXlji•jkle^ +/

MF I J : ? 8L 8 ; D @ E ' +&) ' ( * < I J : ? < @ E K 8 D ( ( % A L C @ )' ( *


;\jbkfg$M`iklXc`j`\ile^ Fg\e9J;
D`k?Xi[nXi\$9\jZ_c\le`^le^le[ 8cj?\`dXk[\iJ\Zli\J_\cc_Xk
jZ_e\cc\dE\kqbXee;\jbkfg$ j`Z_[\iE\k9J;$=fib\`e\eIl]Xcj
M`iklXc`j`\ile^_\c]\e#8[d`e`jkiX$ Y\jfe[\ijj`Z_\i\j9\ki`\Yjjpjk\d
ŸNXiXbfie?XiegiXjfg#()*I=

k`fejXl]nXe[le[$bfjk\eql \iXiY\`k\k%<`e8ik`b\c`e[\ibfd$
jgXi\e%N`im\iiXk\e#n`\[`\K\Z_$ d\e[\e8;D@E$8lj^XY\jk\cck[Xj
efcf^`\]lebk`fe`\ikle[nXj[`\ Fg\e9J;$Jpjk\dle[j\`e\@[\\e
\`eq\ce\eCjle^\ec\`jk\e% e€_\imfi%

(*' 8L J >8 9 < '* $)' ( * 8;D@E N N N% 8 ; D @ E $ D 8>8 Q @ E % ; <


2 AUSGABEN
für nur 5,90 `
50% sparen und von Anfang an dabei sein!
Windows Phone User erscheint alle zwei Monate

NEU!

TESTANGEBOT:
2 AUSGABEN
FÜR NUR 5,90 EURO!
Jetzt bestellen unter:
windows-phone-user.de/miniabo
NEU: Version 3.0

Server-Virtualisierung mit KVM und Containern

Alles im Blick: Verwalten Sie beliebig viele KVM-Maschinen und Linux-Container im


HA-Cluster mit dem übersichtlichen Web-Interface von Proxmox VE.

Proxmox Virtual Environment

So vielseitig wie Ihre IT


Gestern fragt mich mein Kumpel, welche Server- Das Ganze am besten noch von zu Hause aus...oder im
virtualisierung er für sein Unternehmen kaufen soll. Ich Urlaub. Und er will Support. Schnellen. Und auf Deutsch.
erklär‘ ihm, kaufen braucht er gar nichts, denn außer teuer Sag‘ ich zu ihm: Mensch, du bist verdammt anspruchsvoll.
ist das nichts. Es gibt ja lizenzkostenfreie Open-Source- Sagt er zu mir: Sowieso. Aber weißt du was? Proxmox VE ist
Software. Schön, sagt er, er will auch eine flexible und genau für IT-Profis wie uns. Ist nämlich freie Software aus
erweiterbare Lösung - na klar, die IT soll ja mit der Firma mit Wien. Mit riesen Community und flexiblen Support-
wachsen! Und Hochverfügbarkeit sowie null SPOF will er Modellen. Schon ab € 9,90.- monatlich. Auch auf Deutsch.
sowieso, wegen Sicherheit und so...weiß man ja. Außerdem Genial, oder?
will er unabhängig seine KVM-Maschinen oder Linux-
Für Anspruchsvolle. Proxmox VE
Container mit einem Mausklick direkt am GUI erstellen.
Download unter www.proxmox.com

Support ab € 9,90.– mtl. Jetzt 10% Rabatt auf Support-Subscription


Promo Code AFX20383 einlösen im Onlineshop auf
zzgl. MwSt. www.proxmox.com (gültig bis 30.06.2013).